Объекты исследования
Аппаратные средства:
- вычислительные машины (персональные компьютеры, сервера, специализированные компьютеры);
- вычислительные комплексы и сети;
- ноутбуки, нетбуки;
- комплектующие (материнские платы и др.);
- периферийные устройства (принтеры, МФУ и др.);
- сетевые устройства;
- носимая и возимая электроника (мобильные телефоны, смартфоны, планшетные компьютеры, навигаторы и др.);
- охранные системы (видеорегистраторы, системы СКУД и др.);
- некоторые другие устройства, содержащие носители информации или используемые для передачи данных.
Программное обеспечение:
- системное программное обеспечение;
- прикладное программное обеспечение;
- базы данных (информация в них);
Носители информации:
- накопители на жестких магнитных дисках;
- твердотельные накопители различного вида:
SSD;
SDCard;
USB Flash;
MicroSD;
и др;
- внутренние накопители носимой электроники;
Файлы:
- файлы протоколов;
- файлы изображений;
- видеофайлы;
- файлы документов и электронных подписей;
- любые файлы в зависимости от поставленных вопросов.
Примеры вопросов:
- имеется ли на представленном накопителе файлы с названием.../ файлы такого-то типа/ файлы документов, содержащие следующие слова../итд.
- каким образом интересуемые файлы были записаны на носитель: изготовлены на этом компьютере/записаны с внешнего носителя/загружены из сети итд. (не всегда можно сказать).
- имеются ли признаки того, что представленный документ был изготовлен/редактировался на данной машине?
- какие учетные записи использовались на представленном компьютере?
- подключались ли представленные flash-накопители к представленному компьютеру?
- осуществилось ли подключение представленного компьютера к локальной сети или сети Интернет?
- имеются ли следы посещения следующих интернет-ресурсов (…. )?
- имеются ли следы администрирования следующих интернет-ресурсов?
- имеются ли следы загрузки/размещения следующих материалов (дается конкретный материал)/каких-либо материалов вообще;
- имеются ли следы известных компьютерных вирусов (по антивирусным базам)
- имеются зашифрованные разделы/файлы
- какая информация содержится на зашифрованных разделах (не всегда удается расшифровать)
- имеются ли признаки сокрытия информации/противодействия исследованиям
- использовались ли определенные программные средства?
- менялось ли системное время?
- возможно ли восстановить определенную информацию с представленного носителя?
- имеются ли следы коммуникаций с пользователем XX?
- какая информация пересылалась пользователю XX?
- какие адреса электронной почты использовались при переписке с XX?
- выделить информацию, содержащуюся в телефонной книге
- выделить протокол телефонных вызовов (дата/время, абонент, направление вызова, статус (состоялся/не состоялся))
- выделить sms-сообщения
- то же самое для мессенджеров (WhatsApp, WeChat, Viber, Telegram) и др
- и др, в зависимости от вопросов
Примеры некорректных вопросов:
- какая информация, относящаяся к делу, находится на представленном носителе?
- Специалист не компетентен решать, какая именно информация относится к делу. В таком случае обычно с носителя снимается вся «пользовательская» информация — документы, изображения, видео (включая восстановленную удаленную), и передается инициатору.
- удалялась ли с носителя какая-то информация?
- Как-то информация с носителя удаляется ВСЕГДА, если он не только что с завода. Следует конкретизировать вопрос.
- Используются ли вредоносные программы? * «Вредоносные программы» - термин юридический, специалист не может признать программное средство вредоносным. Более того, при разных обстоятельствах одни и те же программные средства вредоносны или не являются таковыми. Пример: те же самые программы для проведения экспертиз.
- Используется ли представленной ЭВМ лицензионное или «пиратское» программное обеспечение?
- «Лицензионность» - категория юридическая, а не техническая. Технически лицензионное ПО от нелицензионного ничем не отличается. Более того, даже «сломанная» программа, на которую есть лицензионный договор, становится «лицензионной». Но это все равно решать не специалисту.
- Некорректными вопросами являются все вопросы экономического характера (какова стоимость итд).
- Не дается правовая оценка любым материалам, фактам, сведениям и тд. То есть запрос типа «найти факты нарушения закона» некорректен.
- Не делается классификация материалов. «найти материалы о наркотиках», «найти информацию ограниченного распространения».
- Не делаются переводы с других языков.
Несколько слов об возможностях.
Возможности по взлому зашифрованных разделов и файлов ограничиваются разумным временем работы имеемой техники, так как при отсутствии известных уязвимостей ПО, позволяющих расшифровать данные, осуществляется атака прямым перебором сначала по словарю паролей, а затем и по наборам символов. Нереально годами гонять технику ради одного исследования, поэтому следует ограничится неким лимитом времени.
«На коленке» возможно сделать достаточно ограниченный набор исследований и ответить на ограниченный набор вопросов в разумное время. В основном это исследования жестких дисков ЭВМ, карт памяти, сетевого оборудования, различных логов и др.
Исследования носимой техники (смартфонов, планшетов и тд) без специальных аппаратно-программных средств — занятие проблематичное, весьма долгое и трудоемкое. А если вспомнить, что современные смартфоны зашифрованы изначально, то даже с использованием таких средств далеко не всегда возможно получить доступ к данным.
Существуют вполне рабочие свободно распространяемые средства исследований, но они сильно отстают по возможностям.
«Взломанные» программы обычно взломаны плохо и имеют свойство «падать». Да и без постоянных обновлений они быстро становятся неактуальными (например, с изменением версий месседжеров).
Свободно распространяемых средств для анализа носимой электроники нет.