Здесь мы рассмотрим, как специалист при проведении следственного действия должен обращаться с короткоживущими, или волатильными данными. Этим термином обычно именуют такую информацию, которая недолговечна и существует лишь до момента выключения компьютера или до завершения определенной программы.
Вот некоторые из типов короткоживущих данных:
● содержимое ОЗУ, то есть все исполняемые в текущий момент программы (задачи, процессы), системные и прикладные (пользовательские);
● прежнее содержимое ОЗУ в областях оперативной памяти, которые на текущий момент считаются свободными;
● список открытых файлов со сведениями, какой процесс каким файлом пользуется;
● информация о пользовательских сессиях, то есть вошедших в систему (залогиненных, зарегистрированных) пользователях;
● сетевая конфигурация – динамически присвоенный IP-адрес, маска подсети, ARP-таблица, счетчики сетевых интерфейсов, таблица маршрутизации;
● сетевые соединения – информация о текущих соединениях (коннекциях) по различным протоколам, о соответствующих динамических настройках межсетевого экрана или пакетного фильтра;
● текущее системное время;
● список назначенных заданий (scheduled jobs);
● кэш доменных имен и NETBIOS-имен;
● загруженные модули ядра (LKM);
● монтированные файловые системы, подключенные сетевые диски;
● файл или область подкачки* (swap-файл) на диске – информация о текущем состоянии виртуальной части ОЗУ, а также ранее находившиеся там данные;
● временные файлы, которые автоматически стираются при штатном завершении работы ОС или при загрузке ОС.
Все перечисленные данные, кроме последних двух пунктов, хранятся в ОЗУ.
Кроме того, к короткоживущим данным можно причислить образцы сетевого трафика в обоих направлениях – с исследуемого компьютера и на него. Проанализировать устройство и функции программы по содержимому ОЗУ (дампу памяти) бывает довольно сложно. Зато по генерируемому программой трафику во многих случаях нетрудно определить ее функции. Поэтому образец трафика компьютера за какой-то разумный период времени будет хорошим дополнением для исследования работы неизвестных программ.
Понятно, что короткоживущие данные (кроме области подкачки) можно снять лишь с работающего компьютера. После выключения все такие данные будут утрачены. То есть снятие короткоживущих данных производится не экспертом при проведении КТЭ, а специалистом во время следственного действия. Исключение – экспертиза КПК (наладонного компьютера), который обычно хранится во включенном состоянии, но в режиме гибернации.
Стоит ли пытаться снять с работающего компьютера короткоживущие данные? С одной стороны, среди них могут оказаться полезные и даже очень ценные, например, запись о текущей TCP-сессии с атакуемым узлом или ключ для доступа к криптодиску. С другой стороны, при снятии содержимого ОЗУ невозможно не изменить информацию на компьютере, в том числе на его диске. Это может отрицательно повлиять на оценку достоверности последующей экспертизы. В каждом случае это решает специалист, оценивая, какой аспект важнее для дела – сохранность долгоживущей информации или возможность получить короткоживущую критичную. Разумеется, для этого специалист должен быть проинформирован о существенных обстоятельствах дела.
Например, при использовании подозреваемым криптодиска получить доступ к его содержимому можно либо как-то узнав пароль, либо застав компьютер во включенном состоянии с активированным (монтированным) криптодиском. После демонтирования криптодиска узнать пароль непросто.
Стоит ли пытаться снять короткоживущую информацию, рискуя при этом существенно изменить данные на нем или сразу выключить компьютер, – решает специалист, исходя из материалов дела.
В любом случае, настоятельно рекомендуется снять минимально возможную без риска короткоживущую информацию – сфотографировать или описать текущее изображение на экране включенного компьютера.
Вот некоторые из типов короткоживущих данных:
● содержимое ОЗУ, то есть все исполняемые в текущий момент программы (задачи, процессы), системные и прикладные (пользовательские);
● прежнее содержимое ОЗУ в областях оперативной памяти, которые на текущий момент считаются свободными;
● список открытых файлов со сведениями, какой процесс каким файлом пользуется;
● информация о пользовательских сессиях, то есть вошедших в систему (залогиненных, зарегистрированных) пользователях;
● сетевая конфигурация – динамически присвоенный IP-адрес, маска подсети, ARP-таблица, счетчики сетевых интерфейсов, таблица маршрутизации;
● сетевые соединения – информация о текущих соединениях (коннекциях) по различным протоколам, о соответствующих динамических настройках межсетевого экрана или пакетного фильтра;
● текущее системное время;
● список назначенных заданий (scheduled jobs);
● кэш доменных имен и NETBIOS-имен;
● загруженные модули ядра (LKM);
● монтированные файловые системы, подключенные сетевые диски;
● файл или область подкачки* (swap-файл) на диске – информация о текущем состоянии виртуальной части ОЗУ, а также ранее находившиеся там данные;
● временные файлы, которые автоматически стираются при штатном завершении работы ОС или при загрузке ОС.
Все перечисленные данные, кроме последних двух пунктов, хранятся в ОЗУ.
Кроме того, к короткоживущим данным можно причислить образцы сетевого трафика в обоих направлениях – с исследуемого компьютера и на него. Проанализировать устройство и функции программы по содержимому ОЗУ (дампу памяти) бывает довольно сложно. Зато по генерируемому программой трафику во многих случаях нетрудно определить ее функции. Поэтому образец трафика компьютера за какой-то разумный период времени будет хорошим дополнением для исследования работы неизвестных программ.
Понятно, что короткоживущие данные (кроме области подкачки) можно снять лишь с работающего компьютера. После выключения все такие данные будут утрачены. То есть снятие короткоживущих данных производится не экспертом при проведении КТЭ, а специалистом во время следственного действия. Исключение – экспертиза КПК (наладонного компьютера), который обычно хранится во включенном состоянии, но в режиме гибернации.
Стоит ли пытаться снять с работающего компьютера короткоживущие данные? С одной стороны, среди них могут оказаться полезные и даже очень ценные, например, запись о текущей TCP-сессии с атакуемым узлом или ключ для доступа к криптодиску. С другой стороны, при снятии содержимого ОЗУ невозможно не изменить информацию на компьютере, в том числе на его диске. Это может отрицательно повлиять на оценку достоверности последующей экспертизы. В каждом случае это решает специалист, оценивая, какой аспект важнее для дела – сохранность долгоживущей информации или возможность получить короткоживущую критичную. Разумеется, для этого специалист должен быть проинформирован о существенных обстоятельствах дела.
Например, при использовании подозреваемым криптодиска получить доступ к его содержимому можно либо как-то узнав пароль, либо застав компьютер во включенном состоянии с активированным (монтированным) криптодиском. После демонтирования криптодиска узнать пароль непросто.
Стоит ли пытаться снять короткоживущую информацию, рискуя при этом существенно изменить данные на нем или сразу выключить компьютер, – решает специалист, исходя из материалов дела.
В любом случае, настоятельно рекомендуется снять минимально возможную без риска короткоживущую информацию – сфотографировать или описать текущее изображение на экране включенного компьютера.