Центр исследования компьютерной преступности

home контакты

Рекомендации по фиксации следов во время проведения осмотра работающей компьютерной техники

Дата: 01.05.2004
Источник: crime-research.ru
Автор: Алексей Турута, Национальный университет внутренних дел (Харьков, Украина)


Во время проведения следственных действий на работающих (включены и на которых функционируют процессы) компьютерах имеются данные – следы.

В учебной и методической литературе достаточно подробно описываются действия специалиста на рабочем и заключительном этапах осмотра, обыска и выемки; рекомендации специалисту для выявления компьютерной информации; множественные манипуляции с работающим компьютером для определения вида функционирующего процесса и т.д. На заключительном этапе предлагают скопировать выявленную информацию на подготовленные носители [1,2]. Однако в ходе проведения осмотра невозможно визуально зафиксировать достаточное количество следов и сохранить состояние компьютера в момент проведения следственного действия невозможно.

Рассмотрим группы следов, существующие в момент проведения следственных действий, которые могут быть утрачены при выключении (корректном или некорректном) компьютера и не могут быть восстановлены в полном объеме при проведении компьютерно-технической экспертизы (КТЭ) в лабораторных условиях.

1. Группа следов – данные, находящиеся в памяти, которая теряет способность хранить данные с отключением питания.

2. Группа следов – данные, определяемые текущим состоянием системы, запущенными процессами, сеансом пользователя.

3. Группа следов – данные, связанные с сетью: установленными сетевыми параметрами, сетевой активностью (подключениями).

Группа 1. Данные, находящиеся в памяти, которая теряет способность хранить данные с отключением питания.

К памяти, хранящей следы данной группы, относится ОЗУ, кеш, буфер. В ОЗУ хранятся коды и обрабатываемые данные процессов, др.; кеш-память и буфер служат для согласования работы разноскоростных устройств.

При проведении следственных действий в научной литературе предлагаются изымать информацию из оперативной памяти компьютера путем копирования соответствующей машинной информации на физический носитель [3] (авт.-жесткий диск) и проводить последующие исследования в лабораторных условиях.

Предложенный механизм не обеспечивает получение целостного мгновенного «снимка» содержимого ОЗУ по следующим причинам:

1. Ряд операционных систем (WinNT, W2k, WinXP/2003Srv; в случае недостаточных привилегий в Linux, FreeBSD, SunSolaris) не предоставляют доступ ко всему пространству ОЗУ.

2. Сложность составляет реализация механизма получения мгновенного «снимка» ОЗУ компьютера, на котором выполняются процессы.

Укрупнено рассмотрим процесс копирования содержимого оперативной памяти. Весь объем ОЗУ не может быть скопирован за одну итерацию на физический носитель, копирование большого объема информации осуществляется меньшими блоками.

Первый блок начнет копироваться в период времени T, и будет продолжаться ∆t, где ∆t – время больше самой длительной операции копирования. Отметим, время, необходимое на изменение данных в оперативной памяти, существенно меньше времени записи на физический носитель. В момент записи данных на физический носитель содержимое ОЗУ может быть модифицировано.

Последний (N-й) блок закончиться копироваться в момент T+ N∆t. Каждый i-й блок будет скопирован с мгновенного «снимка» ОЗУ в период T+ i∆t, полученный образ на физическом носителе не будет являться целостным «снимком» первоначального состояния ОЗУ (Рис. 1.). Т.о. восстановление полного и целостного мгновенного «снимка» ОЗУ не представляется возможным.


рисунок 1


Рис. 1. Получение результата копирования ОЗУ на физический носитель во время функционирования процессов.

В ряде случаев работающие процессы создают временные файлы, связанные с данными в ОЗУ, потеря целостности содержимого ОЗУ приведет к невозможности построения логической цепочки с использованием найденных временных файлов, при дальнейших исследованиях.

Рассматривать можно копирование определенных фрагментов ОЗУ, однако такие действия по своей природе могут изменять данные в компьютере. Рассмотрение подходов выявления и сохранения необходимых областей ОЗУ, техническая реализация таких подходов требует отдельного рассмотрения.

Отметим, что копирование ОЗУ на физический носитель не обеспечивается встроенными средствами ОС, поэтому данная операция выполняется средствами ПО третьих производителей, применение таких средств выходит за рамки осмотра, когда действия специалиста должны восприниматься наглядно, носить общедоступный, очевидный характер и понятны понятым [4].

Группа 2. Данные, определяемые текущим состоянием системы, запущенными процессами, сеансом пользователя.

В момент проведения следственных действий компьютер находится в определенном состоянии, возможно отличном от загрузки по умолчанию.
Состояние компьютера характеризуется визуально видимыми и невидимыми признаками.

К видимым признакам, воспринимаемыми всеми участниками осмотра, можно отнести: элементы интерфейса, запушенные процессы, окна, имена файлов и др. Данные признаки можно отразить в протоколе осмотра, зафиксировать средствами видеосъемки.

К невидимым признакам относятся: привилегии запущенного процесса, влияние одного процесса на другой (например, наличие процесса, эмулирующего наличие ключа HASP для программ «Компас», 1С-бухгалтерия), стартовые параметры процесса, переменные окружения. В процессе осмотра невозможно визуально зафиксировать в достаточной мере имеющиеся следы.

Отметим, что визуально невидимые признаки процессов, протекающих в компьютере, могут формироваться под влиянием различных факторов (особый порядок запуска процессов, изъятый сменный носитель, отключённый сетевой ресурс), информации, о которых на момент проведения следственных действий нет, однако результат влияния факторов существует. Т.о. копирование части ОЗУ, связанной с исследуемым процессом на физический носитель не обеспечивает необходимого сохранения необходимого полного объема компьютерной информации. При последующем проведении КТЭ в лабораторных условиях восстановить состояние, соответствующее моменту осмотра, будет затруднено, а порой и невозможно.

Группа 3. Данные, связанные с сетью: установленными сетевыми параметрами, сетевой активностью (подключениями).

Следы, связанные с сетью, разделим на две подгруппы:

1. Данные, связанные с заданными параметрами сети. К таким данным относятся: параметры устройств (например, MAC-адрес адаптера Ethernet, RadioEthernet, параметры подключения к VPN); параметры протоколов (IP-адрес, маска подсети; IPX-адрес, сеть; таблица маршрутизации, таблица адресов); параметры процессов (например, proxy-сервер для браузера).

2. Данные, связанные с сетевой активностью компьютера. К таким данным относятся: наличие физического соединения с др. элементами сети; информация о соединениях по протоколам ОС; признаки взаимодействия процессов (например, открытые файлы в службе netbios, управление с помощью ssh и др.).

Особенностью формирование следов данной группы является сочетание воздействий локальных факторов и воздействий извне (такие воздействия могут быть, как санкционированы ОС, так и нет). Т.о. данные, существующие в момент проведения следственного действия, могут формироваться, модифицироваться под влиянием внешних факторов. Изъятие фрагментов ОЗУ и описание визуальных признаков на мониторе не будет указывать на существующие следы в полном объеме.

Исследование данных подгруппы 1 (параметров сети) позволяет решить ряд диагностических задач: определить тип сети, возможный диаметр сети; определить протоколы, используемые в сети, выявить элементы в сети, установить возможные элементы сети.

Исследование данных подгруппы 2 (сетевая активность) позволяет зафиксировать признаки, указывающие на взаимодействия исследуемого компьютера и др. элементов сети. Указанные признаки могут автоматически (средствами ОС) фиксироваться в электронных журналах (log-файлах), использоваться в дальнейшем без затруднений (например, подключению к порту отправки почтового сообщения, регистрация подключений по модему) или существовать некоторое время (например, данные о состоянии подключения) и быть утраченными без возможности восстановления в дальнейшем.

Отметим, что при работающем в сети компьютере, указанные признаки, которые не регистрируются, могут появляться, модифицироваться и утрачиваться, через определенные интервалы времени в соответствии с работой процессов в сети. Отмеченные признаки могут быть не видимыми, а их отображение на экране неочевидным. Поэтому зафиксировать такие следы возможно только в процессе исследования ПК на месте проведения следственных действий с использованием специальных знаний.


1. Пособие следователя. Расследование преступлений повышенной общественной опасности / Под ред. Селиванова Н.А., Дворкина А.И. - М., 1998. - С.367-368.
2. Расследование неправомерного доступа к компьютерной информации / Под ред. Шурухнова Н.Г. - М.,1995. – С.132-133.
3. Преступления в сфере компьютерной информации: квалификация и доказывание. Учеб. пособие / Под ред. Гаврилина Ю.В. – ЮИ МВД РФ. - М., 2003. – С.134.
4. Орлов Ю.К. Производство экспертизы в уголовном процессе. – М., 1982. – С.22.


Добавить комментарий
Всего 0 комментариев


Copyright © 2001–2019 Computer Crime Research Center

CCRC logo
Главным направлением в деятельности Центра является широкое информирование общественности об основных проблемах и способах их решения, с которыми сталкивается общество в сфере противодействия компьютерной преступности.