Короткоживущие данные

Перечень

Вот некоторые из типов короткоживущих данных: содержимое ОЗУ*, то есть все исполняемые в текущий момент программы (задачи, процессы), системные и прикладные (пользовательские); прежнее содержимое ОЗУ в областях оперативной памяти, которые на текущий момент считаются свободными; список открытых файлов со сведениями, какой процесс каким файлом пользуется; информация о пользовательских сессиях, то есть вошедших в систему (залогиненных, зарегистрированных) пользователях; сетевая конфигурация — динамически присвоенный IP-адрес, маска подсети, ARP-таблица, счетчики сетевых интерфейсов, таблица маршрутизации; сетевые соединения — информация о текущих соединениях (коннек- циях) по различным протоколам, о соответствующих динамических настройках межсетевого экрана* или пакетного фильтра; текущее системное время; список назначенных заданий (scheduled jobs); кэш доменных имен и NETBIOS-имен; загруженные модули ядра (LKM); монтированные файловые системы, подключенные сетевые диски; файл или область подкачки* (swap-файл) на диске — информация о текущем состоянии виртуальной части ОЗУ, а также ранее находившиеся там данные; временные файлы, которые автоматически стираются при штатном завершении работы ОС или при загрузке ОС.

Все перечисленные данные, кроме последних двух пунктов, хранятся в ОЗУ.

Кроме того, к короткоживущим данным можно причислить образцы сетевого трафика* в обоих направлениях — с исследуемого компьютера и на него. Проанализировать устройство и функции программы по содержимому ОЗУ (дампу памяти*) бывает довольно сложно.

функции. Поэтому образец трафика компьютера за какой-то разумный период времени будет хорошим дополнением для исследования работы неизвестных программ.

Понятно, что короткоживугцие данные (кроме области подкачки*) можно снять лишь с работающего компьютера. После выключения все такие данные будут утрачены. То есть снятие короткоживугцих данных производится не экспертом при проведении КТЭ, а специалистом во время следственного действия. Исключение — экспертиза КПК* (наладонного компьютера), который обычно хранится во включенном состоянии, но в режиме гибернации*.

Стоит ли пытаться снять с работающего компьютера короткоживу- щие данные? С одной стороны, среди них могут оказаться полезные и даже очень ценные, например, запись о текущей TCP-сессии с атакуемым узлом или ключ для доступа к криптодиску*. С другой стороны, при снятии содержимого ОЗУ невозможно не изменить информацию на компьютере, в том числе на его диске. Это может отрицательно повлиять на оценку достоверности последующей экспертизы. В каждом случае это решает специалист, оценивая, какой аспект важнее для дела — сохранность долгоживущей информации или возможность получить короткоживущую критичную. Разумеется, для этого специалист должен быть проинформирован о существенных обстоятельствах дела.

Например, при использовании подозреваемым криптодиска получить доступ к его содержимому можно либо как-то узнав пароль, либо застав компьютер во включенном состоянии с активированным (монтированным) криптодиском. После демонтирования криптодиска узнать пароль непросто. В практике автора было несколько случаев, когда у подозреваемого удавалось выяснить пароль к его криптодиску путем изощренного обмана или примитивного запугивания. Однако грамотный в области ИТ пользователь знает четко: если он не сообщит пароль, то расшифровать данные на криптодиске невозможно. Остается второй способ. Надо каким-то образом прорваться к включенному компьютеру и, пока доступ к криптодиску открыт, снять с него все данные или извлечь из ОЗУ ключ шифрования.

Стоит ли пытаться снять короткоживущую информацию, рискуя при этом существенно изменить данные на нем или сразу выключить компьютер, — решает специалист, исходя из материалов дела.

В любом случае, настоятельно рекомендуется снять минимально возможную без риска короткоживущую информацию — сфотографировать или описать текущее изображение на экране включенного компьютера.

Снятие

Для сбора короткоживущей информации из ОЗУ и свопа* есть различные программные инструменты под различные ОС. Специалисту предпочтительно не надеяться, что такие инструменты найдутся на исследуемом компьютере, а пользоваться своими собственными программами, которые заранее приготовлены на дискете, компакт-диске или флэш-на- копителе. Чаще всего используют компакт-диск.

Кроме того, следует приготовить еще один носитель — для записи результатов снятия короткоживущей информации. Предпочтителен флэш-накопитель. Для сброса результатов вместо флэш-накопителя или иного устройства можно подключить в качестве сетевого диска диск удаленного компьютера. Таковым может служить переносной компьютер специалиста, принесенный им с собой и подключенный к тому же сегменту ЛВС, или стационарный компьютер специалиста, доступный через Интернет. Сбрасывать полученные короткоживущие данные на жесткий диск исследуемого компьютера категорически не рекомендуется. Этим можно уничтожить некоторую существенную для дела информацию и поставить под сомнение результаты последующей экспертизы.

Корректность работы программных инструментов по снятию информации с работающего компьютера зависит не только от самих этих инструментов. На результат может влиять также состояние исследуемого компьютера. Например, если он заражен вредоносной программой типа руткит*, то специалист может и не получить корректную информацию, даже при безупречной работе его инструментов.

Вот некоторые полезные программы для сбора короткоживущих данных: Утилиты «PMDump», «userdump», «dd» позволяют снимать содержимое ОЗУ компьютера (дамп памяти).

Утилиты «ethereal», «tcpdump» дают возможность снять текущий сетевой трафик компьютера. Утилиты «lsmod», «kldstat» показывают список загруженных модулей

ядра.

Какую именно короткоживущую информацию собирать и в каком порядке? Зависит от характера доказательств, которые мы предполагаем найти.

Когда речь идет о «взломе» исследуемого компьютера или заражении его вредоносной программой, следует собирать: содержимое ОЗУ, список процессов, список открытых портов, список пользователей, сетевую конфигурацию, образец трафика.

Когда дело касается электронной переписки или незаконного контента, возможно хранящегося на исследуемом компьютере, следует собирать: список процессов, информацию о криптодисках*, текущее время, возможно, сетевую конфигурацию.

Когда речь идёт о неправомерном доступе, предположительно осуществленном с исследуемого компьютера, следует собирать: список процессов, информацию о текущих сетевых соединениях, образец трафика.

По делам о нарушении авторских прав следует собирать: список процессов, текущее время, содержимое временных файлов и области подкачки*.

Вообще-то, если есть возможность, лучше собирать всю доступную короткоживущую информацию.

Порядок сбора информации рекомендуется такой, чтобы сначала собрать самую короткоживущую.

Когда сетевые моменты не важны (например, компьютер не подключен к сети в текущий момент), содержимое ОЗУ (дамп памяти) следует снимать в первую очередь — для его наименьшего искажения, поскольку, как уже указывалось, запуск любой программы изменяет состояние оперативной памяти ЭВМ.

Прежде чем снимать короткоживущую информацию с включенного компьютера, бывает необходимо преодолеть препятствия в виде:

активного скринсейвера* (заставки) с парольной (парольно-биомет-

рической) защитой; недостаточных привилегий текущего пользователя; заблокированных, отключенных или отсутствующих возможностей

для подключения внешних устройств (порт USB, CD-привод).

Имеет ли право специалист задействовать для преодоления такой защиты специальные средства — программы, относящиеся к средствам несанкционированного доступа, вредоносным программам или средствам обхода защиты авторских прав?

Вообще-то имеет. Кроме вредоносных программ, использование которых противозаконно в любом случае.

Как выключать ?

Каким способом следует выключать компьютер, который подлежит изъятию и который застали во включенном состоянии?

По большому счету, выбор сводится к двум вариантам: воспользоваться штатной командой выключения или выключить прерыванием электропитания. Рассмотрим преимущества и недостатки каждого из методов.

Команда завершения работы и выключения компьютера имеется в составе почти всех ОС. Часто та же команда не только завершает работу ОС, но и выключает электропитание. Иногда только завершает работу, а блок питания надо будет выключить вручную.

Во время процедуры завершения работы закрываются все открытые файлы, стираются временные файлы, иногда очищается область подкачки* (своп). Кроме того, всем текущим процессам посылается сигнал завершения работы.

Если перед выключением специалист снял коротко живущие данные, как это описано выше, то почти все недостатки этого метода выключения можно считать компенсированными.

Кроме того, при завершении работы может сработать специально установленная логическая бомба*, которая уничтожит самые важные данные. Такие бомбы (к тому же связанные с командой завершения работы) встречаются редко, но все же...

Прерывание электропитания осуществляется вытаскиванием электрического шнура из компьютера. Причем лучше вытаскивать тот конец,

который подключен к компьютеру, а не тот, который к стенной розетке. Дело в том, что между розеткой и компьютером может оказаться источник бесперебойного питания*. Он не только станет поддерживать напряжение, но и может дать компьютеру команду завершения работы. Для ноутбуков, кроме того, следует извлечь аккумулятор.

В случае прерывания электропитания все временные файлы остаются нетронутыми. Ho зато может быть нарушена целостность файловой системы, если прерывание электропитания застанет компьютер в момент проведения файловой операции. Испорченная файловая система в большинстве случаев может быть потом восстановлена, но не все экспертные системы поддерживают такую операцию, а экспертное изучение испорченной файловой системы затруднено. Кроме того, могут появиться локальные дефекты в некоторых открытых на запись файлах, например лог-файлах.

Вариант выключения выбирает специалист, исходя из обстоятельств дела: насколько важны временные файлы, можно ли предполагать наличие вредоносных программ. При отсутствии специалиста или при неясности указанных обстоятельств следует избрать метод выключения прерыванием электропитания.

Стоит ли упоминать, что примененный метод выключения компьютера должен быть указан в протоколе?

Некоторые криминологи даже советуют поступать следующим образом [52]. Если подозреваемый, в доме или на рабочем месте которого производится обыск, настаивает на «правильном» выключении компьютера, то согласиться для виду, но не позволять ему проделывать такую операцию. Вместо этого попросить написать или нарисовать необходимую последовательность действий. Этот документ приобщить к делу, а компьютер выключить методом обесточивания. При последующей экспертизе, если эксперт установит, что описанная подозреваемым последовательность действий должна была привести к уничтожению существенной для дела информации, это будет лишним доказательством вины и, возможно, отягчающим обстоятельством.

Автор относится скептически к такому совету и полагает, что применить его вряд ли удастся. Тем не менее следует помнить о возможности подобного обмана со стороны подозреваемого.

Например, многие модели криптодисков* имеют штатную возможность под названием «пароль для работы под контролем». Это альтернативный пароль, при вводе которого вместо подключения криптодиска безвозвратно уничтожается ключ шифрования[8], так что все защищенные

данные становятся недоступны навек. При этом либо имитируется внешний сбой, либо вместо истинного криптодиска подключается имитационный, с безобидными данными. Еще раз напомним, что «работа под контролем» — это не кустарная поделка, а штатная возможность всякой добротно сделанной системы защиты.