Фаза поиска улик

  Позаботившись о сохранении данных, можно перейти к поиску в них улик. Вспомните: мы ищем данные, которые поддерживают или опровергают гипотезы о произошедшем инциденте. Процесс обычно начинается с изучения стандартных мест, зависящих от типа инцидента (если он известен). Например, если речь идет о привычках по работе с браузером, следует просмотреть содержимое кэша браузера, файл истории и закладки. Если же расследуется взлом системы Linux, стоит поискать следы руткитов или новые учетные записи пользователей. С ходом расследования эксперт строит гипотезы и ищет улики, которые подтверждали бы или опровергали их. Важно, чтобы эксперт искал и опровергающие улики, не ограничиваясь подтверждающими.
Теория процесса поиска проста. Сначала следует определить общие характеристики искомого объекта, а затем провести поиск этого объекта в наборе данных. Например, если потребуется найти все файлы с расширением JPG, следует просмотреть все имена файлов и выделить среди них те, которые заканчиваются символами «JPG». Два ключевых шага — это определение того, что нужно найти, и тех мест, где должен проводиться поиск.
Часть 2, «Анализ томов», и часть 3, «Анализ файловых систем», посвящены поиску улик в томах и файловых системах. В сущности, главы анализа файловых систем организованы таким образом, чтобы читатель мог сосредоточиться на конкретной категории данных, содержащей улики.
В конце главы приводится сводка популярных аналитических программ; все они позволяют просматривать, искать и сортировать данные в подозрительных системах с целью поиска улик.
Методы поиска
Большинство улик находится в файловой системе и в файлах. Стандартная методика поиска заключается в поиске файлов по именам или шаблонам. Также часто требуется найти файл по ключевым словам, присутствующим в их содержимом. Возможен и вариант поиска файлов по временным данным — таким, как время последнего обращения или записи.
Иногда поиск известных файлов проводится сравнением хеш-кодов содержимого файлов, вычисленных по алгоритму MD5 или SHA-1, с базой данных хеш-ко- дов — такой, KaKNational Software Reference Library (NSRL— http://www.nsrl.nist.gov). Базы данных хеш-кодов часто применяются при поиске заведомо хороших или заведомо вредоносных файлов. Другой распространенный метод поиска основан на сигнатурах, присутствующих в содержимом. По сигнатурам часто удается найти все файлы заданного типа даже в том случае, если они были переименованы.
При анализе сетевого трафика возможен поиск всех пакетов, отправленных с некоторого исходного адреса, или всех пакетов, адресованных конкретному порту. Иногда требуется найти все пакеты с заданным ключевым словом.
<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Фаза поиска улик:

  1. Фаза 2. Поиск решения
  2. 3. Сбор улик и проведение успешных рейдов
  3. Фаза реконструкции событий
  4. Фаза сохранения системы
  5. 4 фазы демографического взрыва и фаза вымирания
  6. ФИНАЛЬНАЯ ФАЗА (БРОНЗА IV)
  7. Фаза 1. Анализ условия задачи
  8. Первая фаза расспроса клиента
  9. Вторая фаза расспроса клиента
  10. ПОЗДНЯЯ ФАЗА МЕСТНОГО ГАЛЬШТАТА
  11. «ПОИСКИ»
  12. Д’Антркасто: поиски Лаперуза
  13. ПОИСКИ "ПАРИТЕТА".
  14. В поисках явления
  15. ПОИСКИ ИДЕОЛОГИЧЕСКОЙ НИШИ