Цифровая криминалистика является одной из наиболее динамично развивающихся областей судебной экспертизы, которая играет ключевую роль в расследовании преступлений, связанных с технологиями и интернет-пространством. Современные технологии позволяют преступникам скрывать свои действия, используя сложные методы шифрования, анонимизации и удаления данных, что делает процесс поиска и анализа улик особенно сложным и трудоемким.
Однако, несмотря на эти сложности, существует множество методов, с помощью которых специалисты могут обнаружить, восстановить и анализировать цифровые следы [2], являющиеся доказательствами в уголовных делах. Эти методы включают как традиционные подходы, такие как анализ файловых систем и хеширование, так и более новые техники, такие как анализ метаданных, восстановление удаленных данных и использование искусственного интеллекта для поиска аномалий, но чаще всего пользуются либо методами, проверенными временем, либо новыми прогрессивными технологиями. Основные методы включают:
Анализ файловой системы
Этот метод позволяет изучать файловую структуру устройства, чтобы выявить важные данные, метаданные, временные метки и скрытые файлы. В процессе анализа файловой системы специалисты могут обнаружить временные и скрытые файлы, восстановить удаленные данные и получить информацию о действиях пользователя.
Анализ цифровых артефактов
Цифровые артефакты включают в себя данные, оставленные пользователем после взаимодействия с устройством или программами, такие как история браузера, журналы активности и кэш-файлы. Этот метод помогает восстановить хронологию событий, выявить посещенные ресурсы и действия пользователя.
Поиск и восстановление удаленных данных
Удаленные данные часто можно восстановить, так как они остаются на носителе до момента перезаписи. С помощью специальных программ можно восстановить удаленные файлы и получить доступ к важной информации, которая может быть утеряна или скрыта.
Анализ сетевого трафика и данных
Этот метод особенно важен для расследования киберпреступлений и взломов. Сетевой трафик анализируется для выявления подозрительных подключений, передачи данных и действий, связанных с сетевыми атаками [1]. Перехват сетевого трафика, изучение логов сервера и анализ маршрутов позволяет обнаружить связи между устройствами и определить подозрительную активность.
Извлечение данных из мобильных устройств
На мобильных устройствах хранится много личной информации, включая переписки, журналы вызовов, данные GPS и информацию из приложений. Специализированные инструменты позволяют извлечь эти данные, даже если они были удалены или заблокированы. Этот метод особенно актуален для дел, связанных с мошенничеством, угрозами и отслеживанием местоположения.
Анализ облачных сервисов и данных социальных сетей
Облачные сервисы и социальные сети часто хранят резервные копии данных и позволяют восстановить удаленную информацию. Криминалисты могут получить доступ к данным аккаунтов, изучить переписки, действия и связаться с администрацией сервиса для получения дополнительных сведений.
Использование инструментов для анализа вредоносного ПО
Этот метод важен для расследований, связанных с вирусами, троянами и другими видами вредоносного ПО. Анализ позволяет выяснить, какие данные были повреждены или украдены, и отследить цепочку заражения. Специализированные программы и песочницы помогают изучить поведение вредоносного кода.
Сбор данных из резервных копий и архивов
Во многих системах автоматически создаются резервные копии и архивы, которые могут содержать информацию, удаленную пользователем. Извлечение данных из этих источников позволяет криминалистам восстановить события, даже если ключевые файлы были уничтожены.
Наиболее практичный и детальный метод обнаружения улик цифровой криминалистики - анализ файловой системы. Он позволяет извлечь максимум информации из данных, хранящихся на различных носителях: жестких дисках, флеш-накопителях, мобильных устройствах и других цифровых устройствах. Этот метод фокусируется на исследовании структуры хранения данных, позволяя восстановить удаленные файлы, выявить скрытую информацию, определить последовательность событий и действия пользователя.
Основные этапы анализа файловой системы:
1) Сбор и подготовка образа устройства.
Для предотвращения изменения данных, работа с устройством ведется с использованием его точной копии. Создание образа позволяет сохранить состояние файловой системы на момент изъятия устройства и работать с копией, не затрагивая оригинальные данные. Копирование выполняется с использованием специальных инструментов, которые обеспечивают точное клонирование и сохраняют временные метки и метаданные.
2) Изучение структуры файловой системы.
Разные операционные системы используют различные типы файловых систем (например, NTFS для Windows, APFS для macOS, EXT для Linux). Понимание особенностей каждой файловой системы помогает криминалистам определить, где и как хранятся данные, метаданные, временные метки и другие структурные элементы.
3) Изучение метаданных.
Метаданные содержат информацию о каждом файле и каталоге в системе [3]. Они включают временные метки, данные о пользователе, который создал или изменил файл, и другую информацию, которая может указывать на действия подозреваемого.
4) Поиск и восстановление удаленных файлов.
Когда файлы удаляются, они обычно не исчезают полностью, а помечаются для перезаписи. Поэтому данные могут оставаться на устройстве до тех пор, пока они не будут затерты новыми файлами. Использование специальных программ позволяет восстановить такие файлы.
5) Поиск скрытых данных и стеганографии.
Преступники часто используют методы сокрытия данных, такие как стеганография, скрытые разделы или изменение атрибутов файлов, чтобы сделать улики труднодоступными.
6) Анализ временной линии событий.
Криминалисты используют метаданные и журналы событий для восстановления временной последовательности действий пользователя.
7) Работа с временными файлами и кэшем.
Временные файлы и кэш содержат остаточные данные от приложений и операционной системы.
Используемые инструменты
Для анализа файловой системы используется ряд специализированных инструментов цифровой криминалистики, среди которых:
- EnCase
Универсальная программа для создания образов, анализа файловой системы, восстановления удаленных файлов и многого другого.
- FTK (Forensic Toolkit)
Мощный инструмент, который поддерживает широкий спектр файловых систем и предоставляет обширные функции анализа и восстановления данных.
- Autopsy и Sleuth Kit
Инструменты с открытым исходным кодом, поддерживающие анализ файловых систем, временных меток и извлечение данных.
- X-Ways Forensics
Профессиональное решение для анализа файловых систем, восстановления удаленных файлов и анализа временных линий событий.
Список литературы
- Красов А.В., Штеренберг С.И., Фахрутдинов Р.М., Рыжаков Д.В., Пестов, И.Е. Анализ информационной безопасности предприятия на основе сбора данных пользователей с открытых ресурсов и мониторинга информационных ресурсов с использованием машинного обучения //T-Comm-Телекоммуникации и Транспорт. 2018. Т. 12. №10. С. 36-40
- Сикорски М., Хониг Э. Вскрытие покажет! Практический анализ вредоносного ПО. СПб.: Питер. 2018. 768 с.
- Цветков А.Ю. анализ существующих методов атак типа переполнения буфера на операционные системы семейства microsoft //Актуальные проблемы инфотелекоммуникаций в науке и образовании. VIII Международная научно-техническая и научно-методическая конференция: сб. науч. ст. в 4-х т. СПб.: СПбГУТ, 2019. С. 751-756
