- •Методические рекомендации по подготовке к лабораторным работам
- •Тема 1.3. Специальные знания при расследовании преступлений в сфере информационных технологий.
- •План лабораторной работы
- •Подключение носителей
- •План лабораторной работы
- •План лабораторной работы
- •План лабораторной работы
- •План лабораторной работы
- •План лабораторной работы
- •План лабораторной работы
- •План лабораторной работы
- •План лабораторной работы
- •Тема 2.1. Аналитическая разведка при расследовании преступлений.
- •План лабораторной работы
- •План лабораторной работы
- •Тема 2.2. Применение информационных технологий в аналитической разведке.
- •План лабораторной работы
- •Тематический модуль №3. «Борьба с преступлениями в сфере компьютерной информации»
- •Тема 3.1. Противодействие нарушению авторских и смежных прав.
- •План лабораторной работы
- •Тема 3.2. Противодействие незаконному обороту специальных технических средств, предназначенных для негласного получения информации.
- •План лабораторной работы
- •Тема 3.3. Противодействие сетевым преступлениям.
- •План лабораторной работы
- •План лабораторной работы
«Организационно-техническое обеспечение специальных мероприятий»
Методические рекомендации по подготовке к лабораторным работам
Воронеж 2012
Авторы: Н.В. Филиппова, Ю.М. Баркалов
«Организационно-техническое обеспечение специальных мероприятий»: Методические рекомендации по подготовке к лабораторным работам / Н.В. Филиппова, Ю.М. Баркалов, — Воронеж: Воронежский институт МВД России, 2012. — 37 c.
В издании, посвященном подготовке и выполнению лабораторных работ по дисциплине «Организационно-техническое обеспечение специальных мероприятий» изложены тематика лабораторных работ, планы их проведения, рекомендованная литература, исходные данные, задания, а также вопросы для самоконтроля.
Методические рекомендации рассчитаны на слушателей, обучающихся по специальности 090106.65 – «Информационная безопасность телекоммуникационных систем».
Филиппова Н.В., 2012
Баркалов Ю.М., 2012
Воронежский институт МВД России, 2012
Тематический модуль №1 « Основы противодействия преступлениям в сфере информационных технологий».
Тема 1.3. Специальные знания при расследовании преступлений в сфере информационных технологий.
Лабораторная работа № 1.3.1. Обнаружение и фиксация следов работы в операционных системах Windows.
Целью лабораторной работы является: получение навыков по обнаружению и фиксации следов работы в операционных системах Windows, без использования специализированных программных средств.
В результате выполнения лабораторной работы должны быть закреплены знания полученные на лекциях и практических занятиях по теме 1.3 тематического модуля №1; работа должна способствовать привитию навыков поиска, обобщения и изложения учебного материала; активизировать мышление и познавательную деятельность курсантов при изучении учебной дисциплины; добиться твердого усвоения обучаемыми учебного материала по теме. Закрепить на практике теоретические сведения по теме №1.3 “Специальные знания при расследовании преступлений в сфере информационных технологий.”
Время: 2 часа
План лабораторной работы
Вступительная часть.
1. Источники хранения данных об используемом программном обеспечении.
2. Выявление данных об используемом программном обеспечении.
Заключительная часть.
Техническое обеспечение:
1. Автоматизированное рабочее место проведения криминалистических экспертиз в сфере информационных технологий;
2. Стендовые компьютеры со специализированным программным обеспечением;
3. Адаптеры USB-HDD;
4. Носители информации.
Литература:
Типовые экспертные методики исследования вещественных доказательств: Ч.I /Под ред. канд. техн. наук Ю.М. Дильдина. Общая редакция канд. техн. наук В.В. Мартынова - Мю: ИНТЕРКРИМ-ПРЕСС, 2010 - 568 с.
Практическое руководство по производству судебных экспертиз для экспертов и специалистов: науч.-практич. пособие / под ред. Т.В. Аверьяновой, В.Ф. Статкуса. - М.: Издательство Юрайт, 2011. - 720 с. - (Настольная книга специалиста).
О.В. Тушканова "Терминологический справочник судебной компьютерной экспертизы: Справочное пособие." - М.: ЭКЦ МВД России, 2005. - 56с., прил., библиогр.
Криминалистика: Учебник для вузов / Т.В. Аверьянова, Р.С. Белкин, Ю.Г. Корухов, Е.Р. Российская; Под. ред. Р.С. Белкина. - М.: НОРМА, 2004.
Задание слушателям на подготовку к лабораторной работе:
Подготовить ответы на следующие вопросы:
- данные из реестра операционных систем Windows свидетельствующие о действиях пользователя и программного обеспечения;
- данные из журналов событий операционной системы Windows, свидетельствующие о действиях пользователя и программного обеспечения;
- данные из служебных каталогов операционной системы Windows, свидетельствующие о действиях пользователя и программного обеспечения.
Порядок выполнения работы:
1. Произвести описание и подключение носителя информации (НЖМД или файла-образа) с соблюдением правил работы с носителями информации.
2. Установить структуру расположенной на нем информации:
количество, наименование и размер разделов; серийные номера разделов; наличие неразмеченного пространства и его размер; наименование файловой системы в каждом разделе; размер занятого в разделе пространства (в байтах или мегабайтах); значения хеш-функции для машинного носителя. 3. Используя данные из реестра, служебных каталогов и журналов событий определить:
- данные об установленной операционной системе;
- данные об установленном программном обеспечении Microsoft Office и его использовании;
- данные о подключении внешних носителей информации.
Содержание отчета:
1. Описать носитель информации.
2. Привести этапы и способы подключения носителя информации.
3. Привести данные о структуре информации расположенной на носителе. Сведения представить в табличной форме.
4. Привести данные об установленной на носитель операционной системе с указанием наименования системы, даты установки, учетных данных, зарегистрированных пользователях и данных о последнем запуске. Сведения представить в табличной форме.
5. Привести данные об установленном программном обеспечении Microsoft Office с указанием наименования продукта, даты установки, учетных данных, зарегистрированных пользователях и данных об использовании. Сведения представить в табличной форме.
6. Привести данные о подключении внешних носителей информации за указанный период с указанием времени подключения носителей их типе, марке и идентификационных данных.
Исходные данные для выполнения работы
После установки Windows на диске в каталоге %SystemRoot%\System32\Config\ (например, C:\Windows\System32\Config\) хранятся следующие файлы:
system
software
sam
security
default
Все файлы (имена файлов) без расширений. Копия этих файлов хранится в каталоге %SystemRoot%\ Repair\ (например C:\Windows\Repair\)
Кроме того, файлы, используемые конкретным пользователем реестра, храняться в следующих каталогах:
%SystemDrive%\Documents and Settings\<Username>\ — файл «Ntuser.dat»
%SystemDrive%\Documents and Settings\<Username>\Local Settings\Application Data\Microsoft\Windows\ — файл «UsrClass.dat»
Кроме этого, могут образовываться файлы реестра: userdiff (и userdiff.LOG), TempKey.LOG,
Соответствие файлов ветвям реестра,:
Ветвь реестра «HKEY_LOCAL_MACHINE\Software» формируется из файла «%SystemRoot%\system32\config\software».
Ветвь реестра «HKEY_LOCAL_MACHINE\System\» формируется из файла «%SystemRoot%\system32\config\system».
Ветвь реестра «HKEY_LOCAL_MACHINE\SAM\» формируется из файла «%SystemRoot%\system32\config\SAM».
Ветвь реестра «HKEY_LOCAL_MACHINE\SECURITY\» формируется из файла «%SystemRoot%\system32\config\SECURITY».
Ветвь реестра «HKEY_LOCAL_MACHINE\HARDWARE\» формируется в зависимости от оборудования(динамически).
Ветвь реестра «HKEY_USERS\ формируется из файла
%SystemDrive%\Documents and Settings\<Username>\ Ntuser.dat
Ветвь реестра «HKEY_USERS\DEFAULT» формируется из файлов «%SystemRoot%\system32\config\default»