<<
>>

3.1. Обзор программного обеспечения для исследования содержимого жесткого диска

Вы - счастливый обладатель компьютера. Вы - директор фир­мы, бухгалтер; человек, хранящий на своем рабочем или домашнем компьютере важные данные - счета, договоры и прочее. Быть может, Вы - студент или подросток, ради развлечения взломавший сайт банка или фирмы.

Начинающий специалист, интересующийся принципами работы Интернет-магазинов и денежных расчетов через Интернет. Или просто производитель, может, и продавец пикантных фильмов, картинок. Неважно, - Вы человек с персональным компьютером, на жестком диске которого есть информация, интересная не только Вам.

Они - конкуренты, государственные спецслужбы (необязатель­но Вашей страны) или просто воры (торговцы информацией). Они изъяли или украли Ваш компьютер либо просто скопировали ин­формацию с Ваших рабочих дисков. Вся информация им не нужна, нужна лишь небольшая часть. Ровно столько, чтобы можно было предъявить Вам обвинение в денежных махинациях, хранении неза­конных материалов, хищении информации, может, просто для того, чтобы знать, что известно Вам. Этой информации может хватить для шантажа или нанесении Вашей фирме существенного ущерба.

Может, все по-другому. Они - это люди, распространяющие письма с угрозами, взломавшие сайт и шантажирующие владельцев. Лица, бессовестно эксплуатирующие детей. Торговцы наркотиками или мошенники. Те у кого на жестком диске есть информация, пусть не вся, пусть крупицы, которые помогут воздать им по их заслугам.

Вы - эксперт-криминалист, сотрудник безопасности фирмы. Че­ловек которому нужно что-то найти в огромном массиве данных.

Как это делается?

1. Снимается, так называемый побайтный образ диска. Посколь­ку существует риск что-то случайно удалить, есть практика допол­нительной (независимой) экспертизы, так как суд в качестве веще­ственных доказательств принимает только оригинал, то очень важно быть уверенным что информация не претерпела изменений.

К тому же это просто удобно, можно просматривать содержимое на разных машинах, при помощи различных программ одновременно.

2. При помощи чего снимается образ диска? Как ни странно такие распространенные программы, как Drivelmage (Power Quest) и Norton Ghost, практически не используются. Образ жесткого дис­ка делается такими допотопными программами (с точки зрения пользователя Windows) под DOS, как SafeBack (может кто-то пом­нит anadisk, teledisk, copyQM) - это их прямой родственник. Сей­час выпускается фирмой NewTechnologies Inc. (www.forensics-intl. com). SnapBack Datarrest (www.snapback.com) и некоторые другие менее популярные (LISA2, Replica, Byteback, Media tools). Доста­точно широко используется утилита dd (Unix, Linux).

Весьма популярен, хотя некоторые его критикуют, способ созда­ния образа при помощи Encase [windows/dos] (www.guidancesoftware. com). Для Windows есть отличная утилита FTK Imager (Explorer), которая входит в состав Accessdata Forensic Toolkit (www.accessdata. com), ее возможности будут рассмотрены ниже. Пытается завоевать свою нишу Paraben Forensic Replicator (www.paraben-forensics.com). Кроме того, используют WinHex и dd for Windows. Существует ряд аппаратных средств, наиболее распространенных, - это продукция ICS-IQ(www.ics-iq.com). Необходимо знать, что образы создаются либо как чистый образ (bit-copy), либо с дополнительной информа­цией (bit-copy.plus), например пароль, номер, дата создания и так да­лее. Для подсчета контрольной суммы жесткого диска используются встроенные функции программ, либо утилиты Secure Hash Signature Generator (DOS/Windows), chksum(DOS), DiskSigPro (DOS) и др.

Encase ГСкриншот 65к] (www.guidancesoftware.com) - один из старожилов рынка, продукт весьма интересный и достойный. Про­грамма размером около двух мегабайт, а вот руководство пользовате­ля около 10, не говоря о дополнительной документации.

С помощью Encase можно создать образ диска (HDD, CD), можно подключить и исследовать образ в raw-формате с последующим вос­становлением при надобности.

Поддерживается работа с RAID, мож­но исследовать PALM, работает со следующими файловыми система­ми: Windows (FAT 12/16/32, NTFS, DOS); Linux (EXT2, EXT3, Reiser)

Также на сайте есть несколько бесплатных утилит различного назначения. NetAnalysis - по сути тот же офлайн-браузер, только бо­лее продвинутый (в комплект входит программка hstex для извле­чения файлов с образа или диска). Включены подсчет контрольной суммы, дата записи, последнего доступа, декодировка cookies и так далее. NetAnalysis создавался как продукт расширяющий возможно­сти пользователей Encase, поэтому в поставку входит Enscript, позво­ляющий извлекать файлы из образа или диска при работе с Encase.

Для просмотра графики используются разные программы, такие, как ACDSee, ThumbsPlus. Из необычного стоит отметить Pictuate ГСкриншот 69kl (www.oictualitv.com). Работает быстро и наглядно, хотя аналогов ему достаточно.

Очень широко используются всевозможные hex-редакторы (фа­ворит, конечно, WinHex). Фирма Crocware (www.crocware.com) (из­вестна как производитель программы Recover My Files) выпустила программу MountImage Pro, позволяющую смонтировать образ дис­ка как логический диск со всеми вытекающими возможностями.

Те, кто работает с Adobe Photoshop, знают, насколько удобна ра­бота с plugin, в Encase тоже существуют plugin, называются enscript. На сайте производителя есть приличная подборка Enscript, позво­ляющая автоматизировать процесс или расширить функциональ­ность, если есть желание Enscript можно написать и самому под свои собственные нужды. Из недостатков самый главный - цена. Не хватает также поддержки работы с архивами и необходимо рас­ширить возможности просмотра файлов (можно указать программу как Quickview plus или Thumbsplus, но это не всегда удобно), также следует обратить внимание на то, что в настройках для File Signatere Header иногда указаны только расширения, а не HEX,Unicode и GREP Expression, поэтому придется набирать вручную.

Accessdata Forensic Toolkit (www.accessdata.com) - достаточно новый продукт (для многих accessdata известна как производитель Password Recovery Toolkit), состоит из двух автономных частей FTK Imager (FTK Explorer) и непосредственно самого FTK.

Для пользо­вателей Encase продукт в чем-то неудобен, но это не значит, что он хуже. FTK стремительно прогрессирует и с каждой новой версией становится лучше. Скриншоты: [FTK 65k ], [FTK Imager 57k].

За дополнительную плату можно приобрести Password Recovery Toolkit и Accessdata Registry Viewer (для работы с реестром Windows), которые интегрируются с FTK и при надобности запускаются авто­матически.

FTK Imager - одна из лучших программ для работы с образами жестких дисков. Позволяет создать образ в формате Encase (*.E01), Smart Image (*.s01) или просто в raw uncompressed (*.dd,*.ima), а также просматривать ( с возможностью экспорта) файлов и созда­нием контрольной суммы (md5,sha-1) и конвертировать образы сле­дующих форматов: encase *.e01, icsimage file *.i01, safeback *.001, winimage *.ima, smat image *.s01, vmdk virtual drive *.vmdk, ghost raw image *.gho. Очень удобная утилита для быстрого просмотра и ана­лиза, благодаря технологии Outside In® Viewer Technology просма­тривает файлы наиболее распространенных форматов - MS Office, zip, graphic. Файлы можно просмотреть в оригинальном формате или в HEX, TEXT на выбор, если файл зашифрован выводится со­общение (для файлов офиса, zip, pdf).

Для анализа используют собственную базу KFF, куда импор­тируют hash set. В настройках можно указать не показывать файлы OS, или другие известные, что значительно облегчает работу. Кроме того, показываются дублированные, архивированные, шифрован­ные, файлы с неверным расширением и так далее. Все это можно вывести в отдельном окне. В общем созданы широкие возможно­сти для каталогизации. Хорошо реализована работа с zip архивами: [Скриншот 56k].

FTK позволяет оценить содержимое без распаковки, не требует дополнительных программ для просмотра (Quick view, Thumbsplus) и самостоятельно показывает содержимое почтовых баз. Возможны любые манипуляции с вложениями, плюс максимум информации, которую только можно получить. Таким образом отпадает необходи­мость в программах типа MailBag Assistant или его более функцио­нального клона Paraben e-mail examiner. ГСкриншот 43k].

Для анализа можно выбирать как диск, так и образ, отдель­ный файл или папку. Поддерживает следующие файловые системы windows (FAT/12/16/32, NTFS), linux(ext2/ext3), но не позволяет ра­ботать со сжатыми (DoubleSpace, DriveSpace) дисками. Отчет про­грамма создает такой, что о нем самом можно статью написать - не отчет, а презентация. По нашему мнению, у программы большое будущее и она достойный конкурент encase, большие возможности и весьма ощутимая разница в цене. Немного портит впечатление ор­ганизация работы с hash set, складывается мнение, что для програм­мы есть только черное и белое - никаких полутонов. Файлы опре­деляются либо как безопасные, либо как потенциально опасные, комментариев нет, просто выделяются красным цветом.

ProDiscover ГСкриншот 42kl (www.techoathwavs.com) Еще со­всем недавно существовала только версия Prodiscover DFT. Сейчас линейку расширили, но разница (кроме цены) небольшая. Конечно необходимый минимум для работы в программе присутствует, но для полного анализа все равно понадобится дополнительный софт. Программа может работать как с диском, так и с образом, также по­зволяет работать в сети. Для создания образа используется собствен­ный формат (больше никем не поддерживается). Если вы хотите подключить raw image, вам придется его переименовать (image.raw (*.ima,*.01,*.dd) в image.eve), иначе программа его не опознает, дру­гие форматы образов диска не поддерживаются.

Образ создается корректно и соответствует принятой в этом классе спецификации (www.cftt.nist.gov) Возможна проверка фай­лов по File signature header и hash set (Hashkeeper format), но резуль­тат отображения можно признать неудовлетворительным. Хорошо развита навигация по кластерам и присутствует фирменная техно­логия HPA. При работе с программой создается впечатление, что это какой-то продвинутый hex-редактор. Можно посмотреть на сайте историю версий, и многие вопросы отпадут (хотя могут и возник­нуть, к примеру о соответствии возможностей и цены). Программа проигрывает по сравнению с Encase и FTK.

DIBS® Analyzer 2 (DANA2) www.dibsusa.com. Интересная про­грамма, которую можно сравнить с Prodiscover, но не в пользу DANA2. Имеет несколько подключаемых модулей (называются satellite), в ком­плекте присутствует пара утилит для блокировки доступа в режиме записи на диск Diblock.exe (DOS) и Diblockw.exe (Windows), но функ­циональность их весьма сомнительна. Блокировку можно сделать простым изменением реестра и к тому же бесплатно.

Ilook Investigator ГСкриншот 77kl (www.ilook-forensics.org) - интересный продукт, распространяется бесплатно и только работ­никам правоохранительных органов. В последней версии заявлена полная переработка кода программы, предложен ряд новых возмож­ностей и выделение в отдельный продукт компонента Iximager - программы для создания образов диска.

По количеству функций сравним с Encase и FTK, с помощью которого можно создать образ, смонтировать его, проверить фай­лы по hash set file signature header (все с возможностью добавления, редактирования). Несколько неудобен интерфейс. Удручают неко­торые моменты, не относящиеся к самой программе - это скудная информация на сайте, отсутствие демо-версий, а более всего невоз­можность попасть на форум пользователей, не будучи официальным пользователем.

Maresware Forensic Suite (www.maresware.com) - великолепный набор для тех, кто привык все делать в командной строке. Существуют версии как под DOS/Windows, так и под Linux/Solaris. Все, что можно сделать в командной строке присутствует. Для каждой утилиты су­ществует набор команд, но краткие возможности таковы - создание и восстановление образа, подсчет и сравнение контрольных сумм, проверка по hash sets, file signature header, поиск по многим параме­трам, включая ADS для NTFS, определение файлов PGP и многое- многое другое. Каждая из утилит хороша, и как отдельный продукт, и в наборе. Можно скачать программы с сайта и просто попробовать.

Не всегда есть надобность использовать многофункциональные программы, или просто их возможностей не хватает, в таком случае применимы:

Для исследования электронной почты - Paraben E-mail Examiner (www.paraben-forensics.com) несколько измененный MailBag Assistant (www.fookes.com). Из нововведений добавлена функция подсчета md5, расширен список поддерживаемых форматов (вклю­чая AOL), хорошо организован отчет.

Network E-mail Examiner (www.paraben-forensics.com) Приме­няется для исследования почтовых баз MS Exchange (файлы *.edb) и Lotus Notes(файлы *.nsf).

Paraben Forensic Sorter предназначен для автоматической сорти­ровки фалов по группам, но работает только с диском или с образом, созданным Forensic Replicator, использует для работы собственную базу hash set (FOCH), не совместимую с hashkeeper и NSRL RDS. Процесс полностью автоматизирован, и на выходе можно получить только сгруппированные файлы.

2. Для просмотра содержимого электронной почты использует­ся NetAnalysis ГСкоиншот 56k! (www.digital-detective.co.uk). также на сайте есть несколько бесплатных утилит различного назначения. NetAnalysis - по сути тот же офлайн-браузер. только более продви­нутый (в комплект входит программка hstex для извлечения файлов с образа или диска). Включены - подсчет контрольной суммы. дата записи. последнего доступа. декодировка cookies и так далее. что по­лезно специалистам. NetAnalysis создавался как продукт расширяю­щий возможности пользователей Encase. поэтому в поставку входит Enscript. позволяющий извлекать файлы из образа или с диска при работе с Encase.

Для просмотра графики используются разные программы. та­кие. как ACDSee. ThumbsPlus. Из необычного стоит отметить Pictuate ГСкоиншот 69k! (www.oictualitv.com). Работает быстро и наглядно. хотя аналогов достаточно.

Очень широко используются всевозможные hex-редакторы (фа­ворит. конечно. WinHex). Фирма Crocware (www.crocware.com) (из­вестна как производитель программы Recover My Files) выпустила программу MountImage Pro. позволяющую смонтировать образ дис­ка как логический.

3. Для того чтобы просмотреть файлы офиса (*.doc.*.xls) при­меняется Metadata Assistant ГСкоиншот 69k (www.oavneconsulting. com)]. который показывает полную структуру документа. включая последних авторов. ссылки и так далее.

Программы. описанные в этом обзоре используются не всегда. Если ситуация разовая и тем более объем данных невелик. их можно заменить другим софтом. а когда объем большой и постоянный. то получать данные лучше при помощи указанных программ.

Нами не ставилось задачи раскрыть все особенности представ­ленных программ. хотелось отметить. что такие программы есть и некоторые могут пригодиться не только криминалистам. Если ваш ПК попал к специалистам. то они получат необходимую инфор­мацию. Не обязательно включать ваш компьютер - можно сделать образ (восстановить его на другой диск) и то. что не было удале­но. будет обнаружено. Многие программы поддерживают работу в сети. и следовательно. образ сделают с работающей системы. где есть файл подкачки. Если при анализе жесткого диска выявляются программы для стеганографии, то будут использовать программы stegdetect, Gargoyle, или просто проверят ими. Даже удаленные (без возможности восстановления) файлы могут что-то сказать, некото­рые программы для удаления файлов некорректно работают с NTFS, или оставляют имена файлов. К примеру если осталось имя файла cookies (пускай сам файл забит нулями или другой информацией) user@microsoft.com, то уже можно сделать вывод, что пользователь ПК user посещал сайт Microsoft, особенно это важно, когда на ПК несколько пользователей с разными именами. Многое зависит от по­ставленной задачи, хороший специалист сможет получить необходи­мую информацию.

Есть несколько юридических тонкостей. По условиям лицен­зионного соглашения демонстрационные программы могут ис­пользоваться только в ознакомительных целях и все что выявлено в результате их работы не может являться доказательством. Суды так же принимают в качестве доказательств только оригиналы поэтому если с жестким диском что-то случилось (файлы изменены, удалены и так далее), информация искажается, кроме того существует опера­тивный интерес (1.2.1).

<< | >>
Источник: П.В. Лещев, Р.Р. Юлдашев. КРИМИНАЛИСТИКА: ИСПОЛЬЗОВАНИЕ КОМПЬЮТЕРНЫХ ТЕХНОЛОГИЙ В ЭКСПЕРТНЫХ ИССЛЕДОВАНИЯХ Учебное пособие. 2013

Еще по теме 3.1. Обзор программного обеспечения для исследования содержимого жесткого диска:

  1. 5.4. Обеспечение иска по делам о нарушении авторских и смежных прав
  2. 10. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ОЦЕНКИ ПРОЕКТОВ
  3. 9.5. Обзор информационных систем, используемых для принятия управленческих решений
  4. 19.2.7. Методология технического и программного обеспечения ИТ и ИС в управлении организацией
  5. 8.2.б0 Выбор стандартного программного обеспечения
  6. 13.6. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ОЦЕНКИ ЭФФЕКТИВНОСТИ ИНВЕСТИЦИОННЫХ ПРОЕКТОВ
  7. 23.5 СРАВНИТЕЛЬНЫЙ АНАЛИЗ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ДЛЯ УПРАВЛЕНИЯ ПРОЕКТАМИ
  8. Специализированное программное обеспечение сферы сервиса и туризма
  9. 3. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ЭВМ
  10. §2. Информационное обеспечение криминологических исследований
  11. 10. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ОЦЕНКИ ПРОЕКТОВ
  12. 8.2.б 0 Выбор стандартного программного обеспечения
  13. 19.2.7. Методология технического и программного обеспечения ИТ и ИС в управлении организацией
  14. 9.5. Обзор информационных систем, используемых для принятия управленческих решений
  15. Занятие 30 ЭКСПЕРТНАЯ ОЦЕНКА ДЛЯ ИССЛЕДОВАНИЯ ГРУППОВЫХ ОТНОШЕНИЙ
- Авторское право - Аграрное право - Адвокатура - Административное право - Административный процесс - Акционерное право - Бюджетная система - Горное право‎ - Гражданский процесс - Гражданское право - Гражданское право зарубежных стран - Договорное право - Европейское право‎ - Жилищное право - Законы и кодексы - Избирательное право - Информационное право - Исполнительное производство - История политических учений - Коммерческое право - Конкурсное право - Конституционное право зарубежных стран - Конституционное право России - Криминалистика - Криминалистическая методика - Криминальная психология - Криминология - Международное право - Муниципальное право - Налоговое право - Наследственное право - Нотариат - Образовательное право - Оперативно-розыскная деятельность - Права человека - Право интеллектуальной собственности - Право собственности - Право социального обеспечения - Право юридических лиц - Правовая статистика - Правоведение - Правовое обеспечение профессиональной деятельности - Правоохранительные органы - Предпринимательское право - Прокурорский надзор - Римское право - Семейное право - Социология права - Сравнительное правоведение - Страховое право - Судебная психиатрия - Судебная экспертиза - Судебное дело - Судебные и правоохранительные органы - Таможенное право - Теория и история государства и права - Транспортное право - Трудовое право - Уголовное право - Уголовный процесс - Философия права - Финансовое право - Экологическое право‎ - Ювенальное право - Юридическая антропология‎ - Юридическая периодика и сборники - Юридическая техника - Юридическая этика -