Методы КТЭ

Чтобы носитель компьютерной информации мог содержать файлы, он должен быть размечен и отформатирован под определенную файловую систему*. Разметка* состоит в создании на носителе разделов* (партиций), внутри которых могут быть образованы логические диски (тома).

Файловая система — это структура для организации хранения информации в виде файлов и доступа к ней. Файл обязательно предусматривает заголовок и тело. В заголовке содержится имя файла, другие его атрибуты и указание на расположение тела файла. В теле файла записываются данные, то есть содержимое файла. Практически все файловые системы предусматривают древовидную структуру: файлы включаются в состав директорий* (каталогов), которые, в свою очередь, могут включаться в другие директории. Минимальная единица хранения определяется параметрами носителя (например, размером сектора НЖМД) и файловой системой; обычно она именуется блоком или кластером. Тело файла всегда занимает целое число таких блоков.

Наиболее распространенные файловые системы таковы.

С другими файловыми системами можно познакомиться в специальной литературе [W10, Wll], всего их известно несколько десятков.

Как правило, каждая ОС имеет встроенную поддержку для одной или нескольких файловых систем. При помощи дополнительного ПО (драйверов) ОС может понимать и иные файловые системы.

Если работать с носителем (диском) помимо штатных функций для соответствующей файловой системы, то можно увидеть больше информации, чем доступно через файловую систему. Такая скрытая информация может быть обнаружена в четырех местах — свободных блоках, хвостах файлов, ADS и неиспользованных разделах.

Свободные блоки. При стирании файлов штатными средствами ОС блоки, содержащие тело файла, отмечаются как свободные, но сразу не перезаписываются. Запись в эти блоки может быть произведена позже, при последующих операциях. Таким образом, свободные блоки, если они хоть раз использовались, содержат фрагменты старых, удаленных или измененных файлов. Правда, не всегда можно восстановить первоначальную принадлежность и последовательность этих блоков.

Хвосты файлов. Как указывалось, тело файла должно занимать целое число блоков (кластеров) на носителе. Если файл короче, то остаток последнего блока, его хвост или «slack space» будет содержать прежнюю информацию, то есть фрагмент старого файла.

Alternate data streams (ADS) — это дополнительные тела для файла в файловой системе NTFS, которые могут содержать сопутствующую информацию. Они недоступны с помощью штатных средств ОС и поэтому представляют скрытую для пользователя информацию.

Свободные и специальные разделы. Неиспользуемые и неразмеченные части диска также содержат информацию, которая была там прежде.

Иногда можно наткнуться на целый бывший раздел. Есть также разделы специального назначения, например, для свопинга или для хранения содержимого криптодиска.

Кроме того, на некоторых типах носителей встречаются технологические, не предназначенные для пользователей области, например, Host Protected Area (НРА). При помощи соответствующих программ они все же могут быть использованы и порой используются для хранения скрытой информации.

Копирование носителей

Любые экспертные исследования носителей компьютерной информации надо проводить, не изменяя их содержимого, если только это возможно. А возможно это всегда.

Исключением можно считать те случаи, когда эксперт не обладает исследовательским оборудованием или носителем нужной емкости. Учитывая, что исследовательским оборудованием в данном случае является самый обычный компьютер, а хорошее экспертное ПО распространяется бесплатно, такие причины автор не склонен считать уважительными. Ho на практике это встречается. Надо напомнить, что если при экспертизе содержимое исследуемого носителя изменяется, некоторая оригинальная информация с него уничтожается, то, согласно УПК, на это следует получить предварительное разрешение от следователя, назначившего экспертизу.

Все исследователи единодушно рекомендуют делать копию оригинального носителя и проводить исследования с ней, а оригинал сохранить в неизменности для контроля и возможной повторной/дополнительной экспертизы. Если на экспертизу поступила копия, то ее также следует оставить в неприкосновенности в качестве мастер-копии, а исследования проводить над снятой с нее рабочей копией.

Для обнаружения скрытой информации копировать носитель нужно не средствами ОС, то есть не на уровне файловой системы, а уровнем ниже. Копирование надо производить на уровне контроллера устройства (также используется термин «Bit stream copying/imaging»). При этом копируется как информация, содержащаяся в файловой системе, так и скрытая для нее — свободные блоки, хвосты файлов и т.д.

В принципе, возможны исследования носителей на еще более низком уровне — на физическом. Для НЖМД это означает, что считывание производится не встроенными в накопитель магнитными головками, под управлением встроенного контроллера, а некими внешними средствами. При этом возможно снять остаточную намагниченность или намагниченность на границах магнитных дорожек и таким образом восстановить даже те данные, которые были недоступны для штатных магнитных головок исследуемого НЖМД.

(в том числе перезаписанные неоднократно) данные. Ho такая экспертиза требует специального очень дорогого оборудования. Ограничимся рассмотрением экспертных исследований на уровне файловой системы и на уровне контроллера устройства.

Итак, оригинальный носитель перед проведением экспертизы копируется. Можно скопировать его на другой (такого же размера или большего) аппаратный носитель, а можно создать образ носителя в специальном файле или разделе. Копирование «носитель на носитель» можно произвести как предназначенным для этого отдельным устройством (дупликатором дисков), так и с помощью компьютера, использовав соответствующее программное обеспечение, например, программу «dd». Копирование «носитель в файл» производится только программно, специальным ПО, например, программой «dd».

Копирование же на уровне файловой системы (также используется термин «logical copying/imaging/backup») применимо лишь в ограниченном числе случаев, например, при изучении только лог-файлов.

Оригинальный носитель

блоки

Копия на уровне файловой системы />

Копия на уровне контроллера НЖМД

Схема копирования на уровне файловой системы (logical copying) и копирования на уровне контроллера диска (bit stream copying)

Копирование носителя может являться составной частью экспертизы. Копирование может быть проведено во время следственного действия вместо изъятия оригинального носителя. В последнем случае на экспертизу передается копия, но ее необходимо сохранить неизменной, так же как в случае с передачей на экспертизу оригинального носителя.

Есть опасение, что не все программные и аппаратные инструменты одинаково хорошо справляются с задачей копирования носителя.

Действительно, некоторые инструменты могут либо неточно/неполно копировать, так что содержимое копии отличается от оригинала, либо вносить какие-либо изменения в оригинал.

В Национальном институте юстиции США (National Institute of Justice, U.S. Department of Justice) были протестированы несколько таких программ [W12], Согласно методике испытаний, корректность снятия копии содержимого (образа) диска определяется 4 параметрами: совпадение копии с оригиналом; возможность верификации копии; сохранение неизменности оригинала; детектирование внешних ошибок.

Проведенными исследованиями показана корректная работа следующих программ: dd из состава ОС FreeBSD 4.4 (без ошибок); Encase версии 3.20 (с тремя ошибками); Safeback версии 2.18 (с двумя ошибками); Safeback/DOS версии 2.0 (с четырьмя ошибками); dd из состава GNU fileutils 4.0.36, ОС Red Hat Linux 7.1 (без ошибок).

Разумеется, проводились и иные исследования в иных организациях,

но автор приводит данный источник (National Institute of Justice) как наиболее авторитетный из известных. Использование упомянутых программ для снятия образа диска во время экспертизы или при проведении следственного действия не вызовет у специалистов сомнений по поводу корректности копирования.

Для сохранения неизменности оригинала или для дополнительной гарантии такой неизменности оригинальный носитель при копировании подключается в режиме «только чтение». Для этого во всех операционных системах, кроме Windows, используется режим «го» команды монтирования файловой системы (mount). А для Windows, где такого режима не предусмотрено, используются специальные программные или аппаратные блокировгцики записи, которых существует на рынке немало.

Для гарантии тождественности копии или образа диска после копирования следует произвести верификацию. В упомянутых выше программах и некоторых других предусмотрен режим верификации. Если его нет, то побитное сравнение содержимого оригинала и копии можно произвести иными программами.

Хэш-функции для удостоверения тождественности

В зарубежной практике для удостоверения целостности и неизменности данных на носителе используются однонаправленные хэш-функ

ции*. Например, при снятии специалистом образа диска на месте происшествия подсчитывается хэш-функция, значение которой заносится в протокол. Эксперт, получив на исследование копию, подсчитывает с нее хэш-функцию. Если ее значение совпадает со значением, внесенным в протокол, эксперт и иные лица получают уверенность, что исследуемая копия совпадает с оригиналом с точностью до бита.

Аналогично хэш-функция используется для контроля целостности отдельных файлов. Например, при изъятии логов. Подсчитывается хэш- функция от лог-файла, она заносится в протокол. Если имеется уверенность в правильном подсчете хэш-функции, то сам лог-файл можно, в принципе, никак не оформлять, не опечатывать, а переписать на переносной носитель без формальностей. Значение хэш-функции в протоколе обеспечивает неизменность файла при копировании и последующем хранении. Совпадение значений хэш-функции гарантирует полное совпадение файлов [18].

Отметим, что все эти выкладки — чистая теория. В отечественной уголовной практике контроль целостности на основе хэш-функций не применяется (хотя в гражданских делах были прецеденты).

В качестве хэш-функций обычно используются широко известные алгоритмы MD5 [18, 33] и SHA-I [34]. Они имеют достаточную стойкость. Хотя есть и гораздо более стойкие хэш-функции, например, SHA-256, SHA-512, WHIRLPOOL.

В России указанные алгоритмы имеют такую же стойкость, как и за рубежом, но они не являются стандартными. У нас имеется собственный стандарт для алгоритма хэш-функции — ГОСТ Р-34.11. Имеются даже его программные реализации, которые можно приспособить для вычисления хэш-функции от образа диска. Проблема в том, что хэш-функция считается криптографическим преобразованием, а его реализации — криптографической (шифровальной) техникой. Применение такой техники регламентируется соответствующими нормативными актами, она подлежит обязательной сертификации, использующие ее информационные системы — аттестации, а деятельность по обслуживанию шифровальной техники — лицензированию. Понятно, что при снятии копии диска специалистом в полевых условиях никак невозможно провести аттестацию системы и обеспечить соблюдение условий сертификата на шифровальную технику, даже если бы такой сертификат у специалиста имелся.

Поэтому автор не может рекомендовать официальное использование однонаправленных хэш-функций для удостоверения целостности информационного содержимого носителей. Их, конечно, полезно использовать. Можно даже заносить значение MD5 в протокол. Ho нельзя ссылаться на совпадение значений хэшей в качестве доказательства неизменности данных.

Исследование файлов

Файлы, содержащие документы (текстовые, графические, табличные, комбинированные), очень часто несут кроме самого документа много служебной и сопровождающей информации, которая не видна для пользователя. Часто пользователь даже не подозревает о ее существовании. Однако эксперт о ней знает, а следовательно, может без труда извлечь такую дополнительную информацию из файла.

Шутка, обошедшая весь русский сегмент Интернета, — всего лишь полное имя файла, извлеченное из скрытых атрибутов документа MS- Word:

"С:\Хрень по работе\Гемор\Тупые клиенты\Неплателыцики\оху- евшие\Уважаемый Сергей Анатольевич.doc"

Как при исследовании отдельных файлов (кроме простейших текстовых или ASCII-файлов), так и при исследовании дисков, иных носителей, компьютеров имеет смысл поставить перед экспертом вопрос касательно обнаружения скрытой, служебной информации, предусмотренной соответствующим форматом файла.