Слайды и текст доклада
Pic.1
Защита информационных ресурсов компьютерных систем и сетей Компьютерная криминалистика
Pic.2
Что такое компьютерная криминалистика? Ответвление криминалистики, сочетающее в себе восстановление и расследование материалов, найденных на электронных носителях.
Pic.4
Задачи Найди улику в образе диска Найди улику в дампе трафика Найди улику в дампе ОП Найди улику в бинарнике Найди улику в RAM …
Pic.5
Про анализ бинарников Бинарные файлы могут встречаться десятками в образе Каждый дизассемблировать смысла нет Проверить строки командой strings
Pic.6
Анализ оперативной памяти Volatility \. \PhysicalMemory \. \DebugMemory /dev/mem mdd Hex-editors (HxD, WinHex,. . )
Pic.7
Загрузка ОС на примере Windows Включение питания Чтение команд из BIOS Анализ оборудования Поиск загрузочного носителя в порядке очереди Выполнение загрузочного кода из первого сектора диска …
Pic.8
Анализ файловых систем Данные файловой системы Данный содержимого Метаданные Данные имен файлов Прикладные данные
Pic.9
NTFS Наиболее распространенная файловая система для семейства ОС Windows Концепции Безопасность Надежность Поддержка носителей больших объёмов
Pic.10
Основные понятия NTFS Все данные – файлы MFT (Master File Table ~ «Главная файловая таблица» ) Пространство выделяется кластерами – (группы смежных секторов)
Pic.11
MFT (Master File Table) Запись в таблице для каждого файла и директории Все записи нумеруются. [0,1,…] Нулевая запись – запись на себя Может быть фрагментирована по секторам Расширяется системой, но …
Pic.12
Запись MFT Занимает 1024 байта Первые 42 байта – фиксированный формат Остальное пространство под атрибуты
Pic.13
Запись MFT Первая запись – базовая Если атрибуты не помещаются в запись, то создается ещё одна запись с ссылкой на базовую
Pic.14
Файлы метаданных Занимают зарезервированные первые 16 записей MFT Первые 12 записей выделены и содержат файлы метаданных 4 записи [12-15] выделены, но являются пустыми
Pic.18
Атрибуты Все атрибуты имеют заголовок и содержимое Структура содержимого может быть разная у разных атрибутов Заголовок хранит тип, размер, имя атрибута Запись может иметь несколько однотипных …
Pic.19
Атрибуты Резидентные и нерезидентные Разреженные атрибуты Сжатые атрибуты($DATA)
Pic.21
Типы атрибутов Все типы имеют идентификатор, имя По идентификатору происходит упорядочивание атрибутов в записи
Pic.22
Восстановление данных 1. Восстановление разрушенных данных • Аппаратные и программные сбои • Воздействие вредоносного ПО • Ошибки и намеренные действия пользователей 2. Восстановление «закрытых» …
Pic.23
Анализ данных и представление результатов 1. Анализ данных • Выбор инструментария (ПО, утилиты) • Интерпретация данных • Корректная постановка вопросов эксперту 2. Представление результатов • …
Pic.24
Особенности Mobile forensics 1. Использование Flash, SSD в качестве основного носителя Работа с твердотельными носителями со сложной организацией памяти 2. Закрытость платформы Трудность обеспечения …
Pic.25
Особенности Network forensics 1. Большое количество компьютеров Необходимо применение специальных средств мониторинга, анализа и хранения сетевых данных 2. Обмен данными с Интернет Необходимо …
Pic.26
Проблемы хранения, передачи и обработки цифровых доказательств в компьютерной криминалистике. Предотвращение утечек информации. Особенности: - Предотвращение утечек цифровых доказательств …
Скачать презентацию
Если вам понравился сайт и размещенные на нем материалы, пожалуйста, не забывайте поделиться этой страничкой в социальных сетях и с друзьями! Спасибо!