Общие рекомендации


Не стоит полагать, будто все расследования проводятся по одной схеме, — иногда приходится изобретать новые процедуры. Возможно, книга покажется кому-то излишне академичной, потому что она не ограничивается возможностями, реализованными в существующих инструментах. Некоторые методы еще не были реализованы, поэтому для поиска улик вам придется импровизировать. Приведу свой набор общих правил, которые, как хочется верить, упростят вашу работу при разработке новых процедур.
Первое правило — сохранение исследуемой системы. Эксперт должен исключить любые модификации данных, которые могут послужить уликами. Крайне неприятно оказаться в суде, когда другая сторона убеждает присяжных, что вы по неосторожности стерли улики. Решению этой задачи была посвящена первая стадия процесса расследования. Приведу несколько примеров ее реализации: Скопируйте важные данные, поместите оригинал в надежное место и анализируйте копию, чтобы в случае модификации данных можно было восстановить оригинал. Вычислите хеш-коды MD5 или SHA важных данных. Позднее они помогут доказать, что данные не изменились. Воспользуйтесь устройством блокировки записи во время любых действий, способных привести к записи в анализируемые данные. Сведите к минимуму количество файлов, создаваемых во время живого анализа, — они могут стереть улики в свободном пространстве. Будьте осторожны при открытии файлов во время живого анализа, поскольку это может привести к модификации данных (таких, как время последнего обращения).
Второе правило — изоляция среды анализа как от анализируемых данных, так и от внешнего мира. Изоляция от подозрительных данных необходима, потому что вы не знаете, что они могут сделать. Исполняемый файл из анализируемой системы может удалить все файлы на вашем компьютере или попытаться установить связь с удаленной системой. Открытие HTML-файла в браузере может

привести к запуску сценариев и загрузке файлов с удаленного сервера. Оба варианта потенциально опасны, и от них необходимо защититься.
Изоляция от подозрительных данных реализуется их просмотром в приложениях с ограниченной функциональностью или виртуальных средах, легко воссоздаваемых в случае уничтожения — таких, как VMWare (http://www.vmware.com).
Изоляция от внешнего мира необходима для того, чтобы предотвратить всякое вмешательство извне и нежелательную пересылку данных. Например, как говорилось в предыдущем абзаце, даже простая загрузка HTML-страницы может привести к попытке подключения к удаленному серверу. Изоляция от внешнего мира обычно реализуется подключением к лабораторной сети, не имеющей внешнего выхода, или фильтрацией сетевого трафика на брандмауэре.
Следует отметить, что живой анализ затрудняет изоляцию. Система не изолирована от анализируемых данных по определению, потому что для анализа этих данных применяется ее же ОС, которая может содержать посторонний код. Каждое действие выполняется с участием анализируемых данных. Кроме того, изоляция от внешнего мира тоже усложняется, потому что для нее необходимо отключить систему от сети, а живой анализ обычно выполняется во время активности системы.
Третье правило — проверка данных по другим независимым источникам. Тем самым снижается риск использования ложных данных. Например, как будет показано позднее, в большинстве систем временные штампы файлов легко изменить. Таким образом, если в вашем расследовании время играет важную роль, постарайтесь найти записи в журналах, сетевой трафик или другие события, которые подтверждали бы время выполнения операций с файлами.
Последнее правило — документирование всех действий. Это поможет вам определить, какой поиск еще не проводился и какие результаты были получены ранее. При проведении живого анализа или применении методов, которые могут привести к модификации данных, очень важно документировать все происходящее; позднее вы сможете описать, какие изменения были внесены в систему из-за ваших действий.
<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Общие рекомендации:

  1. 3.1. ЗАДАЧИ И ОБЩИЕ РЕКОМЕНДАЦИИ К ОБСЛЕДОВАНИЮ
  2. ПСИХОТЕРАПИЯ НАСИЛИЯ ФОРМЫ И МЕТОДЫ РАБОТЫ С ДЕТЬМИ, ПЕРЕЖИВШИМИ НАСИЛИЕ ОБЩИЕ СТРАТЕГИИ И РЕКОМЕНДАЦИИ
  3. Рекомендации при трудоустройстве
  4. Зарабатываем на рекомендациях
  5. Общие признаки — общие взгляды
  6. 5.3 Рекомендации по структуре реферата
  7. § 2. Классификация конвенций и рекомендаций МОТ о труде
  8. Рекомендации Дарвина
  9. 7.3.4. Практические рекомендации по формированию портфеля инвестиций
  10. 3.5. Акцизы Методические рекомендации