категории | RSS

Компьютерная экспертиза

EnCase Forensic Edition, производства фирмы Guidance Software Inc. (США) — это программное обеспечение сбора и анализа компьютерных данных, работающее в среде Windows, предназначенное для криминалистического исследования компьютерных носителей информации и основанное на международных спецификациях и требованиях, предъявляемых к деятельности правоохранительных органов.
Компьютерная экспертиза обнаруживает все улики, хранящиеся на компьютере. Под ними обычно подразумевают данные на жёстком диске, но сюда также входит содержимое USB-брелоков, дискет и CD/DVD. Многие люди даже и не подозревают, что практически все действия на компьютере, будь то путешествие по web или общение через ICQ, оставляют следы. Вооружившись правильными инструментами и знаниями, эксперты могут отследить преступника.
Самые часто встречающиеся случаи компьютерной экспертизы связаны с детской порнографией, взломом платёжных средств, кражей корпоративных данных и, конечно же, терроризмом. Вовремя обнаруженные улики могут сэкономить немало денег или даже жизней.
Во многих случаях злоумышленники полагают, что они могут полностью удалить информацию из компьютера, просто нажав клавишу "Delete". Утилита EnCase приобрела немалую популярность среди специалистов, поскольку она очень успешно умеет восстанавливать удалённые данные.
Где скрываются данные
Удаление и перезапись файлов не приводят к исчезновению всех уязвимых данных с жесткого диска. Стиранию должны подвергаться все секторы (составляющие кластер 512-байт сегменты), так как данные могут скрываться в самых неожиданных местах. Часто в последнем кластере большого файла находятся случайные данные, называемые заполнителями файлов (file slack). Когда на жестком диске записана последняя часть файла и данные не заполняют сектор целиком, он дополняется случайно выбранными данными, взятыми из памяти и называемыми заполнителями ОЗУ (RAM slack). Это может быть любая информация, сформированная, просматривавшаяся или преобразованная со времени последней загрузки компьютера. Остальные секторы, составляющие кластер, содержат остатки разных данных, ранее сохраненных в этом месте, которые называются заполнителями диска (drive slack). Многие программы безопасного удаления данных не способны должным образом стирать заполнители файлов, которые могут содержать массу конфиденциальной информации.
В файловой системе NTFS (действующей в Windows NT 4.0, 2000 и XP) файлы содержат множественные потоки (streams). В одном потоке заключена информация о правах доступа, а во втором — реальные данные файла. NTFS может также содержать потоки альтернативных данных (Alternative Data Streams — ADS), в которых может храниться все, что угодно. Чаще всего там хранятся миниатюрные изображения из графических файлов. Так как многие программы безопасного удаления не замещают содержимое ADS, миниатюрные изображения могут оставаться доступными для вывода даже после замещения потока, содержащего графический файл. Подробнее о том, как предотвратить сохранение миниатюрных изображений, можно узнать, обратившись к базе знаний Microsoft Knowledge Base Article 319300 https://support.microsoft.com ).
Скрытые угрозы
Известно, что правонарушители пользуются потоками альтернативных данных, чтобы прятать на жестких дисках данные или вирусы. Есть на жестких дисках и другие области, где можно преднамеренно прятать данные. Секторы на жестком диске формируются в процессе низкоуровневого форматирования, обычно выполняемого на заводе. Дефектные секторы помечаются, и поэтому контроллер жесткого диска не пытается производить на них записи. Состоящие из секторов кластеры формируются во время высокоуровневого форматирования. Если при этом выявляется дефектный сектор, то весь кластер помечается как дефектный. Однако в нем содержатся и исправные секторы, в которых правонарушители могут прятать данные.
На устаревших жестких дисках данные можно также прятать в местах, называемых межсекторными промежутками (sector gap). Все дорожки содержат одинаковое число секторов, но длина окружности внешних дорожек намного больше, чем у внутренних. Более широкие промежутки между внешними секторами можно использовать для скрытного хранения данных. На современных жестких дисках эти потери пространства исключаются с помощью метода зонной записи (zoned recording), согласно которому число секторов регулируется в зависимости от положения дорожки.
Для доступа к таким скрытым частям жесткого диска необходима программа, которая, как мы упоминали, действует в обход ОС.
Homepage - https://www.guidancesoftware.com/

DimonVideo
2009-03-21T14:53:48Z
Здесь находятся
всего 0. За сутки здесь было 0 человек

Комментарии 25

#25   space_satellite    

RLS,
Я даж в инете видел где-то на китайских сайтах такую штуку продают... Пятерка примерно рублей стоит... Помещаешь в него свой жескач и все... А при случае просто нажимаешь кнопку и капец... По размерам разные бывают... Прикольная штука.


0 ответить

#25   RLS    

Поищите статью убийца жесткого диска, там рассказывается про устройство которое мощным электромагнитным импульсом уничтожает все данные на диске и всю электронную начинку за секунду. Там что то связано с нашим фсб, типа оно его сертифицировало.


0 ответить

#25   Alex Murom    

А вообще можно сказать такsmileбыли люди которые прятали на жестких инфу и были люди которые ее искалиsmileтакие люди были, есть и будут...А способов это все осуществить можно при определенной работе головы найти еще великое множество=)


0 ответить

#25   Arago    

Hpa? Это очень красивое решение, кусок от hpa даже биос не видит, считает винт меньшим по емкости... Или ещё вариант - поставить перемычку ограничения емкости на 32 гектара вместо hpa. Но при современных емкостях винтов потери конечно при перемычке будут большие.


0 ответить

#25   Alex Murom    

В вопросах о том как прятать инфу и доставать ее потом отвечу такsmileя один раз спрятал 20гигов жесткого так, что их не видел ни дос ни виндосsmileможно было узнать о их существовании только при наличии определенной программы.Правда долго потом мучился чтобы обратно наличие этой части памяти включить в оборотsmileт.к. на выключенном секторе даже формат сделать становится невозможно=)


0 ответить

#25   Arago    

vlad61,

При нынешнем развитии технологий, возможно наступят времена когда комп будет грузится с флэшки и работать только с ней. Тогда дело будет- только в ловкости рук.


-------------
Добавлено в 15.22: А что мешает это реализовать? Флэшки юсбишки гектара на 32 уже существуют, ставишь линь на ext2fs (чтоб журнал не запиливал поверхность), swap не создаешь, в машину гектара два оперативки и работаешь.
-------------
Добавлено в 15.22: В принципе для нормальной работы хватит и 8 гектар флэшку. Только надо ещё ups, ext2fs ненадежная файловая система в плане падения питания. Но следует учитывать что надо ломать чип памяти а не плату, иначе чип перепаяют на другую плату и всё.


0 ответить

#25   divarius    

качать ток на официальном сайте, на варезниках найдете тока backdoor dss.based и вместе с ним кучу геморою laughing


0 ответить

#25   TAGIR N70    

а моно эту прогу скачать?


0 ответить

#25   teoretik    

Ага laughing Вспоминается бородатый анекдот про Штирлица, который жевал перфоленту чтобы уничтожить следы своей подрывной деятельности smile


0 ответить

#25   --KuJIJIeP--    

winked по приколу можно статью на форуме создать \'как убить инфу на жестком.\' и туда скопировть комменты. winked
я предлагаю на хард поставить бутыль с жидким азотом 2 секунды и чем нибудь тяжелым по нему. А потом пускай они собирают


0 ответить

Яндекс.Метрика