Будь ласка, використовуйте цей ідентифікатор, щоб цитувати або посилатися на цей матеріал: https://er.chdtu.edu.ua/handle/ChSTU/7785
Назва: Віртуальний полігон для дослідження розслідування кіберінцедентів
Автори: Кунченко-Харченко , Валентина Іванівна
Свєтличний, Валерій Геннадійович
Ключові слова: комп’ютерна криміналістика;розслідування кіберінцидентів;віртуальний полігон;аналіз цифрових доказів;технології віртуалізації;інструменти цифрової криміналістики
Дата публікації: 2022
Короткий огляд (реферат): Проведення аналізу цифрових артефактів, дампів пам’яті, файлових систем та мережевого трафіку із застосуванням спеціалізованих інструментів цифрової криміналістики
URI (Уніфікований ідентифікатор ресурсу): https://er.chdtu.edu.ua/handle/ChSTU/7785
Розташовується у зібраннях:125 Кібербезпека та захист інформації (Безпека інформаційних і комунікаційних систем)

Файли цього матеріалу:
Файл Опис РозмірФормат 
М_125_Свєтличний_Кунченко-Харченко.pdf
  Restricted Access
5.63 MBAdobe PDFПереглянути/Відкрити    Запит копії


Усі матеріали в архіві електронних ресурсів захищено авторським правом, усі права збережено.

Extracted text
 
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ 
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ 
ФАКУЛЬТЕТ ЕЛЕКТРОННИХ ТЕХНОЛОГІЙ І РОБОТОТЕХНІКИ 
КАФЕДРА РОБОТОТЕХНІЧНИХ І ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ ТА 
КІБЕРБЕЗПЕКИ 
 
 
До захисту допущено  
завідувач кафедри РТСК 
д.т.н., професор  
_______________ В.В. Палагін  
"_____" _____________ 2022 року 
 
 
Пояснювальна записка 
до дипломного проекту (роботи) 
                 магістра              
 
(освітньо-кваліфікаційний рівень) 
на тему «Віртуальний полігон для дослідження розслідування 
кіберінцедентів» 
 
Виконав: студент  2  курсу, групи    БІ-011    
Спеціальності         125 – «Кібербезпека» , 
(шифр і назва спеціальності) 
 
освітньої програми  «Безпека інформаційних і 
комунікаційних систем»  
                         (назва освітньої програми) 
                            Свєтличний В.Г.   
(прізвище та ініціали) 
Керівник   Кунченко-Харченко В.І.  
(прізвище та ініціали) 
Рецензент    
(прізвище та ініціали) 
 
 
 
 
Черкаси – 2022 року 
Форма № Н-9.01 
 
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ 
Факультет електронних технологій, автотранспорту та машинобудування  
Кафедра  робототехнічних і телекомунікаційних систем та кібербезпеки  
Освітньо-кваліфікаційний рівень  магістр  
Спеціальність  125 – Кібербезпека  
Освітня програма  – Безпека інформаційних і комунікаційних систем  
 
 
 
 
 
ЗАТВЕРДЖУЮ 
Завідувач кафедри  В.В. Палагін 
“_____” ___________________ 2022 року 
 
 
 
ЗАВДАННЯ 
НА ВИПУСКНУ РОБОТУ СТУДЕНТУ 
 
                                  Свєтличного Валерія Геннадійовича _________________ 
(прізвище, ім’я, по батькові) 
1. Тема проекту (роботи) Віртуальний полігон для дослідження розслідування 
кіберінцедентів  
керівник проекту (роботи)  Кунченко-Харченко Валентина Іванівна  
(прізвище, ім’я, по батькові, науковий ступінь, вчене звання) 
затверджені наказом вищого навчального закладу від «___» __________2022 року № ____ 
 
2. Термін здачі студентом закінченої роботи  “ 10 ” грудня 2022 року _________ 
 
3. Вихідні дані до роботи: Наукові публікації, методичні матеріали та навчальні джерела 
з комп’ютерної криміналістики та розслідування кіберінцидентів; спеціалізовані 
операційні системи та програмні засоби цифрової криміналістики, зокрема Kali Linux, 
CAINE Linux та DEFT Linux; програмні засоби віртуалізації для створення дослідного 
середовища, зокрема VMware Workstation; інструменти аналізу цифрових доказів, пам’яті 
та файлових систем (Active@ Disk Editor, LiME, Windows-Prefetch-Parser та ін.); методи 
та підходи до проведення мережевої та комп’ютерної криміналістики в інформаційних 
системах. 
 
4. Зміст розрахунково-пояснювальної записки (перелік питань, що їх належить розробити) 
Аналіз існуючих програмних засобів та рішень для розслідування кіберінцидентів і 
проведення комп’ютерної криміналістики; дослідження можливостей використання 
технологій віртуалізації для створення віртуального полігону з метою моделювання 
кіберінцидентів; розгортання та налаштування віртуального полігону для проведення 
досліджень процесів розслідування кіберінцидентів; проведення аналізу цифрових 
артефактів, дампів пам’яті, файлових систем та мережевого трафіку із застосуванням 
спеціалізованих інструментів цифрової криміналістики. 
 
5.  Перелік графічного матеріалу (з точним зазначенням обов’язкових креслень, плакатів)  
1. Структурна схема віртуального полігону для дослідження розслідування 
кіберінцидентів; 2. Схема архітектури віртуального середовища та взаємодії 
віртуальних машин; 3. Схема процесу проведення комп’ютерно-криміналістичного 
аналізу цифрових даних та мережевого трафіку.  
 
.6. Консультанти з проекту (роботи) із зазначенням розділів проекту, що їх стосуються 
Підпис, дата 
Прізвище, ініціали та посада 
Розділ завдання завдання 
консультанта 
видав прийняв 
    
    
 
 
7. Дата видачі завдання    
  
 
КАЛЕНДАРНИЙ ПЛАН 
 
Термін  
№ Назва етапів дипломного проекту  
виконання етапів Примітка  
з/п (роботи)  
проекту (роботи) 
1. Аналіз технічного завдання та пошук 
18.09.22 – 09.10.22  
літератури 
2. Аналіз існуючих програмних засобів та рішень 
для розслідування кіберінцидентів і проведення 10.10.22 – 24.10.22  
комп’ютерної криміналістики 
3. Дослідження можливостей використання 
технологій віртуалізації для створення 
25.10.22 – 10.11.22  
віртуального полігону з метою моделювання 
кіберінцидентів 
4. Розгортання та налаштування віртуального 
полігону для проведення досліджень процесів 11.11.22 – 25.11.22  
розслідування кіберінцидентів 
5. Проведення аналізу цифрових артефактів, 
дампів пам’яті, файлових систем та 
мережевого трафіку із застосуванням 11.11.22 – 25.11.22  
спеціалізованих інструментів цифрової 
криміналістики 
8. Оформлення пояснювальної записки 27.11.22 – 01.12.22  
9. Оформлення презентації 02.12.22 – 09.12.22  
 
 
 
Студент        Свєтличний В.Г.  
 ( підпис ) (прізвище та ініціали) 
 
Керівник проекту (роботи) ________________________Кунченко-Харченко В.І.  
 ( підпис ) (прізвище та ініціали) 
 
ЗМІСТ 
 
ВСТУП ...................................................................................................................... 6 
1. АНАЛІЗ ВІДОМИХ РІШЕНЬ ............................................................................. 7 
1.1. Kali Linux ........................................................................................................ 7 
1.1.1. Основна інформація .............................................................................. 7 
1.1.2. Системні вимоги Kali Linux ................................................................. 8 
1.1.3. Інструменти ........................................................................................... 9 
1.2. CAINE Linux ................................................................................................... 9 
1.2.1. Основна інформація .............................................................................. 9 
1.2.2. Системні вимоги CAINE Linux..........................................................10 
1.2.3. Призначення ........................................................................................11 
1.2.4. Інструменти .........................................................................................12 
1.3. DEFT Linux ...................................................................................................13 
1.3.1. Основна інформація ............................................................................13 
1.3.2. Системні вимоги DEFT Linux ............................................................14 
1.4. Додаткове програмне забезпечення ...........................................................15 
1.4.1. VMware Workstation Player 17 ...........................................................15 
1.4.2. Active@ Disk Editor .............................................................................16 
1.4.3. LiME (Linux Memory Extractor) .........................................................17 
1.4.4. Windows-Prefetch-Parser .....................................................................18 
2. РОЗГОРТАННЯ ВІТУАЛЬНОГО ПОЛІГОНА ..............................................19 
2.1. Налаштування віртуальних машин VMware Workstation 17 ...................19 
2.2. Встановлення та налаштування CAINE Linux ..........................................21 
2.3. Встановлення та налаштування DEFT Linux ............................................28 
2.4. Встановлення та налаштування Kali Linux ...............................................35 
 
 
 
 
 
3. ІНСТРУМЕНТИ ТА МЕТОДИ ДОСЛІДЖЕННЯ КІБЕРІНЕЦЕДЕНТІВ ...45 
3.1 Аналіз файлової системи Linux ...................................................................45 
3.1.1. Аналіз структури даних Linux за допомогою iNodes ......................45 
3.1.2. Аналіз даних Linux за допомогою Active@ Disk Editor .................47 
3.2 Отримання та аналіз дампу пам'яті .............................................................49 
3.2.1. Отримання дампу пам’яті  .................................................................49 
3.2.2. Створення dcfldd образу .....................................................................50 
3.3 Криміналістика артефактів ОС Windows ...................................................54 
3.3.1. Аналіз файлів попередньої вибірки ..................................................54 
3.3.2. Монтування та вивчення тіньових копій ..........................................56 
3.4 Мережева криміналістика ............................................................................66 
3.4.1. Захоплення та аналіз трафіку за допомогою Tcpdump ...................66 
3.4.2. Аналіз трафіку за допомогою Wireshark ..........................................69 
ВИСНОВКИ ...........................................................................................................79 
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ ..............................................................80 
 
  
5 
 
 
ВСТУП 
  
В сучасному світі проблематика безпеки даних в інформаційних 
системах є однією з найнагальніших проблем, адже в сучасних інформаційних 
системах курсує багато конфіденціальної інформації та інформації з 
обмеженим доступом, яка може зацікавити потенційного зловмисника як 
елемент шантажу, корпоративного шпіонажу тощо. Тому основною 
проблематикою сучасності є проектування і впровадження максимально 
захищених систем для захисту інформації від витоків, несанкціонованого 
доступу, але філософія буття така, що не можливо створити щось абсолютне 
ідеальне, і навіть найнадійніша система на сьогоднішній день, може стати 
неактуальною вже наступного дня, адже зловмисники так само не сидять на 
місці і вишукують нові можливості для отримання несанкціонованого доступу 
і заволодіти тією інформацією що може їх зацікавити, і якби хто не намагався 
створити абсолютно захищену систему, завжди знайдеться той хто зможе 
знайти можливість обійти її. Тому якщо не можливо створити абсолютну 
систему захисту то одним з най ефективніших варіантів мінімізації збитків, це 
своєчасне виявлення загрози, її локалізація, вивчення і прийняття рішень по 
унеможливленню подальшого використання цієї вразливості. Тому 
розслідування і виявлення вразливостей, що були використані для обходу 
системи безпеки дають можливість в найкоротші терміни реалізувати засоби 
протидії цій вразливості, запобігши подальшому використанню вразливості, 
тим самим запобігти збиткам в інших користувачів даної системи безпеки. І 
тому створення тренувального полігону для виявлення та розслідування 
кіберінцедентів, є актуальною для навчання та підвищення кваліфікації 
експертів в сфері кібербезпеки. 
  
6 
 
 
1. АНАЛІЗ ВІДОМИХ РІШЕНЬ 
 
1.1. Kali Linux 
1.1.1. Основна інформація 
Kali Linux — це дистрибутив Linux, що базується на Debian, 
призначений для цифрової криміналістики та тестування на проникнення. 
Його підтримує та фінансує Offensive Security. 
Kali Linux має близько 600 інструментів тестування на проникнення, 
включаючи Armitage (графічний інструмент керування кібератаками), Nmap 
(сканер портів), Wireshark (аналізатор пакетів), metasploit (платформа 
тестування на проникнення), John the Ripper (зломщик паролів), sqlmap 
(автоматичне впровадження SQL і інструмент захоплення бази даних), 
Aircrack-ng (набір програм для тестування бездротових локальних мереж на 
проникнення), набір Burp і сканери безпеки веб-додатків OWASP ZAP, тощо. 
Даний дистрибутив був розроблений Маті Ахароні та Девоном Кернсом 
з Offensive Security шляхом перепису BackTrack, їхнього попереднього 
дистрибутива Linux для тестування інформаційної безпеки на основі Knoppix.  
Kali Linux базується на гілці Debian Testing. Більшість пакунків, які 
використовує Halo Linux, імпортовано зі сховищ Debian. 
 
7 
 
 
 
Рисунок 1.1 – Зовнішній вигляд Kali Linux 
 
1.1.2. Системні вимоги Kali Linux 
Мінімальні вимоги: 
• 25 ГБ місця на жорсткому диску для встановлення, залежно від 
версії, версія 2022.4 вимагає принаймні 25 ГБ. 
• 2 ГБ ОЗП для архітектур i386 і AMD64. 
• Завантажувальний дисковод CD-DVD або USB-накопичувач. 
• Процесор Intel Core i3 – 4000 Series, або AMD E1. 
• Монітор з роздільною здатністю 1024 х 768. 
 
Рекомендовані вимоги: 
• 50 ГБ вільного місця на жорсткому диску, бажано SSD 
• 8 ГБ ОЗП для архітектур i386 і AMD64. 
• Завантажувальний дисковод CD-DVD або USB-накопичувач. 
• Процесор Intel Core i5 - 6000 Series, або AMD Ryzen 3 - 1 Gen або 
краще. 
• Монітор з роздільною здатністю 1920 x 1080, або більше. 
8 
 
 
1.1.3. Інструменти 
Kali Linux включає інструменти безпеки, такі як: 
• Aircrack-ng • Lynis • WPScan 
• Autopsy • Maltego • Nessus 
• Armitage • Metasploit • Zenmap 
• Burp suite framework • Hydra 
• BeEF • Nmap • Reverse 
• Cisco Global • Nikto engineering toolkit 
Exploiter • OWASP ZAP • Foremost 
• Ettercap • Social engineering • Volatility 
• Hashcat tools • VulnHub 
• John the Ripper • Sqlmap 
• Kismet • Wireshark 
 
Ці інструменти можна використовувати для багатьох цілей, більшість із 
яких передбачає використання мережі чи програми-жертви, виявлення мережі 
або сканування цільової IP-адреси. Багато інструментів із попередньої версії 
(BackTrack) було видалено, щоб зосередитися на найпопулярніших і 
ефективних програмах для тестування на проникнення. 
 
1.2. CAINE Linux 
1.2.1. Основна інформація 
CAINE Linux (Computer Aided INvestigative Environment) — це 
італійський живий дистрибутив Linux, яким керує Джованні «Нанні» Бассетті. 
Проект розпочався у 2008 році як середовище для сприяння цифровій 
9 
 
 
криміналістиці та реагування на випадки (DFIR), із попередньо встановленими 
кількома відповідними інструментами. 
 
Рисунок 1.2 – Зовнішній вигляд CAINE Linux 
 
1.2.2. Системні вимоги CAINE Linux 
Мінімальні вимоги: 
• 25 ГБ місця на жорсткому диску для встановлення, залежно від 
версії, версія 2022.4 вимагає принаймні 25 ГБ. 
• 2 ГБ ОЗП для архітектур i386 і AMD64. 
• Завантажувальний дисковод CD-DVD або USB-накопичувач. 
• Процесор Intel Core i3 – 2000 Series, або AMD E1. 
• Монітор з роздільною здатністю 1024 х 768. 
 
 
 
 
10 
 
Рекомендовані вимоги:  
• 50 ГБ вільного місця на жорсткому диску, бажано SSD. 
• 4 ГБ ОЗП для архітектур i386 і AMD64. 
• Завантажувальний дисковод CD-DVD або USB-накопичувач. 
• Процесор Intel Core i5 - 4000 Series, або AMD Ryzen 3 - 1 Gen або 
краще. 
• Монітор з роздільною здатністю 1920 x 1080, або більше. 
 
1.2.3. Призначення 
CAINE — це професійна криміналістична платформа з відкритим 
вихідним кодом, яка об’єднує програмні засоби як модулі разом із потужними 
сценаріями в середовищі графічного інтерфейсу. Його робоче середовище 
було розроблено з наміром надати експертам-криміналістам усі інструменти, 
необхідні для виконання процесу цифрового криміналістичного розслідування 
(збереження, збір, дослідження та аналіз). CAINE — це живий дистрибутив 
Linux, тому його можна завантажувати зі знімного носія (флешки) або 
оптичного диска та запускати в пам’яті. Його також можна встановити на 
фізичну або віртуальну систему. У режимі реального часу CAINE може 
працювати з об’єктами зберігання даних без необхідності завантажувати 
підтримувальну операційну систему. Остання версія 11.0 може 
завантажуватися з UEFI/UEFI+Secure і Legacy BIOS, що дозволяє 
використовувати CAINE в інформаційних системах, які завантажують старі 
операційні системи (наприклад, Windows NT) і новіші платформи (Linux, 
Windows 10). 
 
 
 
11 
 
1.2.4. Інструменти 
CAINE надає програмні інструменти, для роботи з базами даних, 
пам’яттю, криміналістичний і мережевий аналізом. Аналіз образу файлової 
системи NTFS, FAT/ExFAT, Ext2, Ext3, HFS і ISO 9660 можливий через 
командний рядок і через графічний робочий стіл. Вбудована перевірка Linux, 
Microsoft Windows і деяких платформ Unix. CAINE може імпортувати образи 
дисків у необробленому (dd) і експертному/розширеному форматі файлів. Їх 
можна отримати за допомогою інструментів, які включені в CAINE, або з 
іншої платформи, такої як EnCase або Forensic Tool Kit. 
 
Деякі інструменти, включені в дистрибутив CAINE Linux, включають: 
• Sleuth Kit – інструменти командного рядка з відкритим кодом, які 
підтримують криміналістичну перевірку томів диска та аналіз 
файлової системи. 
• Autopsy – цифрова криміналістична платформа з відкритим кодом, 
яка підтримує криміналістичний аналіз файлів, хеш-фільтрацію, 
пошук за ключовими словами, електронну пошту та веб-
артефакти. Autopsy — це графічний інтерфейс до The Sleuth Kit. 
• RegRipper – інструмент із відкритим кодом, написаний на Perl, 
витягує/розбирає інформацію (ключі, значення, дані) з бази даних 
реєстру для аналізу даних. 
• Tinfoleak – інструмент із відкритим кодом для збору детального 
аналізу розвідувальних даних Twitter. 
• Wireshark – підтримує інтерактивний збір мережевого трафіку та 
аналіз захоплених пакетів даних (*.pcap) не в реальному часі. 
 
12 
 
• PhotoRec – підтримує відновлення втрачених файлів із жорсткого 
диска, цифрової камери та оптичних носіїв. 
• Fsstat – відображає статистичну інформацію файлової системи про 
зображення або об’єкт зберігання. 
 
1.3. DEFT Linux 
1.3.1. Основна інформація 
DEFT Linux – інструмент для професійних криміналістичних 
досліджень, що давно зарекомендував собі і досить відомий у вузькому колі, 
для розслідування комп'ютерних інцидентів. Начинка дистрибутива 
призначена для проведення аналізу наслідків взломів, визначення закритих 
або втрачених даних в системі, а також для збирання доказів у розслідуваннях 
комп'ютерних порушень.  
Актуальний реліз Linux-дистрибутиву DEFT 8, призначений для 
проведення аналізу останніх взломів, визначення прихованих або втрачених 
даних у системі, а також для збирання доказів у розслідуванні комп'ютерних 
порушень. Дистрибутив побудований на базі Lubuntu та забезпечений зручним 
графічним інтерфейсом, що використовує компоненти десктоп-оточення 
LXDE та оптимізований для спрощення виконання типових операцій, що 
виконуються під час проведення розслідування. 
До складу дистрибутива входить досить повна підбірка профільних 
утиліт, від антивірусів, систем пошуку інформації в кеші браузра, мережевих 
сканерів та утиліт для виявлення руткитів, до аналізаторів вмісту диска та 
програм для виявлення закритих даних. Наприклад, комплект входять такі 
інструменти, як Guymager, Sleuthkit, Autopsy, dcfldd, ddrescue і linen. 
 
13 
 
Основне призначення – аналіз наслідків злому комп'ютерних систем, 
визначення втрачених та скомпрометованих даних, а також для збору т.зв. 
цифрових доказів досконалості кіберзлочинів. 
 
Рисунок 1.3 - Зовнішній вигляд DEFT Linux 
 
1.3.2. Системні вимоги DEFT Linux 
Мінімальні вимоги: 
• 25 ГБ місця на жорсткому диску для встановлення, залежно від 
версії, версія 2022.4 вимагає принаймні 25 ГБ. 
• 2 ГБ ОЗП для архітектур i386 і AMD64. 
• Завантажувальний дисковод CD-DVD або USB-накопичувач. 
• Процесор Intel Core i3 – 2000 Series, або AMD E1. 
• Монітор з роздільною здатністю 1024 х 768. 
 
14 
 
Рекомендовані вимоги: 
• 50 ГБ вільного місця на жорсткому диску, бажано SSD 
• 4 ГБ ОЗП для архітектур i386 і AMD64. 
• Завантажувальний дисковод CD-DVD або USB-накопичувач. 
• Процесор Intel Core i5 - 4000 Series, або AMD Ryzen 3 - 1 Gen, 
• Монітор з роздільною здатністю 1920 x 1080, або більше. 
 
1.4. Додаткове програмне забезпечення 
1.4.1. VMware Workstation Player 17 
VMware Workstation Player — це пакет програмного забезпечення 
віртуалізації для комп’ютерів x64 під керуванням Microsoft Windows або 
Linux, який безкоштовно надається VMware, Inc., компанією, яка раніше була 
підрозділом і основним акціонером якої залишається, Dell EMC. VMware 
Player може запускати існуючі віртуальні пристрої та створювати власні 
віртуальні машини (для роботи яких потрібна інсталяція операційної системи). 
 
Рисунок 1.4 – Зовнішній вигляд VMware Workstation Player 17 
 
15 
 
  
1.4.2. Active@ Disk Editor 
Редактор Active@ Disk Editor - це простий низькорівневий засіб 
перегляду дисків, який відображає інформацію в двійковому та текстовому 
режимах одночасно. Ви можете використовувати це подання для аналізу 
вмісту елементів структури зберігання даних, таких як: 
• Жорсткі диски 
• SSD та USB диски 
• Розділи та томи 
• Файли 
• Інші об'єкти 
 
 
Рисунок 1.5 – Зовнішній вигляд Active@ Disk Editor 
 
16 
 
Особливості
1. Покращений вигляд шаблону 7. Заповнення виділення візерунком 
2. Детальна інформація про 8. Підтримка Unicode 
запис MFT 9. Швидка інформація про диск 
3. Паралельне порівняння та 10. Закладки 
редагування 11. Інспектор даних 
4. Забарвлення полів з даними у 12. Пошук 
підказках 13. Робота з зображеннями 
5. Розширена підтримка exFAT 14. Гіперпосилання в шаблонах 
6. Точки швидкої навігації 
 
1.4.3. LiME (Linux Memory Extractor) 
LiME - Завантажуваний модуль ядра (LKM), який дозволяє отримувати 
енергонезалежну пам’ять від пристроїв на базі Linux, таких як Android. Це 
робить LiME унікальним, оскільки це перший інструмент, який дозволяє 
повністю захоплювати пам’ять на пристроях Android. Він також мінімізує 
свою взаємодію між користувачами та процесами ядра під час отримання 
даних, що дозволяє створювати захоплення пам’яті, які є більш 
обґрунтованими, ніж ті, які використовують інші інструменти, призначені для 
отримання даних пам’яті Linux. 
 
Особливості 
• Повне отримання пам'яті Android 
• Перехоплення через мережевий інтерфейс 
• Мінімальний слід процесу роботи в системі 
• Створення хешу скинутої пам'яті 
 
 
17 
 
1.4.4. Windows-Prefetch-Parser 
Windows-Prefetch-Parser – це сценарій Python, створений для аналізу 
файлів попередньої вибірки Windows. Підтримуються файли попередньої 
вибірки починаючі від Windows XP і закінчуючи Windows 10. 
 
Опис 
Механізм попередньої вибірки додатків Windows було запроваджено, 
щоб підвищити продуктивність під час запуску додатків. Так сталося, що це 
також один із найкорисніших криміналістичних артефактів щодо доказів 
виконання аплікації. Утиліта prefetch.py забезпечує функціональність для 
аналізу файлів попередньої вибірки для всіх поточних версій файлів 
попередньої вибірки: 17, 23, 26 і 30. 
 
Особливості 
• Можливість роботи як з один файлом попередньої вибірки так і з 
каталогом файлів попередньої вибірки 
• Підтримка виводу CSV 
• (Обмежено) Підтримка файли попередньої вибірки Windows 10 
потрібно аналізувати з робочої станції Windows 8+. 
  
 
18 
 
2. РОЗГОРТАННЯ ВІТУАЛЬНОГО ПОЛІГОНА 
 
2.1. Налаштування віртуальних машин VMware Workstation 17 
Для створення віртуального полігону для дослідження розслідування 
кіберінцедентів було використано програмний додаток VMware Workstation 
Player 17, за рахунок її функціональної складової вона є ідеальним варіантом 
для реалізації подібних задач. Для розгортання полігону для дослідження 
розслідування кіберінцедентів необхідно створити та налаштувати три 
віртуальні машини на які буде в подальшому встановлено операційні системи, 
а саме Kali Linux, DEFT Linux, CAINE Linux (Рисунок 2.1). Для коректної 
роботи всіх трьох систем було створено віртуальні машини з відповідними 
характеристиками, а саме: 
• Оперативна пам’ять – 4 ГБ; 
• Кількість виділених потоків процесора – 3 потоки; 
• Простір на SSD накопичувачі – 30 ГБ; 
• Мережевий адаптер – налаштований в режимі NAT; 
• Монітор – автоматичне налаштування від VMware. 
 
Віртуальних машин з даними характеристиками має вистачити для коректної 
роботи усіх функцій даних операційних систем (Рисунок 2.2 – 2.3). 
 Для запуску та роботи даних віртуальних машин було використано 
робочу станцію з такими системними характеристиками: 
• Процесор – AMD Ryzen 5 3600 6/12 3.6GHz/4.2GHz; 
• ОЗП – 32GB Kingston Fury Beast 3200MHz; 
• Накопичувач – AMD Radeon R5 240GB NVMe; 
• Мережевий адаптер – Intel I211AT 10/100/1000; 
 
19 
 
• Графічна карта – Gigabyte GTX 1650 OC 4GB; 
• Монітор – MSI Optix G241VC – 1920 x 1080; 
• Операційна система – Windows 11 Pro; 
 
 
Рисунок 2.1 – Мережева топологія полігону 
 
 
Рисунок 2.2 – Характеристики віртуальних машин 
 
20 
 
 
Рисунок 2.3 – Меню запуску віртуальних машин 
 
2.2. Встановлення та налаштування CAINE Linux 
Для встановлення CAINE Linux необхідно завантажиться в режимі Live 
Boot, та дочекатись завантаження операційної системи, після чого натискаємо 
на піктограму «Systemback (installer)» (Рисунок 2.4), щоб перейти до режиму 
встановлення операційної системи. 
 
 
21 
 
 
Рисунок 2.4 – Піктограма програми встановлення CAINE Linux  
 
Після відкриття вікна обираємо назву диска з меню на який хочемо 
встановити операційну систему, після чого натискаємо на кнопку «System 
install» для переходу на наступний етап встановлення операційної системи 
(Рисунок 2.5). 
 
Рисунок 2.5 – Вікно підготовки запуску процесу встановлення CAINE Linux 
 
22 
 
На наступному етапі заповнюємо поля створення користувача 
відповідними даними в нашому випадку це користувач «Caine» з паролем 
«password», окрім цього створимо пароль для базового коріневого користувача 
«Root», з паролем «root» (Рисунок 2.6), після чого натискаємо на кнопку 
«Next» для переходу на наступний етап установки. 
 
Рисунок 2.6 – Створення нового користувача 
 
На наступному етапі необхідно провести розмітку наявного дискового 
простору, для цього створимо з наявного пустого розділу новий, в розділі 
«Filesystem» обираємо в меню «ext4» це файлова система була розроблена 
спеціально для ядра Linux, і є найбільш функціональною, та має найбільшу 
швидкодію при використанні Linux подібних систем, а також ставимо галочку 
в пункту «Format». Після цього в розділі «Mount point» обираємо параметр «/», 
після чого натискаємо на стрілку для прийняття внесених змін в розмітку 
 
23 
 
дисків (Рисунок 2.7), після чого натискаємо на клавішу «Next», для переходу 
на наступний етап установки. 
 
Рисунок 2.7 – Розмітка дисків для встановлення ОС 
 
В вікні, що з’явилося натискаємо на клавішу старт (Рисунок 2.8), після 
чого почнеться процедура встановлення операційної системи CAINE Linux, 
після завершення встановлення з’явиться вікно з зеленою піктограмою та 
повідомленням про успішне встановлення операційної системи CAINE 
(Рисунок 2.9), після чого тиснемо кнопку «ОК», та перезавантажуємо 
віртуальну машину для завершення встановлення операційної системи. 
 
24 
 
 
Рисунок 2.8 – Запуск встановлення CAINE Linux 
 
 
Рисунок 2.9 – Завершення встановлення CAINE Linux 
 
25 
 
Після перезавантаження віртуальної машини ми потрапляємо в графічну 
оболонку операційної системи CAINE (Рисунок 2.10). 
 
Рисунок 2.10 – Графічна оболонка CAINE Linux 
 
Після чого використовуючи меню програмних додатків переходимо за  
шляхом «System – Preferences – Internet and Network – Network Connection», 
створюємо нове підключення, після чого в новому вікні переходимо в розділ 
«IPv4 Settings», обираємо режим «Manual» та прописуємо данні що 
відповідають нашій мережі для тестування (Address – 10.0.1.2, Netmask – 24, 
Gateway – 10.0.1.0), після чого натискаємо кнопку «Save» (Рисунок 2.11). 
 
26 
 
 
Рисунок 2.11 – Налаштування мережевого адаптера CAINE Linux 
 
Після цього на панелі задач натискаємо на піктограму інтернет 
з’єднання і натискаємо на мережі що була нами створена (Рисунок 2.12). 
 
Рисунок 2.12 – Підключення до новоствореної мережі 
 
27 
 
2.3. Встановлення та налаштування DEFT Linux  
Для встановлення операційної системи DEFT Linux, необхідно 
завантажити віртуальну машину після чого та з меню що з’явилося пуск 
обрати пункт «Install DEFT Linux 8» (Рисунок 2.13), після чого ми переходимо 
до процедури встановлення операційної системи. 
 
Рисунок 2.13 – Програма установки DEFT Linux 
 
На першому етапі встановлення з меню обираємо мову з якою буде 
працювати майбутня операційна система (Рисунок 2.14), після чого 
натискаємо на кнопку «Continue», після чого переходимо на наступний етап 
встановлення. 
 
 
28 
 
 
Рисунок 2.14 – Вікно обрання мови інтерфейсу DEFT Linux 
 
На цьому етапі нам пропонується обрати чи встановлювати останні 
оновлення системних додатків, та чи необхідно встановлювати програмне 
забезпечення сторонніх виробників такі як проприєтарні драйвери для 
апаратного забезпечення (Рисунок 2.15), в нашому випадку обираємо обидва 
пункти і натискаємо кнопку «Continue» для переходу до наступного етапу 
інсталяції. 
 
29 
 
 
Рисунок 2.15 – Обрання додаткового програмного забезпечення для DEFT 
Linux 
 
На даному етапі необхідно зробити розмітку дисків, так як ми 
використовуємо віртуальну і в нас віртуальний диск тому можна використати 
режим автоматичної розмітки дисків (Рисунок 2.16), після чого натискаємо 
кнопку «Install Now», для запуску інсталяції операційної системи. 
 
 
30 
 
 
Рисунок 2.16 – Розмітка диску для встановлення DEFT Linux 
 
Під час процесу встановлення необхідно налаштуавти часовий пояс, у 
списку обираємо Регіон - «Europe», Часова зона – «Ukraine Time (Kiev)», після 
чого натискаємо кнопку «Continue» для переходу на наступний етап (Рисунок 
2.17).  
 
 
31 
 
 
Рисунок 2.17 – Обрання часової зони для DEFT Linux 
 
Далі необхідно створити обліковий запис користувача, в нашому 
випадку це користувач «DEFT» з паролем «password», після заповнення полів 
натискаємо кнопку «Continue» (Рисунок 2.18). 
 
Рисунок 2.18 – Створення стандартного користувача DEFT Linux 
 
32 
 
Після додавання нового користувача, процес налаштування інсталяції 
завершується і залишається лише дочекатися коли процес встановлення 
завершиться і система перезавантажиться у робочу середу (Рисунок 2.19).  
 
Рисунок 2.19 – Процес встановлення DEFT Linux 
 
Після завершення встановлення всіх елементів операційної системи, 
програма інсталяції проводить перезавантаження віртуальної машини та 
завантажує користувача в графічну оболонку операційної системи DEFT Linux 
(Рисунок 2.20). 
 
 
33 
 
 
Рисунок 2.20 – Графічна оболонка DEFT Linux 
 
 
Переходимо в меню програмних додатків та переходимо за  шляхом 
«System – Preferences – Internet and Network – Network Connection», створюємо 
нове підключення, після чого в новому вікні переходимо в розділ «IPv4 
Settings», обираємо режим «Manual» та прописуємо данні що відповідають 
нашій мережі для тестування (Address – 10.0.1.1, Netmask – 24, Gateway – 
10.0.1.0), після чого натискаємо кнопку «Save» (Рисунок 2.21). Після цього на 
панелі задач натискаємо на піктограму інтернет з’єднання і натискаємо на 
мережі що була нами створена. 
 
 
 
34 
 
 
Рисунок 2.21 – Налаштування мережі в DEFT Linux 
 
 
2.4. Встановлення та налаштування Kali Linux 
Для встановлення операційної системи Kali Linux, необхідно 
завантажити віртуальну машину після чого та з меню що з’явилося пуск 
обрати пункт «Graphical install» (Рисунок 2.22), після чого ми переходимо до 
процедури встановлення операційної системи. 
 
 
35 
 
 
Рисунок 2.22 – Програма встановлення Kali Linux 
 
На першому етапі встановлення операційної системи обираємо мову 
інтерфейсу яка буде використовуватись при роботі з нею (Рисунок 2.23), після 
чого натискаємо кнопку «Continue», для переходу далі. 
 
Рисунок 2.23 – Обрання мови інтерфейсу Kali Linux 
 
36 
 
Далі переходимо до етапу створення нового користувача, а нашому 
випадку це бцде користувач «kali», з паролем «password» (Рисунок 2.24 – 2.26), 
на кожному з етапів натискаємо кнопку «Continue», для підтвердження дій. 
 
Рисунок 2.24 – Сторінка введення ідентифікатор нового стандартного 
користувача Kali Linux 
 
 
Рисунок 2.25 - Сторінка введення ім’я нового стандартного користувача Kali 
Linux 
 
37 
 
 
Рисунок 2.26 – Розділ додавання паролю новому користувачу 
 
На наступному етапі обераємо часову зону в нашому випадку це буде 
«Eastern», після чого натискаємо кнопку «Continue» (Рисунок 2.27). 
 
Рисунок 2.27 – Обрання часової зони 
 
38 
 
На наступному етапі розмічаємо диски, так як ми  використовуємо 
віртуальний диск тому можемо використати автоматичну розмітку дискового 
простору, обираємо пункт меню «Guided – use entire disk» (Рисунок 2.28), після 
чого натискаємо кнопку «Continue». 
 
Рисунок 2.28 – Розмітка дисків для встановлення Kali Linux 
 
Далі обираємо стандартну систему розбиття дисків що пропонується з 
використанням присету від VMware (Рисунок 2.29) та натискаємо кнопку 
«Continue» 
 
 
39 
 
 
Рисунок 2.29 -  Обрання присету розмітки дисків 
 
В наступному вікні обираємо режим «All file in one partition», що по 
замовчуванню записує усі файли системи та користувачів в стандартний 
розділ (Рисунок 2.30), після чого натискаємо кнопку «Continue»/ 
 
Рисунок 2.30 - Обрання типу розмітки дисків 
 
40 
 
Після налашутвання всіх параметрів розсітки дисків в новому вікні 
натискаємо на розділ «Finish partition and write changes to disk», який примітить 
всі наші налаштування до обраного диску (Рисунок 2.31), після чого 
натискаємо кнопку «Continue». 
 
Рисунок 2.31 – Завершення розмітки дисків 
 
Після того чк диски були розмічені програма встановлення приступить 
до процесу встановлення операційної системи на нашу віртуальну машину 
(Рисунок 2.32). 
 
 
 
41 
 
 
Рисунок 2.32 – Початок встановлення Kali Linux 
 
В процесі встановлення програма установки пропонує обрати який вид 
оболонки користувацького інтерфейсу буде використовувати (Рисунок 2.33), 
з функціональної точки зору вони не мають суттєвих відмінностей, тому 
вибір конкретної графічної оболонки не грає критичної ролі. 
 
 
42 
 
 
Рисунок 2.33 – Обрання графічної оболонки для kali Linux 
 
Після завершення процесу встановлення програма перезавантажить 
віртуальну машину, та завантажиться в інтерфейс операційної системи Kali 
Linux (Рисунок 2.34). 
 
Рисунок 2.34 –  Графічна оболонка KDE для Kali Linux 
 
43 
 
Для завершення налаштування необхідно використовуючи меню 
програмних додатків переходимо за  шляхом «Preferences – Network 
Connection», створюємо нове підключення, після чого в новому вікні 
переходимо в розділ «IPv4 Settings», обираємо режим «Manual» та прописуємо 
данні що відповідають нашій мережі для тестування (Address – 10.0.1.3, 
Netmask – 24, Gateway – 10.0.1.0), після чого натискаємо кнопку «Save» 
(Рисунок 2.35). Після цього на панелі задач натискаємо на піктограму інтернет 
з’єднання і натискаємо на мережі що була нами створена. 
 
Рисунок 2.35 – Налаштування мережі в Kali Linux 
 
  
 
44 
 
3. ІНСТРУМЕНТИ ТА МЕТОДИ ДОСЛІДЖЕННЯ 
КІБЕРІНЕЦЕДЕНТІВ 
  
Для підтвердження працездатності полігону для дослідження 
розслідування кіберінцедентів використаємо декілька прикладів, які 
демонструють певні аспекти розслідування кіберінцедентів, а саме: 
• Аналіз файлової системи Linux 
• Отримання та аналіз дампу пам’яті 
• Криміналістика артефактів ОС Windows 
• Мережева криміналістика 
 
3.1 Аналіз файлової системи Linux 
3.1.1. Аналіз структури даних Linux за допомогою iNodes 
Використовуючи термінал, проведемо аналіз файлової системи за 
допомогою inode, вводимо команду ls -ia та натискаємо Enter (Рисунок 3.1). 
Inode містить метадані про вказані файли. 
 
Рисунок 3.1 – Метадані файлів в директорії 
 
45 
 
За допомогою терміналу проаналізуйте метадані для прихованого файлу 
.bashrc, використавши команду stat .bashrc (Рисунок 3.2). 
 
Рисунок 3.2 – Метадані файлу .bashrc 
 
Далі використаємо утиліту Tune2fs. Tune2fs — це утиліта, яка дозволяє 
системному адміністратору змінювати різні настроюванні параметри у 
визначеній файловій системі. Вводимо команду sudo tune2fs -l /dev/sda1 
| more, щоб переглянути загальну файлову систему системи Linux (Рисунок 
3.3). Використовуємо клавішу «Space», або стрілку вниз, щоб переходити на 
новий рядок для подальшого аналізувати інформацію. Промотуємо сторінку 
до самого низу щоб повернутися в режим терміналу. 
 
Рисунок 3.3 – Файлова система Linux 
 
 
46 
 
Вводимо команду df -i , щоб отримати вибірку загальної інформацію 
про файлову систему (Рисунок 3.4).  
 
Рисунок 3.4 – Загальна інформація про файлову систему 
 
Отже утиліта INODE досить зручний спосіб для збору та аналізу базової 
інформації про файлову систему на Linux подібних операційних системах. 
 
3.1.2. Аналіз даних Linux за допомогою Active@ Disk Editor 
Для більшої зручного при роботі з аналізом файлової системи 
використаємо програму Active@ Disk Editor. Для запуску програми Active@ 
Disk Editor переходимо по шляху  /home/caine/Downloads для цього в терміналі 
вводимо команду cd Downloads/, після чого вводимо команду ./DiskEditor для 
запуску програми, після чого відкриється вікно програми Active@ Disk Editor. 
В розділі «Gatting Started» натискаємо піктограму «Open Disk» (Рисунок 3.5). 
 
Рисунок 3.5 – Головне вікно програми Active@ Disk Editor 
 
47 
 
У вікні, що відкрилося відображається інформація стосовно всіх наявних 
в системі дисків, на даному етапі ця інформація нам не потрібна тому 
натискаємо на кнопку «Cancel» (Рисунок 3.6). 
 
Рисунок 3.6 – Список дисків в Active@ Disk Editor 
 
В новому вікні клацаємо на запис кількості Inodes на панелі ліворуч під 
стовпцем «Name». Ми бачимо, що у порівнянні з кількістю inode, яку 
повідомляла нам утиліта tune2fs, кількість inode в програмі Active@ Disk Editor 
є аналогічною. Головними перевагами використання Active@ Disk Editor по 
зрівнянню з консольними аналогами полягають в тому, що тепер можна легко 
переглядати файлову систему та візуально бачити, звідки беруться різні 
розміри та кількість (Рисунок 3.7). 
 
Рисунок 3.7 – Вікно статистики файлової системи в Active@ Disk Editor 
 
48 
 
3.2 Отримання та аналіз дампу пам'яті 
3.2.1. Отримання дампу пам’яті  
Для того щоб отримати дамп пам’яті Linux, застосуємо утиліту LiME, 
для цього за допомогою терміналу переходимо до директорії /home/caine/ 
Downloads/LiME-master/src, ввівши команду: cd /home/caine/Downloads/ 
LiME-master/src. 
Вводимо команду sudo insmod ./lime-3.13.0-86-generic.ko 
“path=/home/caine/Ubuntu format=lime” , щоб інсталювати LiME в ядро 
операційної системи, щоб вона була готова до захоплення дампу пам’яті 
(Рисунок 3.8). 
 
Рисунок 3.8 – Створення дампу пам’яті 
 
Переходимо до директорії користувача по замовчуванню для цього 
виконуємо команду cd , після чого виводимо в термінал інформацію про всі 
наявні файли та директорії за допомогою команди ls , після чого бачимо що в 
директорії з’явився файл дампу з назвою «Ubuntu» (Рисунок 3.9). 
 
Рисунок 3.9 – Файл дампу в директорії користувача 
 
Тепер необхідно видалити LiMe модуль з ядра системи, для цього 
виконаєм команду sudo rmmod lime (Рисунок 3.10). 
 
Рисунок 3.10 – Видалення LiMe з ядра ОС 
 
49 
 
3.2.2. Створення dcfldd образу  
Для створення dcfldd образу використаємо програму Volatility, для її 
запуску перейдемо до меню «Start» – «Forensic Tools» – «Memory Forensics» – 
«Volatility» (Рисунку 3.11). 
 
Рисунок 3.10 – Запуск Volatility 
 
Після запуску програми Volatility з’являється нове вікно терміналу. 
Коротко переглядаємо параметри команди Volatility і кілька разів натискаємо 
клавішу пробілу, доки не з’явиться підказка. Підказка має показати поточний 
каталог: /usr/share/caine/pacchetti/volatility$. Після чого ініціюємо 
просту перевірку версії Linux із дампа пам’яті за допомогою команди: 
./vol.py -f /home/caine/Ubuntu --profile=LinuxUbuntu14044x64 
linux_banner (Рисунок 3.11). 
 
50 
 
 
Рисунок 3.11 – Проста перевірка дампа пам’яті 
 
Опираючись на данні з дампу пам’яті ми дізнаємося що пам’ять, яка 
аналізується, належить загальному ядру Ubuntu 3.13-0.86. Для перегляду всіх 
модулів Linux проаналізувати образ за допомогою команди ./vol.py --info 
| grep -i linux_ (Рисунок 3.12). Ми бачимо кілька модулів, які можна 
застосувати до образу для аналізу. 
 
Рисунок 3.12 – Список модулів Linux 
 
Переглянемо історію bash із отриманого образу дампа пам’яті, для цього 
використаємо команду ./vol.py -f /home/caine/Ubuntu --profile=Linux 
Ubuntu14044x64 linux_bash (Рисунок 3.13). В данному випадку ми бачимо 
пусті поля, адже під час захоплення дампу пам’яті в bash не була використана 
жодна команда 
 
51 
 
 
Рисунок 3.13 – Історія bash з образу дампа пам’яті 
 
Переглянимо на основі аналізу образа дампа пам’яті, що було 
змонтовано в системі під час захоплення дампу, для цього використаємо 
команду: ./vol.py -f /home/caine/Ubuntu --profile=LinuxUbuntu 
14044x64 linux_mount (Рисунок 3.14). 
 
Рисунок 3.14 – Список змонтованого в дампі пам’яті 
 
Переглянемо мережеві підключення, що були активні під час захоплення 
дампа пам’яті для цього виконаєм команду: ./vol.py -f 
/home/caine/Ubuntu --profile=LinuxUbuntu14044x64 linux_netstat 
(Рисунок 3.15). 
 
52 
 
 
 Рисунок 3.15 – Список мережевих підключень в дампі пам’яті 
 
Переглянемо процеси, які запускалися системою під час захоплення 
пам’яті, для цього виконаємо команду ./vol.py -f /home/caine/Ubuntu -
-profile=LinuxUbuntu14044x64 linux_pstree (Рисунок 3.16). 
 
Рисунок 3.16 – Список запущених процесів в дампі пам’яті 
 
Отже утиліта LiMe дуже ефективний для захоплення дампу пам’яті 
операційної системи для подальшого розслідування подій що відбувалися в 
системі під час її роботи, і могли привести до збоїв в роботі ОС. 
 
 
53 
 
3.3 Криміналістика артефактів ОС Windows 
3.3.1. Аналіз файлів попередньої вибірки 
Для роботи нам знадобиться утиліта Windows Prefetch Parser, для її 
запуску за допомогою терміналу переходимо до директорії /home/caine/ 
Downloads/ ввівши команду: cd /home/caine/Downloads/ (Рисунок 3.17). Та 
відобразимо увесь список елементів в поточній директорії виконавши команду 
ls (Рисунок 3.19). 
 
Рисунок 3.18 – Коренева директорія завантаження 
 
 
Рисунок 3.19 – Вміст директорії Download 
 
Тепер переходимо в директорію Windows-Prefetch-Parsers-
master/windowsprefetch для цього виконуємо команду: cd Windows-
Prefetch-Parsers-master/windowsprefetch (Рисунок 3.20). 
 
Рисунок 3.20 – Директорія запуску Windows Prefetch Parse 
 
 
54 
 
Тепер відобразимо список наявних елементів в поточній директорії 
виконавши команду ls (Рисунок 3.21). 
 
Рисунок 3.21 – Вміст директорії «windowsprefetch» 
 
Звернемо  увагу на файл prefetch.py. Файли попередньої вибірки 
створюються операційною системою Windows після запуску програми. Він 
відстежує, скільки разів запускається програма, і використовується для 
прискорення завантаження програми. Використаємо команду: /prefetch.py 
-f /home/caine/Desktop/Prefetch_Files/SOLITAIRE.EXE-906D7E29.pf, 
щоб перевірити зразок файлу попередньої вибірки (Рисунок 3.22). 
 
Рисунок 3.22 – Вміст фалу попередньої вибірки SOLITAIRE.EXE 
 
Вводимо команду: prefetch.py -f /home/caine/Desktop/Prefetch 
_Files/Win7/CMD.EXE-4A81B364.pf, щоб проаналізувати інший файл 
 
55 
 
попередньої вибірки, але цього разу файл CMD.exe з системи Windows 7 
(Рисунок 3.23). 
 
Рисунок 3.23 – Вміст фалу попередньої вибірки CMD.EXE 
 
3.3.2. Монтування та вивчення тіньових копій 
Операційні системи можна налаштувати для створення тіньових копій 
томів, які є знімками томів, які можна використовувати для відновлення 
попередніх версій файлів. 
Переходимо до меню «Start» – «Forensic Tools» – «FMount», щоб 
скористатися інструментом «FMount», щоб підключити образи та знайти, де 
вони зберігаються (Рисунок 3.24). 
 
56 
 
 
Рисунок 3.24 – Запуск FMount 
 
У новому вікні створеному програмою FMount клацаємо по значку HDD 
(Рисунок 3.25). Та двічі клацаємо на директорію «media» (Рисунок 3.25). 
 
57 
 
 
Рисунок 3.25 – Головне вікно FMount 
 
 
 
Рисунок 3.26 – Директорія «media» 
 
58 
 
Тепер двічі клацаємо на директорію «sdd1» (Рисунок 3.27). 
 
Рисунок 3.27 – Директорія «sdd1» 
 
Тепер обираємо усі чотири файли, які починаються на «cfreds_2015», 
після чого натисніть «ОК» (Рисунок 3.28). 
 
Рисунок 3.28 – Файли «cfreds_2015_...» 
 
59 
 
Після цих дій повинно з’явитися повідомлення «Operation succeeded! 
Your disk is mounted». Натискаємо «OK», щоб закрити діалогове вікно 
(Рисунок 3.29). 
 
Рисунок 3.29 – Повідомлення про успішне монтування 
 
Після цього переходимо на робочий стіл і юачимо на дві нові піктограми. 
Двічі клацаємо піктограму «21 GB Volume» (Рисунок 3.30). 
 
Рисунок 3.30 – Нові змонтовані тома 
 
«21 GB Volume», це один із підключених розділів образу «cfreds_2015». 
Знаходимо і двічі клацніть директорію під назвою «System Volume 
Information» (Рисунок 3.31). 
 
60 
 
 
Рисунок 3.31 – Директорія «System Volume Information» 
 
Файли, представлені в папці «System Volume Information», це тіньові 
копії, які можна експортувати на комп’ютер Windows і шукати докази 
(Рисунок 3.31). 
 
Рисунок 3.31 – Вміст директорії «System Volume Information» 
 
61 
 
За допомогою диспетчера файлів переходимо до каталогу: 
/media/cfreds_2015_data_leakage_pc_vol03/Users/informant/AppData
/Roaming/Microsoft/Windows/Recent (Рисунок 3.32). 
 
Рисунок 3.32 – Директорія Recent 
 
Переглянимо файли «lnk» у поточному каталозі, клацаємо правою 
кнопкою миші на «pricing decision.lnk» і обираємо «Scripts» – «View File 
Contents» (Рисунок 3.33). 
 
Рисунок 3.33 – Файл «pricing decision.lnk» 
 
62 
 
Передивляємся вміст файлу, особливо звертаємо увагу на розташування 
та іншу інформацію про файл (Рисунок 3.34). 
 
Рисунок 3.34 – Вміст файлу «pricing decision.lnk» 
 
Переходимо до вікна терміналу. За допомогою терміналу переходимо до 
/home/caine/Downloads/lifer-1.0.0, ввівши команду cd /home/caine/ 
Downloads/lifer-1.0.0. Використаємо інструмент «lifer», щоб витягти 
більше інформації про файл ярлика «pricing decision.lnk», для цього введемо 
команду: lifer -o csv /media/cfreds_2015_data_leakage_ 
pc_vol03/Users/informant/AppData/Roaming/Microsoft/Windows/Recen
t/pricing\ decision.lnk > /home/caine/pricing.csv (Рисунок 3.35). 
 
Рисунок 3.35 – Використання утиліти «lifer» 
 
Переходимо до програми «Диспетчер файлів». За допомогою 
«Диспетчера файлів» переходимо до каталогу /home/caine (Рисунок 3.36). 
 
63 
 
 
 
Рисунок 3.36 – Диспетчер файлів з відкритою директорією «caine» 
 
Знаходимо та двічі клацаємо на файл «pricing.csv» у поточному каталозі 
(Рисунок 3.37). 
 
Рисунок 3.37 – Файл «pricing.csv» 
 
64 
 
Звертаємо увагу на вікно текстового імпорту з LibreOffice. Залишаємо 
стандартні параметри та натисніть «OK», щоб продовжити (Рисунок 3.38). 
 
Рисунок 3.38 – Налаштування текстового імпорту 
 
Звернемо увагу на додаткову інформацію у файлі «pricing.csv», вона 
склажаються зі шляху, імені файлу, на який вказує «lnk», включаючи час 
останньої зміни, останнього доступу та останньої зміни (MAC) (Рисунок 3.39). 
 
Рисунок 3.39 – Файл «pricing.csv» 
 
65 
 
3.4 Мережева криміналістика 
3.4.1. Захоплення та аналіз трафіку за допомогою Tcpdump 
Переглянемо усі можливості для програми «tcpdump». Введемо 
команду: man tcpdump, а потім натисніть клавішу «Enter». (Рисунок 3.40). Щоб 
перейти до наступного рядка необхідно використати клавішу «Enter», або 
використовуйте «Space», щоб перейти до наступної сторінки. Для виходу, 
натискаємо символ «Q», щоб вийти. 
 
Рисунок 3.40 – Список всіх параметрів команди «man tcpdump» 
 
Tcpdump може виконувати захоплення мережі, а також фільтрувати 
певний трафік. Вводимо команду: sudo tcpdump -i eth0 -s0 -v, щоб 
запустити просте захоплення (Рисунок 3.41). 
 
Рисунок 3.41 – Запуск простого захоплення мережі 
 
66 
 
Тепер перейдемо в Kali Linux, щоб відкрити, входимо в систему 
використовуючи ім’я користувача «root» та пароль «toor». Запускаємо 
термінал та вводимо команду ping 10.0.1.2, щоб постійно перевіряти доступ 
до системи CAINE Linux (Рисунок 3.42). 
 
Рисунок 3.42 – Пінгування системи CAINE 
 
Повертаємся до CAINE Linux, у вікні терміналу, бачимо що «tcpdump» 
перехоплює трафік ICMP із системи Kali. Натискаємо комбінацію клавіш 
CTRL+C, щоб зупинити захоплення трафіку (Рисунок 3.43). 
 
Рисунок 3.43 – Інформація про перехоплення трафіку 
 
Вводимо команду sudo tcpdump -i eth0 –s0 –v > dump1.pcap, щоб 
копіювати захоплені пакети у файл з розширенням «.pcap». Якщо буде 
 
67 
 
запропоновано ввести пароль, вводимо пароль і натискаємо клавішу «Enter». 
Очікуємо приблизно 1-2 хвилини захоплення трафіку після чого натискаємо 
комбінацію клавіш CTRL+C, щоб зупинити захоплення пакетів «tcpdump» 
(Рисунок 3.45). 
 
 
Рисунок 3.44 – Запис перехоплених пакетів в файл 
 
Після збереження перехоплених пакетів відфільтруємо лише трафік 
типу ICMP із файлу «dump1.pcap» за допомогою команди: cat dump1.pcap | 
grep ICMP | less (Рисунок 3.45). 
 
Рисунок 3.45 – Відфільтрований трафік ICMP 
 
68 
 
Тепер розпочнемо нове захоплення за допомогою «tcpdump», вводимо 
команду: sudo tcpdump -i eth0 –s 65535 –w dump2.pcap (Рисунок 3.46). 
 
Рисунок 3.46 – Захоплення пакетів з використанням «tcpdump» 
 
Чекаємо приблизно 1-2 хвилини захоплення трафіку та натискаємо 
комбінацію клавіш «CTRL+C», щоб зупинити захоплення «tcpdump» (Рисунок 
3.47). 
 
Рисунок 3.47 – Завершення перехоплення трафіку 
 
3.4.2. Аналіз трафіку за допомогою Wireshark 
Використовуючи термінал запускаємо аналізатор мережі на основі 
графічного інтерфейсу під назвою Wireshark, для цього виконуємо команду: 
sudo wireshark (Рисунок 3.48). 
 
Рисунок 3.48 – Запуск Wireshark 
 
В вікні Wireshark, що з’явилось натискаємо «File» і обираємо «Open» 
(Рисунок 3.49). 
 
Рисунок 3.49 – Вікно відкриття файлу в Wireshark 
 
69 
 
У вікні « Open Capture File » переходимо до директорії /home/caine/ і 
обираємо «dump2.pcap», післ чого натискаємо «Open» (Рисунок 3.50). 
 
Рисунок 3.50 – Відкриття файлу з перехопленим трафіком 
 
Повернемося до Kali Linux, тепер нам необхідно створити додатковий 
трафік іншого типу. Спочатку зупиняємо термінал натискаємо «CTRL+C», 
щоб припинити появу пінгів. Використовуючи термінал, вводимо команду: 
service apache2 start щоб запустити веб-службу Apache у системі Kali 
(Рисунок 3.51). 
 
Рисунок 3.51 – Запуск служби «apache2» 
 
Тепер перевіримо статус служби Apache, ввівши команду service 
apache2 status (Рисунок 3.52). 
 
70 
 
 
Рисунок 3.52 – Перевірка статуту служби Apache 
 
Тепер запустимо службу FTP у системі Kali для цього введемо команду: 
service vsftpd start (Рисунок 3.53). 
 
Рисунок 3.53 – Запуск служби FTP 
 
Перевіримо статус служби FTP, ввівши команду service vsftpd 
status (Рисунок 3.54). 
 
Рисунок 3.54 – Перевірка статусу служби FTP 
 
Повернемося у середовища CAINE Linux. Закрийте програму Wireshark. 
Використовуючи термінал, вводимо команду: sudo tcpdump -i eth0 –s 
65535 –w dump3.pcap, щоб ініціювати нове захоплення «tcpdump» (Рисунок 
3.55). 
 
71 
 
 
Рисунок 3.56 – Запуск захоплення мережі 
 
У вікні терміналу відкриємо нову вкладку для цього натискаємо  «Fail» 
і виберіть «Open Tab» (Рисунок 3.57). 
 
Рисунок 3.57 – Запуск нового терміналу 
 
У новій вкладці вікна терміналу вводимо команду: ftp 10.0.1.3, щоб 
ініціювати ftp-з’єднання зі службою Kali FTP (Рисунок 3.58). 
 
Рисунок 3.58 – Запуск сесії FTP з Kali Linux 
 
 
Коли система запропонує ввести ім’я, вводимо «caine» і натискаємо 
клавішу «Enter» після чого коли буде запропоновано ввести пароль, вводимо 
пароль «password» і натисніть «Enter» (Рисунок 3.59).  
 
Рисунок 3.59 – Підтвердження даних користувача 
 
72 
 
Після появи підказки ftp> вводимо команду ls, щоб отримати список 
файлів і каталогів (Рисунок 3.60). 
 
Рисунок 3.60 – Перегляд вмісту директорій 
 
Переходимо до каталогу Documents/, ввівши команду cd Documents 
(Рисунок 3.61). 
 
Рисунок 3.61 – Зміна поточної директорії 
 
Знову перерахуйте файли та каталоги, використовуючи команду ls 
(Рисунок 3.62). 
 
Рисунок 3.62 – Перегляд вмісту директорії 
 
Ми бачимо файл «secret.txt», завантажуємо цей файл локально, ввівши 
команду get secret.txt (Рисунок 3.63). 
 
 
73 
 
 
Рисунок 3.63 – Завантаження файлу «secret.txt» 
 
Запускаємо веб-браузер Firefox, перейшовши до «Start» – «Internet» – 
«Firefox Web Browser» (Рисунок 3.64). 
 
Рисунок 3.64 – Запуск Firefox 
 
У Firefox вводимо 10.0.1.3 у поле адреси та натискаємо «Enter» (Рисунок 
3.65). 
 
74 
 
 
Рисунок 3.65 – Перехід за адресою 10.0.1.3 
 
В результаті попередніх дій на сторінці браузера з’явилася сторінка за 
замовчуванням Apache2 Debian. Тепер повернемося до терміналу в оболонці 
CAINE і переходимо на першу вкладку. Натисніть CTRL+C, щоб зупинити 
захоплення «tcpdump» (Рисунок 3.66). 
 
Рисунок 3.66 – Зупинка перехоплення пакетів 
 
Використовуючи термінал, вводимо команду: sudo wireshark, щоб 
запустити Wireshark. У програмі Wireshark натискаємо «File» і обираємо 
«Open». У вікні «Open Capture File» переходимо до каталогу /home/caine/ і 
обираємо «dump3.pcap» та натискаємо «Open» (Рисунок 3.67). 
 
 
75 
 
 
Рисунок 3.67 – Відкриття файлу «dump3.pcap» в Wireshark 
 
Відфільтруйте трафік, щоб виводився лише трафік FTP, для цього 
вводимо «ftp» у поле фільтра та натиснувши синю стрілку, щоб застосувати 
фільтр (Рисунок 3.68). 
 
Рисунок 3.68 – Відбірка тільки FTP рафіка 
 
 
76 
 
Тепер на середній панелі відображатися лише трафік із протоколом FTP. 
Тепер проаналізуємо потік даних, що відбувся, клацнувши правою кнопкою 
миші на першому фреймі FTP і вибравши «Follow» – «TCP Stream» (Рисунок 
3.69). 
 
Рисунок 3.69 – Запуск аналізу потоку даних 
 
Звернемо увагу, що в новому вікні вся інформація FTP відображається 
відкритим текстом. Можна побачити логін і пароль, а також який файл було 
завантажено та відповідну назву файлу (Рисунок 3.70). 
 
77 
 
 
Рисунок 3.70 – Загальна інформація FTP потоків 
 
 
 
 
  
 
78 
 
ВИСНОВКИ 
 
Отже потенціал використання реалізованого полігону є дуже широкою, 
він дозволяє проводити повноцінні розслідування кіберінцедентів для 
подальшого їх аналізу, систематизації та розробки методів захисту, 
попередження та протидії загрозам, що є дуже нагальним питанням в 
сучасному світі де кількість загроз для інформаційних систем збільшується з 
кожним днем, і кожна нова стає ще більш складною для розпізнавання, 
виявлення та усунення, при тому так само кількість конфіденційних даних, що 
курсують в системах різних підприємств та компаній має тенденцію виключно 
на зростання, що робить тему вчасної протидії загрозам, ще більш актуальною 
і вагомою 
Окрім цього даний полігон може бути використаний для навчання та 
поглиблення знань майбутніх експертів в даній сфері, адже він забезпечує 
можливість напрацьовувати навички в сфері криміналістики. А в реаліях 
сучасного світу с кожним роком попит на експертів з безпеки буде тільки 
збільшуватись, тож ефективне навчання і гарна підготовка в даній сфері стане 
дуже вагомою в найближчому майбутньому. 
  
 
79 
 
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 
 
 
1. Kali Linux Blog [Електронний ресурс] — Режим доступу до ресурсу: 
https://www.kali.org/blog/ 
2.  Kali Linux Documentation [Електронний ресурс] — Режим доступу до 
ресурсу: https://www.kali.org/docs/ 
3. Kali Linux Forum [Електронний ресурс] — Режим доступу до ресурсу: 
https://forums.kali.org/ 
4. Kali Linux Revealed [Електронний ресурс] — Режим доступу до 
ресурсу: https://www.ubuntushop.be/kalirevealed.pdf 
5. CAINE Manual and Policies [Електронний ресурс] — Режим доступу 
до ресурсу: https://www.caine-live.net/page8/page8.html 
6. Forensic Focus [Електронний ресурс] — Режим доступу до ресурсу: 
https://www.forensicfocus.com/forums/ 
 
 
 
80