Следователь в цифровом пространстве
Цифровая форензика (computer forensics, DFIR — Digital Forensics and Incident Response) — применение методов криминалистики к цифровым устройствам и данным. Цель: найти, сохранить и проанализировать цифровые улики для восстановления картины инцидента или для суда.
Это не просто «посмотреть логи». Цифровая форензика — строгий процесс с сохранением целостности улик, документированием каждого шага и пониманием того, что суд примет как доказательство.
Основные принципы
Неизменность оригинала: работа ведётся только с копиями носителей данных. Оригинал сохраняется нетронутым. Создаётся побитовая копия диска (forensic image), хэш которой подтверждает идентичность оригиналу.
Цепочка хранения улик (chain of custody): каждое действие с уликой документируется. Кто, когда, что сделал. Нарушение цепочки делает улику недопустимой в суде.
Анализ диска
Анализ жёсткого диска или SSD: файловая система, удалённые файлы (они часто восстановимы), метаданные (время создания, изменения), артефакты браузера, история запущенных программ, временные файлы.
Инструменты: Autopsy, FTK (Forensic Toolkit), dd (создание образов).
Анализ памяти и сети
Memory forensics — анализ дампа оперативной памяти. Там можно найти: запущенные процессы, расшифрованные данные (пароли, ключи шифрования), следы руткитов, которые прячутся от обычного антивируса. Инструмент: Volatility.
Сетевая форензика — анализ перехваченного трафика (pcap-файлы), логов файрволов, DNS-запросов. Восстановление хронологии атаки.