CC BY
13
студент 4 курса, 1 факультет Шелест Р.М. студент 4 курса, 1 факультет научный руководитель: Яцук К.В.
старший преподаватель ВУНЦВВС "ВВА" филиал в г. Челябинске Россия, г. Челябинск ОСНОВЫ ДОПУСКА К ЗАЩИТЕ ГОСУДАРСТВЕННОЙ ТАЙНЫ ВОЕННОСЛУЖАЩИХ И ГРАЖДАНСКОГО ПЕРСОНАЛА
Аннотация:
Статья посвящена основам защиты государственной тайны военнослужащих и гражданского персонала. В статье рассматриваются программы позволяющие восстанавливать утраченную информацию файлов, содержащих секретные сведения, а также выявлять нарушения пользования секретной информацией, и попытки сокрытия данных нарушений.
Военнослужащий и гражданский персонал, работающие с секретными сведениями обязаны знать правила пользования секретных документов, порядок хранения и обработки файлов, содержащих секретную информацию. В статье изложена информация о программах, позволяющих контролировать использование, обработку и хранение файлов содержащих сведения государственной тайны на учтённых средствах электронно-вычислительной техники и различных носителях военнослужащих и гражданского персонала. Использование данных программ не только позволяет восстанавливать утраченную информацию, но и контролировать и выявлять нарушения в обращении с секретными сведениями, а также и исключить предпосылки к утечке информации.
Ключевые слова:
Программы для восстановления данных, восстановление данных, информация, носитель информации.
Russia, Chelyabinsk VUNTS VVS ""VVA"" (a branch of the city of Chelyabinsk)
Gonsov M.A.
Shelest R.M. the students 4 year, 1 faculty Supervisor: YatsukK.V. Senior Lecturer
BASICS OF ADMISSION TO THE PROTECTION OF STATE SECRETS OF MILITARY PERSONNEL AND CIVILIAN PERSONNEL
Annotation:
The article is devoted to the fundamentals of protecting state secrets of servicemen and civilian personnel. The article discusses programs that allow you to recover lost information files containing sensitive information, as well as identify violations of the use of sensitive information, and attempts to conceal these violations.
The serviceman and civilian personnel working with classified information must know the rules for using secret documents, the procedure for storing and processing files containing sensitive information. The article contains information on programs that allow to control the use, processing and storage of files containing information of state secrets on the computerized means of electronic computers and various carriers of military personnel and civilian personnel. Using these programs not only allows you to recover lost information, but also to monitor and detect violations in dealing with sensitive information, as well as to exclude the prerequisites for information leakage.
Keywords:
Software for data recovery, data recovery, information, media.
Программы для восстановления удаленных файлов
Информация окружает нас повсюду. В большинстве случаев она является не только большой ценностью, но и служит уликой. При этом для записи данных применяются разнообразные носители и используются методики их создания. Однако каким бы не был накопитель данных возможность удалить или потерять существует всегда. К восстановлению данных приходится прибегать при случайном удалении нужных файлов, при форматировании файловой системы с нужными данными, при «слёте» файловой системы, когда по каким-то причинам диск просто перестаёт определяться операционной системой, либо при повреждении носителя информации, в результате чего некоторые файлы становятся недоступными или исчезают.
Рассмотрим список программ, которые так или иначе связаны с восстановлением файлов, папок, фотографий, документов и т.п. с носителей информации. Эти программы я разделил на четыре группы:
- Программы для восстановления удалённых файлов;
- Программы для восстановления файловых систем;
- Программы для восстановления данных с повреждённых носителей;
- Криминалистические программы с функцией восстановления данных.
Деление несколько условное, поскольку некоторые программы имеются широкую функциональность, и могут быть помещены сразу в несколько групп. У программ имеются свои особенности: ОС, в которых они работают, используемые методы, типы файлов, которые они способны найти, файловые системы, используемые методы и т.д. Если одна из программ не дала результатов, то имеет смысл попробовать другую.
Все описанные здесь программы работают в Linux, некоторые из них являются кроссплатформенными и работают в других операционных системах, например, Windows. Это будет отмечаться в описании программы.
Обычно при удалении файла не удаляется его содержимое, а удаляется информация об этом файле. Примерно это же происходит и при быстром форматировании носителей. Именно этим и пользуются многие программы по восстановлению файлов - они отыскивают содержимое файла и копируют его, этот процесс и называется «восстановлением файла».
Место (область на диске), которое занимал файл, после удаления считается незанятым (не распределённым) и может быть перезаписано при сохранении другого файла. Поэтому крайне важно не сохранять новые данные на носитель. Если вы этого не делаете, то программы и системные процессы могут это делать без вашего участия. Операционные системы непрерывно обращаются к файловой системе. Например, ОС Windows несколько раз каждую секунду на протяжении всей работы компьютера обращается в свой реестр. Многие процессы, о которых мы даже не догадываетесь, также работают с файловой системой. Отсюда следуют вполне очевидные правила:
- не записывать новые файлы на диск или флешку, с которой хотите восстановить удалённый или пропавший файл;
- восстанавливаемые файлы обязательно сохраняйте на другой носитель, а не на тот, с которого ведётся восстановление, поскольку эти файлы затирают данные и шансы на восстановление каждого последующего файла падают;
- если выполняется работа в Linux, то его необходимо отмонтировать раздел или перемонтировать его только для чтения;
- если это системный раздел, то рекомендуется выключить компьютер и работать с Live-диска или с образом данного раздела.
Хорошей практикой является не работать с носителем напрямую, а сделать его образ и работать с файлом образа. Благодаря такому подходу:
- носитель можно отключить от системы, что гарантирует, что какие-либо процессы ОС не будут к нему обращаться и записывать на него данные;
- если необходимость восстанавливать файлы связана с неисправностью носителя, то интенсивная работа нескольких программ может усугубить ситуацию.
1. Рассмотрим основные программы для восстановления данных
PhotoRec, пожалуй, это одна из самых дружелюбных к пользователю программ. Она работает на различных операционных системах, в том числе и на Windows. В ОС Windows она может работать как в режиме консоли, так и с графическим интерфейсом. Несмотря на свою дружественность, она является очень эффективной для восстановления файлов. Она может работать даже с носителями, у которых слетела файловая система. Данная программа является компаньоном TestDisk, которую также можно было бы рассмотреть в этом же разделе, поскольку она тоже умеет восстанавливать файлы. Но главное предназначение TestDisk - это восстанавливать файловые системы, поэтому она будет рассмотрена чуть позже.
Scalpel - это программа с открытым исходным кодом для восстановления файлов используя базу данных заголовков, колонтитулов. Может восстанавливать с образов дисков или устройств с сырыми блоками, заголовки и колонтитулы устанавливаются пользователем. Программа используется не только для восстановления файлов, но и цифровых криминалистических исследований.
Extundelete - это утилита, которая может восстановить удалённые файлы из разделов ext3 или ext4.
Foremost - это консольная программа для восстановления файлов на основе их заголовков, колонтитулов и внутренней структуры данных. Этот процесс обычно называют «выскабливанием данных». Foremost может работать с файлами образов, такими как сгенерированные в dd, Safeback, Encase и т.д. или напрямую с диском. Заголовки и колонтитулы могут быть указаны в конфигурационном файле или вы можете использовать переключатели командной строки, для точного определения встроенных
типов. Эти встроенные типы смотрят на структуру данных данного файлового формата, позволяя более надёжное и быстрое восстановление.
Ext4magic - это инструмент администратора Linux, который может помочь восстановить удалённые или перезаписанные файлы на файловых системах ext3 и ext4. В своей работе опирается на журнал файловой системы.
Ext3grep - это инструмент для исследования файловых систем ext3 на удалённое содержимое и возможность его восстановить. Программа помогает восстанавливать удалённые файлы только с файловых систем ext3.
Scrounge-ntfs - это утилита для спасения данных с повреждённых разделов NTFS, она записывает полученные файлы на другую рабочую файловую систему. Некоторая информация о повреждённом разделе должна быть известна заранее.
Recoverjpeg - восстанавливает JFIF (JPEG) фотографии и файлы видео MOV. Recoverjpeg пытается идентифицировать jpeg картинки в файловой системе или из образа файловой системы.
Magicrescue - сканирует блочное устройство и извлекает файлы известных типов по «магическим байтам». Может использоваться как утилита для восстановления удалённых файлов, так и спасения данных с повреждённого диска или раздела. Работает на любых файловых системах,
но на очень фрагментированных файловых системах программа может восстановить только первый кусок каждого файла. Тем не менее, эти куски иногда достигают 50 мегабайт.
Ddrescue - инструмент по восстановлению данных. Копирует данные из одного файла или блочного устройства на другое, пытается спасти сначала хорошие части, если имеются ошибки чтения
2. Основные программы для восстановления файловых систем
TestDisk программа с открытым исходным кодом и лицензией GNU
General Public License (GPL v2+).
TestDisk это мощная бесплатная программа для восстановления данных. Она была разработана в первую очередь, что бы помочь
восстановить утраченные разделы и/или восстановить загрузочную способность дисков, если эта проблема вызвана программно, вирусами или ошибками человека (таких как случайное удаление Таблицы Разделов). Восстановить Таблицы Разделов TestDisk-ом очень легко.
Gpart пытается предположить, какие разделы присутствуют на жёстком диске. Она пытается найти потерянную, перезаписанную или разрушенную, но всё ещё существующую на диске, таблицу разделов, к которой операционная система не может получить доступ. gpart игнорирует главную таблицу раздела и сканирует диск (или образ диска) сектор за сектором в поисках нескольких типов файловых систем/разделов. В своей работе она использует модули распознания файловых систем, опрашивая их, не напоминает ли данная последовательность секторов тип файловой системы или раздела.
Anyfs-tools - unix-way набор инструментов для восстановления и конвертирования файловых систем.
3. Программы для восстановления данных с повреждённых носителей
Safecopy - инструмент по восстановлению данных с проблемных или
повреждённых носителей. Программа спасает данные с источников, на которых возникли ошибки чтения-записи. Она пытается получить так много данных из источника, как это возможно, даже прибегая к специфичным для устройства операциям низкого уровня, где это возможно.
Recoverdm - восстанавливает файлы с дисков с повреждёнными секторами.
Recuperabit - это инструмент для криминалистической реконструкции файловой системы.
4. Криминалистические программы с функцией восстановления данных
Autopsy - это платформа цифровой криминалистики и графический интерфейс для Sleuth Kit и других цифровых криминалистических инструментов. Она используется правоохранительными органами, военными и корпоративными экспертами для расследования происшедшего на компьютерах. Обычные пользователи могут использовать её, например, для восстановления фотографий с цифровой карты памяти камеры.
Autopsy была создана, чтобы быть интуитивно понятной из коробки. Установка проста и мастер проведёт вас по всем шагам.
The Sleuth Kit (TSK) - это библиотека на языке C и коллекция инструментов командной строки, которые позволяют исследовать образы дисков. Ключевая функциональность TSK позволяет анализировать тома и данные файловой системы в компьютере подозреваемого. Фреймворк плагинов позволяет инкорпорировать дополнительные модули для анализа содержимого файлов и строить автоматизированные системы. Библиотека может быть инкорпорирована в большое количество инструментов цифровой криминалистики, а инструменты командной строки могут использоваться напрямую для поиска доказательств.
Поскольку инструменты не полагаются на операционную систему для работы с файловой системой, то показывается удалённое и спрятанное содержимое. Программа работает на платформах Windows и Unix.
DFF (Digital Forensics Framework - цифровой криминалистический фреймворк) - это криминалистическая компьютерная платформа с открытым исходным кодом, он построен поверх отдельных API. Так он предназначен прийти на замену устаревающим цифровым криминалистическим решениями, используемым сегодня. Созданный для простого использования и автоматизации, интерфейс DFF проводит пользователя через главные шаги цифрового расследования, поэтому он может использоваться как профессионалами, так и не экспертами для быстрого и простого совершения цифровых расследований и реагирования на инциденты.
Таким образом, информация на носителях не удаляется бесследно, поэтому нужно крайне внимательно относиться к хранению и использованию информации, а также затиранию удаленной информации. Справиться с задачей помогут программы для реанимации данных (рековеры). Их существует великое множество, как платных, так и бесплатных
Потеря данных происходит как неумышленно, так и путем намеренного их удаления. Восстановление данных необходимо в различных ситуациях: бытовые ситуации; коммерческие ситуации; судебные процессы; ситуации в аналитических, силовых структурах.
В бытовом смысле восстановление личной информации может доказать или опровергнуть факт, касающийся частной жизни. Так, это может быть случайное или умышленное уничтожение информации о наследстве, фото или видеоматериалы, связанные с изменой и т.п.
Для коммерческих или промышленных ситуаций важно восстановить данные, от которых зависит эффективность бизнеса и процесса производства. Это может быть налоговая, бухгалтерская или правовая информация.
Крайне важно восстановить информацию для судебных разбирательств, когда подозреваемый, свидетель или иной фигурант дела уничтожил важные улики, ценные данные. В таком случае не обойтись без
экспертной помощи.
Возникают и такие моменты, когда для аналитических, разведывательных, государственных структур или вооруженных сил необходимо восстановить важные сведения (например, разведывательного характера).
Восстановить, возможно, как файлы по отдельности, так и целые папки с данными, как всю информацию, так и ее части. Любая манипуляция требует тщательного анализа носителя, аккуратного воздействия и скрупулезных действий.
В зависимости от вида повреждения носителей с информационными данными выбирается и способы восстановления:
- аппаратно-программные;
- программные.
Аппаратно-программные методы применимы в случае физических или химических повреждений, выхода из строя техники для записи и чтения. Восстановление происходит с помощью:
- перепрошивки (замены микропрограмм). Этот способ применяется при отсутствии внешних повреждений, когда изначально экспертом предполагается сбой в работе микропрограмм;
- устранения неисправностей. В данном случае производится замена поврежденных элементов и частей (пайка, вмешательство в блок магнитных головок);
- механическое устранение неполадок. Так, если на поверхности есть сколы, трещины, то иногда помогает полировка;
- прямого метода снятия данных. То есть извлекается информация с носителя, однако, это может повлечь восстановление с частичными повреждениями.
Программные методы - процедуры обработки с использованием специализированного программного обеспечения. Применяются в случае нарушения исключительно логической структуры. Это возможно, благодаря тому, что при логическом удалении данных, они не исчезают, а остаются на носителе просто «невидимыми» для системы. Однако при перезаписи информации восстановить данные не получится.
Кроме того, используется способ восстановления по сигнатурам -наиболее сложный вариант, основанный на поиске особых меток. Способ идеален при разрушении файловой системы, но существующей возможности обнаружения файлов.
Восстановление данных это довольно сложный и ответственный процесс, от которого может зависеть очень многое (ведение бизнеса, судебный процесс, личные дела и т.п.). Он отличается скрупулезностью и длительностью, поэтому важно грамотно подходить к решению данного вопроса.
Использованные источники:
1. Восстановление данных. Режим доступа:
http://kons.ru/expertizi/kriminalisticheskie_ekspertizy/vosstanovlenie_dannyh/
2. Восстановление данных. Режим доступа: http://all-freeload.net/vosstanovlenie-dannykh
3. Лучшие программы для восстановления удаленных файлов. Режим доступа:
https://pomogaemkompu.temaretik.com/1213547931305511361/luchshie-programmy-dlya-vosstanovleniya-udalennyh-fajlov/
4. Программы для восстановления удаленных файлов скачать бесплатно. Режим доступа: http://moiprogrammy.com/programmy-dlya-vosstanovleniya-udalennykh-faylov/
5. Программы восстановления данных с жесткого диска и флешки. Режим доступа: http://softobase.com/ru/article/luchshie-programmy-dlya-vosstanovleniya-dannyh
6. Простое восстановление данных. Режим доступа: https: //rlab .ru/doc/simple_data_recovery. html
УДК 2964
Гордеева П.Ю.
