Практическая работа №1 проведение криминалистического исследования цель
Особенности выявления и сбора улик
Download 33.6 Kb.
|
ПРАКТИЧЕСКАЯ РАБОТА №1
|
6.3 Особенности выявления и сбора улик:
Восстановление и уничтожение данных — две стороны одной медали. Чтобы знать, когда и как можно вернуть себе информацию, надо понимать и как она может быть уничтожена безвозвратно. А в некоторых ситуациях бывает просто необходимо: например, уничтожение корпоративной информации при утилизации оборудования, уничтожение личных данных при передаче диска в пользование друзьям или продаже, или скрытие следов информационного преступления. В ходе следствия, было установлено, что Ивановских не смог или не успел избавиться от следов на носителях, однако была проведена проверка на предмет попыток в следующих возможных вариантах: 1.Уничтожение данных программным методом Если необходимо использовать жёсткий диск после уничтожения данных, стоит посмотреть в сторону программных методов удаления данных. Если на жестком диске никакой ценной информации нет, достаточно несколько раз его отформатировать, используя полное форматирование — флажок Быстрое нужно снять. 2.Полная перезапись диска Можно использовать алгоритмы гарантированного уничтожения информации. В США использовался стандарт DoD 5220.22-M. Стандарт подразумевал трехкратную перезапись диска. При первом проходе выполняется запись любого символа, затем — его XOR-варианта, а после (третий проход) — случайной последовательности. Получается, что за три прохода каждый байт информации на жестком диске перезаписывался так: 10101010 > 01010101 > 11011100 (последнее значение — случайное) Действительно, раньше такой алгоритм использовался в государственных учреждениях США. Но, видимо,он не обеспечивает должной надежности, поскольку сейчас носители физически размагничивают или даже полностью уничтожают. А DoD 5220.22-M используется только для уничтожения несекретной информации. В Канаде используется утилита DSX. Утилита работает так: сначала перезаписывает инфу нулями, а потом — единицами, после чего записывает на диск последовательность данных, в которой закодирована информация о версии утилите, дате и времени уничтожения информации. В Германии для уничтожения несекретных данных (а у нас, мы надеемся, именно такие) используется стандарт BSI VSITR (расшифровку аббревиатуры вы без проблем найдете в Интернете, если она вам нужна). Стандарт подразумевает от 2 до 6 проходов, на каждом из которых на диск записывается псевдослучайная последовательность и ее XOR-эквивалент. Последним проходом записывается последовательность 01010101. Существует много алгоритмов для уничтожения данных через полную перезапись диска. Но все они сводятся к N-кратному форматированию и записи на него двоичных единиц, нулей и псевдослучайных чисел. Так как скорость записи на диск обычно не превышает 70 MB/s. Формула достаточно простая: Объём диска (MB) / Скорость записи * Количество циклов = Секунды; 500000 / 70 * 7 = 50000 (сек.). Диск объёмом в 500 GB будет “стираться” около 13 часов. Но стоит ли использовать 7 циклов перезаписи? Современные носители информации не оставляют остаточной намагниченности после перезаписи данных. Поэтому нам хватит и одного цикла. Значит времени нам понадобится не 13 часов, а всего лишь 1.5. Операционные системы имеют инструменты для полного удаления файлов. Windows: format c: Вместо "c:" необходимо указать букву логического раздела. Для Windows Vista и старше, предыдущие поколения Windows удаляют только служебную информацию. Linux: dd if=/dev/zero of=/dev/sda bs=4k Вместо "/dev/sda" необходимо указать адрес устройства для форматирования. 3.Частичная перезапись данных Используя прямое подключение к жёсткому диску на нижнем уровне через API драйвера диска или собственный драйвер, можно быстро испортить информацию, перезаписывая промежутки данных псевдослучайными числами. Напрямую указывая адрес памяти, в который выполнять запись, нет нужды в полной перезаписи диска. Также через API драйвера диска можно получить адреса, в которых хранится информация, и перезаписывать только эту область памяти. Данный способ самый сложный в своём исполнении, но с другой стороны позволяет быстро уничтожить только конфиденциальную информацию, сохраняя работоспособность диска. Работа с драйвером предполагает 2 стадии. Первая — это получение адреса и длину данных, обычно один файл записан в разных местах на диске, поэтому получается массив адресов и массив длин. Второй шаг — это запись псевдослучайных чисел в данные области памяти, запись необходимо производить также через драйвер, для того, чтобы операционная система не заблокировала или не перенаправила запись данных в другую область диска. 4.Уничтожение данных вместе с диском Усложним задачу: представим, что нет времени на безопасное для диска уничтожение данных. В таком случае единственное что может помочь — уничтожение самого диска. А если быть точным, то нужно уничтожить только блины, на которые записывается информация. 5.Механическое уничтожение данных На картинке показан жёсткий диск после помещения его в устройство для давления жётских дисков (EDR Solutions). Раз и навсегда уничтожить данные получится, если испортить блины жёсткого диска. Сложно и зачастую невозможно восстановить данные с поцарапанных дисков, необходимо держать рядом с собой отвёртку, ведь придётся снять крышку жёсткого диска и ею же можно жёсткий диск поцарапать. Естественно, данные будут стёрты в тех местах, где была проведена царапина и смежных с ней. В остальных местах данные можно будет восстановить в лаборатории. Если погнуть блин, как показано на картинке, то данные уже точно никем никогда не будут восстановлены. Но уронить диск на пол будет недостаточно. Да, он не определится компьютером, но данные успешно восстановят в лаборатории. HDD диск не переживёт падения со стола, причём в выключенном состоянии высота безопасного падения больше, чем во время работы диска. SSD были разработаны с расчётом на такой случай, даже падение из окна первого-второго этажа не убьёт диск. Это достигается за счёт того, что в SSD нет подвижных элементов, все действия выполняет контроллер. Информация по-прежнему может быть прочитана программным или непрограммным способом. Современные диски сделаны из стекла с магнитным напылением. Достаточно снять крышку диска, вытащить магнитный диск и сломать его. Диск из стекла легко ломается, но стоит соблюдать меры безопасности, дабы не порезаться. Слом диска приведёт к разрушению всего слоя напыление и восстановить данные уже не представится возможным. 6.Физически «То, что не убивает нас, делает нас сильнее.» Логично будет предположить и обратное: то, что не делает нас сильнее, убивает нас. Охлаждение диска отрицательно влияет на его работу. Но можно ли его так убить? Положив в морозильную камеру носитель важной информации - его не убить. В руках “бомба” замедленного действия — диск будет работать и с него можно будет прочитать информацию программным способом. Когда же диск сломается, то все данные без особого труда восстанавливаются в “чистой комнате”. А что диски думают о нагревании? Среди всех устройств диска интересуют только блины. Материал, которым покрыт блин, способен размагничиваться при температуре 450 °C. При нагревании магнитный слой должен окисляться и становиться зелёного цвета. Ещё один негативный для диска, но положительный для разрушения результат даёт температура более 660 °C. При такой температуре начинает плавиться алюминий — основа блина жёсткого диска. Температуру в 750 °C в домашних условиях можно получить от пламени свечи или горящей спички. Для достижения максимальной температуры необходимо пламя подставить самым краем к блину. Также размагнитить диск можно с помощью электромагнита, воздействуя на блин переменным магнитным полем с увеличением расстояния от магнита до диска. Для таких целей было разработано специальное оборудование «Устройства уничтожения информации». Воздействуя импульсами на жёсткие диски, они полностью размагничивают диск, что приводит к невозможности восстановить какие-либо данные на нём. Данные устройства уничтожают всё за 2-3 секунды. 7.Химически Чтобы уничтожить данные — нужно уничтожить магнитный слой блина жёсткого диска. На диск достаточно вылить любой жидкости, которая способна изменять свойства ферромагнетиков. Чтобы изменить строение оксида хрома (ферромагнетик, которым покрывают блины жёстких дисков, — магнитный слой диска), необходимо вылить на него соляную кислоту или воду при температуре 100 °C. Download 33.6 Kb. Do'stlaringiz bilan baham: 
|