- Katılım
- 12 Ara 2017
- Mesajlar
- 422
- Tepkime puanı
- 451
- Puanları
- 193
The fact that you would not be anonymous would not be a fool!
Let's imagine that your PC is absolutely clean, all your files that can lead to a sad outcome are encrypted and hidden in cryptocontainer . And your PC is completely clean, you have deleted all correspondence, you have deleted all the files, the password for the cryptocontainer is in your head, and no one can get it.
But you neglected permanent deletion, since deleted files can be recovered. But in addition to irrevocable deletion, do not forget about the data in RAM.
What happens when a PC gets to an expert for analysis?
All that an expert has is a hard drive, this is the ultimate basis for analysis. But there are also digital clues that are stored in RAM. Turning off the PC, without making a snapshot of the RAM, the expert can lose the latest messages, encryption keys, correspondence, and so on, many data will be irretrievably lost. In this case, the expert will have to work with RAM.
What can be found in RAM?
If you approach the issue comprehensively, then in RAM you can find the following things:
How is the dump removed?
The dump is removed using a regular USB flash drive, which allows you to contain the contents. There are many analysis tools, both paid and free. It is logical that for paid programs a license costs a lot of money and well-known structures use them. But you can use the regular and free versions, as an option Belkasoft. This software only takes a snapshot of the RAM, for further analysis. The analysis is already taking place in approximately the same scenario, there are also different analysis programs, but you can use the free version from Belkasoft. Most information is destroyed after turning off the PC, but not all!
Most evidence is obtained in this way. Many do not suspect and do not know that in RAM, some information can be stored. Up to correspondence.
There is only one cure, it is necessary to completely dump the RAM dump by using additional software. Simply shutting down the PC will not save you from this. A more comprehensive approach is needed.
As a result, even using permanent deletion and having an absolutely clean PC, your logs are still stored!
Let's imagine that your PC is absolutely clean, all your files that can lead to a sad outcome are encrypted and hidden in cryptocontainer . And your PC is completely clean, you have deleted all correspondence, you have deleted all the files, the password for the cryptocontainer is in your head, and no one can get it.
But you neglected permanent deletion, since deleted files can be recovered. But in addition to irrevocable deletion, do not forget about the data in RAM.
What happens when a PC gets to an expert for analysis?
All that an expert has is a hard drive, this is the ultimate basis for analysis. But there are also digital clues that are stored in RAM. Turning off the PC, without making a snapshot of the RAM, the expert can lose the latest messages, encryption keys, correspondence, and so on, many data will be irretrievably lost. In this case, the expert will have to work with RAM.
What can be found in RAM?
If you approach the issue comprehensively, then in RAM you can find the following things:
- Recent posts in social networks
- Notes of Ghost
- Messages through chats built into the game.
- Downloaded files, images from resources, EVEN if the privilege mode is enabled, the cache and history are disabled.
- Registry branches
- Downloaded programs and unpacked programs
- Data on network connections.
- And the most dangerous is the encryption keys. Which will decrypt your cryptocontainers and gain access to them. Alternatively, Elcomsoft Forensic Disk Decryptor is used.
How is the dump removed?
The dump is removed using a regular USB flash drive, which allows you to contain the contents. There are many analysis tools, both paid and free. It is logical that for paid programs a license costs a lot of money and well-known structures use them. But you can use the regular and free versions, as an option Belkasoft. This software only takes a snapshot of the RAM, for further analysis. The analysis is already taking place in approximately the same scenario, there are also different analysis programs, but you can use the free version from Belkasoft. Most information is destroyed after turning off the PC, but not all!
Most evidence is obtained in this way. Many do not suspect and do not know that in RAM, some information can be stored. Up to correspondence.
There is only one cure, it is necessary to completely dump the RAM dump by using additional software. Simply shutting down the PC will not save you from this. A more comprehensive approach is needed.
As a result, even using permanent deletion and having an absolutely clean PC, your logs are still stored!
Original message
О том, что какие вы бы анонимны не были - криминалиста не обманешь!
Давайте представим, что у вас ПК абсолютно чистый, все файлы ваши которые могут привести к печальному исходу, зашифрованы и спрятаны в криптоконтейнере. А ваш ПК совершенно чист, все переписки вы удалили, все файлы вы удалили, пароль от криптоконтейнера у вас в голове, и никто не сможет подобраться.
Но вы пренебрегли безвозвратным удалением, так как удаленные файлы можно восстановить. Но помимо безвозвратного удаления, не стоит забывать про данные в оперативной памяти.
Что происходит, когда ПК попадает к эксперту на анализ?
Все что у эксперта есть это жесткий диск, это конечна основа для анализа. Но так же существуют цифровые улики которые хранятся в ОЗУ. Выключая ПК, при этом не сделав слепок оперативной памяти, эксперт может потерять последние сообщения, ключи шифрования, переписки и так далее, многие данные будут безвозвратно потеряны. В данном случае эксперту придется работать с оперативной памятью.
Что же можно найти, в оперативной памяти?
Если подойди к вопросу комплексно, то в оперативной памяти можно найти следующие вещи:
Как снимается дамп?
Дамп снимается посредством обычной USB флешки, которая позволит вместить себя содержимое. Есть много утилит для анализа, как платные, так и бесплатные. Логично что у платных программ лицензия стоит очень больших денег и используют их не без известные структуры. Но можно воспользоваться обычной и бесплатной версии, как вариант Belkasoft. Данный софт лишь снимает слепок оперативной памяти, для дальнейшего анализа. Анализ уже происходит примерно по такому же сценарию, так же, есть разные программы для анализа, но можно воспользоваться бесплатной версией от Belkasoft. Большинство информации уничтожается после выключения ПК, но не вся!
Большинство улик добываются именно таким способом. Многие не подозревают и не знают что в оперативной памяти, может хранится какая либо информация. Вплоть до переписок.
Лекарство тут одно, необходимо полностью выгружать дамп оперативной памяти путем дополнительного ПО. Простое выключение ПК, от этого не спасет. Необходим более комплексный подход.
В итоге, даже пользуясь безвозвратным удалением и имея абсолютно чистый ПК, ваши логи - все равно хранятся!
Давайте представим, что у вас ПК абсолютно чистый, все файлы ваши которые могут привести к печальному исходу, зашифрованы и спрятаны в криптоконтейнере. А ваш ПК совершенно чист, все переписки вы удалили, все файлы вы удалили, пароль от криптоконтейнера у вас в голове, и никто не сможет подобраться.
Но вы пренебрегли безвозвратным удалением, так как удаленные файлы можно восстановить. Но помимо безвозвратного удаления, не стоит забывать про данные в оперативной памяти.
Что происходит, когда ПК попадает к эксперту на анализ?
Все что у эксперта есть это жесткий диск, это конечна основа для анализа. Но так же существуют цифровые улики которые хранятся в ОЗУ. Выключая ПК, при этом не сделав слепок оперативной памяти, эксперт может потерять последние сообщения, ключи шифрования, переписки и так далее, многие данные будут безвозвратно потеряны. В данном случае эксперту придется работать с оперативной памятью.
Что же можно найти, в оперативной памяти?
Если подойди к вопросу комплексно, то в оперативной памяти можно найти следующие вещи:
- Последние сообщения в соц сетях
- Записки привнота
- Сообщения посредством чатов встроенных в игры.
- Скачанные файлы, изображения с ресурсов, ДАЖЕ если включен режим приваности, отключен кэш и история.
- Ветки реестра
- Скачанные программы и распакованные программы
- Данные о сетевых соединениях.
- А самое опасное, это ключи шифрования. Которые позволят расшифровать ваши криптоконтейнеры и получить доступ к ним. Как вариант, используется программа Elcomsoft Forensic Disk Decryptor.
Как снимается дамп?
Дамп снимается посредством обычной USB флешки, которая позволит вместить себя содержимое. Есть много утилит для анализа, как платные, так и бесплатные. Логично что у платных программ лицензия стоит очень больших денег и используют их не без известные структуры. Но можно воспользоваться обычной и бесплатной версии, как вариант Belkasoft. Данный софт лишь снимает слепок оперативной памяти, для дальнейшего анализа. Анализ уже происходит примерно по такому же сценарию, так же, есть разные программы для анализа, но можно воспользоваться бесплатной версией от Belkasoft. Большинство информации уничтожается после выключения ПК, но не вся!
Большинство улик добываются именно таким способом. Многие не подозревают и не знают что в оперативной памяти, может хранится какая либо информация. Вплоть до переписок.
Лекарство тут одно, необходимо полностью выгружать дамп оперативной памяти путем дополнительного ПО. Простое выключение ПК, от этого не спасет. Необходим более комплексный подход.
В итоге, даже пользуясь безвозвратным удалением и имея абсолютно чистый ПК, ваши логи - все равно хранятся!
