Какую информацию можно получить при криминалистическом анализе?

Какую информацию можно получить при криминалистическом анализе?

Kevin Mitnick

В первую очередь, системы логов предназначены для анализа и выявления неполадок. В этой статье рассмотрим, важны ли эти логи, что они из себя предоставляют, нужны они вообще? Полученные знания помогут с очисткой "интересной" информации в системе. В конце статьи будет практический кейс с анализом данным с помощью демо-софта.

Какую информацию можно получить при криминалистическом анализе?

Системная информация позволяет узнать, какие приложения запускались и когда запускались, какие службы запускались, были инициированы ручные отключения и включения пользователей, какие ошибки возникали.

1.Временные файлы

С:/Windows/Temp
Временные файлы

По этому адресу у вас будут храниться временные системные файлы. Как правило, в данной папке содержится более 1000 файлов общим объемом от 500 мб. Большинство из этих файлов подлежат анализу и экспертизе. Как следствие, эти файлы могут нанести много вреда. Поэтому, обязательно нужно чистить эти файлы.

2. Временные файлы пользователя

%TEMP%
Временные файлы пользователей

Для запуска этой директории нужно ввести соответствующую комбинацию в окне «Выполнить». В этой папке хранятся документы пользователей. Например, документы продуктов Microsoft Office, части приложений, системные логи и т.д. Файлы добавляются после каждого использования компьютера. В среднем объем данных активного пользователя увеличивается на 500 мб в месяц.

3. Приложения

%appdata%
Файлы приложений

После установки любого приложения в этой папке остаются данные. В этой директории хранятся временные и постоянные файлы приложений. Также можно найти логи переписок в мессенджерах. Можно посмотреть информацию по Telegram. Можно восстановить список пользователей в скайпе.

Поэтому стоит внимательно относиться к этим файлам. Так как после попадания этой информации в умелые руки узнать с кем вы переписывались или обменивались файлами не составит труда, даже если будут удалены программы.

4. Собственные логи приложений

Логи приложений TimeViewer

Каждое приложение может вести свои логи, которые невозможно будет найти ни в журналах, ни в системных папках. Они могут находиться в папке с приложением или в отдельной директории. Как правило, место расположение зависит от разработчика. Например, если пользователь использует программу TeamViewer, то можно посмотреть файл «Connections» со всеми подключениями, которые осуществлялись.

Также интересная ситуация с приложениями для обмена мгновенных сообщений (Jabber) по протоколу XMPP. Например, если вы используете PSI, то история с пользователями хранится в отдельном файле без какого-либо шифрования. Таким образом, можно посредством стандартного блокнота проанализировать все сообщения.

5. Журналы событий

Панель управления-Администрирование-Журнал событий
Журналы событий

Основная утилита по сбору логов. Можно получить информации о работе служб, приложений, а также другие действия, которые привели к критическим ошибкам. Также можно найти информацию о том, когда был запущен компьютер, сколько она работал и какие приложения запускались во время эксплуатации. Информации очень много, которая может существенно навредить.

Чтобы постоянно не удалять информацию можно настроить ограничение по размеру. Можно выбрать любой объект, по которому ведутся логи и правой кнопкой мыши открыть свойства и указать значения параметра «Максимальный размер журнала КБ» - 0. После это журнал не будет собирать логи. Можно отключить журнал событий, как отдельную службу.

Отключения журнала событий по каждой службе

6. Точки восстановления системы

System Volume Information/Recovery

При установке операционной системы автоматически создается возможность для создания точек восстановления. Если ее целенаправленно не отключать, то можно посмотреть, существуют ли точки восстановления на вашем компьютере. Как правило, точки восстановления создаются автоматически через заданный период. Иногда точки восстановления создаются при установке игр. С помощью этой точки можно узнать какой софт был установлен на момент создания, какие параметры и службы использовались.

Для более новых операционных систем информацию можно найти, написав в поиск «Восстановление». В моем случае автоматическое создание точек восстановления отключено.

Настройки для точек восстановления

Для того, чтобы очистить все точки восстановления нужно перейти в пункт «Настроить» и нужно выбрать «Удалить». После этого удаляться все точки восстановления. Также можно отключить функцию создания точек восстановления системы в этом меню.

7. Недавно открытые файлы

%appdata%/microsoft/windows/recent/automaticdestinations/
Недавно открытые файлы

В этой папке хранятся файлы, которые отображают части или полное содержимое открытых файлов. С помощью этого раздела можно узнать какие приложения запускались больше всего. Дальше можно анализировать с помощью других разделов.

8. Файл подкачки

pagefile.sys 

В файлах подкачки храниться достаточно много информации. Простыми словами, файлы подкачки – это информация, которая записывается на жесткий диск для уменьшения и более рационального использования оперативной памяти. Учитывая то, что для полного удаления нужно пройтись 35 раз по HDD, то информация о вашей системе может храниться в течение полугода. Сюда могут входить логи переписки, информация о пк, данные по мессенджерам и т.д. Дополнительно можно посмотреть сайты, которые были открыты через сеть TOR. Также отображается вся информация о браузерах и т.д. Для анализа можно использовать программное обеспечение от компании «Белка софт», что будет проанализировано в конце статьи.

Как отключить файл-подкачки?

Для этого достаточно найти диски, которые имеют эти файлы и перезагрузить компьютер. Для Windows 10 нужно перейти в режим «Настройка представления и производительности системы»-«Дополнительно» и в пункте «Виртуальная память» выбрать изменить. Далее в этом меню можно посмотреть на каких дисках разрешено создавать файлы подкачки и какой размер.

Отключения файлов подкачки

9. Файлы режимов гибернации

hiberfil.sys

После закрытия крышки или обычного выключения компьютер переходить в режим гибернации. После этого компьютер перемещает всю информацию с оперативной памяти на жесткий диск. Все данные остаются в системы, которые позволяют найти очень много информации.

Для того, чтобы разобраться с режимом гибернации нужно удалить старый файл. Для этого нужно использовать программы-шредеры, которые используют метод Питера Гутмана (35 проходов). Чтобы отключить гибернацию, в командной строке введите powercfg -h off и нажмите Enter. Это отключит данный режим, удалит файл hiberfil.sys с жесткого диска, а также отключит опцию быстрого запуска Windows 10 (которая также задействует данную технологию и без гибернации не работает).

Как можно посмотреть интересную информацию? Практический кейс с помощью демо-софта

Протестируем, какая информация храниться в нашей виртуальной памяти. Для этого воспользуемся софтом компании «БелкаСофт». Используемые версии можно загрузить с сайта в качестве ознакомительной версии. В работе будем использовать программы Belkasoft Live RAM Capturer и Belkasoft Evidence Center. После открытия программы Belkasoft Live RAM Capturer нам нужно выбрать «Capture» и создать дамп.

Создание дампа

Далее необходимо запустить Belkasoft evidence center.

Belkasoft Evidence Center

Далее необходимо указывать параметры анализа. На этом этапе можно выбрать какие файлы наиболее интересны. Если это устройство-ПК, то нет смысла анализировать файлы на базе операционных систем Android и iOS.

Выбор файлов для настройки

Вот можно посмотреть, что удалось получить после анализа.

Информация полученная после анализа

Частично были получены сообщения в скайпе. Также можно посмотреть логин отправителя и получателя, текст сообщения время и дату. Отдельно хочу заметить, что из мессенджеров использовался только Skype. 

Переписка в скайп
Сообщения в Gmail

Больше всего было получено информации в Google Chrome. Сайты, время посещения и дополнительная информация. 

История посещения сайтов в Google Chrome
Системные логи с указанием идентификатора проекта и описанием
Документы
Картинки
История проводника
Работа с файлами (изменение, открытие, копирование, создание)

Вот такими достаточно несложными действиями можно получить доступ к большому количеству интересных файлов. Во-первых, под действия программы анализа попали сообщения Gmail. Если не использовать дополнительных утилит для шифрования, то их можно прочитать. Дополнительно доступная информация о отправителе и получателе, а также время, тема, длина сообщения. 

Заключение

Необходимо не оставлять информации после себя. Она может существенно навредить, если компьютер попадет в чужие руки. Помните об этом и не забывайте чистить системные файлы.