Режимы снятия данных


Помимо способа доступа к диску аналитик также выбирает режим клонирования данных. Мертвое снятие данных происходит тогда, когда данные из анализируемой системы копируются без содействия установленной на ней операционной системы. Исторически термин «мертвое» относится не к состоянию компьютера в целом, а только к состоянию операционной системы, поэтому при мертвом клонировании возможно использование оборудования исходного компьютера — при условии, что загрузка производится с надежного компакт-диска или дискеты. Живое снятие данных означает, что операционная система на анализируемом компьютере продолжает работать и используется для копирования данных.
Живое снятие данных сопряжено с определенным риском: злоумышленник мог изменить операционную систему или другое программное обеспечение таким образом, чтобы во время клонирования поставлялись неверные данные. Проведу аналогию с реальным миром: представьте, что полиция прибывает на место преступления, на котором находятся несколько людей; нельзя исключать, что кто-то из них причастен к преступлению. Полицейские начинают искать некую улику и предлагают одному из незнакомцев сходить в одну из комнат и помочь им в поисках. Незнакомец возвращается к полицейскому и говорит, что он ничего не нашел; но можно ли ему доверять? Вполне возможно, что незнакомец является преступником, а улика находилась в комнате, но он успел уничтожить ее.
Нападающие часто устанавливают в атакуемых системах так называемые рут- киты (rootkits), передающие пользователю ложную информацию [Skoudis amp; Zeltser, 2004]. Руткиты скрывают некоторые файлы в каталогах или работающие процессы. Чаще всего нападающий скрывает файлы, установленные им после взлома системы. Также он может модифицировать операционную систему так, чтобы в процессе она автоматически подменяла данные в некоторых секторах диска.

Полученный образ диска может не иметь отношения к происшествию из-за произошедшей подмены. По возможности избегайте живого клонирования, чтобы обеспечить надежный сбор всех улик.
Аналитики обычно загружают исследуемую систему с заведомо надежной дискеты DOS или компакт-диска Linux, конфигурация которого не предусматривает монтирования дисков или модификации каких-либо данных. С технической точки зрения злоумышленник может изменить оборудование так, чтобы оно возвращало ложные данные даже в надежной операционной системе, но этот вариант гораздо менее вероятен, чем модификация операционной системы. 
<< | >>
Источник: Кэрриэ Б.. Криминалистический анализ файловых систем. 2007

Еще по теме Режимы снятия данных:

  1. Уровни снятия данных
  2. УПРАЖНЕНИЯ ДЛЯ СНЯТИЯ МЫШЕЧНЫХ ЗАЖИМОВ
  3. ДЫХАТЕЛЬНАЯ ГИМНАСТИКА ДЛЯ СНЯТИЯ НАПРЯЖЕНИЯ ОКОЛОГОРТАННОЙ МУСКУЛАТУРЫ
  4. 3. Защита прав на программы для ЭВМ и базы данных Регистрация программ для ЭВМ и баз данных
  5. Хранение и использование персональных данных работников. Передача персональных данных работников
  6. Понятие персональных данных работника. Обработка персональных данных работника
  7. Снятие данных и анализ
  8. Категория данных содержимого
  9. alt="" />Запись снятых данных
  10. Снятие данных и анализ
  11. Киоски данных
  12. Структуры данных
  13. Структуры данных
  14. Структуры данных
  15. Структуры данных журнала
  16. Избыток данных