Научная статья на тему 'Экспертиза компьютерной информации в системах Windows nt'

Экспертиза компьютерной информации в системах Windows nt Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
1853
560
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
КОМПЬЮТЕРНАЯ ИНФОРМАЦИЯ / СЕТЬ СВЯЗИ / БЕЗОПАСНАЯ КОМПЬЮТЕРНАЯ СИСТЕМА / БЕЗОПАСНОСТЬ ИНТЕРНЕТА / ПРОГРАММНЫЕ ФАЙЛЫ / ОПЕРАЦИОННАЯ СИСТЕМА / ОБНАРУЖЕНИЕ ИНФОРМАЦИИ / COMPUTER INFORMATION / COMMUNICATION NETWORK / SECURE COMPUTER SYSTEM / INTERNET SECURITY / PROGRAM FILES / OPERATION SYSTEM / DETECTION OF INFORMATION

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Баркалов Юрий Михайлович, Бабкин Александр Николаевич

Приводится описание способов исследования компьютерной информации в системах WINDOWS NT при проведении экспертиз. Даётся описание программ, предназначенных для восстановления и поиска компьютерной информации.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Баркалов Юрий Михайлович, Бабкин Александр Николаевич

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

The methods of expertise of computer information in the Windows NT systems are considered. It is suggested the description of the programmes for restoration and search of computer information.

Текст научной работы на тему «Экспертиза компьютерной информации в системах Windows nt»

Ю.М. Баркалов,

Экспертно-криминалистический центр ГУВД по Воронежской области

А.Н. Бабкин,

кандидат технических наук

ЭКСПЕРТИЗА КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ В СИСТЕМАХ WINDOWS NT

EXPERTISE OF COMPUTER INFORMATION IN THE WINDOWS NT SYSTEMS

Приводится описание способов исследования компьютерной информации в системах WINDOWS NT при проведении экспертиз. Даётся описание программ, предназначенных для восстановления и поиска компьютерной информации.

The methods of expertise of computer information in the Windows NT systems are considered. It is suggested the description of the programmes for restoration and search of computer information.

В настоящее время одним из важных направлений деятельности экспертных подразделений ОВД является проведение компьютерных экспертиз, исследование информации на различных носителях. При проведении компьютерной экспертизы в первую очередь необходимо обеспечить сохранность информации на исследуемых носителях, например накопителях на жёстких магнитных дисках (НЖМД), различных flesh -носителях и других [1].

Самым простым способом сохранения компьютерной информации является блокировка записи по USB порту при подключении через данный интерфейс исследуемых носителей. При этом необходимо или наличие переходных устройств HDD - USB (например, SATA - USB или IDE - USB) и соответствующего программного обеспечения (например, «NCFS Software Write-block XP»), или отключение записи по USB порту в реестре изменением значения «WriteProtect».

Данные реестра для блокировки записи:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]

«W riteP rotect»=dword :00000001

Данные реестра для снятия блокировки записи:

[HKEY_LoCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]

«WriteProtect»=dword:00000000

Приведённые данные блокировки актуальны только в среде Windows XP. Кроме того, данную блокировку можно провести механическим способом путём отключения канала записи. Возможно подключение НЖМД в среде Linux путём их «монтирования» с запретом записи.

В ряде случаев, например при исследовании НЖМД с RAID массивами либо отсутствии соответствующих HDD - USB адаптеров, производится создание образа разделов исследуемого НЖМД или их клонирование. Данный способ требует значительных затрат времени и обязательного наличия соответствующего объема НЖМД, на который производится клонирование.

Полученный образ диска можно подключать как физический или логический диск или после обработки, например в программе «VMware Converter», загружать как виртуальную машину в «VMware Workstation».

В ряде случаев клонированный диск можно использовать для загрузки с исследуемого системного блока.

Для создания образов или клонирования разделов НЖМД можно использовать программы создания резервных копий «Acronis True Image», «Norton Ghost» и др. Наиболее приемлемой является программа «Acronis Advanced Server» из-за возможности работы с дисковыми массивами серверов.

При производстве исследования первым шагом является установление структуры исследуемого носителя информации в случае отображения памяти носителя как логического диска. Для этого можно использовать программы «Acronis Disk Director Suit», «Everest Ultimate Edition» или аналогичные им. При этом определяются тип файловой системы, общий и занимаемый файлами объём, наличие скрытых и шифрованных разделов, определение наличия и характеристик операционной системы.

Перед началом поиска информации необходимо выполнить восстановление удалённой информации, при этом восстановление информации следует выполнять с использованием различных специализированных программных продуктов. С положительной стороны для восстановления информации следует отметить программу «Easy Recovery Professional». Однако целесообразно использовать комплекс различных программ, в том числе производить восстановление с использованием HEX редакторов, например при восстановлении с использованием сигнатуры файла, что возможно и в «Easy Recovery Professional». Большинство вариантов для восстановления уже имеются в базе «типов файлов». При необходимости восстановления файла с использованием сигнатуры указывается сигнатура в шестнадцатеричном формате, максимумом 8 байт и смещение сигнатуры относительно нуля.

Особое внимание следует уделить восстановлению графических, мультимедийных файлов и файлов, созданных приложениями «Microsoft office».

Следует отметить, что восстанавливаются только фрагменты графических файлов, мультимедийные файлы могут и не подлежать восстановлению.

В файлах, созданных приложениями «Microsoft office», например приложениями «Microsoft word», возможно восстановление текстовой информации даже при нарушении структуры документа и имеющихся в нем вложений. Для восстановления текстовой информации можно рекомендовать как соответствующие инструменты, входящие в программу «Easy Recovery Professional», так и такие продукты, как «Recovery Toolbox» или «OfficeRecovery». Восстановленные файлы, имеющие незначительные повреждения, можно открывать в сторонних просмотровщиках или редакторах.

Следует иметь в виду то, что «Microsoft office» является, по сути, интерпретатором и в созданных им файлах сохраняются все команды.

Для исследования компьютерной информации можно использовать специализированные комплексы, например РС3000.

Комплекс PS3000 предназначен для восстановления информации, в том числе и с физически неисправных НЖМД.

В состав PS3000 входит программно-аппаратный комплекс «Data Extractor UDMA», являющийся профессиональным инструментом для восстановления данных. С применением данного комплекса возможно как копирование отдельных данных, в том числе и удалённых, так и создание «клона» разделов НЖМД.

Комплекс PS3000 позволяет восстановить информацию с повреждённых носителей в следующих случаях:

- повреждения поверхности или блока магнитных головок;

- разрушения «служебной информации», приводящие к неустойчивому чтению и множественным ошибкам;

- нарушения системы сопоставления логического дискового пространства (LBA) с физической геометрией НЖМД (транслятора).

При восстановлении информации с повреждённых носителей при использовании PS3000 необходимо учитывать характеристики НЖМД конкретных производите-

лей. Для каждого НЖМД конкретных производителей имеется соответствующий набор специализированных утилит. Полное использование комплекса требует наличия определенной подготовки и знаний аппаратной и технической части НЖМД, однако использование комплекса для восстановления информации в ряде некритичных случаев (поломок НЖМД) затруднений не вызывает.

К задачам поиска информации при проведении компьютерной экспертизы относят:

- поиск текстовой информации по ключевым словоформам;

- поиск графической информации по заданным критериям;

- поиск текстовой и графической информации по соответствию предоставленным образцам;

- поиск информации о сетевых подключениях (выход в сеть Internet);

- поиск программных продуктов и др.

Для поиска текстовой информации используются стандартные средства поиска «Windows», программы «Архивариус 3000», «AVSearch 3.12a» и встроенные средства поиска файловых менеджеров.

Поиск графической информации проводится путём просмотра графических файлов. Важно заметить, что изображения также могут содержаться, например, в файлах, созданных приложениями Office, однако данные файлы графическими являться не будут.

При поиске информации, свидетельствующей о выходе в сеть Internet, возможен следующий алгоритм действий:

- определить используемые пользователем операционной системой браузеры;

- определить имя компьютера;

- определить «SID»;

- определить наличие доступа к сетевым ресурсам и электронной почты.

Для определения используемых пользователем операционной системой браузеров необходимо провести просмотр файлов, как правило, директории «Program Files» и реестра операционной системы. При этом не стоит исключать возможность того, что могут быть использованы версии, не требующие установки. После этого необходимо установить историю работы браузеров.

Рассмотрим три наиболее распространённых браузера «Internet Explorer», «Opera» и «Mozilla Firefox».

История работы с программой «Internet Explorer» за весь период содержится в файле «index.dat» из каталогов «:\Documents and Settings\(пользователь)\Local Settings\Temporary Internet Files\Content.IE5\» и «:\Documents and Settings\(пользователь)\Local Settings\History\History.IE5\» (где (пользователь) — имя пользователя, от чьего имени осуществлялся вход в операционную систему).

Сookie-файлы хранятся в директории «:\Documents and Settings \ (пользователь) \ Cookies\». Для просмотра истории работы можно использовать программу «IEHistoryView».

История работы с программой «Opera» содержится в директории «:\Documents and Settings\(пользователь)\Application Data\Opera\Opera\profile\».

Для просмотра истории работы можно использовать программу «Opera File Explorer».

История работы с программой «Mozilla Firefox», а также личная информация пользователя, такая как закладки, cookies, пароли, расширения, темы, кэш и настройки, хранится в профиле, по умолчанию расположенном в директории:

«\Documents and Settings\шнурок\Application Data\Mozilla\Firefox\ Profiles\(имя профиля)».

Для просмотра истории работы можно использовать программу

«MozillaCacheViewe».

Определить имя компьютера можно путём просмотра ветви реестра «[HKEY_LOCAL_MACHINE\sy stem\C ontrol Set001 \C ontrol\C omputer Name\C om puterName».

Определить «SID» (идентификатор безопасности, структура данных переменной длины, которая идентифицирует учётную запись пользователя, группы, домена или компьютера) можно путём просмотра ветви реестра «[HKEY_LOCAL_MACHINE\SOFTWARE\Software\Microsoft\Windows NT\CurrentVersion \ProfileList».

Просмотром системного журнала, который можно осуществить с помощью программы «Event Log Explorer», устанавливается протоколирование событий, связанных с работой операционной системы для доступа к сетевым ресурсам. Данный журнал расположен в файле «SysEvent.Evt» директории «:\WINDOWS\system32\ config\».

Просмотром реестра операционной системы определяются данные конфигурации TCP/IP, а также сведения об IP адресе и маски подсети. Упрощает эти действия использование программы «MiTeC Windows Registry Recovery».

В файле Rasphone.pbk, расположенном в директории «:\Documents and Settings\All Users\Application Data\ Microsoft\Network\Connections\Pbk\», содержится информация подключений для доступа в сеть Internet с использованием модемного DUAL-UP соединения.

По умолчанию файлы почтовых сообщений «Outlook» хранятся в директории «:\Documents and Settings\(пользователь)\Local Settings\Application Data\ Microsoft\ Out-look\», где (пользователь) — имя пользователя, от чьего имени осуществлялся вход в операционную систему.

Для определения обстоятельств установки и использования программных продуктов и оборудования необходимо провести следующие мероприятия:

- исследование установленного контрафактного обеспечения;

- исследование параметров и регистрационных данных программного обеспечения;

- исследование следов использования программного обеспечения и оборудования.

Для определения проведённых действий операционной системой семейства

«Windows NT» производится просмотр журналов работы операционной системы, содержащихся в файлах «SysEvent.Evt» (является журналом событий системы, используемым реестром «Windows») и «AppEvent.Evt» (является журналом событий приложений, используемым реестром «Windows»), расположенных в директории

«:\WINDOW S\system32\config\» [2].

Просмотром данных журналов можно определить:

- временные рамки работы операционной системы;

- временные рамки запуска ряда программных продуктов, отображаемых в журнале работы операционной системы «Windows»;

- временные рамки подключения — отключения сетевых ресурсов (сетевого адаптера), запуск которых отображается в журнале работы операционной системы «Windows», и ряд других параметров.

Ниже приведены некоторые коды, отображающие работу с сетевыми ресурсами:

- код Event ID - 4201 — сообщает о подключении сетевого адаптера: «Система обнаружила, что сетевой адаптер \DEVICE\TCPIP_{B1CF2C4B-2704-48C2-B52B-3CCD7231B317} был подключён к сети, и инициировала нормальную работу через этот сетевой адаптер»;

- код Event ID - 1077 — сообщает о получении IP-адреса для сетевого адаптера: «Компьютер автоматически настроил IP-адрес для сетевого адаптера»;

- код Event ID - 4202 — сообщает об отключении сетевого адаптера: «Система обнаружила, что сетевой адаптер \DEVICE\TCPIP_{B1CF2C4B-2704-48C2-B52B-3CCD7231B317} был отключён от сети, и сетевая конфигурация этого адаптера была освобождена».

В среде «Windows» большинство основных данных об установленном программном обеспечении и оборудовании хранится в реестре. Рассмотрим, например, исследование параметров программного продукта "1С" версии 7.

Сведения о подключении баз экономических программных продуктов "1С" и проведенных с ними действиях содержатся в файле «NTUSER.DAT» из директории «:\Documents and Settings\(пользователь)». Данный файл содержит информацию из ветви реестра «HKEY_CURRENT_USER» операционной системы «Microsoft Windows». Настройки, соответствующие текущему, активному пользователю, выполнившему вход в систему, содержатся в строке «Software\1C\1Cv7\7.7\Titles» ветви реестра [HKEY_CURRENT_USER].

На рисунке приведен пример данной ветви реестра.

Ряд данных хранится в ключах реестра в файлах: «System», «Default», «SAM», «SECURITY», «Software» из директории \WINDOWS\system32\config\.

Приведём пример информации об установке программного продукта «1С» из

реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\1C\1Cv7\]

«RegUser»=«Director»

«RegOrg»=«Office»

[HKEY_LOCAL_MACHINE\SOFTWARE\1C\1Cv7\7.7\1С:Предприятие (Сетевая версия)

«1CPath»=«C:\Program Files\1CV77.ADM\BIN\1Cv7.exe «1CFolder»=«1C Предприятие 7.7»

«RegMethod»=dword: 00000001

На этом примере видны наименование программного продукта и пути установки.

В случае подключения НЖМД через HDD-USB адаптер защита BIOSа паролем неактуальна.

Для снятия шифрования дисков директорий или файлов средствами «Windows» существуют несколько способов:

- использование программы « r-studio»;

- загрузки компьютера со сменных носителей с использование DOS-программ, причём при работе из-под DOS практически никаких следов на атакованном ПК не остаётся (кроме даты последнего доступа к файлам в их атрибутах);

- загрузки компьютера со сменных носителей с использованием Linux-программ;

- использование содержимого файла подкачки и временных файлов, в которых может оказаться конфиденциальная информация;

- подмена «разрешений» и «владельца субконтейнеров и объектов» в случае клонирования или создания образа разделов исследуемых НЖМД. Замену можно про-

извести при отключённом параметре «Использовать простой общий доступ к файлам» проводника «Windows»;

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

- сброс и замена учётных имен и паролей пользователя.

Для снятия пароля, установленного на НЖМД, можно использовать средства РБ3000.

Таким образом, рассмотренные механизмы поиска информации, обеспечения её сохранности на исследуемых носителях, обстоятельств установки и использования программных продуктов и оборудования, поиска информации, свидетельствующей о выходе в сеть 1п1егпе1;, позволяют успешно проводить компьютерные экспертизы, обеспечивающие восстановление, сохранность и анализ исследуемой информации.

ЛИТЕРАТУРА

1. Терминологический справочник судебной компьютерной экспертизы. Справочное пособие. — М.: ЭКЦ МВД России, 2005. — 56 с.

2. Сердюк В. А. Новое в защите от взлома корпоративных сетей. — М.: Техносфера, 2007. — 360 с.

i Надоели баннеры? Вы всегда можете отключить рекламу.