|
|
||||
|
|
||||
|
|
||||
|
|
||||
|
КОМПЬЮТЕРНО-ТЕХНИЧЕСКАЯ ЭКСПЕРТИЗА |
||||
|
|
|
|||
|
|
Библиотека: Поиск компьютерных улик. |
|
|
|
|
|
Поиск компьютерных улик. [1] Данные, как это ни парадоксально, не удаляются безвозвратно, они просто затаиваются и ждут своего часа, подобно низшим микроорганизмам, впадающим в стадию кисты. Самые невероятные коллизии, затрагивающие магнитный диск, в большинстве случаев абсолютно не влияют на эти данные-приведения или, что более верно с терминологической точки зрения, shadow-элементы. Принимая информацию об их существовании за истину, понимаешь, что параноидальное желание некоторых удалять любой файл как минимум семикратным методом, или стремление Пентагона подвергать каждый утилизированный диск обработке огнем имеют под собой отнюдь не зыбкую почву. Несмотря на всю загадочность сравнений, никакой особой магии в этом явлении нет, равно как и в гудении каминных дымоходов. Майкл Андерсон, именитый эксперт в области компьютерной криминологии, рассказывает о сути происходящего приблизительно так. Жесткий диск — это сложное электронно-механическое устройство, включающее в себя огромное количество деталей, многие из которых подобны средневековым механизмам. Шарнир, «журавль», рычаг: что может быть проще и… ненадежнее. Как и архаичные собратья, элементы винчестера подвержены влиянию таких сил, как гравитация, трение, сопротивляемость материалов. В итоге, если свести свою точку зрения до микромасштаба, можно отметить, что та же лапка, держащая на весу магнитную головку, ведет себя отнюдь не четко. Она колеблется. В силу ускорения и шаткости привода конструкция начинается колебаться. Если сравнить ее с автомобилем, скользящим по бетонной ленте хайвэя, то со стороны может показаться, что водитель намеренно вращает руль из стороны в сторону. Пусть автомобиль не выносит на встречную полосу и не перебрасывает в соседний ряд, но любой офицер дорожной полиции обязательно бы оштрафовал такого лихача. Проследив траекторию движения транспортного средства, нетрудно заметить, что она не представляет собой линию, являясь сложной S-образной кривой, — теоретически это не предусмотрено. Следующий немаловажный фактор: влияние магнитного поля. Кронштейн, удерживающий головку, раскачивается не только по горизонтали, но и по вертикали, поэтому пятно контакта постоянно меняется. Все как в граффити: расстояние до сопла, из которого рвется на свободу краска, влияет на мазок. Если прибавить к этому умение некоторых материалов (окиси железа, напыленной на пластиковую подложку) «впитывать» сигнал как губка, то общая картина станет еще более хаотичной. Помимо искомого несущего сигнала мы получаем большое количество артефактов — мусора, прочесть который стандартными путями практически невозможно. Слишком низок шанс, что лапка станет раскачиваться в той же последовательности, что в момент первоначальной записи. Так разрозненные биты важной информации и выживают (Питер Гатмэн из Университета Окланда, готовясь к своей работе «Secure Deletion of Data from Magnetic and Solid- State Memory», повторял удаление документа 35 раз(!), «тени» так полностью и не исчезли). Безусловно, они не способны обеспечить полноты картины, восстановить файл без потерь все-таки не удастся (я уже написал, что это не магия), тем не менее, иногда даже горстки жемчужин хватает, чтобы сделать перламутровые бусы. Оборудование, которое требуется для исследования shadow-областей, стоит баснословных денег, поэтому его могут позволить себе лишь самые преуспевающие лаборатории, находящиеся, в частности, в руках крупных корпораций. Даже написав эти строки, для себя лично я так и не смог однозначно ответить на вопрос, не вымысел ли подобная теория. Все-таки в компьютерном мире хватает своих скелетов в шкафу — только тронь дверцу, как они с грохотом и пылью посыпятся на паркет. Даже сам Андерсон соглашается, что для современных винчестеров проблема становится все менее актуальной. Высокая скорость чтения, а также емкость носителей делают свое позитивное дело: дорожки становятся более узкими, а стало быть, становится все меньше пространства для «прогулок». Новые характеристики неумолимо вмешиваются и в строение механики. Для противостояния новым нагрузкам детали делают более совершенными, и «журавль» постепенно перестает походить на своего собрата, обслуживающего колодцы. Шатания становятся все менее очевидными, но все-таки остаются, по этой причине Андерсон предлагает не стесняться, а брать и использовать его «домашнюю» утилиту M-Sweep Pro Software. Крайне занятна и другая информация: данные из RAM, а вернее из чипов памяти, не удаляются сразу после выключения компьютера. Они сохраняются, причем к ним возможно получить доступ, не утруждаясь применением сверхдорогих средств, подобная черта предусмотрена самой конструкцией модулей и именуется диагностическим режимом. Особенно этим страдает статическая RAM-память, представляющая собой отменный носитель информации, способный сохранять данные в течение нескольких дней. DRAM в силу своей конструкции не столь удобна для криминалистов, но и она способна что-то запоминать. Всему виной тонкие оксидные изоляционные прослойки конденсаторов. Пропуская сквозь себя электричество, они меняют свои свойства, превращаясь в самые настоящие магнитные носители информации. Пусть это получается случайно, но считывать впоследствии информацию отнюдь несложно, достаточно воспользоваться недокументированным «тестовым режимом», т.е. включить память в нестандартной конфигурации. Производители памяти скрывают методы работы с такими режимами от покупателей, но не от полиции. На всякий случай приведу вам способ очистки RAM от остаточных данных: на несколько часов поместите планку в печь с температурой около 1400 С, затем выньте и дайте ей отстоятся в морозильнике при - 600 С (прим.авторов сайта- 0 К это -273С – ниже не получится, что-то автор статьи напутал) — так вы заметно продлите жизнь своему модулю. Секреты лабораторий. После того как образ жесткого диска доставлен в криминалистическую лабораторию, наступает черед крайне важной процедуры — анализа. Последний, как известно, целиком и полностью основан на сравнении, эксперт сверяет увиденное с собственным базисом знаний и согласно сходствам (различиям) строит выводы, которые в конце обобщают, приводят к общему знаменателю и т.д., и т.п. Соответственно это требует отменной подготовки криминалистов компьютерного профиля. Некоторых из них смело можно уподобить экспертам по произведениям искусства. Анализ образа целиком происходит крайне редко. В большинстве случаев специалист довольствуется маленьким кусочком. Такой метод давно перестал быть удобным и эффективным, некоторые ученики старой школы по-прежнему разбивают жесткий диск на секторы емкостью 512 байт и производят его «ручное» исследование. Последнее подразумевает под собой опыты, отдаленно напоминающие эксперименты химиков: криминалист методом перебора пытается выяснить состав алгоритма, согласно которому закодированы данные. Изначально о природе фрагмента он не знает буквально ничего — перед ним всего лишь набор символов. Устаревшим такой метод считается по достаточно объективной причине, обусловленной прогрессом. Жесткие диски с недавних пор исчисляются десятками гигабайт. Изучить все это богатство методом перебора четок становится практически невозможным (хотя многие организации и продолжают культивировать именно такой подход). Приземленный пример: коль скоро разбирать секторы на экране не всегда удобно, криминалисты нередко распечатывают образ жесткого диска на бумаге. Один мегабайт равняется приблизительно 321 печатным листам, которые умещаются в пачку высотой около четырех сантиметров… Альтернативной методикой является целенаправленное исследование определенных областей диска. Исключая необходимость перебирать каждый камушек в пустыне, предлагается анализировать лишь избранные области диска, например те, что относятся к swap-файлу, загрузочному сектору и т.д. Зона поиска заметно снижается, а шансы на успех повышаются. Особый интерес проявляется именно к файлу подкачки. Возможно это не слишком поэтическая метафора, однако swap-документ в этом случае смело можно считать помпой, откачивающей воду из речушки, закованной в бетонные оковы и несущей свои воды сквозь огни огромного мегаполиса. Выполняя достаточно утилитарную и незаметную для обывателя функцию — поддержание уровня воды на одной отметке, помпа тем самым пропускает сквозь себя тонны мусора, сброшенного городом. Пусть это всего лишь мелкий сор, но по нему тоже можно выстроить кое-какую логическую картину мира. В файле подкачки (в Win9x — WIN386. SWP) независимо от нас постепенно оседает такая важная информация, как данные из текстовых процессоров, содержимое электронных писем, текст с Интернет-страницы и Бог знает, что еще. Буквально все действия пользователя оставляют в нем свой отпечаток. Естественно, исключая теневые выбросы, вся эта подноготная не может храниться вечно, она существует до тех пор, пока swap-документ не будет перезаписан системой заново, произойти же это может после рестарта компьютера. Очевидно и другое замечание: информация, находящаяся в этом файле, не преподносится на блюдечке. Можно отметить, что она скорее подобна мусору в дренажной системе. Только самый умелый и терпеливый сможет извлечь из нее толк. Выуживание улик происходит далеко не ручным способом: применяются особые программные комплексы. В большинстве случаев сложные и засекреченные, но порой и те, что можно найти в свободной продаже. Правда, в отличие от своих коллег, они чаще всего располагают достаточно узким спектром интересов. Одним из подобных примеров является софт NET THREAT ANALYZER, бесплатно распространяемый для всех занятых криминалистикой. Программа получила наибольшее распространение после страшных инцидентов в американских школах. Они стали прямым поводом к исследованию компьютеров несовершеннолетних на факт присутствия информации о сайтах, с которых подростки почерпнули негативные знания об огнестрельном оружии. Программа запускается с гибкого диска, исключительно из под MS-DOS, начинает планомерно сканировать жесткий диск, а именно область, относящуюся к Swap-файлу. Любопытно, что после событий 11 сентября продукт был срочно модернизирован. В его состав был включен особый модуль, призванный выявлять факты Интернет-соединений с узлами, находящимися в странах, явно или неявно поддерживающих подрывную деятельность. Итогом работы становится листинг, включающий следующую информацию: точные адреса всех Интернет-ресурсов, которые посещал подозреваемый, имена файлов, которые он скачивал, содержания электронных посланий и их адреса. NET THREAT ANALYZER не единственный продукт в своей области. Существует еще более тонкий и изысканный путь поиска улик — Intelligent Forensic Filter (FILTER_I). Как и его коллега, он сканирует жесткий диск на наличие улик, однако в своих оценках стремится к большему числу выводов. Программа главным образом ищет не улики, а соучастников, т.е. мыслимыми и немыслимыми путями стремится выудить имена и любые послания личного характера. Телефонные номера, индексы кредиток, фрагменты кода, вытрясенные из текстового процессора, — все это оседает в файле подкачки, а позже становится добычей FILTER_I, который все это аккуратно классифицирует, раскладывает по виртуальным целлофановым пакетикам, снабжая биркой. Как рассказывает разработчик, для достижения подобных результатов программистам пришлось создать отдаленный аналог искусственного интеллекта, инициируемого особыми стартовыми параметрами, которые впоследствии влияют на работу кибер-криминалиста. Улики задерживаются не только в файле подкачки. Винчестер, как я уже упоминал, — это большая городская река, способная впитывать все, что попадает в поле ее внимания. Кластерная архитектура похожа на ил, в который постепенно оседают небрежно брошенные предметы. Чтобы их достать, достаточно запастись насосом и фильтрующей установкой. Поскольку документы редко кратны емкости кластеров и секторов, их складывающих, невольно возникают пустые области. Логически их нет, но физически они существуют, сжирая часть дискового пространства и являясь отличной средой для размножения неподконтрольных данных. Виной всему занятная особенность современных архитектур. В случае, когда кирпичики кластеров нечем заполнить (т.е. файл уже полностью записан), ОС пытается отыскать какой-нибудь «строительный мусор», дабы завалить эту емкость и чем случайнее набор данных, тем лучше. Не мудрствуя лукаво, система выхватывает лоскуток содержимого оперативной памяти и записывает его в пустые области, образуя RAM slack. Таким образом, сама того не ведая, ОС сохраняет в физическом виде отдельные образы памяти. Поскольку запись файлов происходит достаточно часто, на жестком диске образуется достаточно подробный «снимок» ОЗУ, включающий в себя описание всех действующих на тот момент процессов. Безусловно, элементы разрозненные, нередко не стыкуются, однако способны навести на след, для ясности порой требуется всего лишь один фрагмент мозаики. Как заявляют специалисты, RAM slack позволяет проследить состояние памяти за последние несколько дней (до недели), позже они, безусловно, затираются. Кластеры словно превращаются в осколки зеркала, отражающие в себе RAM и… прошлое в лице удаленных файлов. Помимо RAM slack существует такое понятие, как Drive Slack, представляющее собой области, заполненные остатками удаленных файлов. А это означает следующее. Коль скоро, производя самые разные операции, относящиеся в том числе и к Интернет-деятельности, ОС периодически записывает на жесткий диск временные файлы, следы подобных действий в любом случае остаются. Удаление, форматирование, разбиение на новые разделы — не способно усугубить задачи криминалистов. Как ни крути, но это логические процессы, лишь отчасти связанные с физическими действиями. Представляй собой винчестер восковый валик, по которому скользит металлическая игла — все было бы абсолютно иным. Разбор подозрительных областей жесткого диска с недавних пор производится отнюдь не вручную. Специалист, приступая к работе, начинает искать заданные текстовые паттерны, относящиеся, скажем, к характерным текстовым заголовкам. По большому счету для такой работы сгодится любой поисковик заданных данных. Главной особенностью является скорость. Расследуя преступление, криминалисты обязаны действовать качественно и, что немаловажно, — быстро. Поэтому в ход нередко пускаются средства наподобие TextSearch PLUS, хвастающие повышенными темпами перебора информационных ячеек. Более продвинутый аналог — DiskSearch Pro, созданный, кстати, еще на заре 90-х; он умеет даже отыскивать slack-данные, представляя собой самый простой анализатор «мусора» (к этому же списку можно прибавить и утилиту DRIVESPY). Работать утилита может параллельно использованию FileList — DOS-программы, создающей предварительный анализ содержимого винчестера. Софт успешно справляется с задачей сравнения двух винчестеров, выявляет закономерности в дате создания и использования файлов. С ее помощью криминалист может легко создать общую картину использования компьютера: когда, что, где, — немного дедукции, и обычные цифры превращаются в отменные иллюстрации. Главное научиться видеть в малом следы чего-то большого. Vogon International попыталась автоматизировать процесс поиска следов файлов. Для этого была разработана программа под названием GenX. Анализируя образ диска, она выявляет любые атрибуты файлов и строит логическую картину информации. Наиболее же значимым пакетом, присутствующим на рынке, является The Coroner’s Toolkit. Его справедливо считают одним из лучших средств борьбы с компьютерными преступлениями. Все утилиты данного пакета были созданы в 1999 году признанными экспертами в области информационных правонарушений — Дэном Фармером (Dan Farmer) и Витсом Венемой (Wietse Venema). Программы, снабженные скудным текстовым интерфейсом, целиком и полностью ориентированы на использование в Unix-средах (графический браузер Autopsy Forensic Browser появился намного позже). По своей сути утилиты подобны набору скребков, дрелей и отверток. В основном они заняты исследованием поверхности диска и выявлением следов удаленных файлов плюс анализом этих крупиц информации. Наибольший успех приносят дела, в которых такой банальный, казалось бы, факт как время последнего доступа к файлам позволяет точно выстроить картину атак на сервер. Отыскивая следы палитр файлов, TCT позволяет установить, когда файл был записан, когда откомпилирован и когда удален. Все эти параметры полностью поддерживаются файловыми системами Unix и Windows NT, поэтому ничего придумывать не надо, следует лишь найти виртуальные отпечатки пальцев требуемых программ. А поскольку, как отмечалось выше, сорить они умеют славно, проблем с этим практически не возникает. Подобные наблюдения очень важны для преступлений класса «нападение на компьютер», в этом случае криминалистам приходится выяснять, кто же именно нападал на машину. Т.е. происходит поиск улик, ведущих к преступнику, а не доказательства вины искомого лица. Литература: 1. Поиск компьютерных улик - http://eloffice.com/articles.php%3Fart%3D312&text=Vogon+International&dsn=17&q=307251326&d=2486180 |
|||
|
|
||||
|
|
||||
