Инструментальные средства обеспечения безопасности


         

Реализация - часть 2


/p>

Другая функция инструмента IE History заключается в его способности сортировать обращения к интернету по адресам URL или по дате посещения. Более того, щелкая правой кнопкой мыши на отдельной строке и выбирая Go To URL, вы можете загружать URL в заданном по умолчанию броузере на судебном компьютере.

И последний тип файлов, который может транслировать инструмент IE History - это записи в Recycle Bin (Корзина) операционной системы Windows. Поскольку Windows, как известно, хранит удаленные файлы в Recycle Bin (Корзина) перед тем, как произвести истинное стирание их с диска, эти записи могут дать много ключей к тому, что подозреваемый удалял перед тем, как были собраны улики. В следующей таблице суммированы места расположения записей INFO2 в операционных системах Windows.

Операционная системаМеста расположения записей INFO2 в Recycle Bin (Корзина)
Windows 95/98/Me\RECYCLED\INFO2
Windows NT/2000\RECYCLER \<SID пользователя>\INFO2

После копирования записей из корзины компьютера подозреваемого загрузите файл INFO2 в инструмент IE History таким же способом, который используется для загрузки файлов index.dat или history.db. На следующей иллюстрации показан пример записи из корзины После того как она была загружена в IE History.


увеличить изображение

Пример из жизни. Пропавший подозреваемый

Вы являетесь судебным экспертом ЦРУ, в задачу которого входит анализ компьютера предполагаемого террориста. Агентство сообщает вам, что лэптоп и настольный компьютер подозреваемого были захвачены в его гостиничном номере сразу после того, как он исчез. Предполагается, что подозреваемый намеревался угнать самолет, направляющийся из Бельгии в Соединенные Штаты, с пока неизвестными последствиями.

Агентство хотело бы знать обо всех недавних контактах подозреваемого, а также мотивы и/или возможные последствия этой ситуации. Кроме того, любая сетевая связь между подозреваемым и другими людьми может дать указания о будущих действиях террористов и может помочь сохранить жизни невинных людей. После исследования судебной копии машины подозреваемого вы находите следующие программы, установленные или используемые.

  • Laptop (Windows 98).
    • Броузер Netscape (и соответствующие почтовые программы).

  • Настольный компьютер (Windows 2000 и Linux).
    • Internet Explorer (и следовательно Outlook Express).
    • Большой файл, который оказался почтовым ящиком Unix в разделах системы Linux.

Используя стандартные методы судебного анализа, вы решаете, что лучшие улики обычно находятся в электронной почте и в истории просмотров интернет-сайтов. Поэтому вы решаете сначала восстановить электронную почту, а затем исследовать сайты, посещенные в интернете. Порядок этой реконструкции произволен. Сразу же после завершения стадии реконструкции вы сравните и скоррелируете результаты.

Outlook Express. Так как электронная почта Outlook Express была обнаружена в судебных копиях, полученных с машин подозреваемого, вы решаете (произвольно), что сначала восстановите эту электронную почту. После импортирования файлов обнаружены почтовые сообщения, показанные на следующих рисунках.


увеличить изображение


увеличить изображение

Исследователи получили зацепку, указывающую, что адрес электронной почты, принадлежащий highflyer21060@yahoo.com может дать больше информации об исчезновении подозреваемого. Кроме того, эта информация может дать зацепку, которая выведет на другого потенциального заговорщика. Имейте в виду однако, что такую информацию можно получить только с надлежащими юридическими документами и только официальным лицам правоохранительных органов. Без надлежащего анализа электронной почты эта информация могла бы быть потеряна, поскольку почтовые файлы, отформатированные приложением Outlook Express обычно трудно находить без оригинального приложения.

Почта Netscape. Далее вы находите почтовый каталог, предназначенный для хранения электронной почты Netscape (места расположения этих файлов обсуждены в разделе Netscape в этой лекции). Используя методы реконструкции, описанные в этой лекции, вы обнаруживаете следующие почтовые сообщения.


увеличить изображение


увеличить изображение

Восстановление электронной почты Netscape с компьютера подозреваемого увеличило количество зацепок в проводимом расследовании. Дополнительный адрес электронной почты, highflyer@toughguy.net, использовался подозреваемым для связи с учетной записью почты Yahoo!, highflyer21060@yahoo.com. Кроме того, если содержание электронных сообщений заслуживает доверия, то создается впечатление, что план был отменен. Однако вы должны относиться к этой информации с осторожностью, поскольку она может быть столь же фальшивой и беспринципной, как и сам ее отправитель. Тем не менее, легко заметить, что эта информация не была бы обнаружена без восстановления электронной почты Netscape, найденной на интересующем нас компьютере.

Почтовые ящики Unix. На следующих иллюстрациях показано, как представляются почтовые файлы, найденные на компьютере подозреваемого после их восстановления способом, рассмотренным ранее в этой лекции в разделе "Почтовые ящики Unix".

Теперь у вас есть дополнительные зацепки! Если не известно, что подозреваемый пользовался адресом электронной почты bossman@toughguy.net, то вы можете прийти к одному из следующих заключений.



  • Адрес электронной почты принадлежит дополнительной учетной записи, которой может также владеть подозреваемый. Наличие надлежащих юридических документов может привести к дополнительным зацепкам в результате захвата того компьютера, с которого использовалась эта учетная запись.
  • Подозреваемый в действительности не владеет учетной записью, соответствующей адресу электронной почты bossman@toughguy.net, и выполнил несанкционированный доступ (эта деятельность незаконна в Соединенных Штатах) для получения этого файла.

Так или иначе, теперь следствие имеет больше зацепок.

IE History. Чтобы исследовать, какие сайты подозреваемый посещал в интернете, вы анализируете файлы index.dat приложения Internet Explorer и файлы history.dat приложения Netscape, обнаруженные в захваченных уликах.

Используя таблицу, приведенную в разделе "IE History", вы находите файлы index.dat, которые содержат URL-адреса и даты посещения их подозреваемым. При вводе каталога Content.IE5 вы находите файл index.dat и открываете его, используя инструмент IE History. После просмотра списка Web-сайтов, которые посещал подозреваемый, вы замечаете, что он определенно использовал этот компьютер, чтобы организовать свой маршрут авиапутешествия. Подозреваемый искал билеты из Брюсселя до Балтимора в районе 20 марта 2002 г. Вы просматриваете те же самые маршруты, которые подозреваемый просматривал, щелкая правой кнопкой мыши на URL-адресах и выбирая пункт меню Go To URL.


увеличить изображение

Вам потребуется повторить этот процесс на других Web-сайтах, посещенных с машины подозреваемого, чтобы получить полную картину его деятельности в интернете. Кроме того, вы видите, что подозреваемый пытался забронировать место в отеле Hilton в старом городе Александрии (штат Виргиния); расположенном рядом с Вашингтоном (округ Колумбия).


увеличить изображение

В заключение вы увидели, что объект разыскивал информацию, касающуюся путешествия, которое начинается в Брюсселе и заканчивается в пригороде столичного Вашингтона. Если бы вы не сумели восстановить историю просмотра интернет-сайтов, эта информация была бы потеряна. Теперь следователи могут начинать розыск в этих областях и усиливать охрану на международных рейсах.

<


Содержание  Назад  Вперед