Відновлення маршруту користувача за допомогою Google Earth

Перед спеціалістами лабораторії цифрової криміналістики Gross ініціатором було поставлене завдання дослідити:

 

  1. Пошук файлів у вигляді зображень географічних карт, місцевості та інформація про дату, час створення, історію перегляду та хронологія створення цих зображень
  2. Пошук та фіксація записів географiчних координат, будування маршрутів.

Спеціалістом лабораторії було встановлено, що на наданому об’єкті дослідження містяться файли проінстальованого додатку Google Earth Pro. В результаті аналізу системного реєстру операційної системи з’ясовано, що цей додаток активно використовувався користувачем.
З метою встановлення механізму слідоутворення, яке може залишатися внаслідок використання програмного продукту «Google Earth Pro», спеціалістом був проведений експеримент, що проводився у 2 етапи.
На першому етапі було виготовлено копію файлової системи системного розділу безпосередньо після його форматування та інсталяції операційної системи (цей розділ використовувався для експерименту).
У ході проведення другого етапу проводився ряд операцій:
- за допомогою комплекту утиліт «Windows Sysinternals», відслідковувався процес роботи програми «Google Планета Земля Pro». В результаті цього спеціалістом була встановлена послідовність роботи програми, зафіксовані найбільш криміналістично-значимі каталоги та файли, які використовуються програмою для створення та запису інформації;
- проводився пошук населених пунктів в географічній карті, доступ до якої надається програмою, переглядалася окрема місцевість, помічалися окремі об’єкти міткою “Мої місця”;
- будувалися індивідуальні маршрути.
Таким чином, спеціалістом лабораторії були отримані достовірні дані про те, де може зберігатися інформація, створена в результаті використання програми Google Earth Pro, які структури даних можуть створюватися програмою та здобуто експериментальні зразки файлів для порівняльного аналізу.

Як приклад, на зображенні наведені записи геолокаційних даних в необробленому вигляді, створені в результаті операцій спеціаліста під час експерименту.

У подальшому, для пошуку записів географічних координат, спеціалістом формувалися маски регулярних виразів (маски створені завдяки результатам, отриманим в результаті експерименту), які дозволили відшукати найбільш точну послідовність байт, залишену в результаті перегляду користувачем географічних координат з допомогою додатку “Google Earth Pro”.
Сліди, знайдені на досліджуваному накопичувачі, порівнювалися із зразками структур даних файлів, які були створені під час експерименту. У такий спосіб спеціалістами лабораторії “Gross” отримані беззаперечні докази, що записи географічних координат створені в результаті використання користувачем програми “Google Earth Pro”, інстальованої на накопичувачі, а не будь-яким іншим способом.
Як приклад, на зображеннях наведені однакові записи географічних координат, які містяться у файлі, виявленому на досліджуваному НЖМД та у файлі, створеному під час експерименту.

Зокрема, у незайнятих секторах накопичувача, серед видаленої інформації, спеціалістом лабораторії відшукані фрагменти записів, створені в результаті будування маршруту. Приклад таких записів наведено нижче на зображенні.

Read 95 times Last modified on Середа, 05 грудня 2018 11:30

Підписка на новини

Підпишіться на наші новини, щоб завжди бути в курсі знижок та нових пропозицій!

Контакти

  • м. Луцьк, вул. Ковельська 2, оф. 315

  • +38066 023 70 86+38063 418 22 57
  • Ця електронна адреса захищена від спам-ботів. вам потрібно увімкнути JavaScript, щоб побачити її.

Gross

logo Gross

Відновлення даних. Комп'ютерна криміналістика. e-Discovery

Top