|
После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение? |
Опубликован: 20.02.2006 | Доступ: свободный | Студентов: 2943 / 491 | Оценка: 4.22 / 3.75 | Длительность: 33:08:00
ISBN: 978-5-9556-0087-1
Специальности: Специалист по безопасности
Теги:
Лекция 11:
Судебные средства
Добавление хоста
Когда вы вошли в дело, необходимо задать по крайней мере один хост, который вы собираетесь освидетельствовать. Этот хост представляет конкретную исследуемую машину.
- В Case Gallery щелкните мышью на Add Host. Появится экран Add a New Host (рис. 11.3).
- Введите имя хоста.
- При желании введите краткое описание хоста.
- Задайте часовой пояс и отклонение часов - расхождение с временной меткой основного файла дела, чтобы Sleuth Kit по-особому трактовал временные метки на хосте. Это может быть очень важно при осмотре нескольких серверов с различным временем на часах.
- При желании добавьте необязательную запрошенную информацию.
- Щелкните мышью на Add Host, чтобы добавить хост и вернуться в Case Gallery.
- Выполните эту процедуру для каждого хоста, на котором имеются данные.
Добавление образа
Теперь следует добавить образы данных для созданных хостов. Используйте копии данных, сделанные с помощью dd, Norton Ghost или какой-либо иной утилиты тиражирования данных.
- Выберите хост на экране Host Gallery и щелкните мышью на OK.
- Щелкните мышью на кнопке Add Image. Появится экран Add a New Image (рис. 11.4).
- Введите расположение и данные о файле образа. Можно скопировать файл в каталог для этого хоста в хранилище свидетельств или просто создать символьную ссылку на него. Будьте осторожны и не перемещайте файлы образов, особенно больших, слишком часто, так как это может привести к потере данных, если во время переноса возникнут проблемы.
- Выберите тип файловой системы. Это определяет способ, которым Sleuth Kit смотрит на данные в образе.
- Sleuth Kit автоматически создает файл хэша. Вы можете в любое время проверить соответствие хэша и данных в файле. Это значительно повышает легитимность ваших усилий в суде.
- Для каждого хоста можно добавить несколько образов. Например, вам, возможно, понадобится разбить большой диск на несколько файлов образов. Щелкните мышью на Add Image, чтобы добавить образ и вернуться в основное окно Case Gallery.
Анализ данных
Теперь вы, наконец, готовы приступить к анализу. Может показаться, что работы по настройке слишком много, но вы оцените Sleuth Kit, когда вам придется манипулировать большим числом образов или понадобится быстро выдать определенный фрагмент данных. Перейдите в Image Gallery и щелкните мышью на образе, который хотите анализировать. В табл. 11.5 перечислены типы анализа, который можно выполнять на образах данных.
Sleuth Kit в сочетании с Autopsy Forensic Browser - мощное средство организации и анализа судебных данных на уровне любой профессиональной лаборатории в стране. В этом разделе затронуты лишь некоторые основные функции, но об этом замечательном инструменте можно написать целые тома. Здесь не рассмотрены многие команды и функции. Дополнительную информацию можно найти в оперативном руководстве и других ресурсах на web-сайте. На сайте предлагается также ежемесячный бюллетень с интересными статьями и рекомендациями для интересующихся судебной информатикой.
| Тип анализа | Описание |
|---|---|
| File Analysis | Показывает образ в виде файлов и каталогов, которые будет видеть файловая система. Здесь также видны файлы и папки, которые обычно могут быть скрыты операционной системой |
| Keyword Search | Позволяет искать во всем образе определенные ключевые слова. Это полезно, если вы ищете определенную программу или просто упоминание об определенной вещи. Юристы часто пользуются данной возможностью при поиске свидетельств инкриминируемой противозаконной деятельности на принадлежащем подозреваемому жестком диске. Это помогает довольно быстро найти иголку в стоге сена (рис. 11.5). |
| File Type | Сортирует все файлы или производит поиск по типу. Это удобно при поиске всех файлов определенного типа, например, JPEG или MP3 |
| Image Details | Выдает все детали изучаемого образа, которые могут пригодиться, например, при восстановлении данных, когда необходимо знать их физическое расположение |
| MetaData | Отображает низкоуровневые структуры каталогов и файлов в образе, полезные при поиске удаленного содержимого и просмотре других элементов, которые файловая система обычно не показывает |
| Data Unit | Позволяет углубиться в любой найденный файл и просмотреть его реальное содержимое в текстовом или шестнадцатеричном виде |
| The Forensic Toolkit: Набор судебных средств для Windows |
|---|
|
The Forensic Toolkit Автор/основной контакт: Foundstone, Inc. Платформы: Windows NT, 2000, XP |
The Forensic Toolkit - еще одна замечательная свободная программа компании Foundstone. Этот набор средств полезен при осмотре файловых систем на платформе Windows и сборе информации для судебного расследования. Версия 1.4 программы имеет полностью открытые исходные тексты с лицензией GPL. Версия 2.0 условно свободна и может применяться для коммерческих целей, но имеет ограничения на внесение в программу дополнений и изменений, а ее исходные тексты в настоящее время недоступны.
Отметим, что эти средства работают только с файловыми системами NTFS. Если вы желаете исследовать раздел FAT32, вам придется воспользоваться другим инструментарием.
Роман Попов