Извлечение криминалистически значимой информации из компьютеров, относящихся к КИИ
Аннотация
Пояснительная записка состоит из 65 с., 10 рис., 0 табл., 6 источников, 0 прил.
КРИТИЧЕСКАЯ ИНФОРМАЦИОННАЯ ИНФРАСТРУКТУРА, КРИМИНАЛИСТИКА, ИЗМЕНЧИВАЯ ИНФОРМАЦИЯ, РЕАГИРОВАНИЕ, ИНЦИДЕНТ, ИССЛЕДОВАТЕЛЬ
Объектом исследования является криминалистически значимая информация в ОС Windows и Linux.
Цель работы – рассмотрение действий исследователя при реагировании на инциденты, совершаемые на более современные системы Windows (7, 10) и Linux (Ubuntu 18.10), относящиеся к КИИ, а также произвести сбор криминалистически значимых данных из системы, которых будет достаточно для дальнейшего анализа об инциденте.
В процессе работы производилось извлечение, в первую очередь, энергозависимой информации. Были описаны действия для сбора криминиластически значимых данных из реестра и журналов аудита анализируемой системы, а также файлов, содержащие кэш браузеров, метки первого подключения внешних носителей в систему.
В результате исследований созданы пакетные файлы-сценарии для быстрого извлечения изменчивой информации. Также, создан сценарий для удаления следов о подключении USB-устройства исследователя по завершению реагирования. Описана методология для сбора информации из реестра и журналов аудита. Рассмотрены действия для сбора информации из систем Linux.
КРИТИЧЕСКАЯ ИНФОРМАЦИОННАЯ ИНФРАСТРУКТУРА, КРИМИНАЛИСТИКА, ИЗМЕНЧИВАЯ ИНФОРМАЦИЯ, РЕАГИРОВАНИЕ, ИНЦИДЕНТ, ИССЛЕДОВАТЕЛЬ
Объектом исследования является криминалистически значимая информация в ОС Windows и Linux.
Цель работы – рассмотрение действий исследователя при реагировании на инциденты, совершаемые на более современные системы Windows (7, 10) и Linux (Ubuntu 18.10), относящиеся к КИИ, а также произвести сбор криминалистически значимых данных из системы, которых будет достаточно для дальнейшего анализа об инциденте.
В процессе работы производилось извлечение, в первую очередь, энергозависимой информации. Были описаны действия для сбора криминиластически значимых данных из реестра и журналов аудита анализируемой системы, а также файлов, содержащие кэш браузеров, метки первого подключения внешних носителей в систему.
В результате исследований созданы пакетные файлы-сценарии для быстрого извлечения изменчивой информации. Также, создан сценарий для удаления следов о подключении USB-устройства исследователя по завершению реагирования. Описана методология для сбора информации из реестра и журналов аудита. Рассмотрены действия для сбора информации из систем Linux.