Для следователей, работающих в техническом отделе и занимающихся анализом компьютеров подозреваемых, любые данные представляющие особый интерес. Поэтому они используют специальные программно-аппаратные комплексы для извлечения подобных сведений.
Многие считают, что избавиться от данных можно несколькими способами:
- перезаписать область с данными, где находился файл;
- удалить данные используя специальные программы - шредеры (программы для удаления данных с компьютера).
Данные методы действительны на 70%. Поэтому, чтобы понять принцип работы техников, необходимо представлять, как происходит удаление файлов с компьютера.
Удаление файлаВ файловой системе для файла меняется один атрибут, и он помечается как удаленный, хотя сам остается на жестком диске и его можно восстановить с помощью некоторых программно-аппаратных комплексов. Как ни странно, но всегда существуют скрытые лазейки для извлечения различного рода информации с носителей информации.
Файлы изображенийФайл
Thumbs.db - специальное хранилище,используемое операционной системой, в котором находятся эскизы изображений.Увидеть данный файл можно включив отображение "Скрытых файлов и папок" ("Мой компьютер" - "Сервис" - "Свойства папки" - "Вид" - поставить галочку "Показывать скрытые файлы и папки")
Поэтому, если Вам нужно избавиться от компрометирующих фотографий или изображений, необходимо избавиться и от файла Thumbs.db. Для этого отключаем кэширование эскизов в файлах Thumbs.db:
На Windows XP необходимо установить для ключа DisableThumbnailCache в разделе
HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Explorer\Advanced значение "1" В Windows 7 этот ключ имеет имя NoThumbnailCache и находится в
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\ExplorerФайл подкачки Рagefile.sys - файл подкачки, использующийся во время режима Hibernation (hiberfil.sys). Одно из самых непредсказуемых мест. Т.к. содержимое файла подкачки предсказать невозможно.
При работе с документами вся информация о них попадает в различные части ОС — временную папку, реестр и так далее. Отследить и удалить все связанные с файлом данные довольно тяжело. Файл подкачки именно то место, где можно найти информацию удаленную еще год назад. Здесь хранится история удаленных изображений, документов и даже cookie, удаленные из браузера. Сам файл посмотреть или скопировать можно задействовав специальные утилиты или же загрузившись в другую ОС и получить доступ к файлу из нее.
Решить проблему с файлом подкачки можно:
Отключив файл подкачки. Кликаем правой кнопкой на ярлыке "Мой компьютер" - выбираем пункт меню "Свойства" - вкладка "Дополнительно" - в появившемся окне выбираем вкладку "Дополнительно" - в разделе виртуальная память жмем кнопку "Изменить" - ставим галочку "Без файла подкачки".
Настроив систему так, чтобы затирались все данные в файле подкачки перед выключением компьютера. Устанавливаем значение "1" для ключа ClearPageFileAtShutdown в разделе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager\Memory ManagementНедостаток второго метода - медленность и длительное выключение системы.
Для исследования файла подкачки под виндой необходима программа FTK Imager. При работе с ней:
переходим в раздел "File" - "Add Evidence Item" и указываем диск, где находится файл подкачки;
слева на панели отобразится дерево каталогов, где выбираем pagefile.sys;
через контекстное меню выбираем опцию экспорта.
Экспортированный файл можно анализировать воспользовавшись программами DiskDigger или PhotoRec.
ДефрагментацияЧто же происходит с файлами во время дефрагментации. Во время дефрагментации, все файлы находящиеся хаотично на носителе, занимают определенную последовательность. Т.е. смещаются таким образом, чтобы между файлами не было пустоты. Рассмотрим на примере с использованием стандартных средств Windows:
Выбираем "Мой компьютер" - кликаем правой кнопкой на "Диск D" - выбираем "Свойства" - "Сервис" - "Выполнить дефрагментацию" - нажимаем "Анализ" (Рис. дефр.) - нажимаем "Дефрагментация"
По окончании дефрагментации Вы увидите, что все Ваши файлы ранее расположенные на расстоянии друг от друга, теперь выстроились в начале диска и располагаются строго последовательно.
Дефрагментация скопировала файлы в начало диска, расположив их последовательно,однако она не перезаписала их предыдущую копию нулями.И теперь,если проверить помощью определенного шестнадцатеричного редактора и провести поиск,то мы увидим, что теперь каждый файл представлен в двух экземплярах.Это значит, что любой из них легко восстанавливается с помощью DiskDigger или Photorec.И сколько раз Вы их не удаляли бы,даже с использованием различных утилит, призраки Ваших файлов все равно останутся на диске. Они будут оставаться там до тех пор,пока не будут перезаписаны чем-либо еще. И все это время их можно будет восстановить.
Магнитная микроскопияМагнитная микроскопия - определение состояния каждого бита до его перезаписи, т.е. определение, был ли он равен единице или нулю. Суть его в том, что каждый символ кодируется восемью битами. Однако если в результате восстановления даже один бит был восстановлен неверно, то символ получится уже другой. Допустим у нас есть слово "код" в двоичной системе. Были определены все биты кроме последнего. В итоге получили слово "кол". При использовании самого высокопрофессионального программно-аппаратного комплекса, восстановление может составить 93% точности. Однако такие комплексы встречаются очень и очень редко, и то среди сотрудников спецслужб, либо у специалистов нуждающихся в таком оборудовании. Возможность иметь такое оборудование должна еще поддерживаться и материально, т.к. стоимость его баснословно велика.
ЗаключениеНа самом деле, если компьютерные эксперты (профессионалы своего дела) взялись за Ваш HDD будьте уверены они найдут необходимые лазейки чтобы добыть Вашу информацию. Поэтому будьте осторожны и придерживайтесь "Первой заповеди" разведчика -
НЕ ПОПАДИСЬ!
WEB PHP скрипты
WAP PHP скрипты
Комментарии: