На практике поиск файлов также нередко осуществляется по одному из их полей метаданных. Допустим, имеется система обнаружения вторжений (IDS, Intrusion Detection System) и вы хотите найти все файлы, созданные в течение ближайших двух минут с момента полученного предупреждения. А может быть, вы анализируете действия некоторого пользователя и хотите найти все файлы, в которые ему разрешена запись. В общем случае на некоторой стадии расследования может возникнуть необходимость в поиске значений метаданных. Некоторые примеры будут рассмотрены в этом разделе.

Время обращения к файлу легко изменить в любой системе, но оно часто содержит полезную информацию. Предположим, мы проверяем гипотезу, что злоумышленник получил доступ к компьютеру в 20:13 и установил в системе вредоносный код; для этого можно провести поиск всех файлов, созданных между 20:13 и 8:23. Если за этот промежуток времени не будет найдено ни одного подозрительного файла или мы найдем посторонний файл, созданный в другое время, это означает, что неверно задано время создания файла или неверна наша гипотеза (а возможно, и то и другое).

Если вы столкнулись с компьютером, о котором вам мало что известно, возможно, вам поможет список последних обращений и созданий файлов. Эта информация даст представление о том, как использовался компьютер в последнее время.

Некоторые программы составляют временные диаграммы файловых операций. Как правило, количество точек данных на диаграмме для каждого файла совпадает с количеством временных штампов. Например, если в метаданных хранится время последнего обращения, последней записи и последней модификации, на диаграмме создаются три точки данных. В пакете TSK для построения временных диаграмм файловых операций используется программа mactime. Пример выходных данных mactime для каталога C:\Windows:

Wed Aug 11 2004 19:31:58 34528 .а. /system32/ntio804.sys

34392 .a. /system32/ntio412.sys

[...]

Wed Aug 11 2004 19:33:27 2048 mac /bootstat.dat

1024 mac /system32/config/default.LOG 1024 mac /system32/config/software.L0G

Wed Aug 11 2004 19:33:28 262144 ma. /system32/config/SECURITY

262144 ma. /system32/config/default

В этом списке перечислены файловые операции по секундам. В первом столбце приводится временной штамп, во втором - размер файла, а в третьем - код операции (т - модификация содержимого, а - обращение к содержимому, с - изменение метаданных). В последнем столбце находится имя файла. Реальный вывод содержит гораздо больше информации, но он не поместится на странице книги.

Прежде чем пытаться увязывать временные штампы и записи журналов с разных компьютеров, необходимо понять, как файловая система хранит временные штампы. Некоторые временные штампы хранятся в формате UTC; это означает, что для определения фактического времени необходимо знать смещение часового пояса, в котором находится компьютер. Например, если я обращаюсь к файлу в 14:00 в Бостоне, штат Массачусетс, ОС зафиксирует, что обращение произошло в 19:00 в формате UTC, потому что Бостон смещен на пять часов назад по отношению к времени UTC. Когда эксперт будет анализировать файл, он должен преобразовать 19:00 к местному времени. В других файловых системах время хранится с учетом местного часового пояса, и в данном примере в них будет храниться значение 14:00. У некоторых программ также возникают проблемы с летним временем.

Еще одна стандартная задача - поиск файлов, в которые некоторому пользователю разрешена запись. Результат поиска покажет, какие файлы могли быть созданы подозреваемым (предполагается, что ОС соблюдает разрешения доступа, а подозреваемый не имеет прав администратора). Также возможно проведение поиска по идентификатору владельца. Обычно такие операции используются при расследовании действий конкретного пользователя.

Если ранее мы провели поиск в логической файловой системе и обнаружили интересные данные в одном из блоков, можно попытаться найти адрес этого блока в метаданных. Возможно, поиск покажет, какому файлу был выделен блок данных, после чего можно будет найти другие блоки данных, принадлежащие тому же файлу. Пример показан на рис. 8.16; улики были обнаружены в блоке данных 34. Поиск в метаданных показывает, что блок был выделен структуре 107 наряду с блоками данных 33 и 36. Если ОС не стирает адреса при удалении файлов, этот процесс также поможет найти освободившуюся запись метаданных. Программа іїїпсі из пакета ТБК выполнит эту работу за вас.

Рис. 8.16. Поиск в структурах метаданных позволит узнать, какой из них был выделен заданный блок данных

Анализ свободных метаданных | Криминалистический анализ файловых систем | Порядок выделения записей метаданных


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс