!!!!!!!!!!

by Administrator ·2026-07-01 18:52:06 ·1 replies ·3 views
#31
Введение

Цифровая криминалистика (Forensics) — это процесс сбора, анализа и сохранения цифровых доказательств в юридически допустимой форме. Цель — восстановление событий, идентификация атакующего и предоставление доказательств в суде.
1. ОСНОВНЫЕ ПРИНЦИПЫ

Неизменность: Доказательства не должны изменяться в процессе сбора (хэширование, цепочка хранения).

Законность: Методы сбора должны соответствовать законодательству.

Воспроизводимость: Другой эксперт должен прийти к тем же результатам при повторном анализе.

2. ТИПЫ ДАННЫХ ДЛЯ АНАЛИЗА

Оперативная память (RAM): Содержит пароли, ключи, открытые сессии, запущенные процессы.

Диски (HDD/SSD): Файлы, логи, метаданные, удалённые данные.

Сетевые логи: Входящие/исходящие соединения, DNS-запросы.

Логи приложений: Системные события, логи веб-серверов, событий безопасности.

Мобильные устройства: Контакты, SMS, журналы звонков, геолокация, приложения.

3. АНАЛИЗ ДИСКОВ (DISK FORENSICS)

Сбор данных: Создание бинарного образа диска (dd, FTK Imager).

Анализ файловых систем: (FAT32, NTFS, EXT4, APFS).

Восстановление удалённых файлов: Поиск заголовков/футеров файлов в данных.

Анализ MFT (Master File Table): Для NTFS — содержит метаданные всех файлов.

Поиск скрытых данных: Альтернативные потоки данных (ADS) в NTFS.

Карусель событий: Timeline — построение хронологии действий (Sysinternals).

4. ВОССТАНОВЛЕНИЕ ДАННЫХ

Физическое восстановление: Работа с повреждёнными секторами диска.

Логическое восстановление: Восстановление из образов и бэкапов.

Карусель событий: Работа с временными метками.

5. ПРОБЛЕМЫ В КРИМИНАЛИСТИКЕ

Шифрование дисков: Полное шифрование (BitLocker, LUKS, FileVault) делает невозможным анализ без ключа.

SSD: TRIM-команда удаляет данные без возможности восстановления.

Облачные сервисы: Доказательства находятся вне локального компьютера.

Анти-форензика: Вредоносное ПО, которое стирает следы (путём перезаписи логов).

Login to reply.