CC BY
49
Model Integration, так как в них учтены особенности ИТ-сферы.
2. Стандарты ISO серии 9000 являются наиболее базовой методологией, содержащей фундаментальные принципы системы менеджмента качества. Наличие данного стандарта у компании является обязательным для некоторых заказчиков и общепринятым в национальном сегменте ИТ-отрасли.
3. Методология Kaizen, которая сконцентрирована на работе с персоналом вне зависимости от сферы деятельности, может быть применена совместно с другими СМК.
4. Использование процессного подхода в каждой из методологий свидетельствует о необходимости представления деятельности организации в виде процессов до внедрения системы менеджмента качества.
References:
1. Gosudarstvennyj standart Respubliki Belarus' STB ISO 9001-2015 «Sistemy menedzhmenta kachestva»
2. Proekt «Menedzhment kachestva» [Elektronnyj resurs] / KPMS, 2007 - 2016.-Rezhim dostupa: http://www.kpms.ru/General_info/ Quality_management.htm. - Data dostupa: 25.12.2016.
3. Gosudarstvennyj komitet po standartizacii Respubliki Belarus' [Elektronnyj
resurs] / Gosstandart, 2001 - 2016. - Rezhim dostupa: -http://www.gosstandart.gov.by/ Konkyrsu-vobl-kach_prem-pravit.php - Data dostupa: 25.12.2016.
4. Preston G. Smith, Flexible Product Development: Building Agility for Changing Markets. / Preston G. Smith. — John Wiley & Sons, 2007. - 320 c.
Zaneuskaya A. G. THE OVERVIEW OF THE QUALITY MANAGEMENT SYSTEMS APPLICABLE FOR THE IT COMPANY Yanka Kupala State University of Grodno Summary
Sustainable development of the organization, maintaining a competitive position in the Industry, improving the resource base requires a certain level of service quality. These requirements are set by the government, customers, competitors and other stakeholders. There are a number of quality management systems, which include both theoretical principles and definitions of quality management and best practices to improve the quality of the final product. Some systems are considering the organization in general, while others focus on a particular area of activity. The select of a quality management system for IT-company requires a review of the most used systems applying to the software development.
УДК 004.633
О.Р. Мысливец
КРИМИНАЛИСТИЧЕСКИЙ ПОДХОД К АНАЛИЗУ УДАЛЕННЫХ
ФАЙЛОВ В NTFS
Гродненский государственный университет имени Янки Купалы
Файловая система NTFS является наиболее распространённой файловой системой и в большинстве случаев именно носители информации с файловой системой NTFS являются объектом компьютерно-технической экспертизы. В зависимости от умений и навыков злоумышленника и самого противоправного деяния, процесс анализа файловой системы может различаться. Однако, несмотря на все возможные различия в подходах, один
принцип анализа файловой системы остается неизменным - это анализ удаленных файлов.
В файловой системе NTFS процесс удаления файлов не отличается какой-либо сложностью. При удалении файла его запись MFT освобождается, а именно значение поля Flags структуры FILE_RECORD_SEGMENT_HEADER [1] устанавливается равным 0. Также освобождаются занимаемые файлом
Научные стремления. Выпуск 20
кластеры и имя файла удаляется из индекса родительского каталога. Тот факт, что данные об атрибутах файла будут храниться до их перезаписи и не будут сразу же удалены после освобождения MFT-записи, дает шанс восстановить файл полностью, либо частично с некоторой вероятностью. Также будет полезно знание того факта, что в ОС Windows для выделения MFT-записей используется алгоритм выделения первой доступной записи [2, стр. 315], что дает шанс восстановить файлы, которые были удалены относительно недавно.
Сам процесс поиска удаленных файлов становится довольно простым: необходимо найти смещение MFT относительно начала раздела в загрузочном секторе раздела и после этого найти все записи со значением 0 в поле Flags. Данное поле легко найти по смещению 0х16 относительно начала заголовка записи MFT. Для каждой записи можно, как минимум, получить информацию об имени файла из атрибута $FILE_INFO и метках времени из атрибута $STANDARD_INFORMATION. Данная особенность объясняется тем, что данные атрибуты всегда являются резидентными и, соответственно, хранятся в самой MFT-записи. Восстановление самих данных файла может быть не всегда возможным, если атрибут $DATA был нерезидентным и выделенные ему кластеры были перезаписаны.
Поиск и восстановление удаленных файлов не всегда являются единственной целью. Часто требуется получить дополнительную информацию об этих файлах. Например, информацию о временных метках файла. В файловой системе NTFS файлу устанавливаются 4 метки времени: время создания файла, последнего изменения файла, последнего доступа к файлу и время модификации соответствующей MFT-записи файла. Одной из особенностей NTFS является то, что все четыре метки хранятся в двух атрибутах одновременно: в атрибутах $FILE_INFO и $STANDARD_INFORMATION. Запись временных меток имеет свои особенности: время создания и изменения файла создаются в структуре $FILE_INFO в момент создания файла и не могут быть
больше значений, находящихся в структуре $STANDARD_INFORMATION. Однако, время последнего доступа к файлу и последней модификации MFT изменяются только в структуре $STANDARD_INFORMATION.
Несмотря на то, что для удаленных файлов возможно извлечь большой объем информации, его может быть недостаточно. Поэтому следующим шагом при анализе удаленных файлов может стать анализ журнала изменений. Журнал изменений появился в NTFS 3.0 и представляет собой метафайл, содержащий информацию о действиях с файлами и каталогами [2, с. 349]. Файл представлен набором записей [3], которые содержат информацию о MFT-записи файла, для которого была сделана запись в журнале, временная метка и причина создания записи. Следовательно, зная номер MFT-записи удаленного файла, можно найти все записи изменений для необходимого файла с описанием произведенных действий. В процессе проведенного автором исследования принципов функционирования журнала изменений в ОС Windows было обнаружено несоответствие значений. Так, не смотря на указанную в документации длину поля File Reference Number [2, стр. 349] равную 8 байтам, в действительности для хранений номера MFT-записи используются только старшие 4 байта. Также существует возможность отключить журнал изменений, чем вполне может воспользоваться злоумышленник, если он обладает соответствующими навыками. Еще одна особенность, которая может помешать анализу удаленных файлов с помощью журнала изменений, состоит в том, что при использовании подключенного жесткого диска, который изначально использовался в другой ОС Windows, данные в его журнал записываться не будут.
С другой стороны, если файл активно изменялся до того, как был удален и до момента, как жесткий диск попал на экспертизу, то существует довольно большая вероятность получить информацию об изменениях файла за определенный промежуток времени. Данный способ позволяет сократить количество анализируемых файлов, если известны временные рамки совершения преступления. Это позволяет прово-
дить более эффективный анализ файловой системы и сократить время проведения компьютерно-технической экспертизы.
References:
1. File_Record_Segment_Header structure [Elektronnyj resurs] / Microsoft TechNet Library - Rezhim dostupa: https://msdn.microsoft.com/enus/library/bb470 124(v=vs.85).aspx - Vremya dostupa: 10.12.2016
2. Kehrrieh, B. Kriminalisticheskij analiz fajlovyh sistem/ Kehrrieh B. - SPb.: Piter, 2007. - 470s.
O.R Myslivec
FORENSIC APPROACH TO THE ANALYSIS OF THE DELETED FILES ON NTFS
Yanka Kupala Grodno State University
Summary
In this paper the forensic approach to the analysis in the NTFS deleted files using the time stamp and the NTFS change journal is described. It also describes some of the features of the use of time stamps and NTFS change journal.
