Файловый архив студентов. Файловый архив студентов.
1316 вузов, 5367 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский технический университет связи и информатики
Предмет:
Форензика
Файл:

Практика 3

.docx
Скачиваний:
0
Добавлен:
16.02.2026
Размер:
28.45 Кб
Скачать

МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

Федеральное Государственное Бюджетное Образовательное Учреждение Высшего Образования

«МОСКОВСКИЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ СВЯЗИ И ИНФОРМАТИКИ»

(МТУСИ)

Кафедра БТК

Практическое задание №3

По дисциплине

«Форензика»

Выполнил студент группы

Проверил доцент кафедры БТК

Потапова Д.А.

г. Москва 2025

1. Структура файловой системы NTFS

Параметр

Значение на диске C:

Описание и форензическое значение

Размер кластера (байт)

4096

Минимальная единица информации, которую можно перезаписать, помогает оценить slack‑данные (остатки в конце файла) и восстановить фрагменты файлов

Размер сектора (байт)

512

Минимальная адресуемая физическая единица диска, влияет на выравнивание разделов и интерпретацию артефактов низкого уровня

Размер MFT-зоны

200.13 МБ

Таблица файлов, позволяет просмотреть любые файлы на диске

Размер записи MFT

51232

Размер одной записи в Master File Table (MFT), помогает извлекать потоки данных, атрибуты безопасности, timestamps и производить восстановление удалённых метаданных

Номер первого кластера MFT

0x00000000063773e0

Смещение расположения MFT на файловой системе, используется для прямого доступа к MFT при работе с образом диска, для расчёта байтового смещения MFT на диске и для проверки целостности/подлинности структуры

Таблица 1 – Основные параметры NTFS

Есть файл размером 15 300 байт. Размер кластера = 4096 байт.

  1. Занимает 4 (15300/4096 с округлением вверх) кластера на диске;

  2. Неиспользуемое пространство = 1084 байта;

  3. В неиспользуемом пространстве могут находиться остатки предыдущих файлов

  4. На HDD физически файлы останутся (пока не будут перезаписаны новыми данными), на SSD TRIM сотрёт записи о файле из памяти контроллера

  5. Имена файлов также остаются в MFT после удаления файла

  6. Временные метки обрабатываются аналогично именам файлов

2. На компьютере обнаружен файл malware.exe

Метка

Что показывает

Можно ли изменить пользователем?

Форензическая ценность

Created

Момент создания записи файла

Пользователь может изменить через утилиты

Отражает момент, когда содержимое файла фактически изменялось

Modified

Время последней модификации содержимого файла

Изменяется при редактировании содержимого файла

Показывает моменты, когда запись в MFT менялась (создание записи, изменение атрибутов).

Accessed

Время последнего доступа

Обновляется при открытии файла

Указывает на время создания записи в NTFS

MFT Modified

Момент изменения записи в MFT

Изменяется автоматически при любых модификациях атрибутов файла

Может показать факт открытия файла

Таблица 2 - Временные метки NTFS

3. Сигнатуры файлов и их форензическое значение

Рисунок 1 – HEX-код файла text.jpg

У файла отсутствуют сигнатуры JPEG-файла, т.к. изначально он создавался как *.txt

4. Расширенные атрибуты файлов

1. HIDDEN – скрывает отображение файла в Проводнике Windows (если менять его настройки);

2. ENCRYPTED - файл зашифрован с помощью Windows (обычно EFS (Encrypting File System)) на NTFS. Атрибут помечает содержимое как зашифрованное и требует ключа для расшифровки.

5. Структуры данных в памяти

1. Процесс использует сетевые функции Winsock (сокеты) для работы с сетью, имеется dll-библиотека подозрительного происхождения (malicious.dll);

2. Физический дамп содержит всю оперативную память машины (включая ядро, все процессы, драйверы, сетевые буферы, кэши, своп), тогда как дамп отдельного процесса ограничен его виртуальным адресным пространством.

6. Анализ сетевых протоколов

1. Проверить, занят ли IP;

2. Определить MAC-вендора;

3. Проверить активность устройства;

4. Ограничить доступ и изолировать;

5. Проанализировать DHCP-логи на наличие подозрительной активности.

7. Хеш-функции и их применение

1. clean.exe и suspicious.exe имеют одинаковый MD5. Это значит, что файлы либо идентичны побитово, либо имеют коллизию MD5 (одинаковый хэш у разных файлов). Поскольку MD5 устарел и подвержен коллизиям и целенаправленным атакам, совпадение MD5 может означать потенциально опасный файл, пытающийся быть подобным обычному.

2. MD5 криптографически небезопасен: известны быстрые методы создания коллизий (намеренных созданий файла с одинаковым MD5) и подделок.

3. Теоретическая вероятность случайного совпадения SHA-256 для двух разных файлов = 8.636168555094445e-78 (1/2^256)

Соседние файлы в предмете Форензика
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности