<<
>>

Секреты лабораторий

После того как образ жесткого диска доставлен в криминалисти­ческую лабораторию, наступает черед крайне важной процедуры - анализа. Последний, как известно, целиком и полностью основан на сравнении.

Эксперт сверяет увиденное с собственным базисом знаний и согласно сходствам (различиям) строит выводы, которые в конце обобщает, приводит к общему знаменателю. Это требует специальной подготовки криминалистов компьютерного профиля. Некоторых из них смело можно уподобить экспертам по произведениям искусства. Анализ образа целиком происходит крайне редко. В большинстве слу­чаев специалист довольствуется маленьким кусочком. Такой метод давно перестал быть удобным и эффективным, некоторые ученики старой школы по-прежнему разбивают жесткий диск на секторы ем­костью 512 байт и производят его «ручное» исследование.

Последнее подразумевает под собой опыты, отдаленно напоми­нающие эксперименты химиков: криминалист методом перебора пы­тается выяснить состав алгоритма, согласно которому закодированы данные. Изначально о природе фрагмента он не знает буквально ни­чего - перед ним всего лишь набор символов. Устаревшим такой ме­тод считается по достаточно объективной причине, обусловленной прогрессом. Жесткие диски с недавних пор исчисляются десятками гигабайт. Изучить их содержание методом перебора четок становит­ся практически невозможным (хотя многие организации и продол­жают культивировать именно такой подход). Например, коль скоро разбирать секторы на экране не всегда удобно, криминалисты неред­ко распечатывают образ жесткого диска на бумаге. Один мегабайт равняется приблизительно 321 печатным листам, которые умещают­ся в пачку высотой около четырех сантиметров... Альтернативной методикой является целенаправленное исследование определенных областей диска. Исключая необходимость перебирать каждый каме­шек в пустыне, предлагается анализировать лишь избранные обла­сти диска, например те, которые относятся к swap-файлу, загрузоч­ному сектору и т.д.

Зона поиска заметно сокращается, а шансы на успех повышаются.

Особый интерес проявляется именно к файлу подкачки. Возмож­но, это не слишком поэтическая метафора, однако swap-документ в этом случае смело можно считать помпой, откачивающей воду из речушки, закованной в бетонные оковы и несущей свои воды сквозь огни огромного мегаполиса. Выполняя достаточно утилитарную и незаметную для обывателя функцию - поддержание уровня воды на одной отметке, помпа тем самым пропускает сквозь себя тонны му­сора, сброшенного городом. Пусть это всего лишь мелкий сор, но по нему тоже можно выстроить кое-какую логическую картину мира.

В файле подкачки (в Win9x - WIN386. SWP) независимо от нас постепенно оседает такая важная информация, как данные из тексто­вых процессоров, содержимое электронных писем, текст с Интер­нет-страницы и многое другое. Буквально все действия пользователя оставляют в нем свой отпечаток. Естественно, исключая теневые вы­бросы, вся информация не может храниться вечно, она существует до тех пор, пока swap-документ не будет перезаписан системой за­ново, произойти же это может после рестарта компьютера.

Очевидно и другое, информацию, находящуюся в этом файле специалисту придется терпеливо извлекать. Обнаружение улик про­исходит не ручным способом: применяются особые программные комплексы. В большинстве случаев сложные и засекреченные, но порой и те, что можно найти в свободной продаже. Правда, в отли­чие от своих коллег, они чаще всего обслуживают достаточно узкий спектр интересов.

Например, подобным является софт NET THREAT ANALYZER, бесплатно распространяемый для занимающихся криминалистикой. Программа получила наибольшее распространение после инциден-

тов с оружием в американских школах. Они стали прямым поводом к исследованию компьютеров несовершеннолетних на факт присут­ствия информации о сайтах, с которых подростки почерпнули нега­тивные знания об огнестрельном оружии.

Программа запускается с гибкого диска, исключительно из-под MS-DOS, начинает планомерно сканировать жесткий диск, а именно область, относящуюся к Swap-файлу.

Любопытно, что после событий 11 сентября продукт был срочно модернизирован. В его состав был включен особый модуль, призванный выявлять факты Интернет-со­единений с узлами, находящимися в странах, явно или неявно под­держивающих террористическую деятельность. Итогом работы стал листинг, включающий следующую информацию: точные адреса всех Интернет-ресурсов, которые посещал подозреваемый, имена файлов, которые он скачивал, содержания электронных посланий и их адреса.

NET THREAT ANALYZER - не единственный продукт в своей области. Существует еще более тонкий и изысканный путь поиска улик - Intelligent Forensic Filter (FILTER_I). Как и его коллега, он сканирует жесткий диск на наличие улик, однако в своих оценках стремится к большему числу выводов. Программа главным обра­зом ищет не улики, а соучастников, т.е. мыслимыми и немыслимы­ми путями стремится вычислить имена и любые послания личного характера. Телефонные номера, индексы кредиток, фрагменты кода из текстового процессора - все это оседает в файле подкачки, а поз­же FILTER_I все это аккуратно классифицирует, раскладывает по виртуальным целлофановым пакетикам, снабжая биркой. Как рас­сказывает разработчик, для достижения подобных результатов про­граммистам пришлось создать отдаленный аналог искусственного интеллекта, инициируемого особыми стартовыми параметрами, ко­торые впоследствии влияют на работу киберкриминалиста.

Улики задерживаются не только в файле подкачки. Винчестер способен «впитывать» все, что попадает в поле его внимания. Если сравнивать винчестер с рекой, то кластерная архитектура похожа на ил, в который постепенно оседают небрежно брошенные предметы. Чтобы их достать, достаточно запастись насосом и фильтрующей установкой. Поскольку документы редко кратны емкости кластеров и секторов, их складывающих, невольно возникают пустые обла­сти. Логически их нет, но физически они существуют, занимая часть дискового пространства и являясь отличной средой для размноже­ния неподконтрольных данных.

В случае, когда элементы кластеров нечем заполнить (т.е. файл уже полностью записан), ОС пытается отыскать какой-нибудь «мусор», дабы заполнить эту емкость, и чем случайнее набор данных, тем лучше. Система выхватывает лоску­ток содержимого оперативной памяти и записывает его в пустые об­ласти, образуя RAM slack. Таким образом, сама того не ведая, ОС сохраняет в физическом виде отдельные образы памяти. Поскольку запись файлов происходит достаточно часто, на жестком диске об­разуется подробный «снимок» ОЗУ, включающий в себя описание всех действующих на тот момент процессов. Безусловно, элементы разрозненные нередко не стыкуются, однако способны навести на след, для ясности порой требуется всего лишь один фрагмент моза­ики. Как заявляют специалисты, RAM slack позволяет проследить состояние памяти за последние несколько дней (до недели), позже они, безусловно, затираются.

Кластеры словно превращаются в осколки зеркала, отражающие в себе RAM и... прошлое в лице удаленных файлов. Помимо RAM slack существует Drive Slack - области, заполненные остатками уда­ленных файлов. А это означает следующее. Коль скоро, производя самые разные операции, относящиеся в том числе и к Интернет-де­ятельности, ОС периодически записывает на жесткий диск времен­ные файлы, следы подобных действий в любом случае остаются. Удаление, форматирование, разбиение на новые разделы - не спо­собны усугубить задачи криминалистов, это - логические процессы, лишь отчасти связанные с физическими действиями.

Анализ «подозрительных» областей жесткого диска с недавних пор производится отнюдь не вручную. Специалист, приступая к ра­боте, начинает искать заданные текстовые паттерны, относящиеся, скажем, к характерным текстовым заголовкам. По большому сче­ту для такой работы сгодится любой поисковик заданных данных. Главной особенностью является скорость. Расследуя преступление, криминалисты обязаны действовать качественно и, что немаловаж­но, быстро. Поэтому в ход нередко пускаются средства наподобие TextSearch PLUS, отличающиеся повышенными темпами перебора информационных ячеек.

Более продвинутый аналог - DiskSearch Pro, созданный, кстати, еще в 90-х гг. ХХ в., который умеет даже отыскивать slack-данные, представляет собой самый простой ана­лизатор «мусора» (к этому же списку можно прибавить и утилиту DRIVESPY). Работать утилита может параллельно использованию FileList - DOS-программы, создающей предварительный анализ со­держимого винчестера. Софт успешно справляется с задачей срав­нения двух винчестеров, выявляет закономерности в дате создания и использования файлов. С ее помощью криминалист может легко соз­дать общую картину использования компьютера, различая в малом следы чего-то большого.

Vogon International попыталась автоматизировать процесс поис­ка следов файлов. Для этого была разработана программа под назва­нием GenX. Анализируя образ диска, она выявляет любые атрибуты файлов и строит логическую картину информации.

Наиболее известным пакетом на рынке является The Coroner’s Toolkit. Его справедливо считают одним из лучших средств борьбы с компьютерными преступлениями. Все утилиты данного пакета были созданы в 1999 году признанными экспертами в области ин­формационных правонарушений - Дэном Фармером (Dan Farmer) и Витсом Венемой (Wietse Venema). Программы, снабженные скуд­ным текстовым интерфейсом, целиком и полностью ориентирова­ны на использование в Unix-средах (графический браузер Autopsy Forensic Browser появился намного позже).

По сути утилиты подобны набору скребков, дрелей и отверток. В основном они заняты исследованием поверхности диска и выявле­нием следов удаленных файлов и анализом этих крупиц информации. Наибольший успех приносят дела, в которых такой банальный, ка­залось бы, факт, как время последнего доступа к файлам, позволяет точно выстроить картину атак на сервер. Отыскивая следы палитр файлов, TCT позволяет установить, когда файл был записан, когда от­компилирован и когда удален. Все эти параметры полностью поддер­живаются файловыми системами Unix и Windows NT, поэтому ничего придумывать не надо, следует лишь найти виртуальные «отпечатки пальцев» требуемых программ. А поскольку, как отмечалось выше, «сорить» они умеют, проблем с этим практически не возникает.

Подобные наблюдения очень важны для преступлений класса «нападение на компьютер», в этом случае криминалистам прихо­дится выяснять, кто же именно нападал на машину, т.е. происходит поиск улик, ведущих к преступнику, а не доказательства вины ис­комого лица.

<< | >>
Источник: П.В. Лещев, Р.Р. Юлдашев. КРИМИНАЛИСТИКА: ИСПОЛЬЗОВАНИЕ КОМПЬЮТЕРНЫХ ТЕХНОЛОГИЙ В ЭКСПЕРТНЫХ ИССЛЕДОВАНИЯХ Учебное пособие. 2013

Еще по теме Секреты лабораторий:

  1. 16.2. Государственное управление в информационной сфере
  2. §3. Причинный комплекс, обусловливающий преступность в сфере незаконного оборота наркотиков
  3. ШТЕЙП Владимир Владимирович (1886 — после 1960)
  4. Генетика и генная инженерия
  5. Тайны советских биоспецопераций
  6. Реформирование РАН и РАМН: российский учёный-«шпион»
  7. ШЕСТЬ ТИПОВ НАУЧНЫХ РАБОТНИКОВ
  8. Прямой метод опроса с использованием полиграфа
  9. КОНЕЦ ЯДЕРНОЙ МОНОПОЛИИ
  10. И ВСЕ-ТАКЙ ПАРИТЕТ
  11. 10.4. Использование открытых источников
  12. Химизация «горячих точек»
  13. Технопарки за колючей проволокой
  14. 3.4. ИСПОЛЬЗОВАНИЕ ВОЗМОЖНОСТЕЙ СУДЕБНЫХ ЭКСПЕРТИЗ В РАССЛЕДОВАНИИ СЕРИЙНЫХ УБИЙСТВ
  15. Таллинская школа управленческого консультирования
  16. Крылья Лилиенталя
  17. Накануне войны
  18. Изучение трофейных самолетов люфтваффе в годы Великой Отечественной войны и в первые послевоенные годы
  19. Авиастроительные КБ в Советской зоне Германии
  20. Немецкие специалисты в СССР
- Авторское право - Аграрное право - Адвокатура - Административное право - Административный процесс - Акционерное право - Бюджетная система - Горное право‎ - Гражданский процесс - Гражданское право - Гражданское право зарубежных стран - Договорное право - Европейское право‎ - Жилищное право - Законы и кодексы - Избирательное право - Информационное право - Исполнительное производство - История политических учений - Коммерческое право - Конкурсное право - Конституционное право зарубежных стран - Конституционное право России - Криминалистика - Криминалистическая методика - Криминальная психология - Криминология - Международное право - Муниципальное право - Налоговое право - Наследственное право - Нотариат - Образовательное право - Оперативно-розыскная деятельность - Права человека - Право интеллектуальной собственности - Право собственности - Право социального обеспечения - Право юридических лиц - Правовая статистика - Правоведение - Правовое обеспечение профессиональной деятельности - Правоохранительные органы - Предпринимательское право - Прокурорский надзор - Римское право - Семейное право - Социология права - Сравнительное правоведение - Страховое право - Судебная психиатрия - Судебная экспертиза - Судебное дело - Судебные и правоохранительные органы - Таможенное право - Теория и история государства и права - Транспортное право - Трудовое право - Уголовное право - Уголовный процесс - Философия права - Финансовое право - Экологическое право‎ - Ювенальное право - Юридическая антропология‎ - Юридическая периодика и сборники - Юридическая техника - Юридическая этика -