Техническое обеспечение компьютерной криминалистики

[rolimex]

В этой статье мы воздержимся от освещения юридических аспектов производства судебных компьютерно-технических экспертиз. Однако на одном моменте все-таки придется акцентировать внимание. В соответствии с требованиями процессуального законодательства, при производстве экспертного исследования эксперт обязан обеспечить сохранение объекта исследования в неизменном виде. Поэтому производство компьютерно-технических экспертиз «по здравому смыслу», путем штатного включения исследуемого компьютера, установки на него каких-либо программ и анализа имеющихся данных недопустимо. Ведь при таких действиях содержимое жесткого диска исследуемого компьютера неминуемо изменится. Поэтому для производства экспертиз с соблюдением этого требования используют специальное оборудование и программное обеспечение.
В настоящее время на рынке имеется достаточное количество аппаратных, аппаратно-программных и чисто программных решений для производства компьютерно-технической экспертизы. Кроме собственно экспертных систем, в сети Интернет можно найти значительное число «экспертных» утилит, написанных энтузиастами – от программных блокираторов записи на жесткий диск до программ поиска той или иной специализированной информации. Однако ни одна из этих утилит не является комплексным, законченным решением, обеспечивающим производство компьютерно-технической экспертизы «под ключ». Если систематизировать сведения обо всех представленных на рынке полноценных экспертных системах, можно прийти к такой таблице:

 

[rolimex]

Очевидно, что все экспертные системы по своим возможностям не слишком сильно отличаются друг от друга. У каждой есть некое «конкурентное преимущество». Например, EnCase лучше всех остальных систем работает с RAID-массивами, Paraben Commander «понимает» наибольшее число программ электронной почты, а Forensic Toolkit позволяет высококвалифицированному специалисту проводить некоторые слабо формализуемые деликатные операции в ручном режиме. Поэтому каждый пользователь может приобрести систему, в наибольшей степени удовлетворяющую именно его запросам.
Чисто аппаратные средства для производства экспертиз не рассчитаны на работу с кириллицей и поэтому слабо востребованы на российском рынке. Зато часто используются аппаратные средства копирования дисков и блокировки записи на жесткий диск. На данный момент абсолютным лидером на рынке аппаратных блокираторов записи выступает компания Tableau (в России продукция Tableau продается строго через Guidance Software). Эта компания выпускает блокировщики на любой вкус – от luxury моделей типа TD2u (ниже на рисунках показана эта воплощенная мечта эксперта сразу после распаковки и в ходе использования – одновременного копирования flash-накопителя на аналогичный накопитель и жесткий диск) до «ширпотреба» типа семейства T35.
В общем случае такие аппаратные блокировщики подключаются к компьютеру эксперта через порты USB 3.0, FireWire или eSATA и позволяют надежно копировать данные с жестких дисков (IDE, eSATA, SATA и ноутбучных), flash-накопителей и карт памяти.
Продолжение следует в следующем посте.

 

[evrusd]

Думал интересная статья будет, а получил кривые картинки кривых таблиц.

 

[Rested]

Чтобы тут хоть что-то полезное появилось, порекомендую книгу Брайан Кэрриэ «Криминалистический анализ файловых систем» и Джоель Макнамара «Секреты компьютерного шпионажа. Тактика и контрмеры»

 

[f0rest]

Скриншоты таблиц из Word'а – шикарно

 

[Killer]

По-моему это спокойно реализуется подбором нужных пакетов в дистрибутиве Linux. Бесплатно.