Каким образом криминалист проводит анализ извлеченного из устройства жесткого диска? Между криминалистическим анализом и работой по восстановлению файлов есть много общего, но существуют и значительные отличия, которые заключаются не только в стоимости программ. В этой статье описаны различия между криминалистической и коммерческой работой по восстановлению данных с жесткого диска.
Основные требования к криминалистическому анализу
При разработке специальных программ по восстановлению данных, основным требованием к ним является способность извлечь с диска максимум данных за минимальное количество времени. В случае с криминалистикой дело обстоит несколько иначе. Требования похожи, но имеют несколько отличий. Работа в режиме «только чтение»
Оба вида программ используют режим «только чтение», но немного с разной целью. Программа по восстановлению файлов таким образом защищает жесткий диск от перезаписи важных данных или с целью не допустить их повреждения. В криминалистическом анализе такие действия необходимы и строго контролируются, чтобы не допустить изменение добываемых улик. Как известно, достоверность улик – это один из главных принципов судопроизводства. Поэтому криминалисты используют в работе аппаратные блокираторы записи, а не просто полагаются на программистов. Применение такой техники исключает всякую возможность записать какую-то информацию на диск.
Использование виртуальных образов диска
Криминалист в работе обязан следовать точной процедуре анализа жесткого диска. Стандартная процедура включает в себя правило снимать образ в формате DD, Ex01 или SMART. Затем образ подвергают анализу. Такой вариант во многом удобен, но при этом необходимо наличие диска с возможностью сохранения большого объема информации. Специалист же, восстанавливающий данные, самостоятельно может выбрать – использовать ему виртуальный образ или же применить восстановление файлов «по живому».
Документирование процесса
Как и в любой другой подобной работе, действия криминалиста обязательно должны быть задокументированы. Каждый шаг, выполненный аналитиком с уликами в виде цифрового носителя, тщательно фиксируется и должен быть прозрачным, чтобы независимый специалист смог повторить операции, совершенные криминалистом. С программами по восстановлению данных все намного проще: какие-либо требования отсутствуют. Отчет о проделанной работе включает в себя только список файлов, которые были или не были восстановлены.
Поиск по сигнатурам и data carving
Специальными программами используются мощные алгоритмы, чтобы найти необходимую информацию на поверхности жесткого диска. Алгоритмами используются так называемые сигнатуры (известные участки, которые повторяются), которые способны найти начало файла. По анализу заголовка можно определить длину файла и в итоге его восстановить, воспользовавшись всей этой информацией.
У алгоритмов сигнатурного поиска есть один недостаток – это сложность в восстановлении фрагментированных данных (имеются в виду те файлы, которые невозможно восстановить более простым способом из-за поврежденной или отсутствующей файловой системы).
Для криминалиста при расследовании уголовного дела задачей стоит восстановление какого-то определенного файла, он может быть фрагментированным или нет. Для этого он использует алгоритмы группы “data carving” (аналогичное понятие в российской терминологии пока отсутствует). Использование этих алгоритмов подразумевает большой ручной труд, эвристику и комбинаторику, чтобы собрать необходимую информацию из огромного количества отдельных данных. Эта работа занимает очень много времени и очень трудоемка, даже в криминалистическом анализе алгоритмами пользуются нечасто. Но разработчики постоянно совершенствуют эти процессы и возможно, уже через какое-то время появится новая программа, позволяющая минимизировать ручной труд и максимально сделать его автоматическим.
Что именно восстанавливается
На первый взгляд, кажется, что программы и аналитики восстанавливают одни и те же данные, но это неверно. Криминалисты исследуют поведение подозреваемого в течение некоторого периода времени. Специалистами извлекаются не только фотографии и документы, которые обычно интересуют простых пользователей, но и кэш браузера, в котором можно отследить историю посещения сайтов, база данных, история переписок Skype, ICQ и других подобных программ, а также файлы реестра ОС Windows.
Аналитика и отчёты
Конечным этапом работы программ по восстановлению файлов считается извлечение файлов и перезапись их на исправный носитель. Тогда можно считать их функцию выполненной. Криминалистический анализ после такой работы можно считать только начальным этапом. Криминалист должен провести анализ восстановленных данных: просмотреть базы данных, все последние действия подозреваемого, совершаемого на компьютере и, в конце концов, составить его психологический портрет. Большинство времени аналитик проводит именно за этими исследованиями. Разработчики в аналитической части работы значительно преуспели: существующие пакеты программ (AccessData FTK, Guidance EnCase, Oxygen Forensic Toolkit, Belkasoft Evidence Center и другие) поражают воображение простого пользователя.
Конечным этапом работы является написание отчета. Здесь криминалист-аналитик также использует возможности специальных программ, которые позволяют составлять отчеты любого характера, размера и сложности.
Заключение
Из написанного материала следует, что криминалистический анализ во многом использует алгоритмы, предназначенные для восстановления информации. Но после завершения извлечения данных, работа криминалиста не заканчивается, как в случае со специальными программами по восстановлению данных. Самая ее главная часть только начинается. Для этого было разработано огромное количество специальных программных пакетов, направленных на соответствующую работу. Простым же пользователям вполне достаточно стандартных программ, чтобы восстановить свои файлы и на этом закончить работу с пострадавшим жестким диском или другим накопителем.