Файловый архив студентов. Файловый архив студентов.
1302 вуза, 5107 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский государственный университет им. М.В. Ломоносова
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Мет_рек_ПРЗ.doc
Скачиваний:
0
Добавлен:
01.03.2025
Размер:
7.69 Mб
Скачать
►Содержание►

План практического занятия

Вступительная часть.

1. Особенности изъятия значимой информации и программного обеспечения.

2. Особенности изъятия средств вычислительной техники и электронных носителей информации.

3. Использования модуля «поиск Д» для создания дубликата (образа НЖМД) с блокировкой записи.

Заключительная часть.

Литература

1. Уголовно-процессуальный кодекс Российской Федерации от 18 декабря 2001 г. N 174-ФЗ.

2. ФЕДЕРАЛЬНЫЙ ЗАКОН «О ГОСУДАРСТВЕННОЙ СУДЕБНО-ЭКСПЕРТНОЙ ДЕЯТЕЛЬНОСТИ В РОССИЙСКОЙ ФЕДЕРАЦИИ» от 31 мая 2001 года N 73-ФЗ Принят Государственной Думой 5 апреля 2001 года Одобрен Советом Федерации 16 мая 2001 года (в ред. Федеральных законов от 30.12.2001 "N 196-ФЗ", от 05.02.2007 "N 10-ФЗ", от 24.07.2007 "N 214-ФЗ", от 28.06.2009 "N 124-ФЗ")

3. Типовые экспертные методики исследования вещественных доказа-тельств: Ч.I /Под ред. канд. техн. наук Ю.М. Дильдина. Общая редакция канд. техн. наук В.В. Мартынова - Мю: ИНТЕРКРИМ-ПРЕСС, 2010 - 568 с.

4. Практическое руководство по производству судебных экспертиз для экспертов и специалистов: науч.-практич. пособие / под ред. Т.В. Аверьяновой, В.Ф. Стат-куса. - М.: Издательство Юрайт, 2011. - 720 с. - (Настольная книга специалиста).

5. Нехорошев А.Б., «Практические основы компьютерно -технической экспер-тизы». Под ред. В.Н. Черкасова Саратов «Научная книга», 2007 - 372 с.

6. О.В. Тушканова "Терминологический справочник судебной компьютерной экспертизы: Справочное пособие." - М.: ЭКЦ МВД России, 2005. - 56с., 34 ил., 11 табл., прил., библиогр.

7. Нехорошев А.Б. «Компьютерные преступления: квалификация, расследова-ние, экспертиза». Часть 2/ Под ред. В.Н. Черкасова. – Саратов: СЮИ МВД России, 2004. -372 с..

Краткие теоретические сведения

При работе с компьютерными носителями информации важно обеспечение неизменности информации на осматриваемом электронном носителе информации, например НЖМД - накопителях на жестких магнитных дисках, различных flech - носителях и т.п..

Самым приемлемым, в простоте и затрате времени следует признать блокировку записи по USB - порту, при подключении через данный интерфейс исследуемых носителей. При этом необходимо наличие переходных устройств HDD - USB, например SATA - USB или IDE - USB. И соответствующего, бесплатного для силовых органов, программного обеспечения, например "NCFS Software Write-block XP", либо отключать запись по USB порту в реестре изменением значения "WriteProtect". Надо иметь в виду, что последний способ позволяет блокировать запись и в операционной системе Windows 7. Однако данные ключи по умолчанию в реестре не существуют их необходимо создавать вручную или создать соответствующие файлы для активации или дезактивации этих функций. Для вступления в силу изменений необходима перезагрузка системы.

Для определения сведений об операционной системе следует использовать данные из реестра. Данные реестра содержащие сведения об операционной системе хранятся в ветви реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

Где содержатся сведения о наименовании операционной системы.

Дата инсталляции InstallDate (дата инсталляции дата установки операционной системы хранится в шестнадцатеричном и десятичном виде). Параметр InstallDate показывает количество секунд, прошедших с 1 января 1970 г. до момента установки операционной систем.

Идентификационные номера продукта и пути установки.

Если система находится в активном состоянии, включена, то используют данные полученные с помощью команды: "systeminfo".

Информация о подключенных внешних устройствах хранится в реестре операционных систем, журналах событий и в файле "setupapi.log" расположенном в директории "Windows" для "Windows XP" и в файле "setupapi.dev" расположенном в директории \Windows\inf\ для "Windows 7".

Данные из реестра:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USB

И

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR

В данных ветвях содержится информация о типе и виде подключенных устройств, а так же их серийный номер и уникальный номер (Globally Unique Identifier - GUID), который идентифицирует устройство для системы.

Причем данные о серийном номере содержатся в имени ветви, например:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USB\Vid_058f&Pid_6387\FKZ9XO6P где FKZ9XO6P серийный номер устройства.

И данные из файла: «setupapi.log», где по серийному номеру устройства можно определить дату и время его подключения. Для чего необходимо:

- открыть файл для просмотра;

- определить с помощью поиска строку, содержащую серийный номер устройства или GUID;

- выше в скобках будет указана дата и время подключения.

ВАЖНО ОТМЕТИТЬ, что данная информация изменяется через определенное время и не может мгновенно отразить данные о подключении устройств.

Поиском строк «#I121 Установка устройства» можно определить даты подключаемых ранее устройств.

Данные о подключенных устройствах отражаются в журнале событий, в частности в меню «приложение» и «система».

«Система» для win7 код события 20001, 10000? 20003 “ процесс добавления службы WUDFRd»

И в файле \Windows\inf\setupapi.dev

Для активной системы, возможно, в случае необходимости возможно использование специализированных утилит, например " USBDeview". Данная утилита позволяет определить тип и вид подключенных, в том числе и ранее USB устройств, серийный номер устройства, дату создания драйвера устройства (первого подключения) и дату последнего подключения.

При невозможности изъятия носителей информации либо по иным причинам технического или процессуального характера, производится создания образа файловой системы или посекторное копирование (клонированипе) информации с машинных носителей.

Программное обеспечение "Acronis " позволяет создать как образ файловой системы имеющейся на отдельном логическом разделе, так и всего дискового пространства. Если при создании образа установить режим "посекторного резервного копирования", то в дальнейшем при монтирование образа него возможно производить восстановление ранее удаленных данных.

Использованиие программного обеспечения "Acronis Backup & Recovery" и "Acronis True Image" возможно с загрузочных носителей. Программы содержат развернутую справочную систему.

Программно-аппаратный комплекс РС-3000 позволяет создавать копии данных, в том числе с неисправных носителей информации (НЖМД). Для этого с помощью входящих в набор технологических переходников и адаптеров осуществляется подключение НЖМД. После определения данных о подключенном НЖМД с помощью программы "Data Extractor" входящей в состав комплекса выбирается режим "Создание копии данных" с выбором способа создания, либо образ файловой системы либо посекторное копирование на выбранный НЖМД.

Поиск-Д Комплекс специальных технических средств для сбора (копирования) информации предназначен для создания точной посекторной копии НЖМД на один или два НЖМД одновременно с блокировкой записи на исследуемый НЖД. Копирование осуществляется путем переноса данных с исходного диска непосредственно на диск-приемник, либо путем создания файла-образа, хранящего информацию обо всех (в том числе свободных) секторах исходного диска, в том числе без извлечения носителя информации с исследуемого компьютера .

Комплекс специальных технических средств для сбора (копирования) информации» является мобильным и может использоваться для проведения работ на выезде. В состав комплекса входит специализированный принтер для печати этикеток с информацией о диске-источнике: контрольной суммы, вычисленной по алгоритму md5, точном размере исходного диска в байтах, времени печати этикетки.

Внешний вид, органы управления

Конструктивно изделие выполнено в виде металлического кейса. Внешний вид устройства представлен на рисунке.

На лицевой панели располагаются органы управления. Панель имеет следующие основные элементы: разъемы для подключения исследуемого ПК к ноутбуку, корзина для 2х дисков-приемников, провода для подключения диска-источника (доступны интерфейсы IDE, SATA, SAS), индикатор, кнопки управления изделием, кард-ридер, разъем Ethernet, ряд разъемов USB.

Назначение кнопок панели:

  • «Сеть» для включения и выключения изделия;

  • «Запуск» для запуска процесса копирования;

  • «Остановка» позволяет прервать работу изделия, если это будет необходимо;

  • «Клон/образ» предназначена для переключения режима работы изделия;

  • «Проверка клона» предназначена для проверки контрольной суммы диска-приемника, содержащего копию исходного диска;

  • «Печать этикетки» позволяет печатать необходимое количество дополнительных этикеток с информацией о скопированном диске.

Подготовка изделия к работе

Для создания копий с отдельного диска

Откройте кейс и извлеките из него все неиспользуемые принадлежности. Желательно расположить его таким образом, чтоб угол между крышкой и лицевой панелью был чуть больше 90 градусов.

Подключите исследуемый диск к соответствующим интерфейсным кабелям. Для подключения дисков IDE необходимо использовать шлейф и 4-х контактный кабель питания, для подключения дисков SATA и SAS необходимо использовать только кабель с подходящей колодкой, т.к. на неё выведен и интерфейс и питание изделия. Внешние жесткие диски с интерфейсом IEEE1394 подключаются при помощи специального кабеля. При этом может потребоваться подать на них отдельное питание.

Убедитесь, что в корзине находится хотя бы один диск-приемник, при необходимости установите его туда следующим образом. Откройте замок специальным цилиндрическим ключиком из комплекта поставки. Выдвиньте отсек для диска. При помощи винтов и отвертки из комплекта поставки закрепите диск-приемник в отсеке.

Задвиньте отсек в корзину. При необходимости повторите со вторым диском. При таком варианте подключение этикет-принтера осуществляется к разъему «принтер-1» изделия.

Изделие подготовлено к работе.

Режим копирования

Данный режим является режимом по умолчанию в том случае, когда к изделию подключены ровно один диск-источник и один диск-приемник. Для запуска процесса копирования необходимо кратковременно нажать кнопку «Запуск». Изделие проверит что размер источника меньше или равен размеру приемника и начнется процесс копирования. Если размер источника превышает размер приемника, на индикаторе будет показано соответствующее сообщение. В этом случае необходимо выключить изделие и использовать диск-приемник большей ёмкости.

После переноса всех секторов исходного диска на диск-приемник изделие осуществляет запись в последние сектора диска-приемника специальной структуры со служебными данными – «подписи диска». Эти данные содержат информацию о размере диска-источника и его контрольной сумме, подсчитанной в процессе копирования. Последний байт служебной информации всегда приходится на последний байт диска-приемника. Формат этой области следующий: первые 8 байт содержат размер диска-источника в байтах. Это беззнаковое целое число в записи little-endian. Затем идут 32 байта – ASCII символы контрольной суммы (в шестнадцатиричной системе счисления) в записи big-endian.

Также по окончании процесса копирования и если принтер подключен будет распечатана одна этикетка. При необходимости можно распечатать дополнительные этикетки нажатием на соответствующую кнопку на передней панели изделия.

Режим дублирования

Данный режим отличается от вышеописанного только количеством дисков-приемников и, соответственно, картинкой на индикаторе изделия. В остальном он полностью ему аналогичен. При этом запись служебной информации осуществляется на оба диска. Этикетка печатается также одна шт.

Режим записи образа

Перевод изделия в данный режим осуществляется нажатием на кнопку «Клон/образ» лицевой панели. Работа в данном режиме будет возможна только в том случае, если подключен только один диск-приемник. Количество дисков-источников в этом режиме может быть любым и ограничивается количеством свободных портов в изделии.

В режиме записи образа изделие осуществляет перенос всех секторов исходного диска в файл, хранящийся на диске-приемнике. Этот файл называется образом исходного диска. Непосредственно перед началом записи образа изделие проверяет наличие достаточного свободного места в файловой системе диска-приемника для хранения образа исходного диска.

Для корректной работы изделия в этом режиме необходимо заранее подготовить диск-приемник. На нем необходимо создать один раздел размером во весь диск и отформатировать его в подходящую файловую систему. На данный момент изделие поддерживает файловые системы FAT32, NTFS, ext2, ext3. В дальнейшем планируется добавить поддержку ext4.

При записи образа изделие выбирает имя файла-образа следующим образом. На диске-приемнике ищутся файлы с именами вида image_n.iso, где n является числом (т.е., например, image_1.iso). После этого для вновь создаваемого образа выбирается имя image_(n+1).iso (т.е., например, image_2.iso). При необходимости изделие само создаст первый файл с именем image_1.iso.

Для дальнейшей проверки целостности файлов-образов изделие записывает на диск-приемник специальный текстовый файл «images.log». Этот файл содержит список всех ранее записанных образов. Каждой строке в файле соответствует один файл образа. О каждом файле хранится следующая информация: имя файла, полный размер исходного диска (он совпадает с размером файла-образа), значение контрольной суммы md5 исходного диска.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности