О том, что какие вы бы анонимны не были - криминалиста не обманешь!

Тема в разделе "Информационная безопасность.", создана пользователем Демитрий, 21 апр 2018.

  1. Демитрий

    Демитрий Действительный члены НП "МОД" Наблюдатель в Совете НП "МОД". Приватный уровень доступа

    Сообщения:
    238
    Симпатии:
    253
    Баллы:
    63
    О том, что какие вы бы анонимны не были - криминалиста не обманешь!

    Давайте представим, что у вас ПК абсолютно чистый, все файлы ваши которые могут привести к печальному исходу, зашифрованы и спрятаны в криптоконтейнере. А ваш ПК совершенно чист, все переписки вы удалили, все файлы вы удалили, пароль от криптоконтейнера у вас в голове, и никто не сможет подобраться.

    Но вы пренебрегли безвозвратным удалением, так как удаленные файлы можно восстановить. Но помимо безвозвратного удаления, не стоит забывать про данные в оперативной памяти.

    Что происходит, когда ПК попадает к эксперту на анализ?
    Все что у эксперта есть это жесткий диск, это конечна основа для анализа. Но так же существуют цифровые улики которые хранятся в ОЗУ. Выключая ПК, при этом не сделав слепок оперативной памяти, эксперт может потерять последние сообщения, ключи шифрования, переписки и так далее, многие данные будут безвозвратно потеряны. В данном случае эксперту придется работать с оперативной памятью.

    Что же можно найти, в оперативной памяти?
    Если подойди к вопросу комплексно, то в оперативной памяти можно найти следующие вещи:
    • Последние сообщения в соц сетях
    • Записки привнота
    • Сообщения посредством чатов встроенных в игры.
    • Скачанные файлы, изображения с ресурсов, ДАЖЕ если включен режим приваности, отключен кэш и история.
    • Ветки реестра
    • Скачанные программы и распакованные программы
    • Данные о сетевых соединениях.
    • А самое опасное, это ключи шифрования. Которые позволят расшифровать ваши криптоконтейнеры и получить доступ к ним. Как вариант, используется программа Elcomsoft Forensic Disk Decryptor.

    Как снимается дамп?

    Дамп снимается посредством обычной USB флешки, которая позволит вместить себя содержимое. Есть много утилит для анализа, как платные, так и бесплатные. Логично что у платных программ лицензия стоит очень больших денег и используют их не без известные структуры. Но можно воспользоваться обычной и бесплатной версии, как вариант Belkasoft. Данный софт лишь снимает слепок оперативной памяти, для дальнейшего анализа. Анализ уже происходит примерно по такому же сценарию, так же, есть разные программы для анализа, но можно воспользоваться бесплатной версией от Belkasoft. Большинство информации уничтожается после выключения ПК, но не вся!

    Большинство улик добываются именно таким способом. Многие не подозревают и не знают что в оперативной памяти, может хранится какая либо информация. Вплоть до переписок.

    Лекарство тут одно, необходимо полностью выгружать дамп оперативной памяти путем дополнительного ПО. Простое выключение ПК, от этого не спасет. Необходим более комплексный подход.

    В итоге, даже пользуясь безвозвратным удалением и имея абсолютно чистый ПК, ваши логи - все равно хранятся!
     
    НСК-СБ нравится это.
  2. root

    root Тех. Поддержка. Команда форума Действительный члены НП "МОД"

    Сообщения:
    39
    Симпатии:
    51
    Баллы:
    18
    Всё это так - только здесь использован не правильный термин - "данные в оперативной памяти"
    Давайте разберемся - на сколько это страшно и есть ли шанс обойти это "проклятие"
    Дело в том что реальная "Оперативная память компьютера" полностью уничтожается при его выключении, поскольку модули оперативной памяти представляют собой набор конденсаторов хранящих в себе значения 0 и 1. При выключении питания конденсаторы разряжаются и все единички из них пропадают, и информация пропадает вместе с ними.
    Это касается памяти типа DDR (1,2,3,4) SDRAM и тп. И не касается Flash памяти.
    Но у компьютера есть динамическое расширение памяти (так называемый SWAP (или по русски своп) ), это файл на жестком диске (по умолчании для Windows диск C:/) и называется он pagefile.sys (по умолчанию он имеет объём равный количеству оперативной памяти + 10% от неё) При нехватке места в оперативной памяти, часть лежащих в ней программ переносятся на жесткий диск, в этот файл, откуда достаются по мере необходимости. Поскольку программы могут выполняться только в оперативной памяти компьютера.
    Вот этот файл и будет изучать,вышеописанный криминалист.
    Отключить этот файл можно, если у вас очень много оперативной памяти (32 Ггб и выше) но стоит помнить, не стоит запускать одновременно много программ (например одновременно открытые 10 страниц в браузере - по факту это 10 отрытых барузеров в каждом из которых открыта одна страница.

    Своп отключать не стоит - зато его можно удалять при каждом выключении или перезагрузке.

    Очистка своп-файла при завершении работы (Windows)

    Для включения очистки файла pagefile.sys при завершении работы операционной системы необходимо в режиме командной строки выполнить команду secpol.msc («Пуск – Выполнить»). В открывшемся окне следует найти элемент «завершение работы: очистка файла подкачки…». Двойным щелчком мыши по нему устанавливаем параметр безопасности в значение «Включён» и нажимаем кнопку «Применить». Эти действия показаны двумя следующими рисунками.

    file-podkachki-wind-1.2.jpg
    file-podkachki-wind-1.3.jpg

    Теперь при выключении или перезагрузке своп файл будет очищаться
    Недостаток, увеличивается время перезагрузки или отключения компьютера
    Время сильно зависит от быстродействия жесткого диска
    например на быстром SSD со свопом 40 гигабайт, выключение компьютера становится дольше на примерно 2 минуты,
    2 минуты затирается своп.

    Но поскольку этот файл хранился на жеском диске, то содержимое файла при выключении, в принципе можно прочесть.
    Но это уже совсем другая история
     

Поделиться этой страницей

Яндекс.Метрика
  1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie.
    Скрыть объявление