Методы сохранения


Так как фаза сохранения системы направлена на минимизацию потерь улик, необходимо ограничить количество процессов, способных записывать данные на носители информации. При проведении мертвого анализа эксперт завершает все процессы, отключая систему, и создает резервные копии всех данных. Как будет показано в главе 3, для предотвращения потери улик также могут применяться блокировщики записи.
При живом анализе следует завершить или приостановить все подозрительные процессы. Компьютер необходимо отключить от сети (возможно, подключив систему к пустому концентратору или коммутататору, чтобы предотвратить появление в журнале сообщений о недоступности сети) или установить сетевые фильтры, чтобы злоумышленник не мог подключиться из удаленной системы и уничтожить данные. Важные данные копируются на случай возможной потери в процессе поиска. Например, если вы собираетесь читать файлы, сохраните временные штампы всех файлов, чтобы у вас была эталонная копия времени последнего обращения — ваши действия приведут к обновлению временных штампов.
При сохранении важных данных в процессе живого или мертвого анализа следует вычислить криптографический хеш-код; позднее он поможет доказать, что данные не изменялись. Криптографический хеш-код (MD5, SHA-1 или SHA-256) представляет собой очень большое число, вычисляемое по математической формуле для набора входных данных. Изменение хотя бы одного бита во входных данных приводит к заметному изменению выходного числа; более подробную информацию можно найти в книге «Applied Cryptography», 2nd Edition [Schneier, 1995]. Для хеширования разработаны специальные алгоритмы, при которых получение одинакового результата для двух разных входных данных крайне маловероятно. Следовательно, если хеш-код важных данных остался прежним, это говорит о том, что данные не подвергались модификации.
<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Методы сохранения:

  1. СОХРАНЕНИЕ ОТНОШЕНИЙ
  2. Фаза сохранения системы
  3. СОХРАНЕНИЕ НЕЗАВИСИМОСТИ •
  4. § 15. Отпуск без сохранения заработной платы
  5. Сохранение персонала
  6. § 4. Отпуск без сохранения заработной платы
  7. Процесс сохранения деловых отношений
  8. 8.6.3. Отпуск без сохранения заработной платы
  9. Отпуск без сохранения заработной платы
  10. Сохранение творческой энергии
  11. Наем и сохранение персонала
  12. § 166. Сохранение и утрата владения
  13. 5.3. Этнос как механизм сохранения традиций
  14. Вопрос 73. Сохранение культуры как одна из глобальных проблем современности