Подключение носителей
Исследование информации
Восстановление информации.
PS3000.
Поиск информации
Поиск информации свидетельствующей о выходе в сеть internet
Определение обстоятельств установки и использования программных продуктов и оборудования.
Защита и обход
При производстве исследований важное место занимает понятийный аппарат необходимый для исключения расхождений в формулировках различных специалистов. В ЭКЦ используется "Терминологический справочник судебной компьютерной экспертизы: Справочное пособие." - М.: ЭКЦ МВД России, 2005. - 56с., 34 ил., 11 табл., прил., библиогр. Содержащий термины из ГОСТов и их описание.
Подключение носителей
Основным при исследований компьютерной информации является обеспечение неизменности информации на исследуемом носителе информации, например НЖМД - накопителях на жестких магнитных дисках, различных flech - носителях и т.п..
Самым приемлемым, в простоте и затрате времени следует признать блокировку записи по USB – порту (Universal Serial Bus), при подключении через данный интерфейс исследуемых носителей. При этом необходимо наличие переходных устройств HDD - USB, например SATA - USB или IDE - USB. И соответствующего программного обеспечения, например "NCFS Software Write-block XP" либо отключать запись по USB порту в реестре изменением значения "WriteProtect".
Данные реестра для блокировки записи:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
"WriteProtect"=dword:00000001
Данные реестра для снятия блокировки записи:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
"WriteProtect"=dword:00000000
Приведенные данные блокировки актуальны только в среде Windows XP.
Возможно подключение НЖМД, в среде Linux, путем их «монтирования» с запретом записи.
Так же для подключения, возможно, использовать специализированные комплексы, например РС3000. Возможности данного комплекса при исследовании компьютерной информации приведены ниже.
В ряде случаев, например исследование НЖМД с RAID массивами либо отсутствия соответствующих HDD - USB адаптеров, производится создание образа разделов исследуемого НЖМД или их клонирование. Данный способ требует обязательного наличия соответствующего объема НЖМД на который производится клонирование и часто значительных затрат времени.
Полученный образ диска можно "монтировать" подключать как физический или логический диск. Либо после обработки, например в программе "VMware Converter" загружать как виртуальную машину в "VMware Workstation".
Клонированный диск можно использовать для загрузки с исследуемого системного блока (необходимо в ряде случаев).
Для создания образов и или клонирования разделов НЖМД можно использовать программы создания резервных копий "Acronis True Image", "Norton Ghost" и др.. Здесь пожалуй можно выделить "Acronis Advanced Server" из-за возможности работы с дисковыми массивами серверов.
Исследование информации
При производстве исследования первым шагом является установление структуры исследуемого носителя информации, в случае отображения памяти носителя как логического диска. Для чего можно использовать программы "Acronis Disk Director Suit", "EVEREST Ultimate Edition " или аналогичные им. При этом определяются тип файловой системы, общий и занимаемый файлами объем, наличие скрытых и шифрованных разделов, определение наличия и характеристик операционной системы.
Далее в действия осуществляются в зависимости от поставленных задач.
Восстановление информации
Перед началом поиска информации необходимо выполнить восстановление удаленной информации, при этом восстановление информации следует выполнять с использование различных специализированных программных продуктов. С положительной стороны для восстановления информации следует отметить программу «EasyRecovery Professional». Однако, целесообразно использовать комплекс различных программ. В том числе, возможно, производить восстановление с использованием HEX редакторов, например при восстановлении с использованием сигнатуры файла, что возможно и в «EasyRecovery Professional», причем большинство вариантов для восстановления уже имеются в базе «типов файлов». При необходимости восстановления файла с использование сигнатуры указывается сигнатура в шестнадцатеричном формате, максимум 8 байт и смещение сигнатуры относительно нуля.
Особое внимание следует уделить восстановлению графических, мультимедийных файлов и файлов созданных приложениями «microsoft office».
Часто бывает, что восстанавливаются только фрагменты графических файлов, мультимедийные могут и не подлежать восстановлению.
В файлах созданных приложениями «microsoft office», например приложениями «microsoft word», возможно восстановление текстовой информации, даже при нарушении структуры документа и имеющихся в нем вложений. Для восстановления текстовой информации можно порекомендовать как и соответствующие инструменты входящие в программу «EasyRecovery Professional», так и такие продукты как: «Recovery Toolbox» или «OfficeRecovery». Восстановленные файлы, имеющие незначительные повреждения можно открывать в сторонних просмотровщиках или редакторах.
Следует иметь в виду то, что «microsoft office» является, по сути, интерпретатором и в созданных им файлах сохраняются все команды.
Оптимальным для восстановления информации является использование специализированного комплекса PS3000.
PS3000
Комплекс PS3000 предназначен для восстановления информации, в том числе и с физически неисправных НЖМД.
В состав PS3000 входит программно-аппаратный комплекс "Data Extractor UDMA", являющийся профессиональным инструментом для восстановления данных. С применением данного комплекса возможно как копирование отдельных данных, в том числе и удаленных, так и создание "клона" разделов НЖМД.
Комплекс PS3000 позволяет восстановить информацию с поврежденных носителей в следующих случаях:
"- повреждения поверхности или блока магнитных головок;
- разрушения "служебной информации", приводящие к неустойчивому чтению и множественным ошибкам;
- нарушение системы сопоставления логического дискового пространства (LBA) с физической геометрией НЖМД (транслятора)."
При восстановление информации с поврежденных носителей, при использовании PS3000, необходимо учитывать характеристики НЖМД конкретных производителей. Для каждого НЖМД конкретных производителей имеется соответствующий набор специализированных утилит. Полное использование комплекса требует наличия определенной подготовки и знаний аппаратной и технической части НЖМД, однако использование комплекса для восстановления информации, в ряде некритичных случаев (поломок НЖМД) затруднений не вызывает.
Поиск информации.
К задачам поиска информации относят:
- поиск текстовой информации по ключевым словоформам;
- поиск графической информации по заданным критериям;
- поиск текстовой и графической информации по соответствию предоставленным образцам;
- поиск информации о сетевых подключениях (выход в сеть "internet");
- поиск программных продуктов и др.
Для поиска текстовой информации используются стандартные средства поиска "Windows", программы "Архивариус3000", "AVSearch 3.12a" и встроенные средства поиска файловых менеджеров.
Поиск графической информации проводится путем просмотра графических файлов. Важно заметить, что изображения так же могут содержаться, например, в файлах созданных приложениями Office, однако данные файлы графическими являться не будут.