категории | RSS

Компьютерная экспертиза

EnCase Forensic Edition, производства фирмы Guidance Software Inc. (США) — это программное обеспечение сбора и анализа компьютерных данных, работающее в среде Windows, предназначенное для криминалистического исследования компьютерных носителей информации и основанное на международных спецификациях и требованиях, предъявляемых к деятельности правоохранительных органов.
Компьютерная экспертиза обнаруживает все улики, хранящиеся на компьютере. Под ними обычно подразумевают данные на жёстком диске, но сюда также входит содержимое USB-брелоков, дискет и CD/DVD. Многие люди даже и не подозревают, что практически все действия на компьютере, будь то путешествие по web или общение через ICQ, оставляют следы. Вооружившись правильными инструментами и знаниями, эксперты могут отследить преступника.
Самые часто встречающиеся случаи компьютерной экспертизы связаны с детской порнографией, взломом платёжных средств, кражей корпоративных данных и, конечно же, терроризмом. Вовремя обнаруженные улики могут сэкономить немало денег или даже жизней.
Во многих случаях злоумышленники полагают, что они могут полностью удалить информацию из компьютера, просто нажав клавишу "Delete". Утилита EnCase приобрела немалую популярность среди специалистов, поскольку она очень успешно умеет восстанавливать удалённые данные.
Где скрываются данные
Удаление и перезапись файлов не приводят к исчезновению всех уязвимых данных с жесткого диска. Стиранию должны подвергаться все секторы (составляющие кластер 512-байт сегменты), так как данные могут скрываться в самых неожиданных местах. Часто в последнем кластере большого файла находятся случайные данные, называемые заполнителями файлов (file slack). Когда на жестком диске записана последняя часть файла и данные не заполняют сектор целиком, он дополняется случайно выбранными данными, взятыми из памяти и называемыми заполнителями ОЗУ (RAM slack). Это может быть любая информация, сформированная, просматривавшаяся или преобразованная со времени последней загрузки компьютера. Остальные секторы, составляющие кластер, содержат остатки разных данных, ранее сохраненных в этом месте, которые называются заполнителями диска (drive slack). Многие программы безопасного удаления данных не способны должным образом стирать заполнители файлов, которые могут содержать массу конфиденциальной информации.
В файловой системе NTFS (действующей в Windows NT 4.0, 2000 и XP) файлы содержат множественные потоки (streams). В одном потоке заключена информация о правах доступа, а во втором — реальные данные файла. NTFS может также содержать потоки альтернативных данных (Alternative Data Streams — ADS), в которых может храниться все, что угодно. Чаще всего там хранятся миниатюрные изображения из графических файлов. Так как многие программы безопасного удаления не замещают содержимое ADS, миниатюрные изображения могут оставаться доступными для вывода даже после замещения потока, содержащего графический файл. Подробнее о том, как предотвратить сохранение миниатюрных изображений, можно узнать, обратившись к базе знаний Microsoft Knowledge Base Article 319300 https://support.microsoft.com ).
Скрытые угрозы
Известно, что правонарушители пользуются потоками альтернативных данных, чтобы прятать на жестких дисках данные или вирусы. Есть на жестких дисках и другие области, где можно преднамеренно прятать данные. Секторы на жестком диске формируются в процессе низкоуровневого форматирования, обычно выполняемого на заводе. Дефектные секторы помечаются, и поэтому контроллер жесткого диска не пытается производить на них записи. Состоящие из секторов кластеры формируются во время высокоуровневого форматирования. Если при этом выявляется дефектный сектор, то весь кластер помечается как дефектный. Однако в нем содержатся и исправные секторы, в которых правонарушители могут прятать данные.
На устаревших жестких дисках данные можно также прятать в местах, называемых межсекторными промежутками (sector gap). Все дорожки содержат одинаковое число секторов, но длина окружности внешних дорожек намного больше, чем у внутренних. Более широкие промежутки между внешними секторами можно использовать для скрытного хранения данных. На современных жестких дисках эти потери пространства исключаются с помощью метода зонной записи (zoned recording), согласно которому число секторов регулируется в зависимости от положения дорожки.
Для доступа к таким скрытым частям жесткого диска необходима программа, которая, как мы упоминали, действует в обход ОС.
Homepage - https://www.guidancesoftware.com/

DimonVideo
2009-03-21T14:53:48Z
Здесь находятся
всего 0. За сутки здесь было 0 человек

Комментарии 25

#15   teoretik    

Имхо, нетбук это НЕДОноутбук laughing Какой смысл брать это чудо за девятку? Если мало денег - покупай обычный белый ящик, за те же 9к можно наити достойный агрегат, пусть и б/у. Но настоящий, качественный ноут он для души приятнее.... wink


0 ответить

#15   T3012    

Народ, а в чем вопрос? Купи себе нетбук, рублей за 9. Там привода, харда нет. Тока флеш память на 32гб. И обычные флешки usb. Привод конектится usb бокс, и винт такой же, боксовский. Но на мой взгляд, луцше ноут, чем нетбук.


0 ответить

#15   teoretik    

Дык я сам не понимаю что мешает (кроме жадности, разумеется) ИМ изобрести вечную флешку... А то обычную тот же своп может в хлам превратить за очень конечное время


0 ответить

#15   vlad61    

При нынешнем развитии технологий, возможно наступят времена когда комп будет грузится с флэшки и работать только с ней. Тогда дело будет- только в ловкости рук.


0 ответить

#15   T3012    

Привет всем! Электрошокер. И винту хана!а еще лучше дестабилизировать привод харда.(контроллер вращения двигателя.)
-------------
Добавлено в 15.51: Да, еще самый надежный способ-пройтись магнитной головкой от колонки, типа s90.


0 ответить

#15   teoretik    

Даже если в унитаз его смоешь, блины то все равно намагниченными останутся...


0 ответить

#15   aka_SmILe    

Nemec555 a еще проще водянку поставить в блок и в случае визита выдернуть шнур, выдавить стекло гг и будет водичко


0 ответить

#15   teoretik    

Файло то имеется, но основная копия хранится на флешке которая физически недоступна для кого попало laughing А хард всегда форматнуть мона))


0 ответить

#15   Operator56    

Valber-мы тут прям все такие честные и чистые, как горный хрусталь)) Я больше чем уверен, что у каждого из нас на харде есть не совсем законное файло tongue
так то!


0 ответить

#15   Valber    

Епте, тут че шпионы что ли О_о конечно интересно, но простому юзеру это не нужно...


0 ответить

Яндекс.Метрика