Другое на тему Исследования реестра Windows в рамках СКТЭ
-
Оформление работы
-
Список литературы по ГОСТу
-
Соответствие методическим рекомендациям
-
И еще 16 требований ГОСТа,которые мы проверили
Введи почту и скачай архив со всеми файлами
Ссылку для скачивания пришлем
на указанный адрес электронной почты
Содержание:
ВВЕДЕНИЕ. 5
1
НАУЧНЫЕ ОСНОВЫ СКТЭ. 7
1.1
Задачи и вопросы СКТЭ для исследования реестра Windows 7
1.2
Понятие системного реестра Windows в рамках СКТЭ.. 9
1.3.
Описание работы с реестром Windows в рамках СКТЭ.. 13
2
НЕКОТОРЫЕ ОСОБЕННОСТИ СУДЕБНО-ЭКСПЕРТНОГО ИССЛЕДОВАНИЯ РЕЕСТРА WINDOWS. 16
ЗАКЛЮЧЕНИЕ. 22
СПИСОК
ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ. 24
Введение:
Совершение преступлений с применением современных
информационных технологий стало в наше время довольно распространенным
явлением. Компьютер — один из самых распространенных способов совершения
опасных и скрытых преступлений. Как известно, механизм совершения преступлений
с помощью компьютерных технологий заключается в изменении компьютерной среды
компьютерных систем.
Эти изменения — следы совершения преступлений. Однако в силу
своей специфики следы в информационной среде может искать только специалист,
эксперт в области информационных технологий.
Изучение следов в компьютерных устройствах связано с
получением служебной информации, которая указывает на обстоятельства совершения
преступлений. Этот тип информации включает данные, хранящиеся в системном
реестре Windows. Как показывает экспертная практика, системный реестр часто
используется для решения таких проблем, как определение того, использует ли
зарегистрированный пользователь программу, внешнее запоминающее устройство и
его содержимое, сетевые средства связи, время инициализации и продолжительность
этих событий. Без изучения реестра изучение информационной среды компьютера
нельзя считать полным и объективным, так как значительная часть остальных зон
следообразования имеет довольно простую структуру и может быть подвержена
коррекции злоумышленником.
Удаление следов в реестре требует знаний программирования,
так как известное программное обеспечение не может повлиять на большинство
следов, которые появляются в реестре в результате действий пользователя.
Поэтому системный реестр — это область, которую необходимо изучить для
получения объективной информации о системных событиях.
В данном исследовании рассматриваются возможности
исследования следов в системном реестре Windows, которые редко используются в
экспертной практике из-за недостаточных возможностей известного программного
обеспечения, работающего с ним, а также возможность получения тематической и
интегративной информации о состоянии информационной системы на момент
возникновения исследуемого события.
Объект исследования — реестр Windows.
Предмет исследования
— исследование реестра Windows в рамках ССКТЭ.
Цель исследования
заключается в исследовании реестра Windows в рамках ССКТЭ. Задачи работы:
— Концептуальные основы судебной компьютерно-технической
экспертизы.
— Понятие системного реестра Windows.
— Некоторые особенности судебно-экспертного исследования
реестра Windows.
Структура работы включает введение, две главы,
детализированные на подразделы, заключение, список использованной литературы,
приложение.
Заключение:
Для большинства администраторов и судебных экспертов реестр,
вероятно, выглядит как вход в мрачную и зловещую пещеру в ландшафте
операционной системы Windows. Другие могут подумать, что регистр — это темная
дверь в конце длинного коридора, на которой каракулями написано: «Оставь
надежду, все, кто сюда входит». Правда в том, что реестр является бесконечным
источником ценной информации для администраторов и судмедэкспертов. Программное
обеспечение, используемое злоумышленниками, во многих случаях оставляет следы в
реестре, предоставляя эксперту информацию об инциденте. Если вы знаете, где
искать информацию в реестре и как интерпретировать найденные данные, вы можете
понять, какие действия были выполнены в системе.
В результате СКТЭ, проведенного в рамках расследования
преступлений, связанных с нарушением информационной безопасности в открытых
компьютерных сетях, хищением (уничтожением, модификацией) информации и нарушением
информационной безопасности, генерируется информация об уязвимости обработки
информации в информационных системах. Эти результаты могут быть использованы
специалистами по информационной безопасности для улучшения существующих средств
защиты информации и обеспечения информационной безопасности.
Реестр Windows — это значительный судебно-технический
ресурс, который дает исчерпывающую картину дела. С помощью методов, описанных в
этом документе, следователь может точно получить реестры из скомпрометированной
системы. Мы продемонстрировали формат реестра и данные, которые он может
раскрыть. Если один ключ не читаем, то его подразделы под этим деревом также
недоступны для чтения. Существуют различные инструменты, которые используются
для чтения и анализа. Кроме того, у нас также есть возможность анализировать
дерево реестра с помощью командной строки с помощью regedit.exe.
Реестр Windows имеет важное значение, и исследование на нем
все еще продолжается. Независимо от того, знаем ли мы каждый ключ, подраздел и
значение реестра Windows, несмотря на все, что нам нужно рассмотреть, как
использовать их в подлинных случаях. Во второй части этого документа важные
ключи и подразделы, объясняются их местоположением и данными, содержащимися в
нем, чтобы помочь судебному расследованию.
Перспективой развития данного исследования является создание
системы, позволяющей автоматизировать формирование частных методик для
производства ИТ-технических экспертиз.
Фрагмент текста работы:
1 НАУЧНЫЕ ОСНОВЫ СКТЭ 1.1 Задачи и вопросы СКТЭ для исследования реестра
Windows Судебная компьютерно-техническая экспертиза — довольно новый
вид судебной экспертизы. Моментом ее зарождения можно считать 2001-2002 годы,
когда вышла книга Е. Р. Розинской и А. И. Усова «Судебно-компьютерная
техническая экспертиза», а также А. И. Усов защитил докторскую диссертацию «Концептуальные
основы судебной компьютерной экспертизы». С тех пор разработка методической
поддержки производства экспертных исследований, которая имеется в распоряжении
экспертно-научного сообщества, осуществлялась в основном в соответствующих
ведомствах Минюста России, МВД России и Федеральной службы по контролю за
оборотом наркотиков России. Примечательно, что приоритетом этих разработок
является обеспечение производственного процесса, направленного на решение
конкретных практических проблем судебной информации и компьютерной экспертизы.
Их слабая сторона — неполный характер закона и теоретические основы судебно-технической
экспертизы. Кроме того, большое значение имеет тот факт, что сегодня наиболее
интенсивно развивается технический прогресс в области
информационно-информационных технологий, что, в свою очередь, не позволяет
экспертам делать пошаговые рекомендации по решению проблем других видов
компьютерных технологий для проведения судебно-технических экспертиз. В этой
связи материалы, публикуемые в отделах судебной экспертизы, представлены в виде
общих указаний, а не частных методов [18].
Судебная компьютерно-техническая экспертиза основывается на
функциональном назначении средств вычислительной техники, реализующих
информационно-сетевые технологии. Она выделена в отдельную форму в связи с тем,
что при исследовании корпоративных сетей, используемых в большинстве государственных
и частных предприятий, только использование специализированных знаний в области
сетевых технологий позволяет объединить массу рассмотренных ранее объектов,
информацию о них и эффективно решать поставленные перед экспертом задачи.
Судебно-техническая экспертиза исследования реестра Windows производится
для решения следующих задач [9]:
1. Изучение следов в компьютерных устройствах связано с
получением служебной информации, которая указывает на обстоятельства совершения
преступлений.
2. Изучение к какому роду информации относятся данные,
хранящиеся в системном реестре Windows.
3. Определение факта использования зарегистрированным
пользователем какой-либо программы, устройства внешней памяти и его
содержимого, средств сетевой связи, времени инициализации и длительности этих
событий.
Судебно-техническая экспертиза исследования реестра Windows отвечает на такие вопросы [14]:
1. Какова общая характеристика представленного реестра
Windows, из каких компонент он состоит?
2. Какие наименование, тип, версия, вид представления
(явный, скрытый, удаленный) имеет реестра Windows?
3. Каков состав соответствующих файлов реестра Windows,
каковы их параметры (объемы, даты создания, атрибуты)?
4. Какое общее функциональное предназначение имеет реестра
Windows?
5. Имеется ли на носителях информации реестра Windows для
реализации определенной функциональной задачи?
6. Используется ли реестр Windows для решения определенной
функциональной задачи?
7. Каково фактическое состояние реестра Windows, какова его
работоспособность по реализации отдельных (конкретных) функций?
8. Каким образом организованы ввод и вывод данных в реестре
Windows?
9. Имеются ли в реестре Windows отклонения от нормальных
параметров (например, свойства инфицирования, недокументированных функций)?
10. Имеет ли реестр Windows защитные возможности
(программные, аппаратно-программные) от несанкционированного доступа и
копирования?
11. Каким образом организованы защитные возможности реестра
Windows?
12. С какой целью было произведено изменение каких-либо
функций в реестре Windows?
13. Каким способом были произведены изменения в реестре
Windows (преднамеренно, воздействием вредоносной программы, ошибками
программной среды, аппаратным сбоем и др.)?
14. Имеются ли в реестре Windows враждебные функции, которые
влекут уничтожение, блокирование, модификацию либо копирование информации,
нарушение работы компьютерной системы?
В заключение хотелось бы отметить, что судебно-компьютерная
экспертиза реестра Windows очень молода. Ряд его теоретических аспектов все еще
находится в стадии разработки. Частные экспертные методики еще не устоялись и
не получили всеобщего признания, в связи с чем экспертам в своей работе часто
приходится использовать общенаучные методы и методы информационно-компьютерных
технологий.