При поиске информации свидетельствующей о выходе в сеть «internet» возможен следующий алгоритм действий:
- Определить используемые пользователем операционной системой браузеры;
- Определить имя компьютера;
- Определить "SID";
Определить используемые пользователем операционной системой браузеры. При этом не стоит исключать возможность того, что могут быть использованы версии, не требующие установки. После чего возможно установить историю работы браузеров, рассмотрим три наиболее распространенных браузера "Internet Explorer", "Opera" и «mozilla firefox».
Определить имя компьютера
История работы с программой "Internet Explorer" за весь период содержится в файле "index.dat" из каталогов ":\Documents and Settings\(пользователь)\Local Settings\Temporary Internet Files\Content.IE5\" и ":\Documents and Settings\(пользователь)\Local Settings\History\History.IE5\" (где (пользователь) - имя пользователя от чьего имени осуществлялся вход в операционную систему).
cookie-файлы хранятся в каталоге ":\Documents and Settings\(пользователь)\Cookies\"
Для просмотра истории работы можно использовать программу "IEHistoryView"
История работы с программой "Opera" содержится в директории ":\Documents and Settings\(пользователь)\Application Data\Opera\Opera\profile\"
Для просмотра истории работы можно использовать программу "Opera File Explorer"
История работы с программой «Mozilla Firefox», а так же личная информация пользователя, такая как закладки, cookies, пароли, расширения,, темы, кэш и настройки хранится в профиле по умолчанию расположенном в каталоге:
«\Documents and Settings\шнурок\Application Data\Mozilla\Firefox\ Profiles\(имя профиля)»
Для просмотра истории работы можно использовать программу " MozillaCacheViewe".
Определить имя компьютера, возможно путем просмотром ветви реестра
" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Computer Name\ComputerName "
Определить "SID" (Идентификатор безопасности, структура данных переменной длины, которая идентифицирует учетную запись пользователя, группы, домена или компьютера) возможно определить путем просмотра ветви реестра
" [HKEY_LOCAL_MACHINE\SOFTWARE\ Software\Microsoft\Windows NT\CurrentVersion\ProfileList "
Просмотром системного журнала протоколирования событий связанных с работой операционной системы, в частности для доступа к сетевым ресурсам, расположенного в файле "SysEvent.Evt" директории ":\WINDOWS\system32\config\".
программы "MiTeC Windows Registry Recovery" о конфигурации TCP/IP. Данные об IP адресе и маски подсети
[HKEY_LOCAL_MACHINE\SYSTEM] были выявлены сведения о подключавшихся модемах, для DUAL-UP соединений, с использованием выявленной операционной системы с НЖМД№1. Данные сведения, с указанием наименования информационных и лог файлов выявленного модема приведены в таблице №2.
При просмотре содержимого файла - Rasphone.pbk, расположенном в первом разделе НЖМД№1 в каталоге ":\Documents and Settings\All Users\Application Data\ Microsoft\Network\Connections\Pbk\" выявлено, что данный файл содержит информацию подключений для доступа в сеть "Интернет".
- первом разделе в директории ":\Documents and Settings\SPershikova\Local Settings\Application Data\Microsoft\Outlook\" и ":\почта\" имеются файлы почтовых сообщений "Outlook" с атрибутами от: Першикова Светлана Михайловна, кому: <zpl@yvb.ru>. Месторасположение, наименование данных файлов приведены в таблице №5.
Для определения проведенных действий операционной системой семейства "Windows" производится просмотров журналов работы операционной системы содержащихся в файлах "SysEvent.Evt" (является журналом событий системы, используемого реестром "Windows") и "AppEvent.Evt" (является журналом событий приложений, используемого реестром "Windows") расположенных в директории ":\WINDOWS\system32\config\". Просмотром данных журналов возможно определить:
- временные рамки работы операционной системы;
- временные рамки запуска ряда программных продуктов, запуск которых отображается в журнале работы операционной системы "Windows";
- временные рамки подключения - отключения сетевых ресурсов (сетевого адаптера) запуск которых отображается в журнале работы операционной системы "Windows", и ряд других параметров.
Ниже приведены некоторые коды отображающие работу с сетевыми ресурсами:
- код Event ID - 4201 - сообщает о подключении сетевого адаптера: "Система обнаружила, что сетевой адаптер \DEVICE\TCPIP_{B1CF2C4B-2704-48C2-B52B-3CCD7231B317} был подключен к сети и инициировала нормальную работу через этот сетевой адаптер";
- код Event ID - 1077 - сообщает о получении IP-адрес для сетевого адаптера: "Компьютер автоматически настроил IP-адрес для сетевого адаптера";
- код Event ID - 4202 сообщает об отключению сетевого адаптера: "Система обнаружила, что сетевой адаптер \DEVICE\TCPIP_{B1CF2C4B-2704-48C2-B52B-3CCD7231B317} был отключен от сети, и сетевая конфигурация этого адаптера была освобождена"