Терминология

Что же такое форензика и с чем её едят? Если мы немного вникнем в англоязычное сообщество и терминологию по теме, то поймём, что дисциплина называется не просто Forensics, а Digital Forensics. То есть мы имеем дело не с криминалистикой как таковой, а только с тем, что касается данных на цифровых носителях и операций над ними. Частенько это понятие упоминается в аббревиатуре DFIR [Digital Forensics & Incident Response], но об этом ближе к концу статьи.

Реконструкция

Мы уже определились, что имеем дело с цифровыми носителями данных. Предположим худший случай — данные были стёрты с диска или оперативной памяти и нам нужно их восстановить. Во втором случае всё довольно-таки просто, оперативная память энергозависима, а значит, что в момент, когда там пропадает электричество, мы теряем возможность что-либо с неё восстановить, исключение - cold boot атаки. Поэтому при при заражении компьютера каким-то новым вирусом или вредоносным ПО, если вы его выключите, то потеряете часть важной информации, которая могла бы помочь в расследовании. Для того, чтобы работать с оперативной памятью обычно сохраняется её содержимое и после тщательно анализируется.

Но если мы имеем дело с диском, то всё чуть интереснее. Допустим вы удалили важный файл - фотку, ключик от криптокошелька или ещё что. Скорее всего, на этот момент ваш компьютер не удалял никаких файлов, но пометил файл, как удалённый и ждёт пока вы захотите сохранить на его месте какой-то другой. Если мы говорим например про Windows и соответственно, NTFS — его файловую систему, то он чтобы записать новые начинает в последнюю очередь удалять "несуществующие" файлы. Это значит, что данные возможно получится восстановить даже спустя несколько лет после их "удаления". Найти подобные инструменты для восстановления легко, достаточно просто набрать в поиске "*filesystem/OS* data recovery" . Для примера можете почитать код этого инструмента, он относительно несложный, или же просто поверить мне на слово ;)

Кроме того, некоторые подобные инструменты прекрасным образом восстанавливают файлы не только при их удалении, но и при форматировании диска. А другие и вовсе могут восстановливать целые разделы или "воскрешать" операционную систему, если были удалены или изменены данные, связанные с ней.

Но в каких же случаях восстановление невозможно? Например тогда, когда слишком сильны физические повреждения диска. Зачастую это зависит от диска, но просверлить в нём пару отверстий дрелью и погнуть его будет вполне достаточно, чтобы почти полностью исключить вероятность восстановления каких-либо данных.

В следующих сериях

Естественно, даже обзорно и упуская детали, пройтись полностью по всему с чем сталкиваются специалисты в области цифровой криминалистики в одной статье будет сложно, в первую очередь для читателя, поэтому будем дозировать информацию. В этот раз мы поговорили о восстановлении данных, но если честно, до этого этапа дело редко доходит. Чаще, у нас есть дампы памяти, сети и прочие следы, с которыми можно поработать. А вот как выглядит этот процесс и тот самый DFIR мы узнаем в следующих сериях!