.livemindIT, Мышление, Тфорчество и всякая всячина.livemindhttps://teletype.in/atom/livemind2026-06-07T12:20:52.907Zlivemind:digital-forensics-1Digital Forensics2024-02-24T23:04:33.492Z2024-02-24T23:04:33.492Z<img src="https://img2.teletype.in/files/50/34/50342da0-485f-4360-b210-831dbb15fa1c.png">C чем работают специалисты в области форензики? Можно ли восстановить данные, которые были удалены с диска? И как обезопасить себя от криминалистической экспертизы?
<section style="background-color:hsl(hsl(24, 24%, var(--autocolor-background-lightness, 95%)), 85%, 85%);">
<h3 id="FIvk" data-align="center">Пролог</h3>
<p id="r8kV">Начнём с ответа на вопрос <strong><em>"Зачем мы тут собрались?"</em></strong>. Это материал для тех людей, которые очень расплывчато представляют себе что такое форензика не знают об этом вовсе, либо недавно начали разбираться в теме. </p>
<p id="MC2H">Сейчас мы немного взглянем на то, с какими кейсами работают специалисты по этому направлению и ответим на вопрос о том, насколько возможно удалить что-то со своего диска или защитить свои данные от экспертизы, проводимой профессионалами.</p>
<p id="nlxB" data-align="right"><em><u>Критика и комментарии приветствуются!</u></em></p>
</section>
<section style="background-color:hsl(hsl(24, 24%, var(--autocolor-background-lightness, 95%)), 85%, 85%);">
<h3 id="k5WY" data-align="center">Терминология</h3>
<p id="e96Y">Что же такое форензика и с чем её едят? Если мы немного вникнем в англоязычное сообщество и терминологию по теме, то поймём, что дисциплина называется не просто Forensics, а <strong><em>Digital Forensics</em></strong>. То есть мы имеем дело не с криминалистикой как таковой, а только с тем, что касается данных на цифровых носителях и операций над ними. Частенько это понятие упоминается в аббревиатуре <strong><em>DFIR [Digital Forensics & Incident Response]</em></strong>, но об этом ближе к концу статьи.</p>
</section>
<section style="background-color:hsl(hsl(170, 33%, var(--autocolor-background-lightness, 95%)), 85%, 85%);">
<h3 id="6TLM" data-align="center">Реконструкция</h3>
<p id="5pcZ">Мы уже определились, что имеем дело с цифровыми носителями данных. Предположим худший случай — данные были стёрты с диска или оперативной памяти и нам нужно их восстановить. Во втором случае всё довольно-таки просто, оперативная память энергозависима, а значит, что в момент, когда там пропадает электричество, мы теряем возможность что-либо с неё восстановить, исключение - <a href="http://cold%20boot%20%D0%B0%D1%82%D0%B0%D0%BA%D0%B8" target="_blank">cold boot атаки</a>. Поэтому при при заражении компьютера каким-то новым вирусом или вредоносным ПО, если вы его выключите, то потеряете часть важной информации, которая могла бы помочь в расследовании. Для того, чтобы работать с оперативной памятью обычно <a href="https://habr.com/ru/articles/211749/" target="_blank">сохраняется </a>её содержимое и после тщательно анализируется.</p>
<p id="mINw">Но если мы имеем дело с диском, то всё чуть интереснее. Допустим вы удалили важный файл - фотку, ключик от криптокошелька или ещё что. Скорее всего, на этот момент ваш компьютер не удалял никаких файлов, но пометил файл, как удалённый и ждёт пока вы захотите сохранить на его месте какой-то другой. Если мы говорим например про Windows и соответственно, NTFS — его <a href="https://blog.skillfactory.ru/glossary/faylovaya-sistema/" target="_blank">файловую систему</a>, то он чтобы записать новые начинает в последнюю очередь удалять "несуществующие" файлы. Это значит, что данные возможно получится восстановить даже спустя несколько лет после их "удаления". Найти подобные инструменты для восстановления легко, достаточно просто набрать в поиске <strong><em>"*filesystem/OS* data recovery" </em></strong>. Для примера можете почитать код <a href="https://github.com/bibortone/ntfsrecover" target="_blank">этого </a>инструмента, он относительно несложный, или же просто поверить мне на слово ;)</p>
<p id="Duhs">Кроме того, некоторые подобные инструменты прекрасным образом восстанавливают файлы не только при их удалении, но и при форматировании диска. А <a href="https://www.cgsecurity.org/wiki/TestDisk" target="_blank">другие </a>и вовсе могут восстановливать целые разделы или "воскрешать" операционную систему, если были удалены или изменены данные, связанные с ней.</p>
<p id="nm3V">Но в каких же случаях восстановление невозможно? Например тогда, когда слишком сильны физические повреждения диска. Зачастую это зависит от диска, но просверлить в нём пару отверстий дрелью и погнуть его будет вполне достаточно, чтобы почти полностью исключить вероятность восстановления каких-либо данных.</p>
</section>
<section style="background-color:hsl(hsl(199, 50%, var(--autocolor-background-lightness, 95%)), 85%, 85%);">
<h3 id="NoXl" data-align="center">В следующих сериях</h3>
<p id="38gn">Естественно, даже обзорно и упуская детали, пройтись полностью по всему с чем сталкиваются специалисты в области цифровой криминалистики в одной статье будет сложно, в первую очередь для читателя, поэтому будем дозировать информацию. В этот раз мы поговорили о восстановлении данных, но если честно, до этого этапа дело редко доходит. Чаще, у нас есть дампы памяти, сети и прочие следы, с которыми можно поработать. А вот как выглядит этот процесс и тот самый DFIR мы узнаем в следующих сериях!</p>
</section>
<h3 id="z8kz" data-align="center">В главных ролях</h3>
<p id="KMU7">.livemind — <strong><a href="https://t.me/livem1nd" target="_blank">t.me/livem1nd</a></strong></p>
<p id="GKjC">Jhorj Privacy — <a href="https://t.me/Jhorj_Privacy" target="_blank"><strong>t.me/Jhorj_Privacy</strong></a></p>