2. Форматы файлов
Отдельные категории файлов имеют специфическую структуру.
Программы (*.exe, *.dll) для выполнения загружаются в память загрузчиком операционной системы, чаще всего требуют корректировки после этого некоторых указателей, которые зависят от фактических адресов памяти, куда загружена программа. Например, это могут быть указатели на другие программы, которые должны будут вызываться. Вся информация о связях указателей включается вместе с самой программой в файл, после размещения в памяти программы происходит корректировка адресов. Это нужно учитывать при отладке сжатых программ. Первым шагом распаковщик восстановит программу, а затем – будет корректировать адреса. Эти два шага придется пропустить для того, чтобы дойти до отладки основной программы.
Форматы, допускающие хранение сопроводительной информации. Многие современный данные допускают включение дополнительных данных, которые не будут влиять на основные и на работу с ними. Простейшие примеры:
Язык C
if (!n) return 0; // Любой текст,
int r = 0; // не влияет
do // на действие
r++, // программы,
n = n & (n-1); // рассматривается
while (n); // как комментарий
return r; // к строке
Язык HTML
<b>Текст, который будет выводиться жирным шрифтом</b>
<!-- текст, который рассматривается комментарием и не будет выводиться на экран -->
3. Теги документов
Тег (англ. tag ярлык, этикетка, бирка; метить) ключевое слово, метка для категоризации чего-либо. Используется для включения какой-либо дополнительной информации, поиска по ней или для форматирования текста.
Примеры применения:
1. Элемент языка разметки гипертекста HTML
Данные представляют собой поток отображаемых символов с включенными в него тегами (табл. 3).
Таблица 3. Пример действия тегов в HTML-коде
|
Теги
|
Действие
|
|
<b>Пример</b> |
Пример |
|
<i>Пример</i> |
Пример |
|
<u>Пример</u> |
Пример |
|
<s>Пример</s> |
|
|
<script>...</script> |
Описывает активное содержимое, программу, которая не отображается, а сама может что-либо выполнять |
|
<sub>Пример</sub> |
ТекстПример |
|
<sup>Пример</sup> |
ТекстПример |
|
<small>Пример</small> |
Пример |
|
<big>Пример</big> |
Пример |
2. Способ включения необходимой для поиска информации (автор, название альбома, время создания, название песни или композиции, текстового комментария) в аудиофайлах MP3-формата.
3. В jpg-фотографиях – вспомогательная информация о съемке (тип камеры, дата и время съемки, выдержка и диафрагма при съемке и др. Возможность включать дополнительную информацию в jpg-файлы используют и некоторые графические редакторы (например, Adobe PhotoShop). Если в файл вносились изменения, об этом будет сделана отметка. Все теги – в текстовом виде, при просмотре внутреннего вида файла доступны.
4. Анализ данных на физических носителях, создание и исследование образов дисков
Для того, чтобы найденная существенная информация могла в дальнейшем иметь доказательную силу, она не может быть подвергнута изменениям. Это один из главнейших принципов любой экспертизы.
Не всегда существенная информация доступна в виде файлов. Иногда она может быть удалена. Однако если для удаления не были использованы специальные программы Wipe File, содержимое файлов остается в свободном пространстве диска до тех пор, пока не будет перекрыто какой-либо другой информацией.
Кроме этого, некоторые программы при работе с информацией создают временные файлы, в которые эта информация может попадать.
Наконец, все действия с информацией возможны только если она загружена в оперативную память, которая при некоторых условиях выгружается в специальные файлы на диске.
Отсюда самое первая рекомендация при исследования компьютера – найти и сделать копии временных файлов, а также файлов обмена с памятью (swap), в том числе используемых для спящего режима. В последние сохраняется образ всей используемой оперативной памяти. При загрузке с ОС исследуемого компьютера доступ к некоторым системным файлам будет ограничен даже для копирования, поэтому – если есть возможность – нужно загрузить компьютер со специально подготовленного Live CD.
В учреждениях, обеспеченных финансированием, эксперты могут использовать специализированное программное обеспечение. В ряде стран Западной Европы и США разработаны программы, предназначенные специально для производства экспертизы компьютерной техники. Наилучшей среди них, по мнению некоторых практиков, является программа EnCase – разработка американской компании Guidance Software. Первоначально эта программа была разработана исключительно для нужд таких государственных организаций США, как Секретная служба Министерства финансов, ФБР и АНБ, но в настоящее время предлагается к свободной продаже1.
Программа EnCase практически полностью автоматизирует как процесс создания копии исследуемого жесткого диска, так и исследование его содержимого. Основными возможностями этой программы являются:
проведение контекстного поиска и анализа информации на магнитных носителях с различными файловыми системами одновременно, включая FAT12, FAT16, FAT32, NTFS, файловые системы Linux, UNIX, Macintosh, а также CD и DVD;
встроенный макроязык дает возможность составлять мощные фильтры и программы для настройки EnCase и применять «продвинутые» методы для автоматического анализа всех данных, содержащихся на исследуемом носителе;
подсистема коллекционирования картинок автоматически опознает все файлы, содержащие фрагменты графических изображений, и показывает их в виде пиктограмм, которые легко можно пометить закладками или скопировать на CD /DVD;
просмотр файлов без изменения их содержания или времени создания;
«простой» поиск информации по всему диску с использованием любого количества ключевых слов;
«сложный» поиск информации с использованием мощного синтаксиса UNIX GREP;
просмотр файлов сложной структуры, таких как реестр Windows, файлы-вложения в сообщения электронной почты и Zip-файлы;
просмотр всех существенных отметок времени для всех файлов в компьютере с помощью программы с временной шкалой;
EnCase и аналогичные ей программы не являются экспертными системами или базами знаний, они не могут анализировать лог-файлы и файлы протоколов, а также не дают каких-либо советов лицу, ведущему расследование. Фактически, эти программы представляют собой многофункциональный и удобный инструмент для анализа содержимого изъятых носителей компьютерной информации. Методика работы с этими программами обеспечивает доказательственное значение собранных данных, даже по более строгому в данном отношении законодательству США.
За счёт использования EnCase и подобных ей программ время исследования одного сервера при детальной экспертизе сокращается до 3-4 дней, а компьютер с жёстким диском не слишком большого объёма исследуется менее чем за 1 день.
В целях координации усилий специалистов, выполняющих СКТЭ, и для объединения вузов, в которых проводится подготовка соответствующих экспертов, был разработан проект «Компьютерно-техническая экспертиза» (http://computer-forensics-lab.org/mainrus.htm). В настоящее время в проекте имеется доступ к коллекциям методик; на форуме сайта можно задать вопрос специалистам по СКТЭ.