Инструментальные средства, помогающие реконструировать деятельность, связанную с интернетом
Почтовые ящики систем Unix
Хотя в большинстве систем Unix захваченная почта располагается в единственном текстовом файле, следователь может манипулировать данными для облегчения просмотра и анализа. В этом разделе для восстановления почтовых файлов подозреваемого и анализа их содержимого будут использоваться инструментальные средства, имеющиеся в большинстве инсталляций систем Linux и FreeBSD.
Реализация
Файл электронной почты Unix обычно располагается в каталоге /var/spool/mail/username в Linux, и в каталоге /var/mail/username в системе FreeBSD. Другие разновидности Unix имеют подобный каталог и структуру именования файлов. Этот файл содержит всю электронную почту для определенного пользователя с именем username, и каждое сообщение подписывается в этот файл. Файл можно рассматривать с помощью стандартных средств просмотра текстов, потому что формат файла не запатентован.
Если почтовый файл содержит много вложений или если подозреваемый сохранил тысячи сообщений, пролистывание текстового файла в редакторе общего назначения (см. лекцию "Средства просмотра файлов и редакторы общего назначения" ) может быть неэффективным и даже непрактичным. Кроме того, без использования специализированных декодеров файловых вложений, аналитик, читающий полный текстовый файл в редакторе общего назначения первоначально, скорее всего, не сможет рассмотреть какие-либо вложенные файлы. Поэтому у аналитика должна быть возможность управлять электронной почтой в почтовой программе, чтобы полностью проанализировать содержание и увеличить эффективность.
Электронная почта может быть восстановлена с помощью следующих действий.
- Скопируйте файл почтового ящика в каталог почты и смените имя файла на имя пользователя, который будет к нему обращаться. Это показывает следующий вывод.
forensic# ls -al Mailbox -rw-r--r-- 1 kjones 1000 15745 Mar 5 15:16 Mailbox forensic# cp Mailbox /var/mail/kjones
- Переключите пользователя, используя команду su системы, на пользователя, почтовый ящик которого был скопирован. В данном случае, пользователь - kjones.
- Используйте любую программу общего назначения, предназначенную для отправки почты, чтобы читать содержание электронной почты.
IE History
IE History - это инструмент, который вы можете использовать для обработки файлов данных, связанных с Web-броузерами. Инструмент IE History можно получить, отправив запрос по электронной почте ее автору, Скотту Пондеру (Scott Ponder) по адресу support@phillipsponder.com. Цель инструмента IE History сделать разбор двоичных файлов истории так, чтобы можно было проанализировать каждое посещение Web-сайта. Без инструментов такого типа отслеживание использования Web-броузера было бы затруднено, потому что содержимое этого файла нельзя прочесть полностью, используя средства общего назначения, предназначенные для просмотра файлов.
Реализация
После запуска IE History вы должны увидеть экран, подобный показанному ниже.
Щелкните на кнопке Open History File (Открыть файл истории), чтобы открыть окно просмотра, подобное показанному на следующей иллюстрации. Заметьте, что это окно просмотра отличается от типичных окон просмотра файлов в системе Windows, в которых файлы не переводятся в соответствии со спецификациями, заданными в файле desktop.ini. Это позволяет пользователю просматривать файлы истории локального диска, которые обычно переводятся в файловые страницы истории приложением Windows Explorer.
Инструмент IE History может обрабатывать много различных типов файлов, включая файлы истории деятельности в Internet Explorer и в Netscape Web. В таблице 23.2 суммированы места обычного расположения этих файлов.
| Операционная система | Web-броузер | Пути к файлам |
|---|---|---|
| Windows 95/98/Me | Internet Explorer |
|
| Windows NT | Internet Explorer |
|
| Windows 2000 | Internet Explorer |
|
| Windows 95/98/Me | Netscape |
|
| Windows NT | Netscape |
|
| Windows 2000 | Netscape |
|
| Unix (Linux, BSD, etc.) | Netscape |
|
Другая функция инструмента IE History заключается в его способности сортировать обращения к интернету по адресам URL или по дате посещения. Более того, щелкая правой кнопкой мыши на отдельной строке и выбирая Go To URL, вы можете загружать URL в заданном по умолчанию броузере на судебном компьютере.
И последний тип файлов, который может транслировать инструмент IE History - это записи в Recycle Bin (Корзина) операционной системы Windows. Поскольку Windows, как известно, хранит удаленные файлы в Recycle Bin (Корзина) перед тем, как произвести истинное стирание их с диска, эти записи могут дать много ключей к тому, что подозреваемый удалял перед тем, как были собраны улики. В следующей таблице суммированы места расположения записей INFO2 в операционных системах Windows.
| Операционная система | Места расположения записей INFO2 в Recycle Bin (Корзина) |
|---|---|
| Windows 95/98/Me | \RECYCLED\INFO2 |
| Windows NT/2000 | \RECYCLER \<SID пользователя>\INFO2 |
После копирования записей из корзины компьютера подозреваемого загрузите файл INFO2 в инструмент IE History таким же способом, который используется для загрузки файлов index.dat или history.db. На следующей иллюстрации показан пример записи из корзины После того как она была загружена в IE History.
