Введение
Цифровая криминалистика (Forensics) — это процесс сбора, анализа и сохранения цифровых доказательств в юридически допустимой форме. Цель — восстановление событий, идентификация атакующего и предоставление доказательств в суде.
1. ОСНОВНЫЕ ПРИНЦИПЫ
Неизменность: Доказательства не должны изменяться в процессе сбора (хэширование, цепочка хранения).
Законность: Методы сбора должны соответствовать законодательству.
Воспроизводимость: Другой эксперт должен прийти к тем же результатам при повторном анализе.
2. ТИПЫ ДАННЫХ ДЛЯ АНАЛИЗА
Оперативная память (RAM): Содержит пароли, ключи, открытые сессии, запущенные процессы.
Диски (HDD/SSD): Файлы, логи, метаданные, удалённые данные.
Сетевые логи: Входящие/исходящие соединения, DNS-запросы.
Логи приложений: Системные события, логи веб-серверов, событий безопасности.
Мобильные устройства: Контакты, SMS, журналы звонков, геолокация, приложения.
3. АНАЛИЗ ДИСКОВ (DISK FORENSICS)
Сбор данных: Создание бинарного образа диска (dd, FTK Imager).
Анализ файловых систем: (FAT32, NTFS, EXT4, APFS).
Восстановление удалённых файлов: Поиск заголовков/футеров файлов в данных.
Анализ MFT (Master File Table): Для NTFS — содержит метаданные всех файлов.
Поиск скрытых данных: Альтернативные потоки данных (ADS) в NTFS.
Карусель событий: Timeline — построение хронологии действий (Sysinternals).
4. ВОССТАНОВЛЕНИЕ ДАННЫХ
Физическое восстановление: Работа с повреждёнными секторами диска.
Логическое восстановление: Восстановление из образов и бэкапов.
Карусель событий: Работа с временными метками.
5. ПРОБЛЕМЫ В КРИМИНАЛИСТИКЕ
Шифрование дисков: Полное шифрование (BitLocker, LUKS, FileVault) делает невозможным анализ без ключа.
SSD: TRIM-команда удаляет данные без возможности восстановления.
Облачные сервисы: Доказательства находятся вне локального компьютера.
Анти-форензика: Вредоносное ПО, которое стирает следы (путём перезаписи логов).