Компьютерная криминалистика что это

Обновлено: 04.07.2024

В 20 веке считали: криминалистика – это «про расследование преступлений». Она работала на Шерлока Холмса, Глеба Жеглова и даже иногда на участкового инспектора Анискина.

Хотя понять, что произошло, не менее важно и в гражданских делах. Тем более, в 21-м веке – с его скоростью и постоянно растущим количеством информации.

Так, под влиянием требования времени, боевая наука постепенно переходит и на (более-менее) мирные рельсы арбитражных процессов.

Конечно, не вся криминалистика целиком. Но отдельные ее направления – вполне успешно. Например, почерковедение и исследование печатей. Или компьютерная криминалистика.

В конце 70х-начале 80х, когда в СССР еще даже не появились персональные компьютеры, в Вильнюсе мошенники попытались украсть 80 000 рублей с помощью поддельных документов и перфокарт. А на АВТОВАЗе неоцененный по достоинству программист остановил на три дня производство Жигулей при помощи первого в Советском Союзе компьютерного вируса.

Тогда-то и началось развитие отечественной компьютерной криминалистики. За свою историю она прошла путь от поиска хулиганов-энтузиастов до расследования дел против серьезных кибер-мошенников, почти как в фильмах.

Новый толчок в глобальном развитии компьютерная криминалистика получила во время «пузыря доткомов» в США в начале 2000-х. Талантливые разработчики покидали корпорации и создавали собственные стартапы. Иногда работники уносили с собой не только знания и опыт, но и разработки. Чтобы разобраться в таких случаях кражи технологий, компании все чаще нанимали частных детективов и экспертов-криминалистов.

В России компьютерная криминалистика (теперь её еще называют «форензика») получила развитие на рубеже 2000-2010х. Выросли частные компании с отличными специалистами. Большинство из них продолжают традицию – работают над информационной безопасностью и весьма успешно борются с хакерами, помогая правоохранительным органам.

Но не хакерами едиными. Ведь есть еще плагиат в интернете и некачественно выполненные IT-услуги, проблемные увольнения программистов и корпоративные споры между собственниками, претензии налоговой или ФАС, приобретение технологичных стартапов и M&A.

Сегодня все эти сферы объединяет одно – важную роль в них играет цифровая информация: переписка, страницы сайта, код программы. В суд все чаще попадают «цифровые доказательства». Чтобы их найти, собрать и выиграть спор юристам все чаще нужна «арбитражная» форензика. И никаких хакеров.

Слово «Форензика» появилось в русском языке от английского слова Forensics, что означает наука об исследовании доказательств или попросту говоря компьютерная криминалистика.

Специалисты в области форензики незаменимы при необходимости быстро обнаружить и проанализировать инциденты ИБ, например, взлом веб-сервера или причины утечки конфиденциальной информации, шифрование конфиденциальных данных и т.д. В таких случаях перед экспертами-криминалистами ставятся следующие задачи:

• разобраться в способе реализации взлома;
• построить сценарий атаки;
• восстановить хронологию атаки;
• собрать оставшиеся следы атаки;
• разработать необходимые меры защиты для предотвращения от подобной и по возможности от других атак, улучшая процесс обеспечения ИБ в целом;
• уменьшить и восстановить нанесенный ущерб.

В случае необходимости в их задачи так же входит формирование экспертного заключения по факту инцидента ИБ в случае расследования такового, например, судебными органами. Ведь по нормам законодательства необходимо сначала подтвердить сам факт преступления и определить его состав, и только затем можно возбудить уголовное дело, в данном случае по фактам компьютерных преступлений.

В настоящее время все больше и больше крупных и не очень компаний в обязательном порядке организовывают специализированный отдел или хотя бы штат из нескольких экспертов по форензике. К таким компаниям относятся не только компании сферы информационных технологий, но также и компании далекие от нее, например, финансовые (т.к. при расследовании финансовых преступлений большинство доказательств можно найти в компьютерных системах) и др.

Стоит ли говорить, что задачки на форензику традиционно присутствуют и в CTF? Поэтому без знания хотя бы базовых техник расследований не обойтись. А некоторые часто используемые инструменты, идущие в ход на CTF, мы рассмотрим чуть ниже.

Классификация компьютерной криминалистики

Любая наука склонна делиться на более мелкие темы. Чтобы окончательно почувствовать себя в институте, давайте прикинем карту классификации компьютерной криминалистики.

• Computer forensics — к ней относится все, что связано с поиском артефактов взлома на локальной машине: анализ RAM, HDD, реестра, журналов ОС и так далее.
• Network forensics, как понятно из названия, имеет отношение к расследованиям в области сетевого стека — например, дампу и парсингу сетевого трафика для выявления таких интересных вещей, как RAT, reverse shell, backdoor-туннелей и тому подобного.
• Forensic data analysis посвящена анализу файлов, структур данных и бинарных последовательностей, оставшихся после атаки или использовавшихся при вторжении.
• Mobile device forensics занимается всем, что касается особенностей извлечения данных из Android и iOS.
• Hardware forensic — экспертиза аппаратного обеспечения и технических устройств (примеры тут, тут и еще тут, все ссылки — в PDF). Это направление наименее популярно и наиболее сложно. Сюда входит разбор данных на низком уровне (микроконтроллера, прошивки или BIOS), исследование специфических особенностей работы устройства, к примеру диапазона частот работы Wi-Fi-передатчика или внутреннего устройства скиммера, устанавливаемого на банкоматы.

Методы и техники компьютерной криминалистики

Как и в случае с анализом вредоносных программ, есть два основных подхода к экспертизе взломанной машины:

Статический анализ. Задачи статического анализа — создать (скопировать) образ жесткого диска или дампа оперативной памяти, выявить и восстановить удаленные файлы, остатки аномальных файлов в %TEMP% и системных директориях, собрать историю серфинга веб-браузера, системные логи (события авторизации, аудит доступа к файлам и директориям и так далее), получить список запущенных в памяти процессов и открытых коннектов сети.

Динамический анализ, или live-анализ, использует нарезку из снапшотов системы, запускаемой в различных условиях для получения полной картины происходящего. К примеру, малварь склонна удалять свой код и следы инфицирования после определенных действий. И если снапшот взломанной системы был снят до этого момента, есть реальный шанс получить данные о том, что эта малварь делала на компьютере жертвы. Соответственно, в качестве подшивки электронных свидетельств здесь могут выступать скриншоты, логи коннектов в сеть, передаваемый трафик, сравнение состояния файловой системы ОС до и после инцидента.

Есть неплохая статейка (PDF) на английском языке, где вкратце описываются и сравниваются эти методы.

Основные инструменты форензики

Первое, что нужно сделать в начале компьютерной криминалистической экспертизы, — это собрать и сохранить информацию, чтобы затем можно было восстанавливать хронологию и поведенческую картину инцидента.

Давайте посмотрим, какие инструменты по умолчанию должны быть в инструментарии эксперта Форензики. Начнем с самого главного — снятия образа диска для последующего анализа в лабораторных условиях.

Всегда ясно и четко осознавайте, какое именно действие и для чего вы совершаете. Неправильное использование приведенных в тексте статьи программ может привести к потере информации или искажению полученных данных (доказательств). Ни автор статьи, ни редакция сайта не несут ответственности за любой ущерб, причинный из-за неправильного использования материалов данной статьи.

Создание образа диска, раздела или отдельного сектора

Обработка сформированных образов дисков

— утилита на Python, которая работает из командной строки и помогает быстро монтировать образы дисков. — тулза и вместе с ней библиотека для обработки форматов EWF (Encase Image file Format). — крохотная CLI-утилитка для конвертирования образов дисков в удобный формат с сохранением всей информации и метаданных.

Сбор данных с жестких дисков

— утилита для создания дампа оперативной памяти машины. Проста и удобна. — софтинка для создания базы доказательных файлов. — еще одна тулза для криптоаналитиков, помогает искать зашифрованные тома TrueCrypt, PGP и Bitlocker. — специальный браузер, предназначенный для захвата веб-страниц и последующего расследования. — годная утилита для извлечения дампа RAM, в том числе приложений, защищенных антиотладочной или антидампинговой системой. — как и прошлый инструмент, предназначен для снятия RAM всех версий Windows — от ретро Windows XP до Windows 10 (включая и релизы Windows Server).

Уделяйте пристальное внимание корректному созданию образа системы для дальнейшего изучения. Это позволит быть уверенным в достоверности полученных результатов. Перед любыми действиями, задевающими работоспособность системы или сохранность данных, обязательно делайte снапшоты и резервные копии файлов.

Анализ файлов найденных на жестких дисках

t помогает в получении информации о сетевых процессах и списков двоичных файлов, связанных с каждым процессом. Помимо этого, линкуется к VirusTotal и другим онлайновым сервисам анализа вредоносных программ и службам репутации. преобразует разные типы данных в значения даты и времени. — программа для поиска в двоичных данных, есть поддержка регулярных выражений. рекурсивно анализирует заголовки каждого файла eCryptfs в выбранном каталоге или диске и выводит список шифрованных файлов. — утилита для анализа защищенных паролем и зашифрованных другими алгоритмами файлов, которая заодно анализирует сложность шифрования и предлагает варианты дешифровки. — программа для онлайнового анализа типа файлов по собственной базе сигнатур, которых уже больше двух тысяч. — утилита для анализа образов оперативной памяти, включая анализ файлов подкачки и извлечения оттуда данных. — утилита для просмотра и дальнейшего извлечения файлов из теневых копий в системе Windows. — маленький и быстрый HEX-редактор. — HEX-редактор с поддержкой шаблонов, при этом быстр и в нем нет ничего лишнего. — кросс-платформенный HEX-редактор с возможностью сравнивать файлы и кучей других фич.

Извлечение данных из файлов

— утилита для вылавливания email, IP-адресов и телефонов из файлов. — утилита для извлечения данных и файлов изображений.

Обработка данных в оперативной памяти (RAM)

— крутой и навороченный фреймворк, который при этом быстро работает. — опенсорсный набор утилит для разностороннего анализа образов физической памяти. — скрипт для анализа дампов RAM, написанный на Python. — программа для извлечения паролей KeePass из памяти.

Анализ сетевого стека и браузеров

— прога для сбора, хранения и анализа данных сетевого потока. Идеально подходит для анализа трафика на магистрали или границе крупного распределенного предприятия или провайдера среднего размера. — всемирно известный сетевой анализатор пакетов (сниффер). Имеет графический пользовательский интерфейс и широкий набор возможностей сортировки и фильтрации информации. — инструмент сетевого анализа для обнаружения ОС, имени хоста и открытых портов сетевых узлов с помощью перехвата пакетов в формате PCAP. — крошечная программа для извлечения информации из браузера Google Chrome. — еще одна утилитка для анализа истории Chrome.

Поиск артефактов на HDD и периферии

— мощный функциональный сборщик информации о системе Windows (реестр, файловая система, сервисы, процессы, настройка окружения, автозагрузка и так далее). — кросс-платформенный быстрый анализатор реестра для ОС Windows. — парсер журналов USN для томов NTFS. — утилита для восстановления данных NTFS.

Специализированные паки и фреймворки

— платформа с открытым исходным кодом для извлечения и исследования данных. Есть варианты для CLI и GUI. — еще одна библиотека с открытыми исходниками и коллекция инструментов командной строки для анализа образов дисков. — универсальный криминалистический инструмент для исследования данных мобильных устройств. Пак входящих в него утилит позволяет выполнять полное извлечение данных, проводить исчерпывающий анализ данных, хранящихся на телефонах и в облачных хранилищах. В наличии есть Forensic Cloud Extractor — встроенная служебная программа, собирающая данные из облачных служб хранения данных; средство Forensic Maps — программа, работающая с данными геоинформационных систем (GPS); Forensic Call Data Expert — программа для импорта записей данных о вызовах (так называемые CDR-файлы) любого поставщика услуг беспроводной связи и визуального анализа соединений абонентов.

Конечно, это далеко не все инструменты, которые могут пригодиться, а только известные и часто встречающиеся программы.

Собираем свою лабораторию

Для анализа и сбора артефактов нам будет нужна специальная лаборатория. Поскольку мы будем акцентироваться только на софтовой составляющей экспертизы, то есть без ковыряния железок, нам в качестве основы вполне хватит пула из нескольких виртуальных машин и специализированных дистрибутивов с необходимым софтом. Гипервизор я вам предлагаю выбрать на свой вкус, это может быть и бесплатный VirtualBox, и VMware.

Подробнее о том, какие бывают дистрибутивы, читайте в статье «Дистрибутивы для криминалистического анализа». Ясное дело, можно собрать и свой, но зачем, если есть специализированные? Лично я предпочитаю DEFT или, как вариант, Remnux, но CAINE и Parrot OS тоже достойны внимания, не говоря уже о платных Encase и SMART Linux.

Компьютерная криминалистика (Форензика). Демонстрация рабочего стола и меню утилит дистрибутива DEFT

Материалы для изучения компьютерной криминалистики

Книги

Так вышло, что русскоязычной литературы по компьютерной криминалистики практически нет. Да оно и неудивительно, форензика как прикладная деятельность стала популярна относительно недавно.

с материалами книги и PDF, доступная для загрузки. Это единственный на русском языке и наиболее полный труд, системно рассказывающий о форензике. Из минусов — многие вещи, описанные в книге, на сегодня устарели. Однако это все-таки must read как для начинающих, так и для тех, кто уже занимается криминалистикой в сфере высоких технологий. — этот труд посвящен особенностям экспертизы систем на сетевом уровне. Хорошее пособие, с основ и по шагам рассказывающее о сетевом стеке и методах его анализа. — труд, аналогичный предыдущему, но посвященный исключительно анализу файлов и файловой системы взломанных машин. — хороший вариант для новичков, желающих заняться мобильной форензикой. — еще одна книга, которую можно порекомендовать новичкам для уверенного старта. — само название книги говорит о продвинутых техниках экспертизы и особенностей применения именно в Windows 8. — неплохое пособие по форензике ОС, файловой системы, реестра, сети и съемных носителей. — можно сказать, это гайд по встроенным утилитам из раздела форензики дистрибутива Kali Linux. — книга концентрируется на особенностях парсинга системного реестра Windows, извлечении данных и особенностях, появившихся с Windows 8. — официальный мануал по курсу обучения CHFI с уклоном на исследование артефактов Wi-Fi-сетей и носителей данных. — хоть эта книга и не имеет прямого отношения к «классической» форензике, но все же стоит ее почитать, особенно если ты расследуешь инциденты с уклоном в сторону малвари. — официальное издание по курсу обучения CHFI. Рассмотрены все основные темы и вопросы с экзамена. — книга, целиком посвященная правильному подходу к созданию корректного образа взломанной системы для ее дальнейшего ресерча в лабораторных условиях. Считаю, что это must read для тех, кто начинает заниматься ремеслом криминалистической хай-тек-экспертизы.

Материалы и курсы

— курс обучения основам форензики от авторитетного института SANS. — еще один вариант курса по программе CHFI. — материалы к курсу обучения по мобильной форензике. — базовый курс обучения на площадке Udemy, заявленная стоимость — 50 долларов, однако по акции — 14 долларов. — еще один курс на площадке Udemy для продвинутых, стоимость 200 долларов, в дни распродаж — всего 14. — курс профессиональной подготовки с дальнейшей сертификацией по программе CHFI.

Для тех, кто хочет проверить свои знания в деле форензики, доступен бесплатный онлайновый тест Computer Forensics Fundamentals.

Полезные ссылки

Мобильная форензика

Остальные направления

Площадки для тренировки

После изучения матчасти, я уверен, вы готовы ринуться в бой, чтобы проверить свои навыки. Но вряд ли у каждого будет возможность сразу попасть на «живое» расследование. Начинать тренировки лучше, как говорилось в классическом фильме, «на кошках». В данном случае в роли фарфоровых кошек из «Операции Ы» выступают заранее подготовленные образы с артефактами, которые нужно извлечь и проанализировать.

— набор дампов памяти от Windows до Linux с зашитыми в них артефактами. — набор свободно скачиваемых заданий на темы web sleuthing и deleted file recovery. — репозиторий дампов сетевого трафика.

Краткие руководства и примеры парсинга дампов сетевого трафика можно найти тут, вот тут и на русском вот еще тут.

— репозиторий образов для тренировки навыков криминалистической экспертизы. — еще один архив снимков ФС. — портал организации Digital Corpora, созданный для энтузиастов киберфорензики, с семплами для тестирования своих навыков. — коммерческий набор инструментов и демопак для тестирования навыков.

Другие полезные ресурсы

. — чит-листы и шпаргалки по форензике, созданные в институте SANS, и не только! — статья о том, сколько зарабатывают эксперты по форензике за рубежом. Согласитесь, недурно! — железо для аппаратной форензики.

Заключение

Вот наш довольно сжатый ликбез по форензике и подошел к финалу. Надеюсь, что вам было интересно, вы узнали что-то новое о расследовании инцидентов, заинтересовались темой компьютерной криминалистики и получили хороший импульс прокачивать матчасть, свои скиллы и развиваться дальше!

Форензика как наука о расследовании киберпреступлений

Вообще, «форензика» — это калька с английского слова forensics, которое, в свою очередь, является сокращенной формой от forensic science, «судебная наука», то есть наука об исследовании доказательств. В русском это понятие чаще называют криминалистикой, а слово «форензика» закрепилось за компьютерной ее частью.

Форензика — это удел спецов из групп быстрого реагирования, которые включаются в работу, если произошел инцидент, например взлом веб-сервера или утечка конфиденциальной информации, шифрование ценных данных и тому подобные проблемы. Перед экспертами-криминалистами в таком случае ставятся следующие задачи:

• понять, как была реализована атака;
• построить сценарий взлома;
• восстановить хронологию (таймлайн) атаки;
• собрать артефакты (в смысле, не меч Армагеддона и не святой Грааль, а оставшиеся после атаки следы);
• предложить превентивные защитные меры, чтобы такого впредь не повторилось.

Отдельно в этой цепи существует этап формирования экспертного заключения по факту инцидента ИБ. К примеру, для судебных органов или иных компетентных в расследовании инцидента структур.

Сейчас все больше крупных компаний из тех, что имеют свой бренд услуг ИБ, в обязательном порядке заводят специализированную лабораторию и штат из нескольких экспертов по форензике. Также форензика часто идет в составе услуг компаний, которые далеки от сферы ИТ и занимаются, к примеру, финансовым аудитом. Ведь при расследовании финансового мошенничества до 100% всех доказательств может содержаться в компьютерных системах (ERP, CRM, BI, BPM и так далее).

Ну и конечно, эксперты по форензике — это неотъемлемая часть «управления К». Ведь чтобы возбудить уголовное дело по фактам компьютерных преступлений, сначала по нормам законодательства необходимо подтвердить сам факт преступления и определить его состав. Аналогично, если пострадавшая сторона обращается в суд за взысканием ущерба, возникшего из-за взлома, — тут уже без экспертизы никак не обойтись.

Отдельная тема — расследование целенаправленных атак, или APT. Их суть сводится к взлому целевых систем с использованием разнообразных векторов атак, инструментов, изощренных техник и методов, неизвестных до настоящего момента. На эту тему, кстати, в нашем журнале есть несколько добротных статей, вот тут с разбором двух кейсов, недавней историей со Сбербанком и небольшой теорией тут и тут.

Стоит ли говорить, что таски на форензику традиционно присутствуют и в CTF? Поэтому без знания хотя бы базовых техник расследований не обойтись. Кому интересно, есть примеры разбора тут и вот тут. А некоторые часто используемые тулзы, идущие в ход на CTF, мы рассмотрим чуть ниже.

Классификация

Любая наука склонна делиться на более мелкие темы. Чтобы окончательно почувствовать себя в институте, давай прикинем карту классификации нашего предмета.

Computer forensics — к ней относится все, что связано с поиском артефактов взлома на локальной машине: анализ RAM, HDD, реестра, журналов ОС и так далее.

Network forensics, как понятно из названия, имеет отношение к расследованиям в области сетевого стека — например, дампу и парсингу сетевого трафика для выявления таких интересных вещей, как RAT, reverse shell, backdoor-туннели и тому подобное.

Forensic data analysis посвящена анализу файлов, структур данных и бинарных последовательностей, оставшихся после атаки или использовавшихся при вторжении.

Mobile device forensics занимается всем, что касается особенностей извлечения данных из Android и iOS.

Hardware forensic — экспертиза аппаратного обеспечения и технических устройств (примеры тут, тут и еще тут, все ссылки — на PDF). Это направление наименее популярно и наиболее сложно. Сюда входит разбор данных на низком уровне (микроконтроллера, прошивки или BIOS), ресерч специфических особенностей работы устройства, к примеру диапазона частот работы Wi-Fi-передатчика или внутреннего устройства скиммера, устанавливаемого на банкоматы.

Методы и техники экспертизы

Как и в случае с анализом малвари, есть два основных подхода к экспертизе взломанной машины — статический и динамический анализ. Задачи статического анализа — создать (скопировать) образ жесткого диска или дампа оперативной памяти, выявить и восстановить удаленные файлы, остатки аномальных файлов в %TEMP% и системных директориях, собрать историю серфинга веб-браузера, системные логи (события авторизации, аудит доступа к файлам и директориям и так далее), получить список запущенных в памяти процессов и открытых коннектов сети.

Динамический анализ, или live-анализ, использует нарезку из снапшотов системы, запускаемой в различных условиях для получения полной картины происходящего. К примеру, малварь склонна удалять свой код и следы инфицирования после определенных действий. И если снапшот взломанной системы был снят до этого момента, есть реальный шанс получить данные о том, что эта малварь делала на компьютере жертвы. Соответственно, в качестве подшивки электронных свидетельств здесь могут выступать скриншоты, логи коннектов в сеть, передаваемый трафик, сравнение состояния файловой системы ОС до и после инцидента.

Есть неплохая статейка (PDF) на английском языке, где вкратце описываются и сравниваются эти методы. И еще одна обзорная публикация — на небезызвестном портале InfoSec Resources.

Продолжение доступно только участникам

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Компьютерная криминалистика (также известная как компьютерная криминалистика ) - это отрасль цифровой криминалистики, имеющая отношение к доказательствам, обнаруженным в компьютерах и цифровых носителях . Целью компьютерной криминалистики является исследование цифровых носителей с точки зрения судебной экспертизы с целью выявления, сохранения, восстановления, анализа и представления фактов и мнений о цифровой информации.

Хотя это чаще всего связано с расследованием самых разных компьютерных преступлений , компьютерная криминалистика также может использоваться в гражданском судопроизводстве. Дисциплина включает в себя методы и принципы, аналогичные восстановлению данных , но с дополнительными рекомендациями и практиками, предназначенными для создания журнала аудита .

Доказательства компьютерной криминалистики обычно подчиняются тем же правилам и методам, что и другие цифровые доказательства. Он использовался в ряде громких дел и становится широко признанным надежным в судебных системах США и Европы.

СОДЕРЖАНИЕ

Обзор

В начале 1980-х годов персональные компьютеры стали более доступными для потребителей, что привело к их более широкому использованию в преступной деятельности (например, для совершения мошенничества ). В то же время было выявлено несколько новых «компьютерных преступлений» (например, взлом ). Дисциплина компьютерной криминалистики возникла в это время как метод восстановления и исследования цифровых доказательств для использования в суде. С тех пор компьютерные преступления и преступления, связанные с компьютерами, выросли, и в период с 2002 по 2003 год их количество увеличилось на 67%. Сегодня они используются для расследования широкого спектра преступлений, включая детскую порнографию , мошенничество, шпионаж , киберпреследование , убийства и изнасилования. Дисциплина также используется в гражданском судопроизводстве как форма сбора информации (например, Электронное раскрытие ).

Использовать как доказательство

В суде к доказательствам компьютерной криминалистики применяются обычные требования для цифровых доказательств . Это требует, чтобы информация была достоверной, надежно полученной и допустимой. В разных странах есть особые рекомендации и практики по восстановлению доказательств. В Соединенном Королевстве экзаменаторы часто следуют рекомендациям Ассоциации старших офицеров полиции, которые помогают обеспечить подлинность и целостность доказательств. Хотя эти правила являются добровольными, они широко распространены в британских судах.

Компьютерная криминалистика использовалась в качестве доказательства в уголовном праве с середины 1980-х годов, некоторые известные примеры включают:

• BTK Killer: Деннис Рейдер был осужден за серию серийных убийств, произошедших в течение шестнадцати лет. Ближе к концу этого периода Рейдер отправил письма в полицию на дискете. Метаданные в документах указывают на причастность автора по имени «Деннис» из «Лютеранской церкви Христа»; эти доказательства помогли привести к аресту Рейдера.
• Джозеф Эдвард Дункан : электронная таблица, извлеченная из компьютера Дункана, содержала доказательства, показывающие, что он планировал свои преступления. Прокуратура использовала это, чтобы продемонстрировать преднамеренность и добиться смертной казни .
• Шэрон Лопатка : Сотни электронных писем на компьютере Лопатки приводят следователей к ее убийце, Роберту Глассу.
• Corcoran Group : Это дело подтвердило обязанности сторон по сохранению цифровых доказательств, когда судебное разбирательство началось или разумно ожидается. Жесткие диски были проанализированы экспертом по компьютерной криминалистике, который не смог найти соответствующие электронные письма, которые должны были быть у Ответчиков. Хотя эксперт не обнаружил доказательств удаления на жестких дисках, выяснилось, что ответчики были признаны умышленно уничтожающими электронные письма, вводили в заблуждение и не раскрывали существенные факты истцам и суду.
• Доктор Конрад Мюррей : Доктор Конрад Мюррей, врач покойного Майкла Джексона , был частично признан виновным по цифровым уликам на своем компьютере. Эти доказательства включали медицинскую документацию, показывающую смертельное количество пропофола .

Судебно-медицинский процесс

Компьютерные судебные расследования обычно следуют стандартному процессу или этапам цифровой судебной экспертизы, которые включают сбор данных, экспертизу, анализ и составление отчетов. Исследования проводятся на статических данных (т.е. полученных изображениях ), а не на «живых» системах. Это изменение по сравнению с ранней судебной практикой, когда из-за отсутствия специальных инструментов следователи обычно работали с оперативными данными.

Техники

Во время компьютерных криминалистических расследований используется ряд методов, и много написано о многих методах, используемых, в частности, правоохранительными органами.

Кросс-драйв анализ Криминалистический метод, который сопоставляет информацию, найденную на нескольких жестких дисках . Процесс, который все еще исследуется, может быть использован для идентификации социальных сетей и обнаружения аномалий . Живой анализ Осмотр компьютеров изнутри операционной системы с использованием специальной криминалистической экспертизы или существующих инструментов системного администратора для извлечения улик. Эта практика полезна при работе с шифрованными файловыми системами , например, когда ключи шифрования могут быть собраны, а в некоторых случаях логический том жесткого диска может быть создан (известный как оперативное получение) перед выключением компьютера. Удаленные файлы Обычным методом, используемым в компьютерной криминалистике, является восстановление удаленных файлов. Современное программное обеспечение для криминалистики имеет свои собственные инструменты для восстановления или удаления удаленных данных. Большинство операционных систем и файловых систем не всегда стирают данные физических файлов, что позволяет исследователям восстанавливать их из секторов физического диска . Вырезание файлов включает в себя поиск известных заголовков файлов в образе диска и восстановление удаленных материалов. Стохастическая криминалистика Метод, использующий стохастические свойства компьютерной системы для исследования действий, в которых отсутствуют цифровые артефакты. Его основное использование - расследование кражи данных . Стеганография Один из методов, используемых для сокрытия данных, - это стеганография, процесс сокрытия данных внутри изображения или цифрового изображения. Примером может служить сокрытие порнографических изображений детей или другой информации, которую преступник не хочет раскрывать. Специалисты по компьютерной криминалистике могут бороться с этим, просматривая хэш файла и сравнивая его с исходным изображением (если доступно). Хотя изображения кажутся идентичными при визуальном осмотре, хеш изменяется по мере изменения данных.

Неустойчивые данные

Энергозависимые данные - это любые данные, которые хранятся в памяти или существуют в пути, которые будут потеряны при отключении питания или выключении компьютера. Изменчивые данные находятся в реестрах, кеш-памяти и оперативной памяти (RAM). Исследование этих непостоянных данных называется «криминалистикой в ​​реальном времени».

При изъятии улик, если машина все еще активна, любая информация, хранящаяся исключительно в ОЗУ, которая не была восстановлена ​​до отключения питания, может быть утеряна. Одним из применений «живого анализа» является восстановление данных RAM (например, с помощью инструмента Microsoft COFEE , WinDD, WindowsSCOPE ) перед удалением экспоната. CaptureGUARD Gateway обходит вход в Windows для заблокированных компьютеров, позволяя анализировать и собирать данные о физической памяти заблокированного компьютера.

ОЗУ можно проанализировать на предмет предшествующего содержимого после потери питания, поскольку электрическому заряду, хранящемуся в ячейках памяти, требуется время, чтобы рассеяться - эффект, используемый атакой с холодной перезагрузкой . Время восстановления данных увеличивается из-за низких температур и более высоких напряжений ячеек. Хранение ОЗУ без питания при температуре ниже -60 ° C помогает на порядок сохранить остаточные данные, повышая шансы на успешное восстановление. Однако это может оказаться непрактичным во время полевого обследования.

Однако некоторые инструменты, необходимые для извлечения изменчивых данных, требуют, чтобы компьютер находился в лаборатории судебной экспертизы, как для поддержания законной цепочки доказательств, так и для облегчения работы на машине. При необходимости правоохранительные органы применяют методы для перемещения работающего настольного компьютера. К ним относятся манипулятор мыши , который быстро перемещает мышь небольшими движениями и предотвращает случайное переключение компьютера в спящий режим. Обычно источник бесперебойного питания (ИБП) обеспечивает питание во время транспортировки.

Однако один из самых простых способов сбора данных - это фактическое сохранение данных RAM на диск. Различные файловые системы, которые имеют функции журналирования, такие как NTFS и ReiserFS, сохраняют большую часть данных RAM на основном носителе во время работы, и эти файлы подкачки могут быть повторно собраны для восстановления того, что было в RAM в то время.

Инструменты анализа

Для компьютерной криминалистики существует ряд инструментов с открытым исходным кодом и коммерческих инструментов. Типичный судебно-медицинский анализ включает в себя ручной просмотр материалов на носителе, просмотр реестра Windows на предмет подозрительной информации, обнаружение и взлом паролей, поиск по ключевым словам для тем, связанных с преступлением, и извлечение электронной почты и изображений для проверки. Autopsy (программное обеспечение) , Belkasoft Evidence Center , COFEE , EnCase - вот некоторые из инструментов, используемых в цифровой криминалистике.

Сертификаты

Доступно несколько сертификатов компьютерной криминалистики, таких как сертифицированный компьютерный эксперт ISFCE, специалист по цифровым судебным расследованиям (DFIP) и сертифицированный IACRB эксперт компьютерной криминалистики.

Независимая сертификация ведущих поставщиков (особенно в ЕС) считается [ CCFP - Certified Cyber ​​Forensics Professional [1] ].

Другие, о которых стоит упомянуть для США или Азиатско-Тихоокеанского региона: Международная ассоциация специалистов по компьютерным расследованиям предлагает программу Certified Computer Examiner .

Международное общество судебных компьютерных экспертов предлагает программу « Сертифицированный компьютерный эксперт ».

Многие компании, занимающиеся разработкой коммерческого программного обеспечения для судебной экспертизы, теперь также предлагают проприетарные сертификаты на свои продукты. Например, Guidance Software, предлагающее сертификацию (EnCE) для своего инструмента EnCase, сертификацию предложения AccessData (ACE) для своего инструмента FTK, PassMark Software, предлагающее сертификацию своего инструмента OSForensics, и сертификацию X-Ways Software Technology (X-PERT) для их программное обеспечение, X-Ways Forensics.

Читайте также:

  
• Почему не работает php в sublime text
  
• Неверный идентификатор абриса в coreldraw что это
  
• Контур установка сертификата на компьютер
  
• Ok google показать фото toyota explorer 8 мест
  
• Как настроить карты памяти в фотоаппарате canon