Помимо способа доступа к диску аналитик также выбирает режим клонирования данных. Мертвое снятие данных происходит тогда, когда данные из анализируемой системы копируются без содействия установленной на ней операционной системы. Исторически термин «мертвое» относится не к состоянию компьютера в целом, а только к состоянию операционной системы, поэтому при мертвом клонировании возможно использование оборудования исходного компьютера - при условии, что загрузка производится с надежного компакт-диска или дискеты. Живое снятие данных означает, что операционная система на анализируемом компьютере продолжает работать и используется для копирования данных.

Живое снятие данных сопряжено с определенным риском: злоумышленник мог изменить операционную систему или другое программное обеспечение таким образом, чтобы во время клонирования поставлялись неверные данные. Проведу аналогию с реальным миром: представьте, что полиция прибывает на место преступления, на котором находятся несколько людей; нельзя исключать, что кто-то из них причастен к преступлению. Полицейские начинают искать некую улику и предлагают одному из незнакомцев сходить в одну из комнат и помочь им в поисках. Незнакомец возвращается к полицейскому и говорит, что он ничего не нашел; но можно ли ему доверять? Вполне возможно, что незнакомец является преступником, а улика находилась в комнате, но он успел уничтожить ее.

Нападающие часто устанавливают в атакуемых системах так называемые рут-киты (rootkits), передающие пользователю ложную информацию [Skoudis & Zeltser, 2004]. Руткиты скрывают некоторые файлы в каталогах или работающие процессы. Чаще всего нападающий скрывает файлы, установленные им после взлома системы. Также он может модифицировать операционную систему так, чтобы в процессе она автоматически подменяла данные в некоторых секторах диска.

Полученный образ диска может не иметь отношения к происшествию из-за произошедшей подмены. По возможности избегайте живого клонирования, чтобы обеспечить надежный сбор всех улик.

Аналитики обычно загружают исследуемую систему с заведомо надежной дискеты БОБ или компакт-диска Глпих, конфигурация которого не предусматривает монтирования дисков или модификации каких-либо данных. С технической точки зрения злоумышленник может изменить оборудование так, чтобы оно возвращало ложные данные даже в надежной операционной системе, но этот вариант гораздо менее вероятен, чем модификация операционной системы.

Прямой доступ или bios? | Криминалистический анализ файловых систем | Обработка ошибок


Криминалистический анализ файловых систем



Новости за месяц

  • Апрель
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31