Ftk imager инструкция на русском

Как использовать FTK the Forensics Toolkit при проведении расследований инцидентов информационной безопасности

Компьютерные технологии являются объектами многих преступлений или играют в них роль их пособника. Фишинг, кража личных данных, электронные финансовые махинации, атаки с использованием программ-вымогателей, публикация в Интернете порочащих честь материалов и отмывание денег – вот лишь некоторые примеры из них. Специалисты по компьютерной криминалистике занимаются такими преступлениями, Они ищут и фиксируют следы (улики) из цифровых артефактов, которые в последствии могут быть использованы как доказательства в суде. А инструменты компьютерной криминалистики (форензики) является способом достижения этих целей.

Не смотря на то, что существуют различные сценарии действий при проведении расследований различных инцидентов, основные действия схожи для каждого из них. Они включают в себя поиск, сбор, анализ и документирование цифровых доказательств в форме отчета. В целях обеспечения пригодности доказательств необходимо использовать инструменты компьютерной криминалистики, признанные во всем мире. FTK imager – один из таких инструментов форензики, который используется для сбора данных и анализа доказательств. В этой статье мы проведем подробный обзор FTK imager, продемонстрировав его установку и основные рабочие процессы указанного инструмента. Мы уже упоминали его в нашей статье Инструменты компьютерной криминалистики (форензики) для хакеров и специалистов по безопасности. Теперь же предлагаем рассмотреть его более детально

Как установить FTK Imager

FTK imager – это продукт компании ACCESSDATA, который можно загрузить с их официального сайта.

https://accessdata.com/product-download

Чтобы скачать дистрибутив, ACCESSDATA требует действительный адрес электронной почты для отправки ссылки на загрузку в почтовый ящик пользователя.

В текущий момент стоит использовать VPN для доступа к разделу скачивания.

После загрузки exe-файла запустите мастер установки, чтобы начать процесс инсталляции FTK и дождитесь завершения процесса

Обзор интерфейса FTK Imager

После установки набора инструментов forensics toolkit FTK Image откройте его из меню “Пуск”, списка программ или ярлыка на рабочем столе, созданного в процессе установки. На следующем снимке экрана показан интерфейс FTK Imager.

В инструменте, как мы видим, есть два раздела. В левом разделе (Evidence Tree)) показаны все потенциальные данные артефактов. Правый раздел (File List) дает более подробную информацию о каждом файле, выбранном в разделе Evidence Tree. Верхняя строка меню показывает все возможные опции инструмента, используемые для извлечения и анализа данных.

Как работает FTK Imager?

FTK Imager можно использовать для выполнения множества задач компьютерной криминалистики, таких как создание образа диска, захват данных в памяти ОС, монтирование образа или получение защищенных системой данных, таких как файлы учетных данных пользователя (SAM). Давайте рассмотрим некоторые из этих функций подробнее.

Как создать образ диска FTK?

Создание образа потенциальных улик – самая важная задача в цифровой криминалистике. Образ создается для получения дубликатов оригинальных улик и сохранения оригинала. Здесь важно отметить, что криминалистический анализ проводится на дубликатах (образах), а не на оригинальных доказательствах. Это необходимо для обеспечения целостности и доступности оригинальных доказательств в случае необходимости. Мы можем создать образ диска “на живой машине”  с помощью опции File >  Create Disk Image, как показано ниже.

Инструмент попросит выбрать тип источника доказательств для создания образа диска. FTK Imager поддерживает следующие типы источников доказательств

Физический диск (все разделы)
Логический диск (конкретный раздел)
Файл образа
Содержимое папки
Диск CD/DVD

Физическим диском может быть любой физический диск, устройство или носитель, содержащий артефакты. Логический диск – это логическое пространство в существующей системе,  например диск С или D. Файл образа может быть существующим файлом образа диска. Помимо этого, FTK Imager также поддерживает содержимое папок, а также носители CD/DVD для создания образа. В этом руководстве мы создадим образ с логического диска под названием itsecforu_hdd.

После выбора источника FTK Imager запрашивает путь назначения для создания образа диска. Путь назначения не должен совпадать с путем источника. Выбрать путь сохранения образа можно, нажав на опцию Add во всплывающем окне, как показано ниже.

Прежде чем указать путь назначения конечного образа, программа попросит выбрать один из следующих форматов образов для целевого образа диска.

Формат Raw – это побитовая копия диска без каких-либо изменений. Формат Smart – формат, поддерживаемый Linux. E01 – это формат изображения Encase. Encase – это известный инструмент цифровой криминалистики. AFF – это формат Advanced Forensic Format, поддерживаемый большинством инструментов цифровой криминалистики. На следующем этапе необходимо указать информацию об объекте доказательства, например, номер дела, номер доказательства, имя эксперта, описание доказательства а также дополнительная информация.

После заполнения формы информации об объекте расследования инструмент вызовет всплывающее окно для указания места сохранения и имени образа. Шифрование выбирать не будем, а также оставим все значения по умолчанию.

Нажимаем Start, чтобы начать создание образа. Также выберем опцию проверки образа, чтобы проверить его после создания.

После успешного создания образа значение хэш автоматически генерируется и сравнивается с исходным хэшем для подтверждения подлинности образа.

Как анализировать созданный в FTK Imager образ?

Анализ образа FTK – довольно простой процесс. Выберем опцию Добавить файл (Add Evidence Item…) в меню Файл (File).

Выбираем тип источника, в нашем случае Image File

Далее выбираем файл с созданным образом и нажимаем Finish. Вышеописанное действие открывает образ в FTK, как показано на следующем снимке экрана.

Исследуем orphan и root каталоги, чтобы просмотреть различные файлы и документы, представляющие для нас интерес. Как видим в каталоге root мы нашли удаленную картинку itsecforu.jpg а также видем файлы закрытого и открытого ключей user.crt и user.key

Значение закрытого rsa ключа скрыто на скриншоте

Как смонтировать образ в FTK imager?

Для начала удалим образ

Выберем опцию “Монтирование образа” (Image Mounting) в меню “Файл” (File).

Выберем файл образа из места расположения источника. Также выберем тип и метод монтирования. FTK imager позволяет монтировать внешний файл образа в систему как физический и логический диск.

FTK imager также предлагает функцию блокировки записи в файл образа путем выбора параметра Block Device / Read Only из доступного списка опций. Эта функция блокирует любые изменения файла образа, смонтированного как логический диск в текущей операционной системе.

Как извлечь защищенные файлы с помощью FTK Imager?

FTK Imager обладает уникальной функцией извлечения защищенных каталогов, таких как файлы SAM, из живой системы. Эти файлы недоступны для пользователей. Выберем опцию “Получить защищенные файлы” (Obtain Protected Files…)

FTK Imager извлекает все защищенные файлы как приведено ниже. Файлы SAM могут быть в дальнейшем обработаны такими инструментами взлома хэшей, как Hashcat и John the Ripper, чтобы получить учетные данные.

Заключение

FTK Imager – один из немногих инструментов компьютерной криминалистики, обладающий богатыми возможностями и получивший признание во всем мире. Этот инструмент не только хорошо подходит для создания образов, но и полезен для анализа файлов уже готовых образов.

Первым делом при проведении компьютерно-криминалистической экспертизы необходимо обязательно снять дамп всего содержимого жесткого диска нашего ноутбука. Во-первых, это убережет вас от косяков и случайных повреждений (и, соответственно, утери части бесценных артефактов), во-вторых, будет служить эталоном состояния системы на момент получения аппаратуры на экспертизу, а в-третьих, позволит получить образ, готовый к углубленному исследованию, но не требующий при этом физического доступа к устройству.

Еще по теме: Создание дампа памяти всех процессов Windows

В первой нашей статье мы уже приводили примеры софта, который поможет вам изучить форензику (ссылка в начале статьи). Сегодня для снятия дампа жесткого диска мы будем пользоваться утилитой The Forensic Toolkit Imager (FTK Imager).

Утилиту можно скачать с официального сайта или найти, к примеру, в специализированных дистрибутивах для криминалистического анализа, таких как DEFT или CAINE (Computer Aided INvestigative Environment).

Более подробную инфу о снятии образа и других доступных утилитах для этого вы можете прочесть в документе SANS Forensic Images: For Your Viewing Pleasure. А для тех, у кого совсем туго с английским, есть пошаговый гайд с картинками, где уже точно все будет понятно.

Рассмотрим несколько вариантов работы с FTK Imager. Первый (CLI) и второй (GUI) варианты на рабочей системе с загрузкой хостовой ОС. Третий вариант — это более безопасный способ создания образа HDD на выключенной машине, но о нем чуть позже.

Начнем с первого. Потрошим компьютер, вытаскиваем из него HDD, далее подключаем его к нашему лабораторному компу и, запустив в консольном режиме FTK Imager, прописываем команды.

В CLI-интерфейсе программы пишем:

В нашем случае это выглядит так:

Если все правильно, то в конце мы должны получить вот такую картинку.

Любителям графического интерфейса придется больше двигаться. Для того чтобы создать образ диска, идем в пункт меню File → Create disk image.

Далее выбираем пункт «Физический диск».

Если диск в системе не один, то выбираем системный.

Не забываем поставить галочку «верификация» после создания образа.

Меню выбора доступных форматов для сохранения образа диска нашего ноутбука. Для совместимости с другим ПО выбираем дефолтный вариант — E01.

И наконец, вариант третий — получение образа без загрузки хостовой ОС путем снятия дампа в режиме Live CD. Это наиболее безопасный и предпочтительный способ, так как нам не нужно вмешиваться в существующую конфигурацию системы (получать права админа, забивать ненужной инфой системный лог), и, что более важно, это не позволит уничтожить ни один артефакт, оставшийся после взлома. К примеру, если использовалась малварь, то она по таймеру или другому событию может замести следы своего присутствия в системе (очистить логи, %TEMP%-директории, удалить свой исполняемый файл), что может существенно изменить картину происходящего.

Еще по теме: Как открыть форензик образы FTK Imager и Encase в 7-Zip

Для этих целей используем специальный Linux-дистрибутив CAINE. Все действия будут выполняться в терминале. Подключаем внешний HDD-диск к нашему пациенту, а вместе с тем параллельно загружаемся с USB-флешки в CAINE. Монтируем внешний HDD (/dev/sdb1) во временную директорию:

Далее создаем хеш-значение жесткого диска ноутбука (/dev/sda), используя алгоритм MD5:

Утилитой dd делаем дамп диска /dev/sda в директорию /mnt/target, задав имя образа, к примеру HDD_Img_Forensic.

И в завершение проводим верификацию получившегося образа по сумме хеша MD5, таким образом заверяя себя, что все прошло успешно.

И перед выключением размонтируем нашу временную точку:

С образом жесткого диска разобрались. Теперь перейдем к дампу оперативной памяти.

A Forensic Image is most often needed to verify the integrity of the image after an acquisition of a Hard Drive has occurred. This is usually performed by law enforcement for court because, after a forensic image has been created, its integrity can be checked to verify that it has not been tampered with. Forensic Imaging is defined as the processes and tools used in copying an electronic media such as a hard-disk drive for conducting investigations and gathering evidence that will be presentable in the law of court. This copy not only includes files that are visible to the operating system but every bit of data, every sector, partition, files, folders, master boot records, deleted files, and unallocated spaces. The image is an identical copy of all the drive structures and contents.

Further, a forensic image can be backed up and/or tested on without damaging the original copy or evidence.

Also, you can create a forensic image from a running or dead machine. It is a literal snapshot in time that has integrity checking.

Need for a Forensic Image 

1. In today’s world of crime, many cases have been solved by using this technique, as evidence apart from what is available through an operating system, has been found using this technique, as incriminating data might have deleted to prevent discovery during the investigation. Unless that data is overwritten and deleted securely, it can be recovered.
2. One of the advantages includes the prevention of the loss of critical files.
3. When you suspect a custodian of deleting or altering files. A complete forensic image will, to a certain extent, allow you to recover deleted files. It can also potentially be used to identify files that have been renamed or hidden.
4. When you expect that the scope of your investigation could increase at a later date. If you aren’t sure about the scope of your project, ALWAYS OVER COLLECT. It’s better to have too much data than not enough, and you can’t get much more data than a forensic image.
5. When you expect that you or someone in your organization may need to certify or testify to the forensic soundness of the collection. In most cases, this need will never arise, but will almost certainly come into play in any criminal or potential criminal proceedings.
6. The Imaging of random access memory (RAM) can be enabled by using Live imaging. Live imaging can bypass most encryption.

What Is FTK Imager?

FTK Imager is a tool for creating disk images and is absolutely free to use. It was developed by The Access Data Group. It is a tool that helps to preview data and for imaging. 

With FTK Imager, you can:

• Create forensic images or perfect copies of local hard drives, floppy and Zip disks, DVDs, folders, individual files, etc. without making changes to the original evidence.
• Preview files and folders on local hard drives, network drives, floppy diskettes, Zip disks, CDs, and DVDs.
• You can also preview the contents of the forensic images that might be stored on a local machine or drive.
• You can also mount an image for a read-only view that will also allow you to view the contents of the forensic image exactly as the user saw it on the original drive.
• Export files and folders from forensic images.
• View and recover files that have been deleted from the Recycle Bin, but have not yet been overwritten on the drive.

There are many ways to create a forensic image. However, one of which is explained below.

Approach: 

To create a forensic image with FTK imager, we will need the following:

1. FTK Imager from Access Data, which can be downloaded using the following link: FTK Imager from Access Data
2. A Hard Drive that you would like to create an image of.

Method :

Step 1: Download and install the FTK imager on your machine.

Step 2: Click and open the FTK Imager, once it is installed. You should be greeted with the FTK Imager dashboard.

Step 3: In the menu navigation bar, you need to click on the File tab which will give you a drop-down, like given in the image below, just click on the first one that says, Add Evidence Item.

Step 4: After that, there will be a pop-up window that will ask you to Select the Source of the Evidence. If you have connected a physical hard drive to the laptop/computer you are using to make the forensic image, then you will select the Physical Drive here. Click on Next. Now, Select the Physical Drive that you would like to use. Please make sure that you are selecting the right drive, or you will waste your time exporting a forensic image of your own OS drive.

Step 5: Now, we will export the forensic images. 

• Right-click on the Physical Drive that you would like to export in the FTK Imager window. Select Export Disk Image here.

• Click the Add button for the Image Destination.
• Select the Type of Forensic Image you would like to export. Select .E01 and Click Next.
• After that, you will have to enter information regarding the case now. You can either leave them blank or keep it general, this part is totally upon you.
• Next, you will need to Choose the Destination that you would like to export the forensic image and Name the Image.

Lastly, you will need to wait for the Forensic Image to be created and then verified. The speed of creating the forensic image will vary based on your hardware. Once both have occurred, you have your forensic images ready.

Pros Of FTK Imager

1. It has a simple user interface and advanced searching capabilities.
2. FTK supports EFS decryption.
3. It produces a case log file.
4. It has significant bookmarking and salient reporting features.
5. FTK Imager is free.

Cons Of FTK Imager 

1. FTK does not support scripting features.
2. It does not have multitasking capabilities.
3. There is no progress bar to estimate the time remaining.
4. FTK does not have a timeline view.

Whether you’re preparing for your first job interview or aiming to upskill in this ever-evolving tech landscape, GeeksforGeeks Courses are your key to success. We provide top-quality content at affordable prices, all geared towards accelerating your growth in a time-bound manner. Join the millions we’ve already empowered, and we’re here to do the same for you. Don’t miss out — check it out now!

Last Updated :
05 Sep, 2022

Like Article

Save Article

В любом компьютере, планшете или смартфоне имеется два типа памяти — постоянная энергонезависимая и временная энергозависимая. Первый тип памяти называется еще физическим, это хорошо известные всем жесткие диски, которые могут хранить записанные на них данные, не нуждаясь в подпитке энергией. Второй тип памяти, именуемой оперативной, автоматически обнуляется, как только планки RAM отключаются от электропитания.

Однако считать содержимое оперативной памяти этаким неуловимым Джо было бы неверно.

Если у вас включена гибернация, при переводе компьютера в спящий режим содержимое оперативной памяти сохраняется в файл подкачки. А еще ОЗУ может быть сохранена в образ, доступный для анализа в режиме оффлайн с помощью специальных программ вроде Volatility.

Создаются образа оперативной памяти с помощью других специальных программ, например, FTK Imager, с возможностями которой мы кратко ознакомимся. Точнее, с одной ее ключевой возможностью — захватом содержимого оперативной памяти в образ.

Программу скачиваем с сайта разработчика accessdata.com/product-download/ftk-imager-version-4-5, для скачивания нужно будет заполнить простую форму, указав имя, фамилию и почтовый адрес пользователя, необязательно настоящие.

Установив FTK Imager, запустите программу от имени администратора и выберите в меню «File» опцию «Capture Memory».

В открывшемся окошке через стандартный обзор укажите каталог сохранения образа,

отметьте флажком пункт «Crеate AD1» и нажмите «Capture Memory» для запуска процедуры создания образа памяти. Имя дампа можно оставить по умолчанию, пункт «Include pagefile» отмечаем только в том случае, если хотим включить в образ файл подкачки.

Процедура захвата займет некоторое время, в результате программой будет создано три файла: memdamp.mem, memcapture.ad1 и memcapturead1.tхt.

Если в параметрах захвата был включен файл подкачки, программой также будет создан файл pagefile.sys.

Текстовый файлик — это отчет, файл в формате AD1 — это образ, а файл MEM — дамп.

Содержимое ОЗУ сохраняется и в тот, и в другой, AD1 можно открыть с помощью плагина архиватора 7-Zip, для анализа дампа MEM подойдет линуксовая утилита Volatility, входящая в состав Kali Linux — инструментов, работу с которыми мы рассмотрим в следующий раз.

Цифровые следы не так просто удалить. В большинстве случаев криминалисты всё равно найдут ваши данные. Порой даже физическое повреждение диска не помогает. Рассказываем, какими методами пользуются специалисты по форензике – компьютерной криминалистике.

Аппаратная часть

Обычно всё начинается с создания копии диска. Потому что если вдруг в процессе анализа что-то пойдёт не так, можно будет снять ещё одну копию. Или же сразу сделать несколько копий, если над данными работает группа специалистов.

Для создания копий дисков используются системы двух типов:

• блокираторы записи (bridge), через которые носители подключают к компьютеру;
• дубликаторы записи (duplicator), которые умеют автономно создавать полные копии и образы дисков.

Блокираторы перехватывают команды записи от операционной системы и предотвращают их передачу на носитель информации. Они внушают системе, что устройство подключено в режиме «только чтение», а если это не удаётся, то просто сообщают об ошибках записи. Некоторые устройства используют встроенную память для кэширования записанных данных и делают вид, что данные на диске действительно изменились.

Конечно, такие системы недешевы. Например, блокиратор записи T35u обойдётся в 350 долларов, дубликатор Tableau TD2u – в 1600 долларов.

Программные инструменты

Среди профессиональных систем для анализа самая популярная, пожалуй, EnCase Forensic. Она позволяет анализировать большие объёмы данных, задавать поиск по ключевым словам, атрибутам и т. п.

EnCase Forensic создает точную побитовую копию всего диска или части данных, после этого верифицирует собранные улики, генерируя хэш MD5 файла собранных доказательств и снимая CRC-значения данных. Это даёт возможность гарантировать, что данные не были изменены, и в любой момент использовать их в виде доказательств в суде.

EnCase Forensic умеет восстанавливать файлы и разделы, искать удаленную информацию и журналы событий, сигнатуры файлов и значения хэша, анализировать составные файлы (архивы) и находить остатки информации в неразмеченном пространстве жесткого диска в встроенном HEX редакторе.

Другой удобный вариант – дистрибутив Digital Evidence & Forensics Toolkit: DEFT Linuix на платформе Lubuntu. Он позволяет находить и анализировать информацию на жестком диске и других носителях, включает систему поиска информации в кэше браузера, сетевые сканеры и утилиты для выявления руткитов.

Для снятия копий дисков обычно используют дистрибутивы вроде Rip Linux, DEFT Linux, CAINE, Paladin, Helix, Kali. Но обычно в них для полноценной работы нужно уметь работать с консолью. Это не всегда просто, потому что ошибки в командах могут привести к уничтожению улик.

Другой вариант – сборка Windows Forensic Environment (WinFE) с графическим интерфейсом. Она была создана сотрудником Microsoft, компьютерным криминалистом. Сборка основана на WinPE и работает аналогично Linux-дистрибутивам, которые не монтируют разделы в процессе загрузки. В системе есть основные инструменты анализа.

Что ищут криминалисты

Все доступные файлы

В том числе удалённые и частично перезаписанные. Даже так: особенно удалённые.

Первый и самый простой шаг для этого – общедоступные платные и бесплатные программы для восстановления данных, к примеру, R-Studio, RecoverMyFiles, DiskDigger или Photorec. Они найдут файлы, которые вы удалили. Но можно использовать и более специфичные варианты – к примеру, bstrings и т.д.

Кстати, информация о копиях может остаться и после дефрагментации, перемещения и т. п. Понятно, что просто Command + Option + Delete в macOS (или Shift + Delete в Windows) для окончательного удаления тем более недостаточно.

Следы сохранённых фото

Если вы удалили фото и даже несколько раз перезаписали область диска, в которой оно хранилось, шанс восстановить изображения есть. Например, Windows в каждой папке создаёт специальный скрытый файл Thumbs.db. Здесь сохраняются превью изображений из текущей папки в формате JPEG. И когда вы выбираете режим «Эскизы страниц» для отображения содержимого, картинки подгружаются как раз отсюда.

Конечно, восстановить файл в оригинальном качестве Thumbs.db не поможет. Но понять по превью, что изображено на фото, кто с кем сфотографирован и чем занимается, обычно можно.

Просмотреть содержимое Thumbs.db можно с помощью Thumbnail Cache Viewer. Программа Thumbs.db Viewer 2 дает больше возможностей, но она платная.

Чтобы не попасться в ловушку, нужно отключить кэширование эскизов в файлах Thumbs.db. В Windows 10 это делается так: «Выполнить» – запустить Редактор локальной групповой политики командой gpedit.msc – «Конфигурация пользователя» – «Административные шаблоны» – «Компоненты Windows» – «Проводник» – «Отключить кэширование эскизов в скрытых файлах thumbs.db».

Файл подкачки и своп памяти

Операционная система выполняет массу процедур, чтобы работать быстрее. К примеру, она пишет данные в реестр, временные папки и т. п. За счёт этого временные данные, связанные с файлом, отследить вручную довольно сложно.

В Windows есть файл подкачки pagefile.sys и своп памяти hiberfil.sys, который используется в режиме гибернации. Они лежат в корне диска с системой.

Операционная система не позволяет скопировать эти файлы. Но есть утилиты, которые позволяют получить данные из них. Например, есть утилита Foremost из сборки Kali Linux и аналогов. Она позволяет восстанавливать файлы по заголовкам и внутренней структуре.

Foremost запускается из консоли командой:

#foremost -i /mnt/hda1/pagefile.sys -o /root/Desktop/page_file -v -q

Первая директория – что будем восстанавливать, вторая – куда будем писать данные. Утилита создаёт папки под файлы различных типов и раскладывает в них найденное.

Другой вариант – утилита FTK Imager. В меню нужно выбрать File – Add Evidence Item и указать нужный диск, затем экспортировать файл через контекстное меню. Затем скачанный файл можно анализировать с помощью DiskDigger или PhotoRec.

Отметим, что в pagefile.sys и hiberfil.sys есть не только файлы, которые вы открывали с момента последней загрузки Windows. Данные могут лежать несколько недель или даже месяцев.

Отключить файл подкачки можно. В поиске введите «Настройка представления и производительность системы», перейдите к соответствующему разделу панели управления. Затем нажмите «Дополнительно» – «Изменить», снимите галочку «Автоматически выбирать объем файла подкачки», после этого выберите «Без файла подкачки». Система может тормозить, но враги ничего не найдут.

А если диск полностью затереть?

Теоретически даже в этом случае иногда остаётся возможность восстановить данные. Под полным затиранием диска мы понимаем перезапись всей поверхности нулями. Такая функция есть, например, у приложений Eraser, SDelete, Freeraser, Overwrite, Secure Delete, CCleaner и др.

Чаще всего затирания вполне достаточно. После этого данные на диске не обнаружат уже перечисленные DiskDigger, Photorec, Foremost и т.д.

Но есть методика магнитной микроскопии. Чувствительное оборудование позволяет определить состояние каждого бита на диске до перезаписи.

На самом деле эта методика крайне редко на практике даёт возможность восстановить файлы. Если хотя бы в 2-3% битов информация восстановится с ошибками, никакого смысла в процедуре не будет. Так что если речь идёт не о коротком текстовом пароле от кошелька с тысячей биткоинов, пробовать не стоит.

Кстати, в прошивку SSD обычно встраивают утилиты, которые выполняют самоочистку. Они запускаются автоматически после подачи питания или когда диск активно не используется, и затирают, изменяют или переносят файлы, которые система пометила как уничтоженные. Это делается для ускорения работы системы. А заодно и уничтожает улики.

С другой стороны, методы, изначально разработанные для HDD, на SSD могут не работать. Исследователи из Калифорнийского университета в Сан-Диего, показали, что после удаления утилитами для безопасного стирания на диске остаётся 67-75% данных якобы стёртых файлов.

Что ещё можно сделать

Смотря что вы хотите скрыть. Понятно, что если в офис нагрянут, быстро перезаписать весь жесткий диск нулями не получится. Физическое уничтожение контроллера тоже не всегда помогает – блины HDD можно переставить на другое «железо» и восстановить данные.

А вот если изменить атрибуты файла, например, дату и время создания, изменения и т. п., это часто делает улики недействительными. Для таких действий подходит утилита Timestomp. Простейший скрипт для изменения временных атрибутов:

for /R c:tools %i in (*) do timestomp.exe %i -z “monday 3/12/2009 10:00:00 pm”

Здесь ключ –m используется для изменения даты модификации, -a – времени доступа, -с – времени создания, -e – времени модификации в MFT, -z – всех четырёх параметров сразу. Дата задается в формате DayofWeek MonthDayYear HH:MM:SS [AM|PM]. Ещё один вариант дает ключ –b, который устанавливает атрибуты файлов такими, что программа EnCase, к примеру, их не видит. При этом вы не теряете доступа к данным.

Полезные ссылки

• DumpIt– создание дампа физической памяти Windows.
• Live RAM Capturer– создание дампа RAM, в том числе защищенный анти-отладочной или антидампинговой системой.
• FTK Imager– просмотр и клонирование носителей данных в Windows.
• FTK Imager CLI for Mac OS– консольная версия утилиты FTK Imager для mac
• EnCase Forensic Imager– утилита для создания доказательных файлов EnCase.
• EWF MetaEditorутилита для редактирования метаданных EWF (E01).
• Forensics Acquisition of Websites– браузер для захвата веб-страниц для проведения расследований.
• Mail Viewer– просмотр почты Outlook Express, Windows Mail/Windows Live Mail, базы данных сообщений Mozilla Thunderbird и отдельных файлов EML.
• bstrings– поиск в двоичных данных, умеет работать с регулярными выражениями.
• floss– утилита для автоматической деобфускации данных из двоичных файлов вредоносных программ.
• Defraser– поиск полных и частичных данных о мультимедийных файлах в нераспределенном пространстве.
• bulk_extractor— поиск e-mail, IP-адресов, телефонов в файлах на диске.
• Encryption Analyzer– анализ защищенных паролем и зашифрованных файлов.
• photorec— извлечение данных и файлов изображений.
• Forensic Image Viewer– получение данных из изображений.
• iPBA2– анализ резервных копий iOS.
• SAFT– поиск SMS, журналов звонков и контактов на Android-устройствах.
• KeeFarce— извлечение паролей KeePass из памяти.
• Rekall— анализ дампов RAM.
• volatility— анализ образов физической памяти.
• RecuperaBit— восстановление NTFS-данных.
• python-ntfs— анализ NTFS-данных.
• chrome-url-dumper— извлечение данных из Google Chrome.
• hindsight— анализ истории Google Chrome/Chromium.

Выводы

Delete не удаляет файлы полностью. Если есть риск, что удалённые файлы кто-то захочет увидеть, стоит затереть носитель – забить нулями пустое место. Возможность восстановить данные после этого скорее теоретическая. Кроме того, помогает изменять атрибуты файлов, чтобы запутать следы. Но лучше просто не давать поводов для проверки.

(1 голосов, общий рейтинг: 4.00 из 5)