Компьютерная криминалистика

Криминалистика
Часть серии по

Физиологический Антропология Биология Анализ образца пятен крови Стоматология ДНК-фенотипирование ДНК-профилирование Энтомология Эпидемиология Лимнология Лекарство Палинология Патология Подиатрия Токсикология
Социальное Психиатрия Психология Психотерапия Социальная работа
Криминалистика Бухгалтерский учет Идентификация тела Химия Колориметрия Реконструкция лица Анализ отпечатков пальцев Проверка огнестрельного оружия Доказательства обуви Криминалистика Профилирование Анализ отпечатков пальцев Пальмовый анализ Проверка сомнительных документов Соответствие вен Судебная геофизика Судебная геология
Цифровая криминалистика Компьютерные экзамены Анализ данных Изучение базы данных Анализ вредоносного ПО Мобильные устройства Сетевой анализ Фотография Видеоанализ Аудио анализ
Связанные дисциплины Электротехника Инженерное дело Расследование пожара Обнаружение пожарного ускорителя Фрактография Лингвистика Материаловедение Полимерная инженерия Статистика Реконструкция дорожно-транспортного происшествия
Статьи по Теме Место преступления Эффект CSI Синдром Перри Мейсона Календарь пыльцы Знак заноса Следы доказательств Использование ДНК в судебной энтомологии
Контур Категория
v т е

Компьютерная криминалистическая экспертиза не ограничивается только компьютерными носителями.

Компьютерная криминалистика (также известная как компьютерная криминалистика ^[1] ) - это отрасль цифровой криминалистики, имеющая отношение к доказательствам, обнаруженным в компьютерах и цифровых носителях . Целью компьютерной криминалистики является исследование цифровых носителей с точки зрения судебной экспертизы с целью выявления, сохранения, восстановления, анализа и представления фактов и мнений о цифровой информации.

Хотя это чаще всего связано с расследованием самых разных компьютерных преступлений , компьютерная криминалистика также может использоваться в гражданском судопроизводстве. Дисциплина включает в себя методы и принципы, аналогичные восстановлению данных , но с дополнительными рекомендациями и методами, предназначенными для создания журнала аудита .

Доказательства компьютерной криминалистики обычно подчиняются тем же правилам и методам, что и другие цифровые доказательства. Он использовался в ряде громких дел и становится широко признанным надежным в судебных системах США и Европы.

Обзор [ править ]

В начале 1980-х годов персональные компьютеры стали более доступными для потребителей, что привело к их более широкому использованию в преступной деятельности (например, для совершения мошенничества ). В то же время было обнаружено несколько новых «компьютерных преступлений» (например, взлом ). Дисциплина компьютерной криминалистики возникла в это время как метод восстановления и исследования цифровых доказательств для использования в суде. С тех пор компьютерные преступления и компьютерной связанных с этим преступлений выросло, и подскочил на 67% в период с 2002 по 2003 год ^[2] В настоящее время она используется для исследования широкого спектра преступлений, в том числе детской порнографии , мошенничество, шпионаж , киберпреследования, убийство и изнасилование. Дисциплина также используется в гражданском судопроизводстве как форма сбора информации (например, Электронное раскрытие ).

Криминалистические методы и экспертные знания используются для объяснения текущего состояния цифрового артефакта , такого как компьютерная система, носитель данных (например, жесткий диск или CD-ROM ) или электронный документ (например, сообщение электронной почты или изображение в формате JPEG). ^[3] Объем судебно-медицинской экспертизы может варьироваться от простого поиска информации до реконструкции серии событий. В книге 2002 года « Компьютерная криминалистика» авторы Круз и Хайзер определяют компьютерную криминалистику как «сохранение, идентификацию, извлечение, документирование и интерпретацию компьютерных данных». ^[4]Далее они описывают дисциплину как «скорее искусство, чем науку», указывая на то, что методология судебной экспертизы опирается на гибкость и обширные знания в предметной области. Однако, хотя для извлечения доказательств с данного компьютера можно использовать несколько методов, стратегии, используемые правоохранительными органами, довольно жесткие и не обладают гибкостью, присущей гражданскому миру. ^[5]

Использовать как доказательство [ править ]

В суде к доказательствам компьютерной криминалистики применяются обычные требования для цифровых доказательств . Это требует, чтобы информация была достоверной, надежно полученной и допустимой. ^{[6] В} разных странах есть определенные руководящие принципы и методы восстановления доказательств. В Соединенном Королевстве экзаменаторы часто следуют рекомендациям Ассоциации старших офицеров полиции, которые помогают обеспечить подлинность и целостность доказательств. Хотя эти принципы являются добровольными, они широко применяются в британских судах.

Компьютерная криминалистика использовалась в качестве доказательства в уголовном праве с середины 1980-х годов, некоторые известные примеры включают: ^[7]

BTK Killer: Деннис Рейдер был осужден за серию серийных убийств, произошедших в течение шестнадцати лет. Ближе к концу этого периода Рейдер отправлял письма в полицию на дискете. Метаданные в документах указывают на причастность автора по имени «Деннис» из «Лютеранской церкви Христа»; эти доказательства помогли привести к аресту Рейдера.
Джозеф Э. Дункан III : Электронная таблица, извлеченная из компьютера Дункана, содержала доказательства, показывающие, что он планировал свои преступления. Прокуроры использовали это, чтобы продемонстрировать преднамеренность и добиться смертной казни . ^[8]
Шэрон Лопатка : Сотни электронных писем на компьютере Лопатки приводят следователей к ее убийце Роберту Глассу. ^[7]
Corcoran Group : Это дело подтвердило обязанности сторон по сохранению цифровых доказательств, когда судебное разбирательство началось или разумно ожидается. Жесткие диски были проанализированы экспертом по компьютерной криминалистике, который не смог найти соответствующие электронные письма, которые должны были быть у Ответчиков. Хотя эксперт не обнаружил доказательств удаления на жестких дисках, выяснилось, что ответчики были признаны умышленно уничтожающими электронные письма, вводили в заблуждение и не раскрывали существенные факты истцам и суду.
Доктор Конрад Мюррей : Доктор Конрад Мюррей, врач покойного Майкла Джексона , был частично признан виновным по цифровым уликам на своем компьютере. Эти доказательства включали медицинскую документацию, показывающую смертельное количество пропофола .

Судебно-медицинский процесс [ править ]

Портативный блокировщик записи Tableau, подключенный к жесткому диску

Компьютерные криминалистические расследования обычно следуют стандартному процессу или этапам цифровой судебной экспертизы, которые включают сбор данных, экспертизу, анализ и составление отчетов. Исследования проводятся на статических данных (например, полученных изображениях ), а не на «живых» системах. Это отличие от ранней судебной практики, когда из-за отсутствия специальных инструментов следователи обычно работали с оперативными данными.

Методы [ править ]

В ходе компьютерных криминалистических расследований используется ряд методов, и много написано о многих методах, используемых, в частности, правоохранительными органами.

Кросс-драйв анализ: Криминалистический метод, который сопоставляет информацию, найденную на нескольких жестких дисках . Процесс, который все еще исследуется, может использоваться для идентификации социальных сетей и обнаружения аномалий . ^[9]^[10]

Живой анализ: Осмотр компьютеров изнутри операционной системы с использованием специальной криминалистической экспертизы или существующих инструментов системного администратора для извлечения улик. Эта практика полезна при работе с шифрованными файловыми системами , например, когда ключи шифрования могут быть собраны, а в некоторых случаях том логического жесткого диска может быть создан (известный как оперативное получение) перед выключением компьютера.

Удаленные файлы: Распространенным методом, используемым в компьютерной криминалистике, является восстановление удаленных файлов. Современное программное обеспечение для криминалистики имеет свои собственные инструменты для восстановления или удаления удаленных данных. ^[11] Большинство операционных систем и файловых систем не всегда стирают данные физических файлов, что позволяет исследователям восстановить их из секторов физического диска . Вырезание файлов включает поиск известных заголовков файлов в образе диска и восстановление удаленных материалов.

Стохастическая криминалистика: Метод, использующий стохастические свойства компьютерной системы для исследования действий, в которых отсутствуют цифровые артефакты. Его основное назначение - расследовать кражу данных .

Стеганография: Один из методов, используемых для сокрытия данных, - стеганография, процесс сокрытия данных внутри изображения или цифрового изображения. В качестве примера можно скрыть порнографические изображения детей или другой информации о том , что данный уголовный не хотят обнаружили. Специалисты по компьютерной криминалистике могут бороться с этим, просматривая хэш файла и сравнивая его с исходным изображением (если доступно). Хотя изображения кажутся идентичными при визуальном осмотре, хеш изменяется по мере изменения данных. ^[12]

Изменчивые данные [ править ]

Энергозависимые данные - это любые данные, которые хранятся в памяти или существуют в процессе передачи , которые будут потеряны при отключении питания или выключении компьютера. Изменчивые данные находятся в реестрах, кеш-памяти и оперативной памяти (RAM). Исследование этих непостоянных данных называется «криминалистикой в реальном времени».

При изъятии улик, если машина все еще активна, любая информация, хранящаяся исключительно в ОЗУ, которая не была восстановлена до выключения питания, может быть потеряна. ^[8] Одним из применений «живого анализа» является восстановление данных RAM (например, с помощью инструмента Microsoft COFEE , WinDD, WindowsSCOPE ) до удаления экспоната. CaptureGUARD Gateway обходит вход в Windows для заблокированных компьютеров, позволяя анализировать и собирать данные о физической памяти заблокированного компьютера. ^{[ необходима цитата ]}

ОЗУ можно проанализировать на предмет предшествующего содержимого после потери мощности, потому что электрическому заряду, хранящемуся в ячейках памяти, требуется время, чтобы рассеяться - эффект, используемый при атаке с холодной перезагрузкой . Время, в течение которого данные могут быть восстановлены, увеличивается из-за низких температур и более высоких напряжений ячеек. Хранение ОЗУ без питания при температуре ниже −60 ° C помогает на порядок сохранить остаточные данные, повышая шансы на успешное восстановление. Однако это может оказаться непрактичным во время полевого обследования. ^[13]

Однако некоторые инструменты, необходимые для извлечения изменчивых данных, требуют, чтобы компьютер находился в лаборатории судебной экспертизы, как для поддержания законной цепочки доказательств, так и для облегчения работы на машине. При необходимости правоохранительные органы применяют методы для перемещения работающего настольного компьютера. К ним относятся манипулятор мыши , который быстро перемещает мышь небольшими движениями и предотвращает случайный переход компьютера в спящий режим. Обычно источник бесперебойного питания (ИБП) обеспечивает питание во время транспортировки.

Однако один из самых простых способов сбора данных - это фактическое сохранение данных RAM на диск. Различные файловые системы, которые имеют функции ведения журнала, такие как NTFS и ReiserFS, хранят большую часть данных RAM на основном носителе во время работы, и эти файлы подкачки могут быть повторно собраны для восстановления того, что было в RAM в то время. ^[14]

Инструменты анализа [ править ]

Для компьютерной криминалистики существует ряд инструментов с открытым исходным кодом и коммерческих инструментов. Типичный судебно-медицинский анализ включает в себя ручную проверку материалов на носителе, проверку реестра Windows на предмет подозрительной информации, обнаружение и взлом паролей, поиск по ключевым словам по темам, связанным с преступлением, а также извлечение электронной почты и изображений для проверки. ^[7] Autopsy (программное обеспечение) , COFEE , EnCase - это некоторые из инструментов, используемых в цифровой криминалистике.

Сертификаты [ править ]

Доступно несколько сертификатов компьютерной криминалистики, таких как сертифицированный специалист по компьютерной экспертизе ISFCE, специалист по расследованию цифровой криминалистики (DFIP) и сертифицированный специалист по компьютерной криминалистике IACRB.

Верхний поставщик независимой сертификации (особенно в ЕС) считается [ CCFP - Certified Cyber Forensics Professional [1] ]. ^[15]

Другие, о которых стоит упомянуть для США или APAC: Международная ассоциация специалистов по компьютерным расследованиям предлагает программу Certified Computer Examiner .

Международное общество судебных компьютерных экспертов предлагает программу « Сертифицированный компьютерный эксперт ».

Многие компании, занимающиеся коммерческой криминалистикой, теперь также предлагают проприетарные сертификаты на свои продукты. Например, Guidance Software предлагает сертификацию (EnCE) для своего инструмента EnCase, сертификацию предложения AccessData (ACE) для своего инструмента FTK, PassMark Software, предлагающую сертификацию своего инструмента OSForensics, и сертификацию X-Ways Software Technology (X-PERT) для их программное обеспечение, X-Ways Forensics. ^[16]

См. Также [ править ]

Сертифицированный компьютерный экзаменатор
Сертифицированный судебный компьютерный эксперт
Счетчик судебной экспертизы
Криптоанализ
Остаточная информация
Шифрование диска
Шифрование
Скрытый файл и скрытый каталог
Аудит информационных технологий
MAC раз
Стеганализ
Соединенные Штаты против Арнольда

Ссылки [ править ]

^ Майкл Г. Ноблетт; Марк М. Поллитт; Лоуренс А. Пресли (октябрь 2000 г.). «Восстановление и исследование улик компьютерной криминалистики» . Проверено 26 июля 2010 года .
^ Leigland, R (сентябрь 2004). «Формализация цифровой криминалистики» (PDF) .
^ A Yasinsac; РФ Эрбахер; DG Marks; М. М. Поллитт (2003). «Обучение компьютерной криминалистике». Безопасность и конфиденциальность IEEE. CiteSeerX 10.1.1.1.9510 . Отсутствует или пусто |url=( справка )
^ Уоррен Г. Круз; Джей Г. Хейзер (2002). Компьютерная криминалистика: основы реагирования на инциденты . Эддисон-Уэсли. п. 392 . ISBN 978-0-201-70719-9. Проверено 6 декабря 2010 года .
^ Gunsch, G (август 2002). «Исследование цифровых криминалистических моделей» (PDF) .
^ Адамс, Р. (2012). « ' Усовершенствованная модель Data Acquisition (ADAM): модель процесса для цифровой судебной практики» .
^ a b c Кейси, Эоган (2004). Цифровые доказательства и компьютерные преступления, второе издание . Эльзевир. ISBN 978-0-12-163104-8.
^ a b Различный (2009). Эоган Кейси (ред.). Справочник по цифровой криминалистике и расследованиям . Академическая пресса . п. 567. ISBN 978-0-12-374267-4. Проверено 27 августа 2010 года .
↑ Гарфинкель, С. (август 2006 г.). «Криминалистическое извлечение признаков и анализ кросс-драйва» .
^ «EXP-SA: Прогнозирование и обнаружение членства в сети с помощью автоматического анализа жесткого диска» .
↑ Аарон Филлип; Дэвид Коуэн; Крис Дэвис (2009). Разоблачение взлома: компьютерная криминалистика . McGraw Hill Professional. п. 544. ISBN 978-0-07-162677-4. Проверено 27 августа 2010 года .
Перейти ↑ Dunbar, B (январь 2001). «Подробный взгляд на стеганографические методы и их использование в среде открытых систем» .
^ Дж. Алекс Халдерман , Сет Д. Шен , Надя Хенингер , Уильям Кларксон, Уильям Пол, Джозеф А. Каландрино, Ариэль Дж. Фельдман, Джейкоб Аппельбаум и Эдвард В. Фелтен (21 февраля 2008 г. ). «Чтобы мы не помнили: атаки холодного запуска на ключи шифрования» . Принстонский университет . Проверено 20 ноября 2009 . Cite journal requires |journal= (help)CS1 maint: multiple names: authors list (link)
Перейти ↑ Geiger, M (март 2005 г.). «Оценка коммерческих средств противодействия криминалистике» (PDF) . Архивировано из оригинального (PDF) 30 декабря 2014 года . Проверено 2 апреля 2012 .
^ "Обзоры заработной платы CCFP" . ITJobsWatch. Архивировано из оригинала на 2017-01-19 . Проверено 15 июня 2017 .
^ «Программа сертификации X-PERT» . X-pert.eu . Проверено 26 ноября 2015 .

Дальнейшее чтение [ править ]

Практическое руководство по компьютерной криминалистике, первое издание (в мягкой обложке) Дэвида Бентона (автора), Фрэнка Гриндстаффа (автора)
Кейси, Эоган; Стеллатос, Герасимос Дж. (2008). «Влияние полного шифрования диска на цифровую криминалистику». Обзор операционных систем . 42 (3): 93–98. CiteSeerX 10.1.1.178.3917 . DOI : 10.1145 / 1368506.1368519 .
Ичжэнь Хуан; Янцзин Лун (2008). «Распознавание демозаики с приложениями для аутентификации цифровых фотографий на основе модели квадратичной корреляции пикселей» (PDF) . Proc. Конференция IEEE по компьютерному зрению и распознаванию образов : 1–8. Архивировано из оригинального (PDF) 17 июня 2010 года . Проверено 18 декабря 2009 .
Реагирование на инциденты и компьютерная криминалистика, второе издание (в мягкой обложке) Криса Просиза (автор), Кевина Мандиа (автор), Мэтта Пепе (автор) «Правда страннее вымысла ...» (подробнее)
Ross, S .; Гоу, А. (1999). Цифровая археология? Спасение забытых или поврежденных ресурсов данных (PDF) . Бристоль и Лондон: Британская библиотека и Объединенный комитет информационных систем. ISBN 978-1-900508-51-3.
Джордж М. Мохай (2003). Компьютерная экспертиза и криминалистика вторжений . Артек Хаус. п. 395. ISBN 978-1-58053-369-0.
Чак Исттом (2013). Системная криминалистика, расследования и реагирование . Джонс и Бартлетт. п. 318. ISBN 978-1284031058. Архивировано из оригинала на 2013-06-14 . Проверено 23 сентября 2013 .

Связанные журналы [ править ]

IEEE Transactions по информационной криминалистике и безопасности
Журнал цифровой криминалистики, безопасности и права
Международный журнал цифровой преступности и криминалистики
Журнал цифровых исследований
Международный журнал цифровых доказательств
Международный журнал судебной компьютерной науки
Журнал цифровой судебной экспертизы
Криптология
Журнал криминалистической экспертизы малых цифровых устройств

[noblett-1] Майкл Г. Ноблетт; Марк М. Поллитт; Лоуренс А. Пресли (октябрь 2000 г.). «Восстановление и исследование улик компьютерной криминалистики» . Проверено 26 июля 2010 года .

[leigland-2] Leigland, R (сентябрь 2004). «Формализация цифровой криминалистики» (PDF) .

[cf-education-3] A Yasinsac; РФ Эрбахер; DG Marks; М. М. Поллитт (2003). «Обучение компьютерной криминалистике». Безопасность и конфиденциальность IEEE. CiteSeerX 10.1.1.1.9510 . Отсутствует или пусто |url=( справка )

[kruse-4] Уоррен Г. Круз; Джей Г. Хейзер (2002). Компьютерная криминалистика: основы реагирования на инциденты . Эддисон-Уэсли. п. 392 . ISBN 978-0-201-70719-9. Проверено 6 декабря 2010 года .

[gunsch-5] Gunsch, G (август 2002). «Исследование цифровых криминалистических моделей» (PDF) .

[theadam-6] Адамс, Р. (2012). « ' Усовершенствованная модель Data Acquisition (ADAM): модель процесса для цифровой судебной практики» .

[casey-7] Кейси, Эоган (2004). Цифровые доказательства и компьютерные преступления, второе издание . Эльзевир. ISBN 978-0-12-163104-8.

[handbook-8] Различный (2009). Эоган Кейси (ред.). Справочник по цифровой криминалистике и расследованиям . Академическая пресса . п. 567. ISBN 978-0-12-374267-4. Проверено 27 августа 2010 года .

[garfinkel-9] Гарфинкель, С. (август 2006 г.). «Криминалистическое извлечение признаков и анализ кросс-драйва» .

[nsf-10] «EXP-SA: Прогнозирование и обнаружение членства в сети с помощью автоматического анализа жесткого диска» .

[exposed-11] Аарон Филлип; Дэвид Коуэн; Крис Дэвис (2009). Разоблачение взлома: компьютерная криминалистика . McGraw Hill Professional. п. 544. ISBN 978-0-07-162677-4. Проверено 27 августа 2010 года .

[dunbar-12] Перейти ↑ Dunbar, B (январь 2001). «Подробный взгляд на стеганографические методы и их использование в среде открытых систем» .

[ColdBoot-13] Дж. Алекс Халдерман , Сет Д. Шен , Надя Хенингер , Уильям Кларксон, Уильям Пол, Джозеф А. Каландрино, Ариэль Дж. Фельдман, Джейкоб Аппельбаум и Эдвард В. Фелтен (21 февраля 2008 г. ). «Чтобы мы не помнили: атаки холодного запуска на ключи шифрования» . Принстонский университет . Проверено 20 ноября 2009 . Cite journal requires |journal= (help)CS1 maint: multiple names: authors list (link)

[geiger-14] Перейти ↑ Geiger, M (март 2005 г.). «Оценка коммерческих средств противодействия криминалистике» (PDF) . Архивировано из оригинального (PDF) 30 декабря 2014 года . Проверено 2 апреля 2012 .

[15] "Обзоры заработной платы CCFP" . ITJobsWatch. Архивировано из оригинала на 2017-01-19 . Проверено 15 июня 2017 .

[16] «Программа сертификации X-PERT» . X-pert.eu . Проверено 26 ноября 2015 .

vтеЦифровая криминалистика
ветви	Компьютерная криминалистика Криминалистика мобильных устройств Сетевая криминалистика Криминалистика баз данных
Аппаратное обеспечение	Судебный контроллер диска
Программного обеспечения	ADF Solutions Digital Evidence Investigator EnCase Самый главный FTK Registry Recon PTK Forensics Комплект Сыщика Набор инструментов коронера КОФЕ HashKeeper Xplico
Сертификация	Сертифицированный судебный компьютерный эксперт (CFCE) Сертификат Global Information Assurance
Процессы	Цифровой криминалистический процесс Получение данных Цифровые доказательства eDiscovery Антикомпьютерная криминалистика
Организации	Национальная справочная библиотека по программному обеспечению Американское общество цифровой криминалистики и обнаружения электронных данных Центр киберпреступности Министерства обороны Национальное подразделение по борьбе с преступностью в сфере высоких технологий (NHTCU) Австралийский центр преступности в сфере высоких технологий (AHTCC)
Люди	Мэри Эйкен Энни Антон Ребекка Бейс Джош Бранти Эоган Кейси Хани Фарид Симсон Гарфинкель Клиффорд Столл Эрик Лайкин Роберт Зейдман
Глоссарий терминов цифровой криминалистики