- Регистрация
- 12 Декабрь 2017
- Сообщения
- 422
- Реакции
- 451
- Баллы
- 193
О том, что какие вы бы анонимны не были - криминалиста не обманешь!
Давайте представим, что у вас ПК абсолютно чистый, все файлы ваши которые могут привести к печальному исходу, зашифрованы и спрятаны в криптоконтейнере. А ваш ПК совершенно чист, все переписки вы удалили, все файлы вы удалили, пароль от криптоконтейнера у вас в голове, и никто не сможет подобраться.
Но вы пренебрегли безвозвратным удалением, так как удаленные файлы можно восстановить. Но помимо безвозвратного удаления, не стоит забывать про данные в оперативной памяти.
Что происходит, когда ПК попадает к эксперту на анализ?
Все что у эксперта есть это жесткий диск, это конечна основа для анализа. Но так же существуют цифровые улики которые хранятся в ОЗУ. Выключая ПК, при этом не сделав слепок оперативной памяти, эксперт может потерять последние сообщения, ключи шифрования, переписки и так далее, многие данные будут безвозвратно потеряны. В данном случае эксперту придется работать с оперативной памятью.
Что же можно найти, в оперативной памяти?
Если подойди к вопросу комплексно, то в оперативной памяти можно найти следующие вещи:
Как снимается дамп?
Дамп снимается посредством обычной USB флешки, которая позволит вместить себя содержимое. Есть много утилит для анализа, как платные, так и бесплатные. Логично что у платных программ лицензия стоит очень больших денег и используют их не без известные структуры. Но можно воспользоваться обычной и бесплатной версии, как вариант Belkasoft. Данный софт лишь снимает слепок оперативной памяти, для дальнейшего анализа. Анализ уже происходит примерно по такому же сценарию, так же, есть разные программы для анализа, но можно воспользоваться бесплатной версией от Belkasoft. Большинство информации уничтожается после выключения ПК, но не вся!
Большинство улик добываются именно таким способом. Многие не подозревают и не знают что в оперативной памяти, может хранится какая либо информация. Вплоть до переписок.
Лекарство тут одно, необходимо полностью выгружать дамп оперативной памяти путем дополнительного ПО. Простое выключение ПК, от этого не спасет. Необходим более комплексный подход.
В итоге, даже пользуясь безвозвратным удалением и имея абсолютно чистый ПК, ваши логи - все равно хранятся!
Давайте представим, что у вас ПК абсолютно чистый, все файлы ваши которые могут привести к печальному исходу, зашифрованы и спрятаны в криптоконтейнере. А ваш ПК совершенно чист, все переписки вы удалили, все файлы вы удалили, пароль от криптоконтейнера у вас в голове, и никто не сможет подобраться.
Но вы пренебрегли безвозвратным удалением, так как удаленные файлы можно восстановить. Но помимо безвозвратного удаления, не стоит забывать про данные в оперативной памяти.
Что происходит, когда ПК попадает к эксперту на анализ?
Все что у эксперта есть это жесткий диск, это конечна основа для анализа. Но так же существуют цифровые улики которые хранятся в ОЗУ. Выключая ПК, при этом не сделав слепок оперативной памяти, эксперт может потерять последние сообщения, ключи шифрования, переписки и так далее, многие данные будут безвозвратно потеряны. В данном случае эксперту придется работать с оперативной памятью.
Что же можно найти, в оперативной памяти?
Если подойди к вопросу комплексно, то в оперативной памяти можно найти следующие вещи:
- Последние сообщения в соц сетях
- Записки привнота
- Сообщения посредством чатов встроенных в игры.
- Скачанные файлы, изображения с ресурсов, ДАЖЕ если включен режим приваности, отключен кэш и история.
- Ветки реестра
- Скачанные программы и распакованные программы
- Данные о сетевых соединениях.
- А самое опасное, это ключи шифрования. Которые позволят расшифровать ваши криптоконтейнеры и получить доступ к ним. Как вариант, используется программа Elcomsoft Forensic Disk Decryptor.
Как снимается дамп?
Дамп снимается посредством обычной USB флешки, которая позволит вместить себя содержимое. Есть много утилит для анализа, как платные, так и бесплатные. Логично что у платных программ лицензия стоит очень больших денег и используют их не без известные структуры. Но можно воспользоваться обычной и бесплатной версии, как вариант Belkasoft. Данный софт лишь снимает слепок оперативной памяти, для дальнейшего анализа. Анализ уже происходит примерно по такому же сценарию, так же, есть разные программы для анализа, но можно воспользоваться бесплатной версией от Belkasoft. Большинство информации уничтожается после выключения ПК, но не вся!
Большинство улик добываются именно таким способом. Многие не подозревают и не знают что в оперативной памяти, может хранится какая либо информация. Вплоть до переписок.
Лекарство тут одно, необходимо полностью выгружать дамп оперативной памяти путем дополнительного ПО. Простое выключение ПК, от этого не спасет. Необходим более комплексный подход.
В итоге, даже пользуясь безвозвратным удалением и имея абсолютно чистый ПК, ваши логи - все равно хранятся!
