Компьютерная экспертиза на платформах Windows, часть 2

Михаил Разумов, по материалам SecurityFocus

 Введение

Это вторая часть статьи, в которой обсуждается использование компьютерной экспертизы в исследовании компьютеров с ОС Windows. В первой части мы обсудили юридические проблемы, возникающие при компьютерной экспертизе и пользу от предварительной подготовки к исследованиям. В этой части мы сосредоточимся на областях файловой системы Windows, которые могут представлять наибольший интерес для компьютерных исследователей и программах, которые могут использоваться в исследовании. 

Снятие образа

Первый шаг в экспертном исследовании жесткого диска компьютера почти всегда состоит в снятии «побитовой» копии, или образа (image), содержащего каждый бит информации, независимо от того, является ли тот частью файловой системы. Создание образа служит для создания основы, которая может быть подвержена глубокому анализу без боязни изменения исходной улики. Для снятия образа в компьютерной экспертизе используются различные утилиты, вот некоторые из наиболее популярных:

• EnCase: EnCase – это полноценный коммерческий пакет, позволяющий исследователю снимать образ и анализировать данные с жестких дисков, сменных носителей и некоторых PDA. Этот образ можно анализировать различными способами, используя EnCase, например, осуществляя поиск данных по ключевым словам, просматривая графические файлы или исследуя удаленные файлы. Многие организации обеспечения правопорядка во всем мире используют EnCase, и это может оказаться важным фактором для исследователей, собирающихся передавать результаты исследования в полицию или использовать их в суде.

• SafeBack: SafeBack – это еще один коммерческий продукт для компьютерной экспертизы, часто используемый организациями обеспечения правопорядка во всем мире. SafeBack в первую очередь используется для снятия образов жестких дисков компьютерных систем с архитектурой Intel и восстановления этих образов на других жестких дисках. Это DOS-программа, которую можно запускать с флоппи-дискеты и предназначена только для образов; другими словами, она не имеет возможностей для анализа, таких как EnCase.

• Data dumper (dd): Снятие образа компьютерного жесткого диска может быть длительным процессом, но не должно быть дорогим. dd – это бесплатная утилита для Unix систем, помогающая делать точные копии дисков, которые могут использоваться для экспертного исследования. Это утилита командной строки и требует хороших знаний ее синтаксиса для корректного использования. Существуют также модифицированные версии dd, предназначенные специально для использования в компьютерной экспертизе.

После того, как образ создан, как нам узнать, что все сделано корректно? Как мы можем удостовериться, что копия в точности соответствует оригиналу? Ответ содержится в использовании алгоритма MD5. Эта процедура дает число, называемое «дайджест сообщения», значение которого определяется расположением данных на диске (MD5 также можно использовать для нахождения дайджестов файлов). В итоге, если содержимое диска было каким-либо образом изменено, например удалением или изменением файла, запуск алгоритма MD5 приведет к совершенно другому дайджесту сообщения. Так получится независимо от степени сделанных изменений; даже изменение одного бита информации на большом диске, заполненном данными, приведет к новому значению дайджеста. md5sum – это свободно доступная утилита для создания MD5 дайджестов сообщения, и сравнивание дайджестов оригинального диска и копии соответственно может использоваться в компьютерном экспертном исследовании для доказательства, что сделанный образ является точной копией оригинала. 

Поиск в системе

После того, как образ создан, можно начинать поиск улик. Некоторые коммерческие инструменты для работы с образами, кроме возможностей по созданию копий дисков, также предоставляют возможности для анализа образов. Для тех, кто ищет свободно распространяемую альтернативу с открытым кодом, можно порекомендовать TASK и Autopsy.

В оставшейся части этой главы описаны многие места, на которые следует обратить внимание исследователям при анализе компьютерных систем Windows.

Когда пользователь впервые входит в Windows 2000 или NT систему, создается полная структура каталогов, содержащих индивидуальные настройки и файлы пользователя. Эта структура имеет корневую директорию, которой дается то же имя, что и имя пользователя, вошедшего в систему (что само по себе может быть доказательством) и содержит множество файлов и папок, представляющих интерес для исследователя. Например, файл NTUSER.DAT (который содержит конфигурационную информацию, специфичную для пользователя и расположен в корне структуры каталогов пользователя), обновляется при выходе пользователя из системы, позволяя исследователю точно определить время выхода пользователя из системы с помощью атрибута файла "last written".

Папка Cookies, которая используется для хранения данных сайтами Интернет, которые посещал пользователь, является еще одним потенциальным источником информации для исследователя. Вместе с Temporary Internet и History файлами можно восстановить подробную Web-активность пользователя. Существует несколько небольших утилит, которые могут отобразить содержимое cookie в легко читаемой форме; одна из них CookieView, доступная с Digital-Detective.co.uk.

Файлы, созданные операционными системами Windows для облегчения быстрого доступа к приложениям, файлам или устройствам, или некоторые файлы, созданные операционной системой для ряда других целей, зачастую называются артефактами Windows, и могут стать другим важным источником информации для исследователей, пытающихся воссоздать пользовательскую активность (отчасти потому, что они зачастую пропускаются теми, кто пытается замести свои следы). Примерами могут служить .lnk файлы, созданные в папках Desktop, Recent, Send To и Start Menu ОС Windows. Эти файлы используются как удобные ярлыки, которые позволяют пользователю получать доступ к часто используемым файлам и приложениям с минимальными усилиями.

Анализ этих файлов может помочь обнаружить существование ранее файлов, папок, приложений или устройств, которые более не присутствую в системе. Это может оказаться полезным, если файлы были удалены и не подлежат восстановлению, или когда файлы были сохранены на сетевом диске. Более того, когда существует ссылка на другое устройство хранения информации, такое как Zip или Jazz Drive, это может послужить важным сигналом для исследователя, что нужно найти и проанализировать другие носители информации.

Другие артефакты Windows, которые могут оказаться полезными в исследовании – временные файлы, созданные в процессе установки или использования приложений. Эти файлы часто удаляются при закрытии приложения и/или выключении компьютера, но если приложение завершается аварийно, это процедура может не совершиться, оставив после себя улики, о которых пользователь может не догадываться.

Некоторыми из наиболее полезных файлов (в зависимости от природы исследования) могут оказаться те, которые создаются пользовательским Web броузером. Анализ этих файлов, одновременно с файлами из папки Cookies, может предоставить море информации о пользовательской Web-активности. NetAnalysis, еще одна утилита с Digital-Detective.co.uk, является великолепным инструментом для исследования Windows машин в поисках улик, касающихся Web серфинга. Эта утилита не бесплатна, но имеет множество великолепных возможностей, легка в использовании и хорошо поддерживается.

Те, кто занимается неавторизованной или нелегальной деятельностью, и используют компьютер для печати документов, могут чувствовать себя защищенными от обнаружения, если эти документы не сохраняются на диск. Однако, если распечатанные документы хранились только в памяти и не сохранялись на диск, все еще может оказаться возможным увидеть распечатанные документы, поискав специальные файлы, созданные Windows в процессе печати. Эти файлы, которые имеют расширение .spl или .shd, содержат множество информации о задаче печати, такой как имя распечатанного файла, владельца файла, использованный принтер и данные для печати (или список временных файлов, содержащих эти данные). 

Копаем глубже

Удаленные файлы

Многие пользователи компьютеров верят, что удаление файла, например из Windows Explorer, достаточно для предотвращения того, чтобы к этому файлу в будущем получил доступ кто-то другой (особенно если еще очистить "Recycle Bin"). К счастью для компьютерных экспертов, удаление файла таким способом оставляет возможность для восстановления данных. Это связано с тем, что когда удаляется файл, сами данные при этом не удаляются с системы. Вместо этого, операционная система просто помечает файл как удаленный и пространство на диске, занимаемое этим файлом, становится доступным для хранения других данных. Пока эта область не будет перезаписана, данные, принадлежащие удаленному файлу, остаются на диске. Используя соответствующие инструменты и методику, данные можно восстановить. Даже в случаях, когда эта область на диске перезаписывается данными из другого файла, но исходный файл перезаписан не полностью, все еще может быть возможно восстановить часть удаленного файла.

Если «удаленные» данные все еще физически присутствуют в системе, как мы можем найти их? Если нам повезет, может все еще существовать ссылка операционной системы на это место, что мы можем и использовать. В ранних системах Windows, эта ссылка могла находиться в File Allocation Table, в более поздних – в Master File Table. Если ее нет, но у нас есть представление о том, чего мы ищем, можно использовать процедуру совпадения комбинации (pattern matching). Совпадение комбинации можно использовать для поиска местонахождения определенных слов или фраз (например "наркотики" или "оружие") или характеристик файла, таких как специфические комбинации в начале файла, известные как «заголовок файла», которые идентифицируют определенные типы файлов.

Recycle Bin

Recycle Bin, упомянутый выше, который существует в операционных системах Windows, действует как промежуточное хранилище удаленных пользователем файлов, которые затем могут быть восстановлены пользователем, если потребуется. Recycle Bin представляет огромный интерес для компьютерных экспертов из-за специального файла, называемого INFO, или INFO2, который используется операционной системой для записи деталей о файлах, перемещенных в Recycle Bin. Среди других деталей, в этом файле содержатся исходное расположение файлов до удаления, а также дата и время их удаления. При очистке Recycle Bin, этот файл удаляется вместе с остальными, но его содержимое возможно восстановить способом, описанном выше при условии, что оно не перезаписано другим файлом.

Иногда удаление данных происходит в приложении, отличном от файлового менеджера, например при удалении электронного письма из программы почтового клиента. В этих случаях легкость восстановления удаленных данных в большей мере зависит от того, как они хранились внутри приложения и какие средства доступны для восстановления. Эти средства могут предоставляться производителем приложения, или, что бывает чаще, могут существовать небольшие утилиты, написанные теми, кто работает в области компьютерной экспертизы.

В ситуациях, когда подозреваемый больше не нуждается в доступе в систему, и хочет сокрыть часть или все данные, содержащиеся в ней, он может удалить раздел и/или отформатировать диск в попытке стереть все сохраненные данные. Однако, это является довольно распространенной ошибкой, и хотя процедура удаления раздела или форматирования диска действительно может перезаписать некоторые важные области, она не уничтожит все существующие данные.

Пользователи, которые хотят хранить данные, но скрыть при этом их истинную природу, могут делать это несколькими различными путями. Один из простейших – простое изменение имени и/или расширения файла. Так, файл, имеющий имя "naughty.jpg" в попытке избежать подозрения может превратиться в "sales.txt". И если изменение имени файла перед расширением может ввести в заблуждение, то изменение расширения можно обнаружить через процедуру анализа сигнатур. Так же, как можно искать определенный тип файла по его заголовку, можно искать различие между заголовком файла и его расширением (другими словами, между тем, что файл из себя представляет, и чем он хочет выглядеть). Когда обнаруживается несовпадение, это может служить сигналом для исследователей, что требуется более детальный анализ файла.

Шифрование

Использование шифрования обеспечивает другой тип затруднений для компьютерных экспертов. В данном случае, восстановление данных – только половина пути, задача дешифровки представляет потенциально более высокое препятствие. Шифрование, встроенное в приложение или обеспеченное отдельным программным продуктом, бывает различных видов и силы.

Некоторые из наиболее часто используемых приложений обеспечивают шифрование, защищенное паролями, которые могут быть без труда раскрыты исследователями при наличии соответствующих инструментов и времени для их применения. Другие типы шифрования, доступные широкой общественности, могут быть сконфигурированы и использованы так, чтобы шифровать данные, которые не смогут быть расшифрованы профессиональными экспертами с использованием программного обеспечения. Однако, в таких случаях все еще остается возможность расшифровать данные путем расширения области исследования, и включая в него источники сведений, лежащие за пределами исследуемого компьютера. Например, шифрование с публичным ключом может быть использовано для создания высоко защищенных зашифрованных данных. Для дешифровки данных, зашифрованных таким образом, требуется личный ключ и пароль. Личный ключ может быть найден на исследуемой машине или в резервных копиях на внешних носителях. Аналогично, пароль может быть сохранен где-то на компьютере на случай, если будет забыт, или записан где-то на бумаге и держаться в безопасном месте.

Будущее

Практика компьютерной экспертизы отличается от других судебных дисциплин не только методологией и инструментами, которые меняются со временем, но также, вследствие темпа технологических изменений в оборудовании и программном обеспечении, природой исследуемых компьютерных систем. Вопросы, затронутые выше, предназначены тем, кто впервые намерен провести исследование Windows; тем же, кто намеревается всерьез заняться этой областью, очень важно быть готовыми к изменениям. Семейство операционных систем Windows ясно показывает, что каждое новое поколение приходит с новыми особенностями и возможностями. Бесспорно, те, у кого не очень честные намерения, будут использовать эти прогрессирующие технологии для своих целей. Тем, кто занимается исследованиями преступлений и нарушений в области высоких технологий, никогда не рано начинать готовиться к будущим проблемам.

--------------------------------------------------------------------------------------------
Компания Positive Technologies поможет вам провести детальный анализ инцидента, и окажет необходимые консультации для предотвращение последующих нападений.