вторник, 21 сентября 2010 г.

Экспертиза жесткого диска. Форензика и фальсификация доказательств

По материалам юридического форума.

deaddy64
Здравствуйте. Подскажите по вопросу.
Изъяли жёсткий диск на экспертизу. Документально зафиксировали только его номер на крышке, опечатали в моём присутствии с моей подписью. Объём информации, количество файлов зафиксированы не были.
Естественно после экспертизы той самой "опечатки" уже нет. Т.е. была возможность записать на диск постороннюю информацию.
Подскажите, реально ли доказать, что во время экспертизы или до неё произведено изменение содержимого жёсткого диска?
Ведь экспертиза проводилась без моего присутствия и что происходило дальше с накопителем мне неизвестно.
ckotinko7
железно можно определить только колво записанных байт(кратно 512) с момента запуска(показатель SMART 0xf1) и колво часов в работе(0x09)

возьмите дату составления протокола. вряд ли у экспертов есть софт, позволяющий существенно изменить даты и/или порядок записей в системном журнале окон. стало быть будут уведомления о пуске/останове служб, если туда что либо ставили с вашей оси.
если ставили как на доп диск, то показателем может быть неполнота установки, и возможно, некорректные пути, сохранённые где-нибудь в недрах подставной программы.
далее, у всех ФС при корректном завершении работы в заголовочный блок пишется точная дата отмонтирования диска. она будет или после изъятия диска, или до - но тогда надо искать файлы, которые попадают между этими двумя датами.
Igor Michailov
Проблема заключается в том, что эксперт не знает как представленные объекты были упакованы при изъятии. Т.е. ему принесли объект: вроде бы и опечатан и подписи понятых имеются, но... а так ли был упакован объект в момент изъятия или нет - эксперт не знает (может объект уже потом переупаковали).

>Подскажите, реально ли доказать, что во время экспертизы или до неё произведено изменение содержимого жёсткого диска?
С рядом оговорок конечно, вполне реально. Для этого необходимо ходатайствовать о назначении дополнительной экспертизы. На разрешение эксперта необходимо вынести вопросы : Производилось ли изменение информации, на представленном НЖМД, в период с [дата/время изъятия] по настоящее время? Если да, то какие изменения производились?

Вы б, для начала, все таки, уже проведенную экспертизу продемонстрировали общественности.

>и что происходило дальше с накопителем мне неизвестно.
После производства экспертизы, эксперт отдал диск следователю/оперу.
....
ckotinko7
в unix например, дата отмонтирования ФС(т.е. корректного окончания работы с ней операционной системой) записывается с точностью до миллисекунд, прошедших между 1.01.1970 и системной датой. в NTFS то же самое, но точность 100нс, и дата, от которой идёт отсчет лежит где-то в 16м веке.

сама нтфсь имеет таблицу MFT из блоков размером 2Кб, каждый из которых(иногда цепочки блоков, если в один не умещается вся информация) содержит одну или несколько копий имён файла(dos, unicode, в местной кодировке), информацию о расположении файла на диске(runlists), атрибуты даты и прав. есть 16 ключевых файлов. они первые в MFT, один из которых содержит время отключения логического диска.

если остро стоит необходимость исследования нтфсины, могу изготовить программу, которая будет показывать эту дату, и список файлов, попадающих в нужный диапазон дат. она в общем-то несложная. 
eleron
Подскажите, реально ли доказать, что во время экспертизы или до неё произведено изменение содержимого жёсткого диска?
Реально. В зависимости от использованной вами ФС и ОС существуют различные следы, которые позволяют определить факт записи данных после изъятия диска (например, во время экспертизы). Еще проще доказать изменение данных ДО экспертизы, т.к. они есть в 99,99% случаев :-)
На разрешение эксперта необходимо вынести вопросы : Производилось ли изменение информации, на представленном НЖМД, в период с [дата/время изъятия] по настоящее время? Если да, то какие изменения производились?
Для получения ответов по признакам из разряда ДА/НЕТ нужно немного переформулировать вопрос. Например, если речь идет про флаг восстановления в Ext3 после изъятия методом прерывания электропитания (если данные не менялись, а ФС на момент изъятия была примонтирована с правом записи - флаг присутствует; после монтирования нехорошим экспертом или кем-то еще после изъятия - флаг снимается).
если остро стоит необходимость исследования нтфсины, могу изготовить программу, которая будет показывать эту дату, и список файлов, попадающих в нужный диапазон дат. она в общем-то несложная.
http://sleuthkit.org

И для затравки: http://anti-forensics.livejournal.com/2165.html
SergeyF
а если запросить снятие контрольных сумм по CRC или MD5? изменение всего 1 байта, новый свап-файл, или просто запуск ОС напрямую с этого винта-и сумма не сойдётся. следовательно данные были изменены. следовательно стояли триалы а эксперт их сделал ломанными.
что скажете?
SoloX2
а если запросить снятие контрольных сумм по CRC или MD5? изменение всего 1 байта, новый свап-файл, или просто запуск ОС напрямую с этого винта-и сумма не сойдётся. следовательно данные были изменены. следовательно стояли триалы а эксперт их сделал ломанными.
что скажете?
Если такое снятие контрольных сумм производилось при изъятии, тогда есть с чем сравнивать...

Статья Anti-forensics из ЖЖ "Фальсификация цифровых доказательств":

Возможна ли фальсификация доказательств в виде компьютерной информации? Да, ничего не мешает плохому эксперту записать на исследуемый диск пару программ "с признаками контрафактности", архив с ДП, ну или лог-файл с нужным IP-адресом.


К сожалению, не существует каких-либо технических методов противодействия подобным предательским экспертизам: блокираторы записи предназначены для защиты исследуемых данных от случайных, ошибочных изменений и их использование не является обязательным; подсчет и проверка хеш-значений для данных всего диска грозит правовыми последствиями в случаях, когда особенности носителя информации приводят к изменениям данных (например, выравнивание изнашивания данных с использованием свободного пространства файловых систем).

Единственный способ эффективного противодействия — сочетание технических и правовых мер. Для поиска файлов, скопированных в систему после изъятия носителя информации, можно использовать временные метки создания (C — create), изменения (M — modify) и доступа (A — access) объектов файловой системы, которые отнюдь не просто изменить (фальсифицировать). Разумеется, временными метками MAC возможности по обнаружению фальсифицированных данных не ограничиваются — грамотным судебным экспертам известны и другие следы, возникающие при "подбрасывании" в систему каких-либо файлов, например, временная метка последней записи данных в файловой системе Ext3.

Проблема, которая возникает при поиске фальсифицированных доказательств, заключается в том, что ряд признаков (следов) позволяет определить только факт записи на носитель данных после изъятия; эти признаки могут стать отправной точкой дальнейшего исследования системы. Однако, другая причина записи данных на исследуемые носители информации — неприемлемые методы исследования цифровых доказательств, которые далеко не всегда связаны с фальсификацией данных. Следовательно, любой поиск признаков фальсификации доказательств нужно проводить тщательно, без права на ошибку: что случится, если изменения метаданных файла X при работе без блокиратора записи будут расценены как верный признак фальсификации содержимого этого файла?
Данная проблема является еще одной причиной перехода на корректные, приемлемые методы и средства исследования компьютерных носителей информации.

Вторая проблема заключается в том, что эксперт-злоумышленник (как лицо, обладающее специальными знаниями) может учесть все особенности следообразования в различных операционных системах (подобные особенности описаны на специализированных Интернет-ресурсах). Как этого избежать? Можно создавать большие списки хеш-значений для файлов в занятом пространстве файловой системы (вероятность изменения этой области данных из-за особенностей носителя информации очень мала), что не исключает появление фальсифицированных удаленных файлов; можно создавать хеш-значения для данных свободного пространства файловых систем на изъятом диске по блокам малого размера (если хеш-значения для определенного блока не совпадают при проведении экспертизы, то этот блок игнорируется, т.е. его содержимое не используется в качестве доказательства).

В любом случае, более-менее эффективные методы обнаружения фальсифицированных данных уже существуют и применяются — простое копирование файлов на исследуемый диск можно обнаружить и доказать (даже при условии успешного изменения соответствующих временных меток файловой системы). Поводов для паники нет.

Комментариев нет: