Цифровая криминалистика. Часть первая - Основы

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.646
Репутация
11.595
Реакции
61.567
RUB
50

Digital Forensics.


Пролог​

Начнём с ответа на вопрос "Зачем мы тут собрались?". Это материал для тех людей, которые очень расплывчато представляют себе что такое форензика не знают об этом вовсе, либо недавно начали разбираться в теме.

Сейчас мы немного взглянем на то, с какими кейсами работают специалисты по этому направлению и ответим на вопрос о том, насколько возможно удалить что-то со своего диска или защитить свои данные от экспертизы, проводимой профессионалами.

global-digital-forensics-market-forecast_1641208444-b.jpg



Терминология

Что же такое форензика и с чем её едят? Если мы немного вникнем в англоязычное сообщество и терминологию по теме, то поймём, что дисциплина называется не просто Forensics, а Digital Forensics. То есть мы имеем дело не с криминалистикой как таковой, а только с тем, что касается данных на цифровых носителях и операций над ними. Частенько это понятие упоминается в аббревиатуре DFIR [Digital Forensics & Incident Response], но об этом ближе к концу статьи.

Реконструкция

Мы уже определились, что имеем дело с цифровыми носителями данных. Предположим худший случай — данные были стёрты с диска или оперативной памяти и нам нужно их восстановить. Во втором случае всё довольно-таки просто, оперативная память энергозависима, а значит, что в момент, когда там пропадает электричество, мы теряем возможность что-либо с неё восстановить, исключение - . Поэтому при при заражении компьютера каким-то новым вирусом или вредоносным ПО, если вы его выключите, то потеряете часть важной информации, которая могла бы помочь в расследовании.

Для того, чтобы работать с оперативной памятью обычно её содержимое и после тщательно анализируется.

Но если мы имеем дело с диском, то всё чуть интереснее. Допустим вы удалили важный файл - фотку, ключик от криптокошелька или ещё что. Скорее всего, на этот момент ваш компьютер не удалял никаких файлов, но пометил файл, как удалённый и ждёт пока вы захотите сохранить на его месте какой-то другой. Если мы говорим например про Windows и соответственно, NTFS — его , то он чтобы записать новые начинает в последнюю очередь удалять "несуществующие" файлы.

Это значит, что данные возможно получится восстановить даже спустя несколько лет после их "удаления". Найти подобные инструменты для восстановления легко, достаточно просто набрать в поиске "filesystem/OS data recovery" . Для примера можете почитать код инструмента, он относительно несложный, или же просто поверить мне на слово ;)

Кроме того, некоторые подобные инструменты прекрасным образом восстанавливают файлы не только при их удалении, но и при форматировании диска. А и вовсе могут восстановливать целые разделы или "воскрешать" операционную систему, если были удалены или изменены данные, связанные с ней.

Но в каких же случаях восстановление невозможно? Например тогда, когда слишком сильны физические повреждения диска. Зачастую это зависит от диска, но просверлить в нём пару отверстий дрелью и погнуть его будет вполне достаточно, чтобы почти полностью исключить вероятность восстановления каких-либо данных.

В следующих сериях

Естественно, даже обзорно и упуская детали, пройтись полностью по всему с чем сталкиваются специалисты в области цифровой криминалистики в одной статье будет сложно, в первую очередь для читателя, поэтому будем дозировать информацию. В этот раз мы поговорили о восстановлении данных, но если честно, до этого этапа дело редко доходит. Чаще, у нас есть дампы памяти, сети и прочие следы, с которыми можно поработать. А вот как выглядит этот процесс и тот самый DFIR мы узнаем в следующих сериях!


 
  • Теги
    digital forensics очистить диск цифровой носитель
  • Сверху Снизу