Створення криміналістичного образу жорсткого диску

  • Дата 30/08/2017

У випадках, коли комп'ютер стає об’єктом дослідження, важливого значення набуває необхідність дотримання суворого набору процедур (методик) для забезпечення належного (допустимого) збору, фіксації та зйому електронних доказів, які можуть міститися на ньому.

Перше, що потрібно пам'ятати - це "золоте правило електронних доказів", яке вимагає ніколи, ні в якому разі не змінювати інформацію, яка міститься на оригінальному накопичувачі (крім виключних випадків, наприклад дослідження «живої системи» або під час криміналістичного аналізу мобільних телефонів, про які ми розповімо в наступних статтях). Перед початком криміналістичного дослідження, експерт зобов’язаний створити точну біт-потокову копію досліджуваного носія інформації, що використовувався в комп'ютері. Створення біт-копії всіх секторів накопичувача - це добре розроблений процес, також часто називають образом жорсткого диску, посекторною копією, бітовим потоком чи криміналістичним образом.

Створення криміналістичного образу жорсткого диску - це один із найбільш важливих процесів у комп’ютерно-технічному дослідженні. Якщо Ви не являєтесь кваліфікованим експертом, Ви можете поставити під сумнів правильність отримання доказів. Водночас, щоб уникнути можливих звинувачень у підробці доказів, краще, щоб образи створювались третьою стороною, яка володіє спеціальними знаннями та навичками в галузі комп’ютерної криміналістики. Методи створення образу жорсткого диска можна знайти в нормативних актах, опублікованих міжнародними установами і державними установами України: Департаментом юстиції (MU), Національним інститутом стандартів і технологій (NIST) та Міністерством юстиції України (реєстр методик проведення судових експертиз).

Коли ви залучаєте експерта з комп'ютерної криміналістики, Ви впевнені у тому, що збір електронних доказів проводитиметься з дотриманням криміналістичних методик і законодавства України, будуть мати юридичне значення та можуть бути використані в якості доказів.

Перед виготовленням, а також після того, як виготовлення образу накопичувача буде завершено, експерт повинен згенерувати цифровий відбиток отриманого носія (хеш суму). Процес генерації хешу включає в себе аналіз всіх «0» та «1», які містяться на досліджуваному накопичувачі. Якщо змінити хоча б одне значення з «0» на «1», хеш сума буде відрізнятися. Оригінал накопичувача та його копія аналізуються для створення хешів, про що обов’язково робиться відмітка у протоколах. Якщо вони збігаються, можна бути впевненим в автентичності скопійованого джерела електронних доказів.

Під час криміналістичних досліджень накопичувачів, рекомендується використовувати алгоритм хешу «MD5», проте не забороняється використовувати інші алгоритми. В ідеалі, можуть бути використані декілька алгоритмів.

Розробник алгоритму «MD5» Рональд Л. Рівнест з «MIT» описує алгоритм наступним чином:

[Алгоритм MD5] приймає в якості вхідного повідомлення довільну довжину і видає як вихідний 128-бітний "відбиток" або "дайджест повідомлення" вхідного сигналу. . . Алгоритм MD5 призначений для додатків цифрового підпису, де великий файл повинен бути "стиснутим" безпечним способом, перш ніж шифруватися за допомогою приватної (секретної) клавіші під криптосистемою публічного ключа RSA.

Крім математичного жаргону, вищезгадане твердження просто говорить, що MD5 - відмінний спосіб перевірки цілісності даних. Значення MD5, отримане з образу накопичувача, має відповідати значенню оригінального накопичувача. Навіть найменша модифікація на жорсткому диску, наприклад, додавання коми до документа MS Word, змінить отримане значення хеш-суми MD5.

Ідея використовувати внутрішній ІТ-персонал для збору електронних доказів може здаватися доцільною. Але пам'ятайте про можливі наслідки. Безсумнівно, працівники Вашого ІТ-відділу являються фахівцями у своїй справі - системному адмініструванні чи адмініструванні баз даних. Проте, вони можуть не знати методики пошуку, фіксації та зйому електронних доказів. Для прикладу, ІТ-спеціалістів можна порівняти з лікарями: в загальному, та чим інша особа має кваліфікацію лікаря, проте знання та навики стоматолога і лікаря відрізняються.

Як підсумок, залучення експертів з комп'ютерної криміналістики забезпечить правильний збір і фіксацію цифрових доказів, щоб в подальшому Ви мали змогу використати їх під час кримінальних проваджень та судових спорів. Пам’ятайте, експерт може створити для Вас ланцюг безпеки, який гарантуватиме ще один рівень захисту доказів.

В ролі такого експерта може виступити наш експерт лабораторії цифрової криміналістики Gross. Деталі у розділі „Криміналістика”.

Підписка на новини

Підпишіться на наші новини, щоб завжди бути в курсі знижок та нових пропозицій!

Контакти

  • м. Луцьк, вул. Ковельська 2, оф. 315

  • +38066 023 70 86+38063 418 22 57
  • Ця електронна адреса захищена від спам-ботів. вам потрібно увімкнути JavaScript, щоб побачити її.

Gross

logo Gross

Відновлення даних. Комп'ютерна криміналістика. e-Discovery

Top