В последней фазе расследования на базе найденных улик определяются события, происходившие в системе. В соответствии с нашим определением расследования мы пытаемся найти ответы на вопросы о цифровых событиях в системе. Допустим, в фазе поиска улик были обнаружены файлы, нарушающие корпоративную политику или закон, но факт их обнаружения не дает никакой информации о событиях. Выясняется, что один из файлов появился в результате определенного события - загрузки по сети; также следует попытаться определить, какое приложение загрузило его. Был ли это веб-браузер или какая-то вредоносная программа? Известен ряд случаев использования вредоносных программ для защиты при обнаружении незаконных материалов или других цифровых улик [George, 2004; Brenner, Carrier, and Henninger, 2004]. Иногда после фазы реконструкции цифровых событий удается связать эти цифровые события с физическими.

Для реконструкции событий эксперт должен хорошо знать приложения и ОС, установленные на компьютере, чтобы строить гипотезы на основании их возможностей. Например, цифровые события в Windows 95 отличаются от событий Windows ХР, а разные версии браузера Mozilla порождают разные события. Такой тип анализа выходит за рамки книги, но некоторые общие рекомендации можно найти в [Casey, 2004].

Методы поиска | Криминалистический анализ файловых систем | Общие рекомендации


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс