Так как фаза сохранения системы направлена на минимизацию потерь улик, необходимо ограничить количество процессов, способных записывать данные на носители информации. При проведении мертвого анализа эксперт завершает все процессы, отключая систему, и создает резервные копии всех данных. Как будет показано в главе 3, для предотвращения потери улик также могут применяться блокировщики записи.

При живом анализе следует завершить или приостановить все подозрительные процессы. Компьютер необходимо отключить от сети (возможно, подключив систему к пустому концентратору или коммутататору, чтобы предотвратить появление в журнале сообщений о недоступности сети) или установить сетевые фильтры, чтобы злоумышленник не мог подключиться из удаленной системы и уничтожить данные. Важные данные копируются на случай возможной потери в процессе поиска. Например, если вы собираетесь читать файлы, сохраните временные штампы всех файлов, чтобы у вас была эталонная копия времени последнего обращения - ваши действия приведут к обновлению временных штампов.

При сохранении важных данных в процессе живого или мертвого анализа следует вычислить криптографический хеш-код; позднее он поможет доказать, что данные не изменялись. Криптографический хеш-код (MD5, SHA-1 или SHA-256) представляет собой очень большое число, вычисляемое по математической формуле для набора входных данных. Изменение хотя бы одного бита во входных данных приводит к заметному изменению выходного числа; более подробную информацию можно найти в книге «Applied Cryptography», 2nd Edition [Schneier, 1995]. Для хеширования разработаны специальные алгоритмы, при которых получение одинакового результата для двух разных входных данных крайне маловероятно. Следовательно, если хеш-код важных данных остался прежним, это говорит о том, что данные не подвергались модификации.

Фаза сохранения системы | Криминалистический анализ файловых систем | Фаза поиска улик


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс