Центр исследования компьютерной преступности

home контакты

Тактика сбора и исследования доказательственной информации с компьютера, подключенного к сети

Дата: 25.01.2005
Источник: www.crime-research.ru
Автор: Алексей Турута


etc/eye.jpg ... процесс);
– компьютер (например, дочерний сервер идентифицируется на родительском в цепочке прокси-серверов).

Такую особенность необходимо учитывать при проведении следственных действий, составлении документов и рассмотрении дела по сути.

Методы и технические средства применение специальных знаний
Поиск и закрепление доказательственной информации в компьютерной сети, при расследовании компьютерных и иных преступлений, связано с использованием специальных знаний.

Рассмотрим различные ситуации применения специальных знаний, влияющих на порядок проведения исследования:
I. По функциональному состоянию ПК:
1. на ПК выполняются определенные задачи;
2. ПК находится в неактивном состоянии.
II. По вхождению ПК в компьютерную сеть:
1. отдельно стоящий ПК не имеет ни проводного соединения, ни беспроводного.
2. ПК подключен к компьютерной сети;

В случае I.1. на компьютере существуют 3 группы следов [14], которые необходимо закрепить до завершения работы всех процессов и работы системы, т.е. исследование необходимо проводить по месту нахождения объекта исследования. Дальнейшее исследование аналогично I.2, т.е. может проводиться в экспертном учреждении.

В случае II.2. целесообразно исследовать отдельные параметры, зависящие от работы сети, без вычленения ПК из объективной обстановки.

При нахождении функционирующего ПК в сети, предлагается начать КТЭ на месте проведения следственного действия и закончить в экспертном учреждении.

При исследовании компьютерной сети подлежат установлению и закреплению:
1. Системное время и время ОС.
Время устанавливается в случаях необходимости сравнения времени в электронных журналах и др. Однако системное время (BIOS) может отличаться от времени операционной системы. Так, например, в ОС Linux команды:
– time/date – выводит время и дату операционной системы;
– clock – выводит системное время.
Результат выполнения указанных команд может не совпадать.

2. Следы сетевого взаимодействия.
Исследование сетевых идентификаторов требует применение выполнения специальных программ, причем результат выполнения будет содержать [15]:
1. Непонятные неспециалистам слова, коды, аббревиатуры, специальные последовательности. Например, NIC, DHCP, DNS, WINS, Physical Address.
Результат выполнения команды F:\>ipconfig /all, для сетевого адаптера, который получает настройки от сервера сети (DHCP).




2. Результаты, расшифровки которых нет в официальных источниках на национальном языке. Например, недокументированных сетевых параметров сети MicroSoft.
3. Данные, существующие непродолжительное время. Например, содержимое arp-таблицы, сетевых соединений.
Например, результат выполнения команды arp –a.




В данной таблице в первой конке указываются IP-адрес, с которыми взаимодействует исследуемый ПК, во второй колонке – физический адрес – MAC адрес – аппаратный адрес. Тип динамический указывает на то, что соответствие IP – MAC выполняется во время взаимодействия и после истечении установленного времени (для Linux 300 сек) данная запись будет уничтожена.

М.Бурдах предлагает исследовать систему после инцидента и указывает, что в ПК существует КИ[23] о запущенных процессах, открытых TCP/UDP портах, образах удаленных программ, которые всё ещё находятся в основной памяти, содержимом буферов, очередях запросов на соединение, установленных соединениях и модулях, загруженных в зарезервированную часть виртуальной памяти ядра ОС Linux.. И предлагает результаты исследования закреплять в файлах и отправлять на заданный компьютер в сети (специально подготовленный).




3. Настройки системы, устройств.
А.В.Горбачев [18] предлагает установить количество и тип установленных операционных систем (ОС). Если установлены системы семейства Microsoft Windows, то необходимо установить серийный номер каждой и имена зарегистрировавших их лиц.

Предлагается любой из двух способов:
1. С помощью специализированных программ. При их использовании необходимо зафиксировать полученные данные, сохранив их в отдельный файл.
2. Используя данные реестра. Реестр - база данных операционной системы, содержащая конфигурационные сведения. Физически вся информация реестра разбита на несколько файлов. Реестры Windows 9x и NT, XP частично различаются.

Например, по пути реестра запущенной операционной системы - HKEY_LOCAL_MACHINE \Software \Microsoft \Windows(Windows NT) \CurrentVersion, в значении строкового параметра ProductKey (ProductID) храниться серийный номер ОС, RegisteredOrganization, RegisteredOwner – данные лица и организации, зарегистрировавших данную копию ОС, PathName – рабочий каталог Windows.
Аналогично, зная путь к искомому параметру, специалист устанавливает необходимую КИ. Отметим, что такие способы характерны для каждой ОС. Так, настройки для ОС Linux находятся в папке etc.

4. Исследование процессов и привилегий.
Некоторые изменения отражаются не в видимых признаках, а изменении определенных параметров, например, привилегии. Такая КИ будет важной для решения вопросов о несанкционированном доступе и др.

5. Проведение экспериментов, исследование почты и фиксация трафика.
Специальные знания применяются не только для исследования следов событий, которые произошли в прошлом. На практике возникает необходимость подготовить и провести определенное исследование. Например, оценить пропускную способность предоставленного канала связи. Для этого существует ряд программного обеспечения такие, как ping, bang, iptraff и другие биллинговые системы.

Павел П. [19] предлагает подробное описание действий позволяющих исследовать почтовый сервис. Предлагается использовать службы whois и DNS для получения информации о том, какие почтовые сервера обслуживают доменное имя.

Предлагается методики оценки правильности работы почтовых серверов, для этого предлагается выполнить подключение к порту отправки (25 - smtp) и выполнить ряд команд, в зависимости от реакции на такие команды специалист (эксперт) делает выводы о настройках почтового сервиса.

В статье предлагается анализ заголовка письма, аналогичные задачи решают и зарубежные авторы [20]:
Received: from convert.infosec.ru (194.226.94.219 [194.226.94.219]) by ukrserver.ustinfo.ru with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2653.13)
id 4VY538SP; Mon, 11 Oct 2004 18:05:59 +0400
Received: from nt_server.infosec.ru (unknown [200.0.0.5])
by convert.infosec.ru (Postfix) with ESMTP id DBD6C180CB
for ; Mon, 11 Oct 2004 17:54:05 +0400 (MSD)
From: [email protected]
To: [email protected]
Date: Mon, 11 Oct 2004 17:44:02 +0400
MIME-Version: 1.0

Расшифровки такого текста можно получить в соответствующей спецификации [21].
При исследовании передаваемых данных к компьютеру после атаки М.Бурдах предлагает использовать утилиту tcpdump и записывать пакеты в raw формате [22]. Необходимо отметить, что такая процедура позволяет в точности зафиксировать трафик в сети, однако удобные для чтения результаты можно получить позже, а на момент фиксации такой информации видимые признаки фиксируемой информации будут непонятными для человека.

6. Создание образов данных и контрольных параметров.
Исследование компьютерной техники и сети на месте проведения следственного действия необходимо для закрепления следов, которые могут быть утрачены после выключения компьютера. А также провести исследование компьютера в сети без его вычленения из объективной обстановки, с целью получения полной и объективной информации.

Если такие данные закреплены, то дальнейшее исследование может быть продолжено в экспертном учреждении. В целях обеспечения сохранности информации на носителях, возникает необходимость создавать копии внутренних носителей информации (даже если для исследования изъят системный блок).

И.Ена указывает на необходимость скопировать программы и файлы, которые находятся на винчестере (жестком диске), в случае, если на момент проведения обыска компьютер был включен. Однако такой подход потребует больших ресурсов (сменных носителей и времени) и не может обеспечить резервирования современных носителей [23].

М.Разумов предлагает создавать образ исследуемого носителя и в дальнейшем производить поиск информации на нем.

Первым шагом в экспертном исследовании жесткого диска компьютера необходимо создать «побитную» копию или образ (image), содержащий каждый бит информации, независимо от того, является ли тот частью файловой системы или нет.
Создание образа позволяет получить основу, которая может быть подвержена глубокому анализу без боязни изменения содержания исходного вещественного доказательства. Для снятия образа в компьютерной экспертизе используются различные утилиты, вот некоторые из наиболее популярных: EnCase SafeBack Data dumper (dd) [24].

После создания образа начинается поиск криминалистически значимой информации. Существуют как коммерческие инструменты для анализа образов, так и свободно распространяемое ПО с открытым кодом – TASK и Autopsy.
Для анализа диска и файлов предлагаются следующие инструменты:
– find: инструмент Unix для поиска модифицированных файлов. Такой инструмент позволяет проводить поиск...

Добавить комментарий
2006-04-26 07:52:58 - Да... Для реферата на школьную информатику... Samuray
2005-12-31 06:31:05 - Привелчь злодея можно только на основе... Чайник
Всего 2 комментариев


Copyright © 2001–2007 Computer Crime Research Center

CCRC logo
Рассылка новостей


Rambler's Top100