Для сбора короткоживущей информации из ОЗУ и свопа есть различные программные инструменты под различные ОС. Специалисту предпочтительно не надеяться, что такие инструменты найдутся на исследуемом компьютере, а пользоваться своими собственными программами, которые заранее приготовлены на дискете, компакт-диске или флэш-накопителе. Чаще всего используют компакт-диск.
Кроме того, следует приготовить еще один носитель – для записи результатов снятия короткоживущей информации. Предпочтителен флэш-накопитель. Для сброса результатов вместо флэш-накопителя или иного устройства можно подключить в качестве сетевого диска диск удаленного компьютера. Таковым может служить переносной компьютер специалиста, принесенный им с собой и подключенный к тому же сегменту ЛВС, или стационарный компьютер специалиста, доступный через Интернет. Сбрасывать полученные короткоживущие данные на жесткий диск исследуемого компьютера категорически не рекомендуется. Этим можно уничтожить некоторую существенную для дела информацию и поставить под сомнение результаты последующей экспертизы.
Корректность работы программных инструментов по снятию информации с работающего компьютера зависит не только от самих этих инструментов. На результат может влиять также состояние исследуемого компьютера. Например, если он заражен вредоносной программой типа руткит, то специалист может и не получить корректную информацию, даже при безупречной работе его инструментов.
Вот некоторые полезные программы для сбора короткоживущих данных:
● Утилиты «PMDump», «userdump», «dd» позволяют снимать содержимое ОЗУ компьютера (дамп памяти). Запуск любой программы изменяет содержимое ОЗУ, поэтому результат работы таких утилит будет не вполне «чистый». Но это неизбежная погрешность.
● Утилиты «ifconfig», «ipconfig», «arp», «route», «netstat», «ipfw», «ipfilter», «ipchain», «iptables» снимают текущую сетевую конфигурацию компьютера.
● Утилиты «netstat», «nmap» снимают информацию о текущих сетевых соединениях и открытых портах.
● Утилиты «Task manager», «pslist», «ps», «top» дают список текущих процессов – исполняемых программ.
● Утилиты «lsof» дают список открытых в текущий момент файлов.
● Утилиты «w», «last» дают список пользователей, вошедших в систему.
● Утилиты «date», «nlsinfo» дают информацию о текущем системном времени.
● Утилиты «ethereal», «tcpdump» дают возможность снять текущий сетевой трафик компьютера.
● Утилиты «lsmod», «kldstat» показывают список загруженных модулей ядра.
Какую именно короткоживущую информацию собирать и в каком порядке? Зависит от характера доказательств, которые мы предполагаем найти.
Когда речь идет о «взломе» исследуемого компьютера или заражении его вредоносной программой, следует собирать: содержимое ОЗУ, список процессов, список открытых портов, список пользователей, сетевую конфигурацию, образец трафика.
Когда дело касается электронной переписки или незаконного контента, возможно хранящегося на исследуемом компьютере, следует собирать: список процессов, информацию о криптодисках, текущее время, возможно, сетевую конфигурацию.
Когда речь идёт о неправомерном доступе, предположительно осуществленном с исследуемого компьютера, следует собирать: список процессов, информацию о текущих сетевых соединениях, образец трафика.
По делам о нарушении авторских прав следует собирать: список процессов, текущее время, содержимое временных файлов и области подкачки.
Вообще-то, если есть возможность, лучше собирать всю доступную короткоживущую информацию.
Порядок сбора информации рекомендуется такой, чтобы сначала собрать самую короткоживущую. А именно – собирать ее в такой последовательности:
● текущие сетевые соединения;
● текущие пользовательские сессии;
● содержимое ОЗУ;
● список процессов;
● открытые файлы;
● образец трафика;
● ключи и пароли;
● сетевая конфигурация;
● текущее время.
Когда сетевые моменты не важны (например, компьютер не подключен к сети в текущий момент), содержимое ОЗУ (дамп памяти) следует снимать в первую очередь – для его наименьшего искажения, поскольку, как уже указывалось, запуск любой программы изменяет состояние оперативной памяти ЭВМ.
Прежде чем снимать короткоживущую информацию с включенного компьютера, бывает необходимо преодолеть препятствия в виде:
● активного скринсейвера (заставки) с парольной (парольно-биометрической) защитой;
● недостаточных привилегий текущего пользователя;
● заблокированных, отключенных или отсутствующих возможностей для подключения внешних устройств (порт USB, CD привод).
Имеет ли право специалист задействовать для преодоления такой защиты специальные средства – программы, относящиеся к средствам несанкционированного доступа, вредоносным программам или средствам обхода защиты авторских прав?
Вообще-то имеет. Кроме вредоносных программ, использование которых противозаконно в любом случае.
Кроме того, следует приготовить еще один носитель – для записи результатов снятия короткоживущей информации. Предпочтителен флэш-накопитель. Для сброса результатов вместо флэш-накопителя или иного устройства можно подключить в качестве сетевого диска диск удаленного компьютера. Таковым может служить переносной компьютер специалиста, принесенный им с собой и подключенный к тому же сегменту ЛВС, или стационарный компьютер специалиста, доступный через Интернет. Сбрасывать полученные короткоживущие данные на жесткий диск исследуемого компьютера категорически не рекомендуется. Этим можно уничтожить некоторую существенную для дела информацию и поставить под сомнение результаты последующей экспертизы.
Корректность работы программных инструментов по снятию информации с работающего компьютера зависит не только от самих этих инструментов. На результат может влиять также состояние исследуемого компьютера. Например, если он заражен вредоносной программой типа руткит, то специалист может и не получить корректную информацию, даже при безупречной работе его инструментов.
Вот некоторые полезные программы для сбора короткоживущих данных:
● Утилиты «PMDump», «userdump», «dd» позволяют снимать содержимое ОЗУ компьютера (дамп памяти). Запуск любой программы изменяет содержимое ОЗУ, поэтому результат работы таких утилит будет не вполне «чистый». Но это неизбежная погрешность.
● Утилиты «ifconfig», «ipconfig», «arp», «route», «netstat», «ipfw», «ipfilter», «ipchain», «iptables» снимают текущую сетевую конфигурацию компьютера.
● Утилиты «netstat», «nmap» снимают информацию о текущих сетевых соединениях и открытых портах.
● Утилиты «Task manager», «pslist», «ps», «top» дают список текущих процессов – исполняемых программ.
● Утилиты «lsof» дают список открытых в текущий момент файлов.
● Утилиты «w», «last» дают список пользователей, вошедших в систему.
● Утилиты «date», «nlsinfo» дают информацию о текущем системном времени.
● Утилиты «ethereal», «tcpdump» дают возможность снять текущий сетевой трафик компьютера.
● Утилиты «lsmod», «kldstat» показывают список загруженных модулей ядра.
Какую именно короткоживущую информацию собирать и в каком порядке? Зависит от характера доказательств, которые мы предполагаем найти.
Когда речь идет о «взломе» исследуемого компьютера или заражении его вредоносной программой, следует собирать: содержимое ОЗУ, список процессов, список открытых портов, список пользователей, сетевую конфигурацию, образец трафика.
Когда дело касается электронной переписки или незаконного контента, возможно хранящегося на исследуемом компьютере, следует собирать: список процессов, информацию о криптодисках, текущее время, возможно, сетевую конфигурацию.
Когда речь идёт о неправомерном доступе, предположительно осуществленном с исследуемого компьютера, следует собирать: список процессов, информацию о текущих сетевых соединениях, образец трафика.
По делам о нарушении авторских прав следует собирать: список процессов, текущее время, содержимое временных файлов и области подкачки.
Вообще-то, если есть возможность, лучше собирать всю доступную короткоживущую информацию.
Порядок сбора информации рекомендуется такой, чтобы сначала собрать самую короткоживущую. А именно – собирать ее в такой последовательности:
● текущие сетевые соединения;
● текущие пользовательские сессии;
● содержимое ОЗУ;
● список процессов;
● открытые файлы;
● образец трафика;
● ключи и пароли;
● сетевая конфигурация;
● текущее время.
Когда сетевые моменты не важны (например, компьютер не подключен к сети в текущий момент), содержимое ОЗУ (дамп памяти) следует снимать в первую очередь – для его наименьшего искажения, поскольку, как уже указывалось, запуск любой программы изменяет состояние оперативной памяти ЭВМ.
Прежде чем снимать короткоживущую информацию с включенного компьютера, бывает необходимо преодолеть препятствия в виде:
● активного скринсейвера (заставки) с парольной (парольно-биометрической) защитой;
● недостаточных привилегий текущего пользователя;
● заблокированных, отключенных или отсутствующих возможностей для подключения внешних устройств (порт USB, CD привод).
Имеет ли право специалист задействовать для преодоления такой защиты специальные средства – программы, относящиеся к средствам несанкционированного доступа, вредоносным программам или средствам обхода защиты авторских прав?
Вообще-то имеет. Кроме вредоносных программ, использование которых противозаконно в любом случае.
