Форензика простыми словами, это сбор цифровых доказательств. Что можно понять под словосочетанием «цифровые доказательства». Под цифровыми доказательствами подразумевается наличие следов преступления на любых носителях информации, жесткие диски, смартфоны, планшеты, флешки, любые предметы где может храниться информация в электронном виде. Из самых не обычных это могут быть утюги, холодильники и прочая умная бытовая техника))
Существует несколько видов криминалистических экспертиз:
Аппаратно-компьютерная экспертиза;
Программно-компьютерная экспертиза;
Компьютерно-сетевая экспертиза;
Информационно-компьютерная экспертиза.
Перед специалистом в основном ставятся вопросы:
о наличии на объектах информации, которая относится к делу (в том числе, в неявном, удалённом, скрытом или зашифрованном виде);
о возможности использования исследуемых объектов для определённых целей (например, для доступа в сеть);
о действиях, совершённых с использованием объектов;
о свойствах программ, в частности, о принадлежности их к вредоносным;
об идентификации найденных электронных документов, софта, пользователей компьютера.
Еще есть понятие как экспресс анализ, то есть на месте быстро все проверяется и делается заключение. Например, вы сидите дома, взламываете сайт какого нибудь департамента, и тут в дверь позвонили, ты пошел открывать не выключив ноутбук, зашли полицейские, или люди из иных гос. структур, посмотрели ваш компьютер, и все, доказательство на лицо. По средствам экспресс анализа быстро выявят ваше причастие к взлому и заберут в другое место, менее приятнее чем ваш дом.
1 Общие сведения о логе веб-сервера
1.1 Как работает web server log file?
Когда пользователь вводит URL-адрес в браузер, тот сначала разбивает его на три компонента. Например:
https://your_site_address.com/example.html
В данном случае браузер понимает, что https – это протокол, your_site_address.com – название сервера, а example.html – имя файла.
Название сервера преобразуется в IP-адрес через сервер доменных имен. Затем HTTP-запрос GET отправляется на веб-сервер через соответствующий протокол для запрашиваемой страницы или файла, при этом HTML возвращается в браузер, а затем интерпретируется для форматирования видимой страницы на экране. Каждый из этих запросов записывается в log file веб-сервера.
Проще говоря, процесс выглядит так: посетитель совершает переход по странице, браузер передает его запрос серверу, на котором расположен веб-сайт. Сервер выдает запрошенную пользователем страницу в ответ. И после этого фиксирует все происходящее в log-файле.
Все, что вам нужно, чтобы проанализировать сканирование сайта поисковой системой, – экспортировать данные и отфильтровать запросы, сделанные роботом, например, Googlebot. С помощью браузера и диапазона IP это сделать удобнее.
Сам лог-файл представляет собой сырую информацию, сплошной текст. Но правильная обработка и анализ дают неограниченный источник информации.
1.2 Содержание и структура лог-файла
Структура журнала в конечном счете зависит от типа используемого сервера и конфигураций. Например, анализ логов Apache будет отличаться от анализа логов Nginx. Но есть несколько общих атрибутов, которые почти всегда содержатся в файле:
• IP-адрес запроса;
• дата и время;
• география;
• метод GET / POST;
• запрос к URL;
• код состояния HTTP;
• браузер.
Пример записи, включая приведенные выше данные:
111.11.111.111 – - [12 / Oct / 2018: 01: 02: 03 -0100] « GET / resources / whitepapers / retail-whitepaper / HTTP / 1.1 « 200“ -« „Opera / 1.0 (совместимый; Googlebot / 2.1; + http://www.google.com/bot.html)
