Digital Forensics.
Пролог
Начнём с ответа на вопрос "Зачем мы тут собрались?". Это материал для тех людей, которые очень расплывчато представляют себе что такое форензика не знают об этом вовсе, либо недавно начали разбираться в теме.Сейчас мы немного взглянем на то, с какими кейсами работают специалисты по этому направлению и ответим на вопрос о том, насколько возможно удалить что-то со своего диска или защитить свои данные от экспертизы, проводимой профессионалами.
Терминология
Что же такое форензика и с чем её едят? Если мы немного вникнем в англоязычное сообщество и терминологию по теме, то поймём, что дисциплина называется не просто Forensics, а Digital Forensics. То есть мы имеем дело не с криминалистикой как таковой, а только с тем, что касается данных на цифровых носителях и операций над ними. Частенько это понятие упоминается в аббревиатуре DFIR [Digital Forensics & Incident Response], но об этом ближе к концу статьи.Реконструкция
Мы уже определились, что имеем дело с цифровыми носителями данных. Предположим худший случай — данные были стёрты с диска или оперативной памяти и нам нужно их восстановить. Во втором случае всё довольно-таки просто, оперативная память энергозависима, а значит, что в момент, когда там пропадает электричество, мы теряем возможность что-либо с неё восстановить, исключение -
Для просмотра ссылки необходимо нажать
Вход или Регистрация
. Поэтому при при заражении компьютера каким-то новым вирусом или вредоносным ПО, если вы его выключите, то потеряете часть важной информации, которая могла бы помочь в расследовании. Для того, чтобы работать с оперативной памятью обычноДля просмотра ссылки необходимо нажать Вход или Регистрацияеё содержимое и после тщательно анализируется.
Но если мы имеем дело с диском, то всё чуть интереснее. Допустим вы удалили важный файл - фотку, ключик от криптокошелька или ещё что. Скорее всего, на этот момент ваш компьютер не удалял никаких файлов, но пометил файл, как удалённый и ждёт пока вы захотите сохранить на его месте какой-то другой. Если мы говорим например про Windows и соответственно, NTFS — его
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, то он чтобы записать новые начинает в последнюю очередь удалять "несуществующие" файлы.Это значит, что данные возможно получится восстановить даже спустя несколько лет после их "удаления". Найти подобные инструменты для восстановления легко, достаточно просто набрать в поиске "filesystem/OS data recovery" . Для примера можете почитать код
Для просмотра ссылки необходимо нажать
Вход или Регистрация
инструмента, он относительно несложный, или же просто поверить мне на слово ;)Кроме того, некоторые подобные инструменты прекрасным образом восстанавливают файлы не только при их удалении, но и при форматировании диска. А
Для просмотра ссылки необходимо нажать
Вход или Регистрация
и вовсе могут восстановливать целые разделы или "воскрешать" операционную систему, если были удалены или изменены данные, связанные с ней.Но в каких же случаях восстановление невозможно? Например тогда, когда слишком сильны физические повреждения диска. Зачастую это зависит от диска, но просверлить в нём пару отверстий дрелью и погнуть его будет вполне достаточно, чтобы почти полностью исключить вероятность восстановления каких-либо данных.
В следующих сериях
Естественно, даже обзорно и упуская детали, пройтись полностью по всему с чем сталкиваются специалисты в области цифровой криминалистики в одной статье будет сложно, в первую очередь для читателя, поэтому будем дозировать информацию. В этот раз мы поговорили о восстановлении данных, но если честно, до этого этапа дело редко доходит. Чаще, у нас есть дампы памяти, сети и прочие следы, с которыми можно поработать. А вот как выглядит этот процесс и тот самый DFIR мы узнаем в следующих сериях!
Для просмотра ссылки необходимо нажать
Вход или Регистрация