Поняття та методи СКТЕ

Що таке СКТЕ?

СКТЕ

У 90-х роках 20-го століття на території СНД арбітражні й цивільні справи, предметом яких були комп’ютерні засоби, спричинили технічну революцію.

1996 року професор Е.Р. Росинська запропонувала експертизу комп’ютерних технологій назвати судовою комп’ютерно-технічною експертизою (СКТЕ). А 2000 року Е.Р. Росинська та А.В. Усов опублікували працю “ Класифікація комп’ютерно-технічної експертизи та її завдання”, де сформулювали систематизацію СКТЕ. 
Судова комп’ютерно-технічна експертиза використовується з метою отримання фактичних даних, які мають значення для справи та пов’язані з комп’ютерними пристроями та комп’ютерними мережами. Основним предметом СКТЕ є факти, які встановлені на основі розслідування закономірностей розробки та експлуатації комп’ютерних засобів.

 

Види СКТЕ

  • - апаратно-комп’ютерна - проведення діагностичних досліджень технічних засобів комп’ютерної системи. До технічних засобів відносяться: електричні, електронні та механічні схеми, блоки, прилади та пристрої, що містять матеріальну частину комп’ютерної системи;
  • - програмно-комп’ютерна - призначена для проведення дослідження програмного забезпечення. Основною ціллю такої експертизи є вивчення функціонального призначення і характеристик програмного забезпечення, його поточного стану;
  • - інформаційно-комп’ютерна - експертиза даних;
  • - комп’ютерно-мережева експертиза - дослідження призначення мережевого обладнання та збір цифрових слідів у комп’ютерній мережі. Предметом експертизи є інформація про топологію мережі та дані, які зберігаються на комп’ютерах та мережевому обладнанні.

Об’єкти СКТЕ

  1. Апаратні об’єкти:
  2. ПК;
    • - периферійні засоби (принтери, модеми, дисководи для гнучких магнітних дисків та для магнітооптичних дисків);
    • - мережеве обладнання (робочі станції, сервери, мережеві кабелі);
    • - вбудовані системи на базі мікропроцесорних контролерів (круїз-контролери, іммобілайзери, транспондери).
    • - аксесуари вищевказаних компонентів.
  3. Програмне забезпечення:
    • - системне;
    • - прикладне.
  4. Інформаційні об’єкти:
    • - електронна документація;
    • - відомості про пристрій, ким виготовлено, дату і час в мультимедійних форматах;
    • - комп’ютерна інформація в базах даних, що мають прикладний характер.
  5. Автоматизовані інформаційні системи:
    • - корпоративні та регіональні комп’ютерні мережі;
    • - провідні та безпровідні комп’ютерні мережі;
    • - компоненти мереж, їх внутрішні структури, інтерфейси та канали взаємодії.

ТОВ “Науково-дослідницька Лабораторія цифрової криміналістики Гросс” (НДЛЦК “ГРОСС”) проводить криміналістичні дослідження за напрямками:

  • - апаратно-комп’ютерна;
  • - програмно-комп’ютерна;
  • - інформаційно-комп’ютерна;
  • - комп’ютерно-мережева.

Методи СКТЕ

Методи цифрової криміналістики використовуються для пошуку, аналізу та фіксації даних.

Вони допомагають нам отримати докази для кримінальної чи цивільної справи в суді, справ щодо інцидентів з використанням шкідливого ПЗ, тощо.

  1. Перевірка. Насамперед потрібно визначити масштаб, характер справи та її особливості. Цей етап допоможе знайти найбільш правильний шлях для ідентифікації, збору та збереження доказів.
  2. Опис системи - наступний крок, де ми збираємо дані про інцидент. Починаючи від нотаток і опису системи, переходимо до аналізу: де знаходиться система, яка її роль в організації та мережі (чи це робоча станція чи сервер); далі описуємо систему, її загальну конфігурацію, об’єм оперативної пам’яті та шляхи розміщення доказів на накопичувачах.
  3. Отримання доказів. Основна ціль - визначити можливі ресурси даних, отримати образ оперативної пам’яті, перевірити цілісність та зберігання даних. На цьому етапі також важливо розставити пріоритети у збиранні доказів та залучити ініціаторів дослідження, щоб визначити об’єкти, які підлягають аналізу, ефективність обраних стратегій і їхній вплив на дослідження. Дані варто розділити на:
    • - енергозалежні (volatile data) - після припинення подачі живлення вони не зберігаються на накопичувачах, тому можливості аналізувати їх після вимкнення ПК немає;
    • - енергонезалежні (non-volatile data) - зберігаються на накопичувачах і є можливість їх аналізувати.
    Оскільки дані, які містяться в оперативній пам’яті (volatile data), швидко змінюються, то для спеціаліста важливо обрати правильний порядок їх збирання. Прикладом порядку, в який мають бути зібрані дані, можуть бути: мережеве з’єднання, APR кеш, процес авторизації, запущені процеси, відкриті файли, вміст оперативної пам’яті, тощо. Зверніть увагу, що всі дані мають бути збережені на довірений накопичувач, який перевірений спеціалістом на працездатність, відсутність шкідливих програм та ін.
    Після збору даних оперативної пам’яті, ми переходимо до наступного кроку - збирання енергонезалежних даних, які містяться на жорсткому диску. Для збирання даних з жорсткого диска є 3 варіанти для створення образу:
    • - використання апаратного пристрою (наприклад, write block) у випадку, якщо ви можете демонтувати жорсткий диск;
    • - використання належного інструментарію (наприклад, Helix) під час збору цифрових доказів;
    • - використання живої системи (коли ПК увімкнений) для збирання доказів локально або шляхом підключення до об’єкта (наприклад, за допомогою інтерфейсу FireWire).
    Може використовуватись, коли маєте справу з шифруванням даних на накопичувачах (bitlocker, trucrypt).
  4. Аналіз часової шкали - найважливіший етап, оскільки включає інформацію про те, коли файли були створені та змінені у форматі, зручному для читання (наприклад, переведення часу з формату Apple). Дані збираються з використанням різних інструментів, “витягуються” на рівні метаданих та сортуються з метою подальшого аналізу. Кінцевою метою є створення хронології змін в системі, що має включати дату, артефакти, дії користувача, результати роботи програм та інші докази. Якщо Ви володієте знаннями про структуру файлових систем і про артефакти операційних систем, то Вам буде легше інтерпретувати дані. Для виконання цього етапу існують кілька інструментів, таких як SIFT Workstation (він безкоштовний і часто оновлюється).
  5. Аналіз артефактів та медіа - на цьому етапі нам потрібно знати відповідь на питання, які файли завантажувались, які теки відкривались, які файли були видалені, які файли переглядались користувачем і т.д. Один із методів, який використовується для зменшення набору даних, - визначення добре відомих і невідомих файлів. Це можна зробити за допомогою баз даних, таких як National Sowtware Reference Library від NIST та порівнянням хеш-сум за допомогою інструментів, таких як hfind з Sleuth. Якщо Ви аналізуєте систему Windows, є можливість створити часову шкалу. Вона об’єднує час зміни у файловій системі в єдиний файл. Якщо Ви хочете скористатись цим методом, то повинні мати знання про файлову систему, артефакти Windows і артефакти реєстру, щоб зменшити кількість даних, що підлягають аналізу.
    Інші докази, які ми можемо знайти - використання облікового запису, браузера, завантаження файлів, створення чи відкриття нових файлів, використання usb-ключів та інше.
    Аналіз пам’яті - ще один важливий етап, щоб дослідити програмні процеси, мережеві з’єднання, завантажені DLLs файли, докази введення коду (як наслідок роботи шкідливої програми), тощо.
  6. Пошук по ключових словах. Цей етап полягає у використанні інструментів, що здійснюють низькорівневий пошук текстових рядків. Якщо ви знаєте текстові рядки, що можуть міститися у коді програми, скриптах та інших файлових даних, які підлягають аналізу, ви можете використовувати цей метод. Використані інструменти та методи можуть шукати сигнатуру файлів, відомих як magic cookies (набір даних, що передається однією програмою іншій програмі). Для виконання пошуку по ключових словах, використовують регулярні вирази (для роботи з рядками, зміни тексту на основі заданих шаблонів).
  7. Відновлення даних з накопичувача. Деякі з інструментів, які допоможуть на цьому кроці, доступні в Sleuth Kit. Їх можна використовувати для аналізу файлової системи, рівня даних та метаданих. Частиною цього кроку також є аналіз вільного і нерозподіленого простору та поглиблений аналіз файлової системи для пошуку файлів, що вас цікавлять. Ще одним методом збору доказів є “вирізання” файлів (сигнатурний аналіз) з образів відповідно до заголовків файлів, використовуючи інструменти такі як foremost.
  8. Підсумок результатів є останнім етапом аналізу, що має включати опис виконаних дій, інтерпретацію виявлених даних, формування звітів, які включають опис файлів і метаданих, складання висновку про результати криміналістичного дослідження. Оголошення результатів є ключовою частиною будь-якого розслідування. Ми адаптовуємо свою доповідь до аудиторії таким чином, щоб було зрозуміло, що саме ми хочемо донести, але водночас використаємо докази для правових та адміністративних цілей.

Якщо у Вас виникли інциденти у сфері цифрової криміналістики - експерти “Науково-дослідницької Лабораторії цифрової криміналістики Гросс” (НДЛЦК “ГРОСС”) завжди готові Вам допомогти, надавши професійні послуги.

Поділитись:

Останні новини

Підписка на новини

Підпишіться на наші новини, щоб завжди бути в курсі знижок та нових пропозицій!

Контакти

  • м. Луцьк, вул. Ковельська 2, оф. 315

  • +38066 023 70 86+38063 418 22 57
  • Ця електронна адреса захищена від спам-ботів. вам потрібно увімкнути JavaScript, щоб побачити її.

Gross

logo Gross

Відновлення даних. Комп'ютерна криміналістика. e-Discovery

Top