Особливості проведення комп’ютерно-технічних досліджень шкідливого програмного забезпечення

1. Криміналістичні дослідження
шкідливого програмного забезпечення
© Лабораторія комп’ютерної криміналістики, 2016

2. • Комп'ютерні експертизи і розслідування
• Системи захисту інформації
• Програмні та апаратні засоби для комп'ютерних розслідувань
• Тренінги та навчання з комп'ютерної криміналістики та
інформаційної безпеки
Лабораторія комп'ютерної криміналістики
Основні напрямки діяльності

3. Дослідження шкідливого ПЗ
Викрадення коштів через електронні
платіжні системи
Несанкціонований доступ до
комп'ютерів та мереж
Викрадення або витік інформації
Блокування доступу до інформації
(локери)
Лабораторія комп'ютерної криміналістики. т. 044 338-3231
info@cyberlab.com.ua, www.cyberlab.com.ua

4. Питання до експертизи
- Яка інформація міститься на жорсткому диску?
- Чи міститься на об'єктах інформація про
відвідування ресурсів в мережі інтернет?
- Чи міститься на об'єктах інформація стосовно
будь-яких вірусів? (…шкідливих програм,
програм-шпигунів…)
- Чи міститься на об'єктах інформація про
організацію «хакерських атак» на сервер?
Типові питання
WTF?????? НПВ!!!
Лабораторія комп'ютерної криміналістики. т. 044 338-3231
info@cyberlab.com.ua, www.cyberlab.com.ua

5. Питання до експертизи
- Чи містяться на об'єкті програмне
забезпечення, елементи програмного коду
або сліди використання програмного
забезпечення, призначені для ___
(віддаленого керування, викрадення
ідентифікаційних даних користувача…)
- Яке призначення програмного коду, яким
чином і коли відбулася його установка?
- У разі виявлення такого ПЗ, вказати спосіб
його адміністрування та передачі звітів
- Які зміни та процеси, що стосуються ______,
здійснювались на наданому на дослідження
об'єкті
Питання, що мають відповіді
Лабораторія комп'ютерної криміналістики. т. 044 338-3231
info@cyberlab.com.ua, www.cyberlab.com.ua

6. Задачі
- Виявлення програмного коду або його слідів
- Аналіз функцій виявлених програм
- Аналіз способів установки та управління
- Формування висновку
Лабораторія комп'ютерної криміналістики. т. 044 338-3231
info@cyberlab.com.ua, www.cyberlab.com.ua

7. Виявлення шкідливого коду
1. Перевірка антивірусними програмними пакетами
2. Пошук за типовими шляхами розташування (профіль,
система, автозавантаження, ProgramData…)
3. Пошук відомих файлів: хеші, ключові слова (ІОС)
4. Аналіз артефактів ОС: реєстр, журнали, тимчасові
файли, prefetch…
5. Пошук слідів діяльності: скриншоти, звіти
кейлогера…
6. Аналіз оперативної пам’яті
7. Аналіз мережевого трафіку
Основні етапи
Тільки антивірусних
пакетів недостатньо!!!
Лабораторія комп'ютерної криміналістики. т. 044 338-3231
info@cyberlab.com.ua, www.cyberlab.com.ua

8. Функції шкідливого коду
1. Динамічний / статичний аналіз
2. Аналіз оперативної пам’яті / файлу гібернації
3. Аналіз мережевого трафіку
4. Аналіз шифрованих та кодованих даних
5. Хронологія подій
Основні етапи
Експерт і реверс-інженер – це різні спеціальності!
Лабораторія комп'ютерної криміналістики. т. 044 338-3231
info@cyberlab.com.ua, www.cyberlab.com.ua

9. Спосіб установки та управління
1. Хронологія подій
2. Матеріали провадження
3. Аналіз оперативної пам’яті /
динамічний аналіз
4. Аналіз мережевого трафіку
Основні етапи
Лабораторія комп'ютерної криміналістики. т. 044 338-3231
info@cyberlab.com.ua, www.cyberlab.com.ua

10. Висновки
Чи «шкідливе» програмне забезпечення?
Лабораторія комп'ютерної криміналістики. т. 044 338-3231
info@cyberlab.com.ua, www.cyberlab.com.ua