КОМПЬЮТЕРНОЕ КРИМИНАЛИСТИЧЕСКОЕ ИССЛЕДОВАНИЕ ВРЕДОНОСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ Текст научной статьи по специальности «Компьютерные и информационные науки»

КОМПЬЮТЕРНОЕ КРИМИНАЛИСТИЧЕСКОЕ ИССЛЕДОВАНИЕ ВРЕДОНОСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

Белей А.В.', Томская С.И.2

Ключевые слова: вредоносное программное обеспечение, специализированное программное обеспечение, эксперт, криминалистическое исследование, судебная компьютерно-техническая экспертиза, активность, эффективность, виртуальная среда, виртуальная машина, способ, эксперимент, криминалистически значимая информация.

Аннотация

Цель: анализ эффективности компьютерного криминалистического исследования вредоносного программного обеспечения (ВПО) при помощи средств виртуализации и специализированного программного обеспечения.

Методы: моделирование среды операционной системы путем современных средств виртуализации, проведение имитационного эксперимента посредством помещения ВПО в виртуальную среду, индукция полученных в ходе эксперимента знаний для обобщения выводов и оценки эффективности компьютерного криминалистического исследования.

Результаты: разработаны и экспериментально обоснованы методические рекомендации по эффективному практическому применению специализированных программных средств при криминалистическом исследовании потенциально вредоносных исполняемых файлов; установлены недочеты в правоприменительной практике относительно подобного рода исследований, которые заключаются в невозможности использования рассмотренного способа компьютерного анализа в случае применения разработчиком ВПО техник обхода исполнения вредоносного кода в виртуальной среде.

Использование методических рекомендаций способствует повышению оперативности работы судебного эксперта над установлением криминалистически значимой информации и вопросами, поставленными перед ним относительно функционала и назначения ВПО.

DOI: 10.21681/1994-1404-2023-2-102-112

В настоящее время существует огромное количество видов вредоносного программного обеспечения (ВПО) [6]. По данным3 компании SonicWall Capture Labs, каждую неделю более 18 млн веб-сайтов заражаются вредоносным кодом, 34% предприятий подвергаются вредоносным атакам, а 80% финансовых учреждений ежегодно становятся мишенью для вредоносных программ. По данным компании «КРОК», общее число кибератак за последний год увеличилось на 23%. При этом отмечается рост целенаправленных кибератак, большая часть которых происходит с использованием ВПО4. Пагубное воздействие ВПО проявляется в том, что оно подрывает принцип надёжности устройства, нарушает неприкосновенность и конфиденциальность

3 URL: http://www.sonicwall.com/2023-cyber-threat-report

4 Ежегодные отчеты МВД РФ. URL: Ь1Н^://мвд.рф /reports/

item/22678184 (дата обращения: 20.03.23).

личной жизни, разрывает отношения между защищён-ными механизмами работы компьютера посредством комбинаций несанкционированных действий и др.

Почти во всех странах приняты законы, которые запрещают создание и распространение компьютерных вирусов и прочих типов вредоносных программ. Но для того, чтобы законоисполнителю дать уголовно-правовую оценку и подтвердить принадлежность программы к классу вредоносных, необходимо назначить судебную компьютерно-техническую экспертизу, которая требует специальных навыков и знаний5. Для достижения данных целей перед судебным компьютерно-техническим экспертом должен быть поставлен вопрос о функциях ВПО, в частности, предназначенных для уничтожения, блокирования, модификации, копи-

5 Банк данных угроз безопасности информации ФСТЭК России. URL: http://www.bdu.fstec.ru (дата обращения: 20.03.23).

1 Белей Артём Вячеславович, ассистент кафедры безопасности в цифровом мире Московского государственного университета имени Н.Э. Баумана, аспирант кафедры судебных экспертиз и криминалистики Российского государственного университета правосудия, г. Москва, Российская Федерация.

E-mail: [email protected]

2 Томская Стана Игоревна, студентка кафедры безопасности в цифровом мире Московского государственного университета имени Н. Э. Баумана, г. Москва, Российская Федерация.

E-mail: [email protected]

рования компьютерной информации или нейтрализации средств защиты компьютерной информации [3].

В рамках экспертизы с помощью специализированного программного обеспечения (СПО) осуществляется обнаружение, изъятие и фиксирование действий вредоносной программы. Обычно анализу подлежит не только загрузочный файл, но и метаданные файла, его содержание, поведение и сетевое взаимодействие [5].

В случае с исследованием ВПО эксперты часто сталкиваются с методическими сложностями, отсутствием полного объёма информации или недостаточным количеством теоретических знаний в сфере программирования или обратной разработки. От специализации эксперта во многом зависит, какой способ будет рациональным при анализе ВПО и насколько применение этого способа будет эффективным [2, 7, 8].

Несмотря на то, что многие исследователи акцентируют внимание на обнаружении и последующем анализе ВПО посредством анализа дампа оперативной памяти, такой способ не всегда эффективен [1, 4]. Возможность снять дамп оперативной памяти представляется крайне редко, к тому же существуют и другие, более эффективные способы анализа ВПО. У эксперта есть возможность исследовать исполняемый файл или библиотеку посредством использования средств обратной разработки, однако в современных реалиях не все эксперты обладают должным объёмом знаний для осуществления подобного рода анализа [12]. Такой способ требует опыта в программировании и использовании специфичных программных инструментов.

Помимо указанного, есть способ, который позволяет сделать оперативный вывод о функциональном назначении ВПО, его можно сравнить со способом эксперимента. Суть этого способа заключается в использовании средств виртуализации для моделирования программного окружения в виде операционной системы, настройке мониторинга посредством СПО и последующего запуска потенциально вредоносного файла в виртуальной среде. Данный способ позволяет эксперту исследовать потенциально вредоносный файл в изолированной среде и сделать оперативные выводы о функциях, выполняемых исполняемым файлом или библиотекой [12]. Такой способ аналогичен применению средств защиты компьютерных сетей или почтовых серверов, когда файл сначала запускается в изолированной среде — «песочнице», а уже потом становится доступным для взаимодействия у пользователя, если проверка прошла успешно [10].

Вместе с тем следует отметить несколько условий, которые обязательно должны быть соблюдены. Во-первых, образ операционной системы (ОС), устанавливаемый на виртуальную машину, должен быть идентичным ОС, которая стояла на персональном компьютере жертвы вредоносной активности. Связано это с тем, что некоторое ВПО использует либо уязвимости в определенной версии ОС, либо написано под определенные системы и выполняется только в их среде. Во-вторых, некоторое грамотно скомпилированное ВПО может

обходить выполнение кода посредством анализа среды, в которой пытаются осуществить запуск, что бывает редко, но не исключено. Это может быть мониторинг пользовательской активности, исследование названий определенных директорий, попытки запросов к информации о системе или сети. Часто достаточно просто переименовать ряд директорий, используя другие названия, отличные от сервиса, и использовать виртуальную машину, где уже проводилась пользовательская активность. Если это не помогает и программа не запускается, то путем обратной разработки можно найти участок кода, который отвечает за анализ окружения и удалить его, после чего программа запустится. В данном случае вносится изменение в код программы, однако такой способ, хоть и разрушающий, используется с копией файла с образа диска, и он просто способствует ускорению и повышению эффективности анализа.

Основной задачей данной работы является изучение универсального способа исследования ВПО, который по причине доступности, экономичности и оперативности анализа позволит успешно сформулировать первичные выводы о функционале ВПО, тем самым ускорив анализ артефактов и повысив эффективность работы эксперта.

Эффективность данного способа анализа и поиска цифровых следов работы ВПО была рассмотрена на примере применения средства виртуализации Virtual-Box c ОС Windows 10 и Kali-Linux.

Перед исследованием была произведена установка виртуальной машины в VirtualBox, созданы образы ОС Kali-Linux и Windows 10. На виртуальной машине Kali-Linux работали различные сетевые службы, а на виртуальной машине Windows было проведено исследование ВПО. После настройки виртуальных машин была создана изолированная сеть, которая связала две виртуальные машины. Для этого в настройках сетевого интерфейса виртуальной машины Windows 10 в разделе Internet Protocol был настроен шлюз и DNS-сервер, чтобы они соответствовали IP-адресу ОС Kali-Linux.

Настройка интерфейса для Windows 10: IP-адрес 10.0.2.15, маска (subnet mask) 255.255.255.0, основной шлюз (default gateway) 10.0.2.14, предпочитаемый DNS-сервер (alternate DNS server) 10.0.2.14.

После была открыта виртуальная машина Kali-Linux. Осуществлена проверка соответствия основного шлюза и DNS-сервера с IP-адресом ОС Kali-Linux с помощью команды ifconfig. Данная команда используется для настройки сети в операционных системах Linux. После чего был открыт файл конфигурации Inetsim, который находится по адресу: /etc/inetsim/inetsim.conf. По умолчанию Inetsim прослушивает только локальный хост, поэтому его необходимо сделать доступным для всех машин виртуальной сети. Для проверки была запущена программа Inetsim с помощью команды sudo inetsim и проведено обращение к адресу yandex.ru.

В виртуальной среде ОС Windows 10 были установлены программы, необходимые для анализа ВПО, такие как PeStudio, Filealyzer, AutoRuns, Process Monitor, Reg-

Q pestudio 9.05 - Malware Initial Assessment - www.Minitor.com [c\virus.exej file settings about

fl

dos- header (64 bytes)

Ш

file-header (Nov.2010) optional-header (GUI) fH directories (3) sections (99,83%)

resource* {PK21P)

•be &

manifest (aslnvoker) fiij version (diskpart.exe)

-J

-Ц ««In .

property md5 thai sha256

md 5 * wrt h о ut - over ley 5 ha 1 - without-overlay sha256- without-overlay first-bytes-he* first ■ bytes-text file-size

sue-without-overiay

entropy

imphtsh

signature

entry-point

file-version

description

fite-type

cpu

subsystem

compiler-stamp

debugger-stamp

resources-stamp

exports-stamp

version-stamp

certificate- stamp

uakie

ясмиидаште'^ wi

И M6 WftAII f BFOl MO 1Д Ц B?f Jf Д WWW

ПИ1» H№f w ¡ИВ8ЕД WÜAFJDQiBf -if 1071 ail MMIWW i-fiBttBfBfcwnfjiaa

<ID5A9000 03 00 00 00 0JOOOOOOFFFFOOOGB£00 00 00 00 00 00 00 40 00 00 00 00 0000 00 00

M 7.________________________Ф____________

351J362 (bytes)

7.995

68F0) 3 07ЛЗ 7AA6S 3ABA9BADS807AFEB1

Mi.HatrtL.vit.m.'.S" *§J>

55 ев EC 6A FF 63 8S DJ 40 00 6S H 7640 00 M 41 00 Я) 00 00 50 Ы !9 25 00 0000 00 83 £ С W 53

6.1.7601.17514 (win7ip l.rtm. 101119-1Й50)

Dt^cPflft

I MIM ulllihr

32-Ы1

GUI

Qi4CE7BF41 (Sit Nov JO 12 05 05 2010 - LTTCI

Рис. 1. Окно программы PeStudio, содержащее информацию о метаданных файла VIRUS.exe

Рис. 2. Окно программы PeStudio, содержащее информацию о списке внутренних ресурсов исследуемого

файла VIRUS.exe

Shot. На виртуальную ОС Kali-Linux была установлена программа WireShark. Далее был загружен файл с сайта GitHub под названием VIRUS.exe. Данный файл был перемещен в папку виртуальной машины Windows 10.

При исследовании в первую очередь необходимо провести анализ метаданных файла, не запуская его. Чтобы определить, упакован файл или нет, а также найти все возможные артефакты, используем программу PeStudio.

Среди артефактов следует обратить внимание на временнь1е метки компиляции файла, загружаемые библиотеки, используемые ресурсы, информацию о версии исполняемого файла, характерные строки, а также отладочную информацию и файл сборки (Manifest). С помощью программы PeStudio были определены метаданные файла VIRUS.exe (рис. 1—3).

При анализе метаданных файла были определены: временною метки компиляции файла, загружаемые библиотеки, используемые ресурсы, информация о

версии исполняемого файла (6.1.7601.17514 win7sp1_ rtm.101119-1850), тип файла, а также отладочная информация и файл сборки (Manifest) [11]. При анализе содержания файла в нем был найден еще один упакованный и зашифрованный файл с сигнатурой PKZIP.

Далее для анализа структуры файла следует воспользоваться программой Filealyzer. При анализе метаданных файла были определены: размер файла, его расположение, информация о версии исполняемого файла (6.1.7601.17514), внутреннее имя файла (diskpart. exe), время создания и последнего запуска файла, CRC-32 значение, содержимое PE-секций, таблицы импорта/ экспорта и список ресурсов, среди которых тип ресурса XIA — это данные, зашифрованные Chiasmus. По заголовку в 16-ричном дампе исследуемого файла можно определить, что файл имеет расширение .exe, так как сигнатура файла "4D 5A" относится к исполняемым файлам формата DOS MZ executable (рис. 4, 5). С помощью данной программы была также определена контроль-

ptstudio 9.05 * Malware Initial Assessment - www.winitof.com [z:\virus.exe] file settings about

t

a B c\vifui.e*e

■III indicators (5/34)

И

d os-header (51 bytes)

US das-stub [184 bytes) file-header (Nav.2010) optional-header (GUI) directories (3) sections (99.ШОД

■C neurit

imports (16/114)

jt epati (n. --o ■ tttbult ■ n , resources (PKZIP)

ik ring'.

_

ьИЯДИЯ!

fljjl version (diskpart.t»e)

a

u ■ wtM,

< a ssembly xm!ns="u rn: schemas-micros oft-соrri:asm.vlmanifestVersion='' 1.0" * i tmstlnfо * m lns= li rrirsch emas- m icrosoft- convasm.vi*»

< security»

< requested Privileges»

< re quest edEaecuticn Level tevel="aslnvoker" / * </requ*stedPnvileges>

</security» */tTU5flnfo> <dependency» * depende nt As sem Ыу»

< assemblyldentity typer=H Win32"

name=" M icrpioft. Windo ws.C о m топ -С о ntFO Is"

vers ion="6,0,0,0"

prccesso r Anh itectиre =' *"

public KeyTolten= "659S b64144ccf 1 df"

language-"'"

/>

</ depen dentAsiembly ? </dependency»

<compatibilrty *mln!-"um:;c1iemi!-microsoft-com:compjtibility.vr>

< application»

< I-Windows 10

<supportedOS ld="{Se0f7a 12- bf b3-4f e8- b9a 5-48f d 50a 15a9a 17»

Windows 8.1 -» <£uppertedOS ld= "{1 f675c76-B0e 1-4239-95bb-B3 dOfbdOd a7S|Y> <!-- Windows Vista -->

csuppoitedOS id^ e2011457-1 S46-43c5- a 5fe-008d eee3d 3f0 }JI/» <!-- Windows 7—>

<suppartedOS I d="13 513SbSa - 5 d96 - J( bd - S e2 d - a244Q22 5f93 a |"/» <!- Windows в -»

< s up p с rte dO SI d = '{J a2f!! Be3 ■ S3 Ь9-4441 - b э9с - d69 dJ fl4aoe 3 3 г"11» </application»

«/compatibility» </assembly»

Рис. 3. Окно программы PeStudio, содержащее информацию о манифесте исследуемого файла VIRUS.exe

fi!tiJ>;ei - CioAcrti — □ X

Файл Отчет Настрой км Взы. Внутри Помощь

DuAsm Таблица Mp.Tiopra/Э. crvmT a Hbabmi П рси.яттр ret.ста Просмотр apuna ■'■'" Opcn^&l Hrf4 Б еюмсчость Ресурсы Потеки РЕ IrfonoВС* РЕ скцш

■ VIRUS М

Роаф Э51Ш 1ШШ1ШМ00

Йерсмв 6 t 7601.1751а

ofc-зг

MPS SHA1

40Z

S1CK8»45C21 BBCF75461 тераед^и 5IT<eWFAABCBF01 50D1A34B2C2E

Q IO*H > чге»* I' ;*>'T si i

О Сиаппм

□ ДиреМ0(»|в Vii.pminini

□ Symbcfc W

* t-* ■. 1 la for

lire Лив ММдп 2023r 2Л1 16 Сиам« 24 2023 г 2311 50 Госжажадо» 24 Март 2023 г 23 >2 Ой Лоспвмчя н* ММарт2Шг 231V50

fj ti' f-*' I IСЙi ТIА — □ X

-ii "п (5тчг Настрой^ Йзит Внутри ГГоиштт

Ойшие OpenSGI Ёерсич Безопасность Ресурсы Пшаи РЕ эаголоhf РЕ евкдош [>йДя¥| Тебл*|аИтторта/Зк<лорга- Нтлюп Просмоир текла Просмотр «шла

Is1: ЕчкхпаЫв ЦЕ: Inwmte . ¡5 ADVAPIKil • ¿i KEFIN£U2.<i

Odral ■idortss

4

10 fmdons

ЕЙ fuTKltdr:

Рис. 4. Фрагменты окон программы Filealyzer, содержащих информацию о хэш-сумме исследуемого файла

VIRUS.exe и содержимое таблицы импорта/экспорта

ная сумма (хэш-сумма) файла, что позволяет проверить факт того, что файл остался неизменным.

Далее следует обратить внимание на реестр Windows, с которым очень часто взаимодействует ВПО. Наиболее известной программой для отслеживания изменений в реестре является Regshot. Она позволяет сделать снимки до запуска ВПО и после сравнить две версии системного реестра. Надо заметить, что Regshot не позволяет сканировать определенные разделы и

ключи, из-за чего в файл отчета записываются изменения, сделанные самой Windows.

После запуска утилиты Regshot был просканирован и создан снимок реестра до заражения. Была также запущена программа Autoruns. После выключения компьютера или перезагрузки ВПО требуется определенный механизм для продолжения работы на устройстве, иными словами, необходимо «закрепиться» в ОС. Для этого могут использоваться встроенные функции ОС Windows,

. F.I#ÍI>TÍT - СссЛгтнл U X

lit'г C'-'if Настройка Я1ыи Внутри Псиощь

DuAifn Т обшил И иттссл^/Э. cnopt о Н-чi* Просмотр текста Про I v*r ■Ki-tr -Общие OpenSBI " - Безспйсиость Ресурсы Лоток» PE «concern. РЕсекци.

П ашер »MMSMtje l'A,' д*е-л«ски1 ICLilAi 'П VI 3ÛOJ

ЦЕ^ВЯН^1 ТИП 17514 [™i7ip1_ilml(Jin91850]

Комтеям * ' j ii CvjKiah№

0 жррешее л» ífckcmt este Комм^ттарни

' jiw ® Htiçttft Ec4»líllCíl laeerod

Торг РЧРГ4

ири"ик№нре имя У.' eue

Имя продета MeiiBolie Windowi» Opening Syaem

Ворс™ 6.1760117514

Uroc**» ptfins DiihPwi

, F . Свойства (- X

йайл 0t4cT НЧтетр дЛт, tifci. С", "IcuGuxi

Otiuirií OferSBI Веосыя Бятепкчосгь Рес;рсы Потоки Р£ oflfarкеок Pi tew Т>«Аяп т aímua Ц|.вчпа^кепч*а Нон до™ Проскнтртекста "•<"">■" тлт^

,_] Г1диСКТ«КСГО .......... J Cmcgd СТРОК

Км/БИГрр NCK/ídímfljlníiHHl

¿001 0203 0405 0601 0805 0A0S 0C0D ОЕОР

IDS Л, 5000 0300 оооо 04 00 ОООО FFFF 0000

0*000010 В ? 0 L. оооо оооо оооо 4000 ОООО ОООО ОООО

0*000020 оооо оооо оооо оооо оооо оооо оооо 0000

0*000030 оооо оооо оооо оооо оооо оооо FSO0 оооо

0*000010 0Е1Г BA0E оов* 09CD 2 IPG оиг СЕ21 M6S

0*000090 еэтэ 2070 726Г 6771 616D 2063 616Е 6Е6Г

0*0000(0 иго 6265 2072 7SÉE 2069 6Е20 444Г 5320

0.000070 6Р6Е oes 2E0B ОРОА 2400 оооо 0000 0000

0*000090 вое s ..'.Г,. A4 A4 5462 А4А4 5462 А4А4 54 92

0.0000so ОГВ в 59 В2 А6А4 5492 OS BE 5Г62 А5А4 5492

О.ОООСАО 21ВВ 5А32 AÜA4 5492 СЙЬЬ SE» AFA4 5492

Рис. 5. Фрагменты окна программы Filealyzer, содержащего информацию о версии исследуемого файла

VIRUS.exe и 16-ричный дамп файла

msg 25.03.2023 0ï48 Папка с файлами

для ВПО 25.03.Z023 CM3 Папка с файлами

©Plesíe.Read.Me® 23.03.Z023 0:48 Тек сто в ы й доку м+,. 1 КБ

,J ©WanaDecryptor© 12.0520172:22 Приложение 240 КБ

©WanaDecryptorS&.ene Z5.03.Z0Î3 0:46 Ярлык 1 КБ

□ 00000000. eky Z5.03.Z0Z3 a 48 Файл "ЕКУ" ОКБ

С 00000000,pfcy 25.03.2023 аде Файл 1РКУ" 1 КБ

D OOOOOOOO.res 25,03.2023 0:51 Файл 1 КБ

□ £07551679694490.b at. WNC R Y 25,03.2023 0:48 Файл ШМСЯУ 1 КБ

b-wnry 11.05.Z017 20:13 Файл "«ШУ" 1 407 КБ

: c.wnry 25,03.2023 0-45 Файл 1 КБ

Ш\ m 25.03.Z023 0:48 Файл сценария V... 1 КБ

j frwnry 11.05.Z017 15:59 Файл 1 КБ

П s.'Anry 09.05.201? 16: SS Файл ШдНУ" 2 968 КБ

[ twnry 12.05.2017 ¿22 Файл "У^ШУ" 65 КБ

m ta s Ml 12.05.20172:22 Приложение 20 КБ

[El taskîe 1Z.05.Z017 2.22 Приложение Z0 КБ

] u.wnry 12.05.2017122 Файл УУШУ" 240 КБ

НИ VIRUS 25.03.2023 0.22 Приложение 3 432 КБ

Рис. 6. Фрагмент окна программы «Проводник», содержащего распакованный файл VIRUS.exe

позволяющие запускать программы при загрузке. Утилита Autoruns способна управлять автозагрузкой программ, сервисов, модулей, драйверов и других компонентов системы и содержит информацию о необходимых компонентах. В частности, в данной работе была востребована функция данной утилиты — определение стандартных мест загрузки и места запуска программ. Был создан отчет о проверке системы данной утилитой и сохранен на рабочий стол виртуальной ОС.

Перед тем как запускать ВПО в виртуальной среде, необходимо начать записывать сетевой трафик. Любые передаваемые ВПО по сети данные обеспечивают его «корректную» работу и могут влиять на одну из характеристик информации, которая хранится и обрабатывается в системе, а именно — целостность, доступность, конфиденциальность [6]. В большинстве случаев ВПО генерирует в сети: отчет об инфицировании системы, собранные в системе учетные данные, принимаемые команды от управляющего сервера, загружаемые модули обновления «вредоноса», сетевой трафик, который используется для атак DDoS.

Для обнаружения подобных артефактов в виртуальной среде запускается программа Wireshark. Это профессиональная программа для захвата, мониторинга и анализа сетевого трафика и сетевых пакетов в режиме реального времени. С её помощью можно изучать сетевую активность.

Чтобы следить за происходящими изменениями в файловой системе и реестре, используется утилита Process Monitor. Программа контролирует и следит за всей работой ОС и отображает все происходящие процессы, работающие библиотеки, различные драйвера устройств, а также все изменения, происходящие с файлами, и выводит сообщение об их удалении или открытии. Она также включает в себя инструмент для мониторинга системного реестра и показывает, какие программы обращаются к нему (какие ключи читают и пытаются в них что-либо записать). Программа работает в режиме реального времени и позволяет записывать эти изменения в отдельный файл для последующего анализа. После того как были запущены программы Process Monitor и WireShark, был запущен файл VIRUS.exe.

Д: Ooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted. If you follow our instructions, we guarantee that you can decrypt all your files quickly and safely!

Please send $300 worth of bitcoin to this bitcoin address: 115p7UMMngojlpMvkpHijcRdf]NXj6LrLn

Next, please find an application file named "£WanaDecryptor$.exe". It is the decrypt software. Run and follow the instructions! (You may need to disable your antivirus for a while*)

We will decrypt your files surely because nobody will trust us if we cheat users.

If you need our assistance, send a message by clicking <Contact Us> on the decryptor window

Рис. 7. Фрагмент окна программы «Блокнот», содержащего текст файла @[email protected]

J hDuss Monitor ■ ^yHdinrttr mm^ruilEnufccom № id it Ltn< F-.Itt, Ted: Opto™ Help

ВЫ vif! il К

Trieta^ WHMJSMn 54*1ЮТ?ЗЯ 0 4313.5757174 0 «13.5757111 04313.57H041

ttttuisam

04S11.ra«l77

CjttlUttSM 043 11!зозаэ

043I1S803151

еши

04313.5804313 043i3.s№4ci; 04311И1Ю 04313.5304743 0431358055« 0.4311580174 04SI3S8061SS 04« 135806222 54! и.Я»»

043115307153 043.11530T3S 04313.5107277 043115301IK 04313.5301511 043115808581 013 115808173 043 llS3Ca"22 0-4! 13.5803751 04SI33ttiW 04313.5110913 04711331| 153 04! 13.5811237 0.4! 1151114)4 04313.5111117 043I1S13313 043115113431 04311В12Я1 OjlS I158I285S

IVIRUSEXE »-V1HWIS ЕЛЕ »VIRUS ЕКЕ i-VIRUS ЕКЕ I- VIRUS ЕНЕ

■ я»..! Е>£ t VIRUS ЕЯЕ

■ Vinufi£ne TVIRUSEKE l VIRUS EiE t VIRUS EKE i HRU$£KE f VIRUS EKE к VIHUS EKE f VIRUS EKE I-VIRUS.EJE IVIRUSEKE

* VlRUS.EXE I-VIRUS EXE i-'Vinus.EXE

H7IRUS EKE i-VIRUS EKE I V1HUS.E"E I. VIRUS EKE f-VIRUS EKE I-VIRUS EKE TVIRUS.EKE I-VIRUS EIE ■"•VIRUS E«E (■ VIRUS EKE i- VIRUS EKE I- VIHUS E>E SVIRIiS.EKE i VIRUS EKE Г VIHUS EKE

* VIHUS EKE I-VIHUS EKE S V1HUS.EKE T. VIRUS EKE !■ VIRUS EKE

PID Орелоп Fin

51H ЛЧчОIcmKtj HKLH'.5tll«4t JtaK(tiWMWl H .

»vilit ШЯДОПМЙВМсЩМ WWm кКп WftttttMttlltaHM HWct aw* MiiwsmnJtrMCsiniSit:»* sis с r**<i

етКву HKLU МожЛ №d»n 4 '■.Л* HKLH SOFIWflf Ыгохй .Vndo. HKUl SOFTWARE Ikrarfl Wrtto. 5112 jjGwuKi С UnnMrtJetwuVMSEIE 51И J SIS I SlEj

KYSKU^C ■ EXE

f'W-.tl-tf: ■ :tro few: JVd^ Vffl S EXE С ■l)»BK-ti*Kp VII!UseiE

jvSKTOFit; t'Mm '¡НС Ji'fl* i iwBj-Srtur, BtC f,4m--Sjft-S-m 4

С rimfi.'J

,-t'": . '.ivi' i

stm + ~ ■<•*■и *

\ ; I ПМои -4:— '. I

51K30iiKs С .HWM'.ifWi-.toriSBt Л in: S'AwSwiFfcC J'Jnlm i-ce'Ji «^«Ежс!

■OwcHe C'-W^rfffM Surer, 32J(fiiTid04Jt Л

С jc^J.' tvoi Mb

OtfpSUndU CvWtton'Jpwrtt'ttVWtti II С .WviumfpJtT'v Kb ' i*' л: ."■)•■ .nul l .' г'.* tl ilbepStanMI ..") •, .1 - it ,0*ЛЧеМип> Wftdwfl : •,-.» ■ i

С МкпШсММЖЧХи^Ш J«UiS»»M>ta»*1Tiw«C

r.aut ИсмяЧiWrtte*

-КС1.1 ECThViRE Ftmrf; С. EIE

.rttfv с WntoMfHdduvMtiiA С.\УпdmnJ»Wtfi jn№t±i

' i' 'X t".'-*.».«! C 'l^n'toBC'Ot^tw' VlPIISEJi s1s2 с \|*п'1<вс c«(rlcc virus exe

Rnl

SUCCESS

№FIE HOT FOUND

5IJCCE5S

№HE№T Four,;

SUCCESS

SUTCESS

rtWE HOT FOUHC

.simss

SUCCESS

EUFFEPOvEFtR.

SUCCESS

SUCCESS

SUCCESS

BUFFER OVEFtfl

SltCESS

SUCCESS

SUCCESS

SUFFKO'®«..

SUCCESS

SlttESS

SUTCESS

SUFFER OVEFil

SUCCESS

SUCCESS

SUCCESS

SUCCESS

SUCCESS

FllliBCHESlVlT

SUCCESS

SUCCESS

SUCCESS

SUCCESS

SUCCESS

SUCCESS

StCCESS

SUCCESS

SUCCESS

SUCCESS

SUCCESS

SUCCESS

DcwMAcwt.OmrrYikit LmjkiJ

.- Г

■,«>■** ■ mi A

' \ •<,■ ■ »r*

Dwtd 'csms Rtid CtfWL DlpHbor Ow.Opw H.t'tsi it ^еппног Owvr

DHndAcnu ,>r-, " i

riomawn

'f .

AnJCvMDvmivi 0[vi.(b4n itntjei

if '"Л ' S'Anef il л x

''Л' .VT~, 1Ч.-УГГ IkiC .(TO'I ^vr.fl t.t

rtjrtUhfl.^UV

OirtMFlHd. йюяЬЭТ.Оет.ОДОЧ S^iKTKHril 3371311 EndCIFii 1 it 7u. IUMHIAI 1 CAlt JkotoiSiii 3374SIS. ErtfyFfr 1371 '44. Urtcdlrti 2.ЕМ» ^clweOrieSKior Ра^нйт FVj£_RE4K)NLX 3S707U.Nu4«CrUkj J DsWt

Vtlype: SfOiTineOltw

r^eiAKW Oew Bed. Счеч4*и C^tn.^t« Syndxc™ I Dmcrttsi

1/lf r-.y lu taa С ,-v . -.ч ^v-.'i

HtmJW. От. &M. D4CL. SJCLUW. ft (»■ Dewitee) 0«яс Вые. СИРЧ4СП 0р<п.0р1чгч Sondwou. I ОмиТя. СЭИД!11724.53. L«in™Tnc:aOWlC431).

ОнкпТп ^.13202304340. 25J320a 043B. L

Рис. 8. Фрагмент окна программы Process Monitor, содержащего информацию о процессах, запущенных в ходе

работы VIRUS.exe

После запуска файл был распакован (рис. 6). Появилось 2 новые папки и 16 новых файлов, 7 из которых с расширением .wnry. На рабочем столе компьютера появился текстовый документ с уведомлением о заражении, а также изменились обои рабочего стола (рис. 7).

Далее была открыта вкладка с программой Process Monitor. С помощью нее можно проследить все происходящие процессы, работающие библиотеки, различные драйвера устройств, а также все изменения, происходящие с файлами (их удаление, создание или изменение).

В реестре были найдены следы работы ВПО (рис. 8—9).

При помощи программы RegShot был создан снимок реестра после заражения и сравнение его с предыдущим снимком. Результат сохранен в отчет, который можно просмотреть в обычном текстовом или HTML-файле (рис. 70).

В результате сравнения: были добавлены 286 ключей в реестр, многие из которых с расширением .wnry; добавлено 1615 новых значений в реестр; изменено 123 значения; удалено 2 папки; создано 12 новых папок; в папке VIRUS были изменены атрибуты (к папке

Process Monitor - Sysinternals: www.jysintefnals.com - □ X

File Edit Event Filter Tools Options Help

of В 4 S> Е- V Д @ I J] w Ч А Л -В ■

Time of □ яу PfDcess Name PID Operation Path Result Detail A

0 43 13.9852597 IT VIRUS EXE 5192 iWnteFie С' liwl Jo».- Deeded \u .wrey SUCCESS Offset 1

048 13.9853827 ITV1RU5.EXE 5192 i iWnteFlte C. \Users 4c»c\Desklop 4j .wnry SUCCESS Offset: 1

0 48 13.9854543 «■VIRUS EXE 5192 kWnteFie CAUeenXloecvDesktco'.u wr»y SUCCESS Offset 2

0 43 13.9855111 * VIRUS EXE 5192 ¿JkWriteFile C:\Users\tosic\Dejlttoo4j wnry SUCCESS Offset 2

ода 13.9855299 ■ VIRUS ExE 5192 ^ Set Baac Worm СЛ Users -lose ■■■ Desktop \u wnry SUCCESS Creation

0:48 13.9356756 Г VIRUS.EXE 5192 JtCtoseBe C:\Usere losic\Deektop и .wnry SUCCESS

0:48 13.9861866 IT VIRUS.EXE 5192 i bCreateFHe C: \U3er4 jobc ■ Desktop \c.wnry SUCCESS Desired

048 13.9862364 ■"VIRUS EXE 5192 i Read Fie С MtonVMc^DeAtce 'с wnry SUCCESS Offset 0

0 48 13.9862598 »■"VIRUS EXE 5192 lOose Fie С VUserailoscxDesktop'i wnry SUCCESS

0 48 13.9863571 ■ VIRUS.EXE 5192 .Create File С. \ Users \tosc\Desktop\c wnry SUCCESS Desired

0 48 13,9365312 «VIRUS EXE 5192 _ .WnteHe C:\Users4oaic\Desfcto0Sc wr*y SUCCESS Offset 0

0:48 13.9365777 IT VIRUS ЁХЁ 5192 Close Fie C:\Users Лозю ■■ Desktop \e wnry SUCCESS

0:48 13.9368938 IT VIRUS EXE 5192 iCreateRle CAUsera 4oec\Denktop \attnb .еке NAME NOTFOUND Desired

0:48 13.9870085 IT VIRUS EXE 5192 tCrealeFile С: \Usen \lose\D«4ktop e*e NAME NOT FOUND Dewed

0:48 13.9871326 V VIRUS EXE 5192 kQeaeFile C. i Wndows\Sy3tem32 vatto еке SUCCESS Desired

0:48 13.9871341 I-VIRUS EXE 5192 kGueryBastHor. С \Windows »SySetr>32 ottnt. еле SUCCESS Cneat«m

0:48 13.9871980 ■ VIRUS.EXE 5192 .Close Re С VWridows \System32 '«sttrib .еке SUCCESS

0:48 13.9373181 1 VIRUS EXE 5192 iJkCrealeFile C:\Windows\Syitem32\attrtb еке SUCCESS Desired

0 48 13.9873350 IT VIRUS EXE 5192 . k • • : • С -Windows \System32\attrt> еке SUCCESS Creation

0:48 13.98733ВЭ IT VIRUS EXE 5192 С \ Windows System 3 2 ¿ittnb еке SUCCESS

0:48 13.9874546 TTV1RUSEXE 5192 .CreaeFile С. \ Wridows \Sy«tem32 '-attnb «и SUCCESS Desired

0:48 13.9874875 «■VIRUS EXE 5192 .Стеле File Mapp .CAWKxJowsVSjstemJZvatufc еке FILE LOCKED WIT Sync Typ

0 48 13.9874923 ■ VIRUS EXE 5192 Л Query Standard! ..C \Wiidow5\SysteJn32\atti*i e*e SUCCESS Ailocatio

0 48 < 13.9375014 I"-VIRUS EXE 5192 Л Read We С: ■■ Windows ■■ System 32 «Jttrto еке SUCCESS Offset 0>

Showing 913 385 of 6 030 845 events (15%) Sacked by virtual memory

Рис. 9. Фрагмент окна программы Process Monitor, содержащего информацию о процессах VIRUS.exe

Reysliot 2.1.0.17 Unicode

Дата снимка Компьютер Пользователь 510 пользователя Тип снимка Время снимка Ошибки Ключи

Удаленные / Новые ключи Измененные ключи (разрешения) Параметры

Удалённые / Новые параметры Измененные параметры Папки

Удаленные / Новые папки Измененные папки Файлы

Удаленные / Новые файлы

Измененные файлы

Альтернативные потоки

Удаленные / Новые альтернативные потоки

Изменённые альтернативные потоки

Всего изменений

Сводный отчёт

Снимок А

24.03.2023 23:55:21 OESKTOPOKFMCLO to sic

S-1-5-21-2253714482-2605030331-1306191407-1001

Снимок В

25.03.2023 0:53:39 DESKTOP-OKFMCLO to sic

S-1-5-21-22 53714482-2605030331-1306191407-1001

(НОСТЪЮ Реестр попностъю

6.47 11.41

612 612

197791 198077

1 287

67 67

381354 382969

6 1621

0 123

0 0

г 12

0 0

0 0

0 0

0 0

0 0

0 0

0 0

197 2209 В

Рис. 10. Фрагмент окна браузера Google Chrome, содержащего отчет RegShot

предоставлен доступ для всех пользователей). Всего изменений: 21 901.

Далее была повторно запущена утилита Autoruns. С ее помощью было произведено сравнение с предыдущим отчетом программы о различных компонентах системы (рис. 11).

В результате дальнейшего глубокого анализа полученной информации можно прийти к выводу, что в реестр была добавлена запись для запуска исполняемого файла из папки VIRUS.

После открытия окна программы WireShark были исследованы сетевые протоколы: DNS, HTTP и TCP, которые содержат следы соединений и обмена данными

ZJ Autoruns - Sysinternalsr wMw.sysintemalf.com File Entry Options Help

dil^JXI

a Wrtojjon if- wrisodt Prowlers PrintMonrlors © LSA Providers

О Everything .4 Logon ч Expkm Internet Explorer ' bttiedulec Tasks Services Drivers

Auiotun Ettiy Dercuxion P^tbei

Jf H KLM\SG FTWARE ^Miciosc4t\Wridow:\CurrenlVettion\Rurr 0 Л УВвхТну Vuli«e«Gi*!i Addition; Oiacle Coiporatitsn

HKLMVSDFTWARE\Mciosott\Aclive SelupMnstahd Component! 0 ,Л NET FiimewoA Mictosoll Edge libeller Miciosolt Corporation 0 Active Otrecroi Miciosoii EdgetpiMallei MicioeoIi Corpoiaiion 0 HTMLHelp Microsoll EdgeInitallei MKiojottCtnpotat«n 0 Interne! Explor Microsoft Edge Installer Miciosoft Corporation 0 Micro«« Edge Miaoioli Edgelnstall« MiioisH Coipotadon

Jf H KQJ Vj oftv«re\M eretol t\Wndoyn\QrrenW вгиоп\Л1ж1

0 * (сИгрЦрте+ЬН

V Mi':ru:i:4'Edqe Microsoft Edge

Miciprott Corporalian

0 4 OneDiive Microsoft QfteDirve Miciosoft Coipotalion

fif H kCUVSoftwareVCIassei^S WE x\CorfextM enUtancflei s

0 FfeSjucEx Microsoft OneOnve SIwIEn. МЬвм»Captation £ H ШИ\$о11и41е\Оа5да V\Stwi rACsmeulM wvJH errter:

0 ЕРР PacuafieHiie оболочки Mi Mieiosott Corporation

£ H к LM\Sottwaie\aas ses\D tive^ShellE ilContcxIMenuH antter;

0 . ЕРР Расширение обопочии Mi. MiciosoH Coiporation

^f H KCU\$oftwateSQaHes\D irectoiyys het x\ContexlM er*4tandlers

0 FileSyncEx Mcroioll OneOiive SWEx.. Miciosolt Corporation Jr H I^LWVS oftwaie\Classes\D ¡red«y\S het *\ConleirtM enuHandlet s

0 E PP Раси**еиие оболони Mi Mciosott Coipotalion

g H lIUVSoltwaieSCIassesSD neclayl ackgroundSShellE KVContextMenuH andtet; 0

Imaee Path

0: \vindowA!yslern32\vbo>t.

с Vpiogram IfesVrnlcrosoJIVe с \piogram ftes\r«ciosoll\e. с Vpaogram Wei\micro;ollVe c:^piogiam Met\r«croiotl\e cApiogram IrleiVnoosoliVe

Filenalound CVJistMo: £ ^OtOgram Wer\rmctGiOII\e

Tmeskarno 2*032023 2259 0904 2021 1720 09 04 2021 17 20

21 0320231336 210320231336 21 0320231336 21 0320231336

24 03 2023 2246

25 032023101

21 03 20231336

24 04.2019030

240320232246

07122019914

07122019914

071220191510

0712.20191510

24.03.20232246

240320232246

0712 2019914

07122019914

0712.20191510

24 03 2023 2246

FfeSincE» MiriOEoft OneDirve Sbei Ex MciosOlt CocpotatKn c-\useitVo;K\appdataVkK. 2403.20232246

g HklJ^\Soltw«e4WiCTO«IISWndwi\C^er^eiyon\£^loieiVSbeicorOveilaHdentrf^ 071220191510

0 OneOnvel Mictosoll Qnetnive SlielEx Microsoft Corporal«, c:\useis\tosic\appdata\loc. 24 04 2019 Q31

0 ; 0neDir/e2 MtctosoHOneOiKeSlwlEx. Miciosolt Cwporation cAuseuVioacNappdataUot: 24 04 2019 0 31

0 ОпеОтеЗ Microsoft OneOnve ShelEx. Msioioft Corporation с VuseriMosicVappdataSloc 2404.2019031

c: Viseis^tosic\appdsiaUoe

о Vuseis\tosic\appdata\loc.

c:4*ogram tilesWndows d.

c:^piogiam f4es\wmdow! d

cViseis\tos*c\appdata\loc

с Sinogram fiesVwtndows d

Sesync^el.t* Sue: 1253 К

Microsoft OneDnue She! Externum tm: 24.tH.2D19 0:31 rtcrosofl Conwrewjn versen: 19.43,304.13

4(CRB.SinUCB3D0FS5-BC2C^C 1А-85Н)-2Ш>75В51МВ}

Рис. 11. Фрагмент окна программы Autoruns, содержащего информацию об изменениях в реестре

. ш т Ф □ w 1 1 2 3 4 | О ё. О 4) Ж Q 7:21 Д C-

Л File Edit View Go Capture Analyze Statistics Telephony Wireless Tools *rthO Help Notifications

А □ А ® t | Q Q o, f ^ о p s □ В D Ш

|«|цр ШСЭ -t +

No, Time 72 301.6Е Source Destination 35186607 16.0.2.15 171.25.193.9 Protocol TCP Length Info 66 [TCP Retransmission] 49748 - B<D [SVN] Seq=9 Win=64240 Len=o mss=..

75 315.926131347 ie.tt.2~lS

167.114-35,гь

68 49756 - 9661 [SYN] Seq=6 Win=64248 Lett С HSS=14G0 WS"=256 SACK.PE.

76 318.937157522 1G. 0.2.15 167 114. ,35.28 TCP 66 [TCP RetransmissionJ 49756 - 9091 (SYN | Seq=0 Win-64240 Len-6 MS...

7? 324.947671340 1Э. 0.2.15 167 , 114, .35.28 TCP 66 [TCP Retransmission} 49756 - Э&01 [syn; | Seq-0 Win—64240 Len=G MS

93 459.902798155 M- 0,2-15 194. 109 298.212 TCP 6G 4975.i I - 443 [SYN] Seq-0 Win-64240 3 HSS-1480 WS-258 5ApC_pEK-

93 462.915214120 10. 0.2.15 194 1G9, .206.212 TCP 66 [TCP Retransmission] 4975л - 443 [SYN] Seq=0 Win=64246 Len=6 MSS.

96 468.927468386 10. 0,2,15 194 109. .206,212 TCP 66 [TCP Retransmission] 49754 - 443 Г SYN) Seq-Q Win-6424G Len=fl MSS

97 470.647382111 10.0.2,15 5.35.251.247 TCP 66 49755 9061 [SYN] Seq^O Win=64248 Len=6 MSS=1466 WS-256 SACK_PE_ |

98 473.061996014 99 479,069649927 10.0,2,15 10.0.2.15 5,35,251.247 5,35.251.247 TCP TCP 66 [TCP Retransmission] 49755 - 9061 [SYN] Seq=0 Win=64240 Len=6 MS 66 [TCP Retransmission] 49755 - 9061 [SYN] Seq=0 Wln=64246 Lense MS„

106 655,995395074 107 655.995413549 108 655,995742741 109 655.995742785 » 1 ,7L ШС OQClfllOKC 10.0.2.15 10.0.2-14 10.0.2.15 10.0,2,15 1П ffl 4 4 10.6.2.14 10.0.2-15 10.6.2.14 10,0,2.14 'О В Ч 1K TCP TCP TCP HTTP TMI 66 49759 - 86 [SYN] Seq-0 Win=64246 Len=6 MSS=1466 WS=256 SACPERM. ■ 66 80 49759 [SYN, ACK] Seq-0 Ack=l Wln-64240 Len^0 MSS=1460 SACK_ I 66 49759 - 86 [ACK] Seq=l Ack=l Win=2102272 Len=6 256 GET /msdwnload/update/v3/static/tru5tedr/en/di5aHowetJcert5tl.c 1 КЛ on <0750 f»№l f -1 A^ I----- "'-"f НЮ I «—-П ■

♦ Frame 92; 66 bytes on wire (528 bits), ♦ Ethernet II, Src: PcsCornpu_e6:e5:59 {06 ♦ Internet Protocol version 4t Src: 10.0. 66 bytes captured :00:27:e6:e5:59), 2.15, Dst: 194.10S <528 bits) on Dst: PcsCompu .206.212 ^ 11 м 1 1 1 ■ ■ interface ethO, id 6 _50:4C:14 (08;60:27:56:4c:14)

Рис. 12. Фрагмент окна программы «WireShark», содержащего информацию о сетевых протоколах

и IP-адресах

в сети (рис. 12). В списке сетевых протоколов TCP (протокол управления передач, который обеспечивает доставку данных и гарантию сохранения порядка следования сообщений) найдены подозрительные /P-адреса.

Для проверки данных /P-адресов использовался VirusTotal, который осуществляет анализ подозрительных файлов и ссылок на предмет выявления ВПО. Система производит проверку 70 антивирусными скане-

рами и службами; анализирует ия^-адреса, эвристические механизмы, подписи, метаданные6.

После проверки /Р-адресов установлено следующее:

- «194.109.206.212» — 5 антивирусных решений указали, что данный адрес вредоносный.

6 Веб-сайт VirusTotal. URL: https://www.virustotal.com/gui/home/ upload (дата обращения: 20.03.23).

- «167.114.35.28» — не оказался определен как вредоносный;

- «5.35.251.247» — 2 антивирусных решения классифицировали его как вредоносный.

То есть в ходе проведенного экспериментального компьютерного анализа потенциально вредоносного ПО в виртуальной среде удалось получить ряд криминалистически важных данных, которые свидетельствуют о способе закрепления ВПО в операционной системе; информацию о сетевой активности, обращениям к файловой системе и межпроцессном взаимодействии.

С помощью полученных сведений можно сделать вывод, что данная программа является вредоносной, определить функционал данной программы, а также представляется возможным классифицировать тип ВПО. Данный исполняемый файл относится к типу вредоносных программ, используемых киберпреступ-никами для шантажа и получения выкупа, а также саботажа или диверсии — программа-вымогатель или шифровальщик [9]. После заражения компьютера ВПО шифрует все (полнодисковое шифрование) или некоторые хранящиеся на компьютере файлы и предлагает заплатить денежный выкуп за их расшифровку.

Итак, были экспериментально проанализированы метаданные файла, его содержание, поведение при работе с процессами и операционной системой, сетевое взаимодействие и сформирован алгоритм поиска и обнаружения криминалистически значимой информации при практическом применении эмулятора ОС.

По итогам исследования можно выделить ряд достоинств реализованного способа исследования вредоносных программ. Они заключаются в эффективности противостояния полиморфизму вредоносных про-

грамм, что достигается за счет исследования действий, совершаемых программой, а не ее программного кода. Данный способ можно назвать наиболее безопасным, так как процесс анализа ВПО полностью изолирован от основной системы. В ходе использования данного способа эксперт может оперативно, без использования навыков отладки или обратной разработки, сделать вывод о функционале ВПО и впоследствии коррелировать полученные знания с данными, получаемыми при реализации других способов анализа.

Одним из существенных недостатков реализованного способа в настоящее время является отсутствие возможности его применения в юридической сфере при условии использования разработчиком ВПО техник обхода «песочниц» или запуска ВПО в виртуальной среде — в данном случае появляется необходимость глубокого анализа путем обратной разработки, так как в случае изменения кода программы суд может не рассмотреть заключение эксперта как доказательство.

Таким образом, в работе представлены методические рекомендации осуществления эффективного (оперативного, доступного, экономичного) криминалистического анализа на примере компьютерного исследования программы-вымогателя в виртуальной среде. Имитационное моделирование показало, что разработанные и экспериментально обоснованные методические рекомендации пригодны для исследования любых других типов ВПО и обеспечивают обнаружение криминалистически значимой информации. Поэтому представляется целесообразным активно использовать реализованный способ компьютерного криминалистического анализа в судебно-экспертной практике.

Рецензент: Моисеева Татьяна Федоровна, доктор юридических наук, кандидат биологических наук, профессор, заслуженный деятель науки Российской Федерации, заведующий кафедрой судебных экспертиз и криминалистики имени Н. В. Радутной Российского государственного университета правосудия, Москва, Российская Федерация. E-mail: [email protected]

Литература

1. Алексеев Д.С., Миндубаев В.В., Нефедов В.С. Методы выявления вредоносных программ в оперативной памяти на основе анализа аномалий // Chronos. 2022. Т. 7. № 11 (73). С. 144-146.

2. Бурый А.С. Тестирование качества программного обеспечения в процессе его сертификации // Правовая информатика. 2019. № 1. С. 46-55. DOI: 10.21681/1994-1404-2019-1-46-55 .

3. Гайнельзянова В. Р. Возможности судебной компьютерно-технической экспертизы при расследовании преступлений в сфере компьютерной информации // Вестник Уфимского юридического института. 2021. № 1 (91). C. 144-149.

4. Дастин Э., Рэшка Д., Пол Д. Автоматизированное тестирование программного обеспечения: внедрение, управление и эксплуатация. М. : ЛОРИ, 2003. 567 с.

5. Казанцев А.О., Малюков В.О., Скакунов Р.С. Описание методов анализа и обнаружения вредоносных программ // Тр. XI Междунар. науч.-техн. и науч.-метод. конф. «Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИН0-2022)» (15-16 февраля 2022 г.). В 2-х тт. Т. 2. / СГУТ. СПб. : СПб. гос. ун-т телекоммуникаций им. проф. М. А. Бонч-Бруевича, 2022. С. 253-256.

6. Ловцов Д.А. Теория защищенности информации в эргасистемах : монография. М. : РГУП, 2021. 276 с. ISBN 978-5-93916-896-0.

7. Льянов М.М. Вредоносные компьютерные программы как электронно-цифровые следы // Материалы криминалистических чтений (24 ноября 2022 г.) / Под ред. О. В. Кругликовой. Барнаул : Барнаульский юридический институт МВД РФ, 2022. С. 56-58.

8. Марков А.С. Модели оценки и планирования испытаний программных средств по требованиям безопасности информации // Вестник МГТУ им. Н.Э. Баумана. Сер.: Приборостроение. 2011. № 51. С. 90-103.

9. Россинская Е.Р., Рядовский И.А. Концепция вредоносных программ как способов совершения компьютерных преступлений: классификации и технологии противоправного использования // Всероссийский криминологический журнал. 2020. Т. 14. № 5. С. 699-709. DOI: 10.17150/2500-4255.2020.14(5).699-709 .

10. Умаров Д.А., Борисова С.Н. Исследование поведения вредоносных программ в защищенной среде исполнения // Инжиниринг и технологии. 2019. Т. 4. № 1. С. 47-50. DOI: 10.21685/2587-7704-2019-4-1-12 .

11. Фан Т.Х.Х. Анализ РЕ-заголовка для обнаружения вредоносных программ на основе машинного обучения // Наука настоящего и будущего. 2020. Т. 1. С. 277-280.

12. Юмашева Е.С. Анализ вредоносных программ // Тр. X Междунар. науч.-прак. конф. «Информационные управляющие системы и технологии (ИУСТ-ОДЕССА-2021)» (23-25 сентября 2021 г.) / ГУМРФ. Одесса : Гос. ун-т морс. и реч. флота им. адм. С.О. Макарова, 2021. С. 110-112.

COMPUTER CRIMINOLOGICAL STUDY OF MALWARE

Artem Belei, Assistant Professor at the Department of Security in the Digital World of the Bauman Moscow State University, Ph.D. student at the Department of Forensic Science and Criminalistics of the Russian State University of Justice, Moscow, Russian Federation. E-mail: [email protected]

Stana Tomskaia, student at the Department of Security in the Digital World of the Bauman Moscow State University, Moscow, Russian Federation. E-mail: [email protected]

Keywords: malware, specialised software, expert, criminalistic study, forensic computer and technical assessment, activity, efficiency, virtual environment, virtual machine, method, experiment, criminalistically significant information.

Abstract

Purpose of the work: analysing the efficiency of computer criminological study of malware using virtualisation tools and specialised software.

Methods used: simulating the operating system environment using modern virtualisation tools, carrying out an imitation experiment by means of placing malware into a virtual environment, inductive generalisation of conclusions and evaluation of the efficiency of computer criminological study using the knowledge obtained in the experiment.

Study findings: methodological recommendations for efficient practical implementation of specialised software in a criminalistic study of potentially malicious executable files are worked out and experimentally justified. Shortcomings in law enforcement practice related to such studies are identified which consist in the impossibility to use the studied method of computer analysis when the malware developer uses techniques for bypassing the execution of malicious code in a virtual environment.

Using the methodological recommendations contributes to speeding up the forensic expert's activities of establishing criminalistically significant information and studying questions concerning the malware's functionality and destination.

References

1. Alekseev D.S., Mindubaev V.V., Nefedov V.S. Metody vyiavleniia vredonosnykh programm v operativnoi pamiati na osnove analiza anomalii. Chronos, 2022, t. 7, No. 11 (73), pp. 144-146.

2. Buryi A.S. Testirovanie kachestva programmnogo obespecheniia v protsesse ego sertifikatsii. Pravovaia informatika, 2019, No. 1, pp. 46-55. DOI: 10.21681/1994-1404-2019-1-46-55 .

3. Gainel'zianova V. R. Vozmozhnosti sudebnoi komp'iuterno-tekhnicheskoi ekspertizy pri rassledovanii prestuplenii v sfere komp'iuternoi informatsii. Vestnik Ufimskogo iuridicheskogo instituta, 2021, No. 1 (91), pp. 144-149.

4. Dastin E., Reshka D., Pol D. Avtomatizirovannoe testirovanie programmnogo obespecheniia: vnedrenie, upravlenie i ekspluatatsiia. M. : LORI, 2003. 567 pp.

5. Kazantsev A.O., Maliukov V.O., Skakunov R.S. Opisanie metodov analiza i obnaruzheniia vredonosnykh programm. Tr. XI Mezhdunar. nauch.-tekhn. i nauch.-metod. konf. "Aktual'nye problemy infotelekommunikatsii v nauke i obrazovanii (APINO-2022)" (15-16 fevralia 2022 g.). V 2-kh tt, t. 2. SGUT. SPb. : SPb. gos. un-t telekommunikatsii im. prof. M. A. Bonch-Bruevicha, 2022, pp. 253-256.

6. Lovtsov D.A. Teoriia zashchishchennosti informatsii v ergasistemakh : monografiia. M. : RGUP, 2021. 276 pp. ISBN 978-5-93916-896-0.

7. L'ianov M.M. Vredonosnye komp'iuternye programmy kak elektronno-tsifrovye sledy. Materialy kriminalisticheskikh chtenii (24 noiabria 2022 g.). Pod red. O. V. Kruglikovoi. Barnaul : Barnaul'skii iuridicheskii institut MVD RF, 2022, pp. 56-58.

8. Markov A.S. Modeli otsenki i planirovaniia ispytanii programmnykh sredstv po trebovaniiam bezopasnosti informatsii. Vestnik MGTU im. N.E. Baumana, ser.: Priborostroenie, 2011, No. 51, pp. 90-103.

9. Rossinskaia E.R., Riadovskii I.A. Kontseptsiia vredonosnykh programm kak sposobov soversheniia komp'iuternykh prestuplenii: klassifikatsii i tekhnologii protivopravnogo ispol'zovaniia. Vserossiiskii kriminologicheskii zhurnal, 2020, t. 14, No. 5, pp. 699-709. DOI: 10.17150/2500-4255.2020.14(5).699-709 .

10. Umarov D.A., Borisova S.N. Issledovanie povedeniia vredonosnykh programm v zashchishchennoi srede ispolneniia. Inzhiniring i tekhnologii, 2019, t. 4, No. 1, pp. 47-50. DOI: 10.21685/2587-7704-2019-4-1-12 .

11. Fan T.Kh.Kh. Analiz PE-zagolovka dlia obnaruzheniia vredonosnykh programm na osnove mashinnogo obucheniia. Nauka nastoiashchego i budushchego, 2020, t. 1, pp. 277-280.

12. lumasheva E.S. Analiz vredonosnykh programm. Tr. X Mezhdunar. nauch.-prak. konf. "Informatsionnye upravliaiushchie sistemy i tekhnologii (IUST-ODESSA-2021)" (23-25 sentiabria 2021 g.). GUMRF. Odessa : Gos. un-t mors. i rech. flota im. adm. S.O. Makarova, 2021, pp. 110-112.