Тактика сбора и исследования доказательственной информации с компьютера, подключенного к сети
Дата: 25.01.2005Источник: www.crime-research.ru
Автор: Алексей Турута
... файлов. Такой инструмент позволяет проводить поиск ключевых слов с помощью регулярных выражений;– Forensic Toolkit [25]: то же самое для Windows для анализа файловой системы NTFS;
– The Coroner's Toolkit [26]: инструмент Unix для анализа поврежденных и взломанных систем.
Актуальной проблемой является сертификация используемого программного обеспечения. И определение следующих параметров:
Во-первых, необходима оценка ошибки в действиях ПО.
Во-вторых, необходим алгоритм выполняемых действий.
В-третьих, необходимо оценить компьютерную информацию, которая модифицируется вследствие работы ПО.
Указанные вопросы в рамках исследовательской работы не рассматриваются, т.е. имеют важное значение и требуют определенного вклада со стороны экспертных учреждений.
При создании копий возникает проблема подтверждения целостности и аутентичности копии. Для этого возможно использование алгоритма MD5. Такой алгоритм дает число, называемое «дайджест сообщение», значение которого определяется расположением данных на диске (MD5 также можно использовать для нахождения дайджестов файлов).
Существуют также и готовые инструменты для контроля целостности:
– Tripwire [27]: коммерческий продукт, как для Unix, так и для Windows;
– AIDE [28]: схожий, но бесплатный исходно открытый инструмент для Unix.
Определение искажения компьютерной информации в ходе применение специальных знаний
В ходе проведения исследования на работающем ПК неизбежно происходит изменение информации. Для обеспечения достоверности полученных результатов исследований необходимо определить изменяющуюся информацию и учитывать этот факт при получении результата. Автор выделяет 3 группы компьютерной информации, которые изменяются в процессе исследования.
1. КИ, связанна с работой процессов, которые могут писать и модифицировать КИ. (например, запись электронных журналов, уничтожение значимой информации).
2. КИ, отражающая признаки работы пользователя, взаимодействие в сети и может быть утрачена со временем (например, сетевые диски, соединения).
Отметим, что такие изменения зависят от работы ОС.
3. Изменение КИ связанное с ее исследованием, созданием ее копий, завершение работы ПК.
Такие изменения зависят от действия пользователя компьютера (специалиста).
Работа с процессами
При исследовании функционального состояния компьютера, выполняющихся процессов и задач существуют различные и противоречивые рекомендации относительно порядка завершения работы компьютера. Одни авторы предлагают корректно завершать работу компьютера. Другие напротив, указывают на необходимость некорректного отключения ПК [29].
Рассмотрим процедуру отключения компьютера:
1. Корректное отключение предусматривает последовательное завершение всех прикладных процессов (с ожиданием времени для их завершения) и завершение работы системы. В таком случае компьютерная информация будет модифицирована в соответствии с действиями процессов.
Под процессом понимается компьютерная программа, находящаяся в стадии выполнения, т.е. загруженная в энергозависимую память и ожидающая команды пользователя или иных событий [30].
2. Некорректное отключение компьютера не предусматривает завершение прикладных или системных процессов. В таком случае вся компьютерная информация, которая была на жестком диске, остается без изменений, а содержимое ОЗУ будет утрачено.
Из рассмотренного выше следует, что целесообразно говорить о завершении каждого функционирующего процесса.
Функционирующие процессы по обработке компьютерной информации (КИ) можно разделить на 4 группы.
1. Выполнение процесса не сопровождается изменением КИ (только чтение КИ). Завершение процесса не приводит к изменению КИ на диске.
Корректное и не корректное завершение такого процесса не влияет на КИ.
2. Выполнение процесса связано с изменением данных, возможно созданием их копий (чтение, запись на свободное место КИ). Например, создание временных файлов при редактировании документов MS Office, создание транзакций в ходе манипулирования данными в Oracle.
Корректное завершение такого процесса приведет к уничтожению сделанных копий во время функционирования. Некорректное завершение прекратит процесс, оставив его промежуточные результаты на жестком диске.
3. Выполнение процесса связано с изменением целостности данных (чтение и запись поверх других данных). Например, выполнение дефрагментации диска, памяти.
Некорректное завершение такого процесса приведёт к потере целостности КИ (которая находилась в обработке). Корректное завершение процесса завершит обработку данных с сохранением целостности КИ.
4. Выполнение процесса связано с определенным действием: удалением, созданием данных и др. (запись КИ).
Корректное завершение такого процесса, позволит самому процессу отменить или довести до логического завершения (сохранить логическую структуру) выполняемую им функцию. Некорректное завершение процесса оставит изменения на диске в текущий момент (логическая структура может быть нарушена), КИ из ОЗУ будет утрачена.
Выбор метода завершения работы функционирующих процессов компьютера, зависит от обнаруженных процессов и задач осмотра.
Использование специальных знаний при расследовании уголовных дел
Как правило, расследование уголовных дел начинается с осмотра. Согласно ст. 190 УПК Украины следователь производит осмотр места происшествия, местности, помещения, предметов и документов.
Под категорию предметы подходят: аппаратная часть ПК, носители информации, сетевое оборудование, телекоммуникационные линии и др.
Исходя из ст.1 ЗУ «Об информации» под информацией понимается документированные и публично опубликованные данные о событиях или явлениях, которые происходят в обществе, государстве и окружающей среде.
Термин компьютерная информация разными авторами определяется по-разному:
– «компьютерная информация» – это любая информация (данные), которая существует в электронном виде, находится в электронно-вычислительной машине либо на машинных носителях и которую можно создавать, изменять или использовать с помощью ЭВМ [31].
– под компьютерной информацией понимаются не сами сведения, а форма их представления в машиночитаемом виде, т.е. совокупность символов, зафиксированных в памяти компьютера, либо на машинном носителе (дискете, оптическом, магнитооптическом диске, магнитной ленте либо ином материальном носителе) [32].
В работе под компьютерной информацией будут пониматься любые данные, существующие в памяти компьютера, периферийных устройств, носителях информации и компьютерной сети, которые могут управлять процессами и устройствами компьютера или могут зависеть от работы процессов, т.е. созданы, модифицированны, считаны, записаны или удалены.
Типичные следственные ситуации
Для разработки практических рекомендаций по выявлению и исследованию следов преступлений, совершенных с использованием компьютерной техники, большое значение имеет выделение типичных следственных ситуаций, как первоначального этапа расследования, так и складывающихся при проведении осмотра (обыска, выемки). В зависимости от обстоятельств, подлежащих доказыванию, выделяют несколько оснований для классификации следственных ситуаций [33]:
1. Отношение собственника компьютерной информации к результатам поиска следов преступления (это основание важно с точки зрения наличия или отсутствия противодействия поиску компьютерной информации). Ситуация 1.1. Персональный компьютер (ПК) представлен собственником компьютерной информации, заинтересованным в поиске следов преступления. Ситуация 1.2. ПК обнаружен на месте производства осмотра, обыска, выемки у собственника (пользователя), незаинтересованного в обнаружении следов преступления.
2. Энергетическое состояние компьютера. Ситуация 2.1. ПК выключен. Ситуация 2.2. ПК включен.
3. Функциональное состояние компьютера. Ситуация 3.1. Включенный ПК находится в режиме «ожидания». Ситуация 3.2. Включенный ПК выполняет какие-либо процессы.
4. Наличие системы или сети на месте проведения следственного действия. Ситуация 4.1. Осмотру подлежит один или несколько несвязанных между собой ПК. Ситуация 4.2. Осмотру подлежат ПК, находящиеся в компьютерной системе. Ситуация 4.3. Осмотру подлежат ПК, находящиеся в локальной вычислительной сети. Ситуация 4.4. Осмотру подлежат ПК, подключенные к глобальной сети.
5. Наличие данных о защите информации на ПК, подлежащем осмотру. Ситуация 5.1. Следователь имеет данные о способе защиты информации. Ситуация 5.2. Данных о способе защиты информации нет.
Указанные следственные ситуации выделены, условно говоря, в «чистом» виде. При проведении следственных действий складывающиеся реальные ситуации представляют собой сочетание, комплекс типичных исходных ситуаций. Так, следователю чаще всего неизвестно имеется или нет какая-либо защита на осматриваемом ПК, который выполняет заданную программу и находится в сети.
Формы применения специальных знаний
Наибольшую сложность в следственной практике вызывают ситуации, когда ПК включен, выполняется какой-либо процесс, работает в сети. В этих случаях согласно некоторым методическим рекомендациям следователю с помощью специалиста предлагается скопировать из оперативной памяти ПК информацию на заранее подготовленные магнитные носители с использованием принесенного программного обеспечения или провести осмотр информации непосредственно на ПК [34, 35, 36 и др.]. Нельзя не согласиться с точкой зрения авторов, которые считают недопустимым какие-либо...
| Добавить комментарий |
| 2006-04-26 07:52:58 - Да... Для реферата на школьную информатику... Samuray |
| 2005-12-31 06:31:05 - Привелчь злодея можно только на основе... Чайник |
| Всего 2 комментариев |
