Компьютерная экспертиза

EnCase Forensic Edition, производства фирмы Guidance Software Inc. (США) — это программное обеспечение сбора и анализа компьютерных данных, работающее в среде Windows, предназначенное для криминалистического исследования компьютерных носителей информации и основанное на международных спецификациях и требованиях, предъявляемых к деятельности правоохранительных органов.
Компьютерная экспертиза обнаруживает все улики, хранящиеся на компьютере. Под ними обычно подразумевают данные на жёстком диске, но сюда также входит содержимое USB-брелоков, дискет и CD/DVD. Многие люди даже и не подозревают, что практически все действия на компьютере, будь то путешествие по web или общение через ICQ, оставляют следы. Вооружившись правильными инструментами и знаниями, эксперты могут отследить преступника.
Самые часто встречающиеся случаи компьютерной экспертизы связаны с детской порнографией, взломом платёжных средств, кражей корпоративных данных и, конечно же, терроризмом. Вовремя обнаруженные улики могут сэкономить немало денег или даже жизней.
Во многих случаях злоумышленники полагают, что они могут полностью удалить информацию из компьютера, просто нажав клавишу "Delete". Утилита EnCase приобрела немалую популярность среди специалистов, поскольку она очень успешно умеет восстанавливать удалённые данные.
Где скрываются данные
Удаление и перезапись файлов не приводят к исчезновению всех уязвимых данных с жесткого диска. Стиранию должны подвергаться все секторы (составляющие кластер 512-байт сегменты), так как данные могут скрываться в самых неожиданных местах. Часто в последнем кластере большого файла находятся случайные данные, называемые заполнителями файлов (file slack). Когда на жестком диске записана последняя часть файла и данные не заполняют сектор целиком, он дополняется случайно выбранными данными, взятыми из памяти и называемыми заполнителями ОЗУ (RAM slack). Это может быть любая информация, сформированная, просматривавшаяся или преобразованная со времени последней загрузки компьютера. Остальные секторы, составляющие кластер, содержат остатки разных данных, ранее сохраненных в этом месте, которые называются заполнителями диска (drive slack). Многие программы безопасного удаления данных не способны должным образом стирать заполнители файлов, которые могут содержать массу конфиденциальной информации.
В файловой системе NTFS (действующей в Windows NT 4.0, 2000 и XP) файлы содержат множественные потоки (streams). В одном потоке заключена информация о правах доступа, а во втором — реальные данные файла. NTFS может также содержать потоки альтернативных данных (Alternative Data Streams — ADS), в которых может храниться все, что угодно. Чаще всего там хранятся миниатюрные изображения из графических файлов. Так как многие программы безопасного удаления не замещают содержимое ADS, миниатюрные изображения могут оставаться доступными для вывода даже после замещения потока, содержащего графический файл. Подробнее о том, как предотвратить сохранение миниатюрных изображений, можно узнать, обратившись к базе знаний Microsoft Knowledge Base Article 319300 https://support.microsoft.com ).
Скрытые угрозы
Известно, что правонарушители пользуются потоками альтернативных данных, чтобы прятать на жестких дисках данные или вирусы. Есть на жестких дисках и другие области, где можно преднамеренно прятать данные. Секторы на жестком диске формируются в процессе низкоуровневого форматирования, обычно выполняемого на заводе. Дефектные секторы помечаются, и поэтому контроллер жесткого диска не пытается производить на них записи. Состоящие из секторов кластеры формируются во время высокоуровневого форматирования. Если при этом выявляется дефектный сектор, то весь кластер помечается как дефектный. Однако в нем содержатся и исправные секторы, в которых правонарушители могут прятать данные.
На устаревших жестких дисках данные можно также прятать в местах, называемых межсекторными промежутками (sector gap). Все дорожки содержат одинаковое число секторов, но длина окружности внешних дорожек намного больше, чем у внутренних. Более широкие промежутки между внешними секторами можно использовать для скрытного хранения данных. На современных жестких дисках эти потери пространства исключаются с помощью метода зонной записи (zoned recording), согласно которому число секторов регулируется в зависимости от положения дорожки.
Для доступа к таким скрытым частям жесткого диска необходима программа, которая, как мы упоминали, действует в обход ОС.
Homepage - https://www.guidancesoftware.com/