4-1 Основи цифрової криміналістики / ЛБ - 03 ДОСЛIДЖЕННЯ ФАЙЛОВОЙ СИСТЕМИ NTFS, МЕТОДИКИ ВІДНОВЛЕННЯ ІНФОРМАЦІЇ

Міністерство освіти і науки України

Харківський національний університет радіоелектроніки

Факультет Інфокомунікацій .

Кафедра Інфокомунікаційної інженерії імені В.В. Поповського .

ЗВІТ

з лабораторного заняття №3

з дисципліни

Основи цифрової криміналістики

Тема заняття: ДОСЛIДЖЕННЯ ФАЙЛОВОЙ СИСТЕМИ NTFS, методики відновлення інформації

Харків 2020 р.

МЕТА РОБОТИ

Метою роботи є створення образу флеш накопичувача та його подальший аналіз за допомогою програми Access Data FTK Image.

ХІД ВИКОНАННЯ

1. Створення образу накопичувача

Образ диска — файл, що містить у собі повну копію вмісту та структури файлової системи та даних, що містяться на диску (наприклад, на компакт-диску, дискеті чи розділі жорсткого диска). Термін описує будь-який такий файл, незалежно від того, чи був образ отриманий із реального фізичного диска, чи ні. Таким чином, образ диска містить всю інформацію, необхідну для дублювання структури, розташування та вмісту даних будь-якого пристрою для зберігання інформації. Зазвичай, образ диска просто повторює набір секторів, ігноруючи файлову систему.

Типи образів:

• RAW - самий старий тип образу, повна копія диску, образ даного формату являє собою послідовно записані файли RAW, не має метаданих.

• SMART – використовується у твердотільних накопичувачах, може зберігати образи дисків, чисті бітові потоки, а також в форматі стиснення даних свідків ASR Data.

• E01 (EnCase) –використовується для зберігання різних типів цифрових даних, наприклад. Образ диска (фізичний потік бітів придбаного диска), об'ємне зображення, пам'ять, логічні файли.

• AFF (Advanced Forensics Format) – це розширюваний відкритий формат для зберігання образів дисків і пов'язаних з ними метаданих.

Рисунок 1 – Створення образу

На рис. 1 показано створення образу диска. В даному випадку використовувалось стиснення даних. Для перегляду образу використовується приєднання образу до операційної системи як віртуальній накопичувач.

Рисунок 2 – Монтування образу диску до ОС

На рис. 2 показано зворотне монтування створеного образу флеш накопичувача. Після створення образу також створюється контрольна сума для підтвердження цілісності створеного образу.

2. Створення образу реєстру Windows

Рисунок 3 – Створення образу реєстру

На рис. 3 показано створення копії реєстру Windows за допомогою Asses Data FTK Image. Ця програма дозволяє створювати образи які використовуються для цифрової криміналістики.

Рисунок 4 – Образ реєстру

На рис. 4 показано відновлений образ реєстру за допомогою програми для перегляду та аналізу Windows Registry Recovery. На даному рисунку показна список пристроїв для збереження інформації.

ВИСНОВКИ

Під час проведення лабораторної роботи було створено образ файлової системи NTFS та його монтування до системи. Також було розглянуто типи образів диску.

Для роботи використовувалась програма Access Data FTK Image, дозволяє робити образи реєстру для дослідження інформації про облікові записи користувачів, або роботу системи у криміналістичних розслідуваннях.

Завдання з лабораторної роботи виконано у повному обсязі.