4-1 Основи цифрової криміналістики / Зачёт Ответы Основи цифровои криміналістики

Питання ЗАЛІКУ

1. Етапи розслідування в цифровій судовій експертизі. Поясніть зміст цих фаз.

Криміналістичний процес прийнято ділити на чотири етапи:

• Збір. Під час якого відбувається збір інформації.

• Дослідження. Під час якого відбувається експертне дослідження зібраної інформації.

• Аналіз. Під час якого відбувається аналіз обраної інформації для відповіді на питання, що ставились в ході роботи.

• Представлення. Під час якого оформлюються результати експертизи.

2. Що таке підзвітність у цифровій судовій експертизі?

Підзвітність у цифровій судовій експертизі — вертикальна підзвітність, що є обов'язковою та передбачає безпосередні санкції; відносини між судовими експертами та тими, хто надав їм владу, у яких останні мають право утримувати перших у межах певного набору стандартів, оцінювати, наскільки повно вони виконують свої обов'язки в світлі цих стандартів, накладати санкції, якщо буде встановлено їх невиконання.

3. Що таке повторюваність у цифровій судовій експертизі?

Результати цифровий судової експертизи повинні бути повторюваними, тобто одні і ті ж результати повинні бути отримані в різних випадках з використанням одних і тих же даних, інструментів і методів.

4. Яку інформацію цифровий експерт може знайти в кореневому каталозі -Root Directory (FAT)?

Інформацію про номер першого кластера файла і його розмір. Файл, атрибути, дату створення і останньої модифікації файлу.

5. Яку інформацію цифровий експерт може знайти у VBR (FAT)?

Таблицю розділів, код, блок параметрів BIOS і сигнатуру закінчення.

6. Яку інформацію може знайти фахівець із цифрових технологій у FAT – таблиці розміщення файлів (FAT)?

Таблиця розміщення файлів (FAT) містить масив індексних покажчиків, відповідних кластерів області даних.

7. Яка інформація про файл залишається на флеш-накопичувачі після видалення файлу (FAT)?

При видаленні файлу перший знак імені замінюється спеціальним кодом 0xE5, і інформація в таблиці розміщення обнуляється. Інформація про розмір файлу при цьому залишається недоторканою, як і сам файл. Якщо кластери файлу не були перезаписані новою інформацією, віддалений файл можна відновити.

8. Яку інформацію може знайти експерт з цифрових технологій в $MFT (NTFS)?

В MFT зберігається інформація про усі файли, навіть про саму MFT, тому в ній можна знайти місцезнаходження файлів та багато інформації про них.

9. Яка інформація про файл залишається на флеш-накопичувачі після видалення файлу (NTFS)?

Інформація що залишиться буде відрізнятись при двох типах видалення файлу. Видалення буває швидким та повільним. При швидкому атрибут $BITMAP заміняється на 0, що вказує, що запис не використовується. Тому при швидкому видаленні дані можна відновити повністю. А при повільному затираються всі дані, тому немає жодного шансу на відновлення.

10. Розшифруйте інформацію про потік даних Data Runs (NTFS): 31 38 73 25 34 32 14 01 E5 11 02 31 42 AA 00 03 00.

Даний потік даних являється фрагментований файлом.

Перший байт - 31h. Один байт доводиться на поле довжини і три байта на поле початкового кластера. Таким чином, перший відрізок (run 1) починається з кластера 342573h і триває аж до кластера 342573h + 38 == 3425ABh. Щоб знайти зсув наступного відрізка в списку, ми складаємо розмір обох полів з їхнім початковим зсувом: 3 + 1 == 4. Відраховуємо чотири байти від початку run-list і переходимо до декодування наступного відрізка: 32h - два байта на поле довжини відрізка (рівне в даному випадку 0114h) і три байта на поле номера початкового кластера (0211E5h). Отже, другий відрізок (run 2) починається з кластера 0211E5h і триває аж до кластера 0211E5h + 114h == 212F9h. Третій відрізок (run 3): 31h - один байт на поле довжини і три байта на поле початкового кластера, рівні 42h і 0300AAh відповідно. Тому третій відрізок (run 3) починається з кластера 0300AAh і триває аж до кластера 0300AAh + 42h == 300ECh. Завершальний нуль на кінці run-list сигналізує про те, що це останній відрізок у файлі.

11. Яку інформацію може знайти цифровий експерт у Superblock, Group Descriptor, Block Bitmap, Inode Bitmap, Inode Table? (файлова система (ext 3,4).

Superblock – загальна інформація про файлову систему, кількість блоків у файловій системі, розмір блоків, кількість вільних блоків.

12. Яку інформацію цифровий експерт може знайти в MBR?

У MBR цифровий експерт може знайти невеликий фрагмент виконуваного коду, таблицю розділів диску та спеціальну сігнатуру.

13. Опишіть структуру журналу подій Windows.

Переглядати події в Windows можна через управління комп’ютером, журнали Windows. До складу цієї папки входять:

• Журнали додатків. Збираються всі помилки і попередження, які виникають завдяки роботі програм. Використовується в тих випадках, коли який-небудь додаток нестабільно працює.

• Журнали безпеки. Входять події, пов'язані з безпекою системи (входи в обліковий запис, роздача прав доступу папок і файлів).

• Журнали установки До нього ведуться записи про роботу служб і встановлених програм.

• Журнали системи. Зберігає всю інформацію про роботу системи. Помилки при відкритті системних служб.

• журнали переправлення подій. Налаштовується для переправлення подій.

Для кожного журналу можна налаштувати його розмір, місце зберігання, спосіб видалення старих подій в журналі, а також багато інших параметрів.

Записи журналу подій зберігаються в ключі реєстру HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ EventLog.

14. Опишіть структуру реєстру Windows.

Реєстр це ієрархічна база даних з параметрами налаштувань, що використовується в системах Windows. Реєстр містить інформацію для апаратного та програмного забезпечення, профілі користувачів, налаштування. Більшість змін в системі фіксуються в реєстрі. верхній рівень ієрархії складають розділи, кожен з яких може містити вкладені підрозділи, а також параметри. Саме в параметрах зберігається основний вміст реєстру, розділи служать лише для угруповання схожих за призначенням параметрів

15. Що містить HKEY_LOCAL_MACHINE (HKLM)?

HKEY_LOCAL_MACHINE (або HKLM) це один з кореневих каталогів реєстру. Розділ містить параметри конфігурації, та інформацію про апаратну частину системи які стосуються цього комп'ютера. До його складу входить декілька каталогів: BCD00000000, HARDWARE, SAM, SECURITY, SOFTWARE, SYSTEM.

16. WRR призначення. Основні функції цього інструменту.

Windows Registry Recovery – ця утиліта призначена для перегляду файлів регістру. В основні можливості цієї програми входять: перегляд файлів (таких як NTUSER.DAT, SYSTEM.DAT, SYSTEM.1ST, SAM та ін. крім .REG), пошук, створення копій реєстру та експорт у формат Regedit4.

17. Основні артефакти браузера. Яку інформацію цифровий експерт може знайти в браузері?

Артефакти що експерт може знайти в будь-якому браузері є:

• Список закладок в браузері

• Історія веб пошуку

• Список збережених паролів та інших облікових записів для авторизації

• Список завантажень

• Кеш та кукі файли браузеру

18. Яку інформацію цифровий експерт може знайти у файлі EXIF?

EXIF (Exchangeable Image File Format) являє собою частину JPEG або RAW-файлу. Саме в ньому знаходяться додаткові дані (метадані). Цифровий експерт може знайти в EXIF багато цінної інформації про зроблену фотографію. Більшість сучасних цифрових фотокамер записує параметри зйомки в файли зображень. Також при обробці зображень в EXIF може записуватися додаткова інформація.

Інформація, що записується в EXIF:

• Інформація про камеру, виробник камери, модель, правова інформація.

• Інформація про характеристики камери, витримка, діафрагма, світлочутливість, використання спалаху, дозвіл кадру, фокусна відстань, розмір матриці, еквівалентна фокусна відстань.

• Інформація про фото, дата і час зйомки, орієнтація камери, баланс білого.

• Інформація про місце, географічні координати і адресу місця зйомки.

Прочитати ці параметри можна в програмах перегляду зображень, графічних програмах та спеціальних програмах для роботи з метаданими.