Компьютерная криминалистика

Содержание

Слайд 2

Что такое компьютерная криминалистика? Ответвление криминалистики, сочетающее в себе восстановление и

Что такое компьютерная криминалистика?

Ответвление криминалистики, сочетающее в себе восстановление и расследование

материалов, найденных на электронных носителях.

Криминалистика – наука, исследующая закономерности приготовления, совершения и раскрытия преступлений

Слайд 3

Разделы

Разделы

Слайд 4

Задачи Найди улику в образе диска Найди улику в дампе трафика

Задачи

Найди улику в образе диска
Найди улику в дампе трафика
Найди улику в

дампе ОП
Найди улику в бинарнике
Найди улику в RAM

Слайд 5

Про анализ бинарников Бинарные файлы могут встречаться десятками в образе Каждый

Про анализ бинарников

Бинарные файлы могут встречаться десятками в образе
Каждый дизассемблировать смысла

нет
Проверить строки командой strings
Слайд 6

Анализ оперативной памяти Volatility \\.\PhysicalMemory \\.\DebugMemory /dev/mem mdd Hex-editors (HxD, WinHex,..)

Анализ оперативной памяти

Volatility
\\.\PhysicalMemory \\.\DebugMemory
/dev/mem
mdd
Hex-editors (HxD, WinHex,..)

Слайд 7

Загрузка ОС на примере Windows Включение питания Чтение команд из BIOS

Загрузка ОС на примере Windows

Включение питания
Чтение команд из BIOS
Анализ оборудования
Поиск загрузочного

носителя в порядке очереди
Выполнение загрузочного кода из первого сектора диска
Выполнение загрузочного кода раздела
Слайд 8

Анализ файловых систем Данные файловой системы Данный содержимого Метаданные Данные имен файлов Прикладные данные

Анализ файловых систем

Данные файловой системы
Данный содержимого
Метаданные
Данные имен файлов
Прикладные данные

Слайд 9

NTFS Наиболее распространенная файловая система для семейства ОС Windows Концепции Безопасность Надежность Поддержка носителей больших объёмов

NTFS

Наиболее распространенная файловая система для семейства ОС Windows
Концепции
Безопасность
Надежность
Поддержка носителей больших объёмов

Слайд 10

Основные понятия NTFS Все данные – файлы MFT (Master File Table

Основные понятия NTFS

Все данные – файлы
MFT (Master File Table ~ «Главная

файловая таблица» )
Пространство выделяется кластерами – (группы смежных секторов)
Слайд 11

MFT (Master File Table) Запись в таблице для каждого файла и

MFT (Master File Table)

Запись в таблице для каждого файла и директории
Все

записи нумеруются. [0,1,…]
Нулевая запись – запись на себя
Может быть фрагментирована по секторам
Расширяется системой, но не сужается
Слайд 12

Запись MFT Занимает 1024 байта Первые 42 байта – фиксированный формат Остальное пространство под атрибуты

Запись MFT

Занимает 1024 байта
Первые 42 байта – фиксированный формат
Остальное пространство под

атрибуты
Слайд 13

Запись MFT Первая запись – базовая Если атрибуты не помещаются в

Запись MFT

Первая запись – базовая
Если атрибуты не помещаются в запись, то

создается ещё одна запись с ссылкой на базовую
Слайд 14

Файлы метаданных Занимают зарезервированные первые 16 записей MFT Первые 12 записей

Файлы метаданных

Занимают зарезервированные первые 16 записей MFT
Первые 12 записей выделены и

содержат файлы метаданных
4 записи [12-15] выделены, но являются пустыми
Слайд 15

Файлы метаданных

Файлы метаданных

Слайд 16

Файлы метаданных

Файлы метаданных

Слайд 17

Файлы метаданных

Файлы метаданных

Слайд 18

Атрибуты Все атрибуты имеют заголовок и содержимое Структура содержимого может быть

Атрибуты

Все атрибуты имеют заголовок и содержимое
Структура содержимого может быть разная у

разных атрибутов
Заголовок хранит тип, размер, имя атрибута
Запись может иметь несколько однотипных атрибутов (у каждого уникальный id)
Слайд 19

Атрибуты Резидентные и нерезидентные Разреженные атрибуты Сжатые атрибуты($DATA)

Атрибуты

Резидентные и нерезидентные
Разреженные атрибуты
Сжатые атрибуты($DATA)

Слайд 20

Сжатие

Сжатие

Слайд 21

Типы атрибутов Все типы имеют идентификатор, имя По идентификатору происходит упорядочивание атрибутов в записи

Типы атрибутов

Все типы имеют идентификатор, имя
По идентификатору происходит упорядочивание атрибутов в

записи
Слайд 22

Восстановление данных 1. Восстановление разрушенных данных • Аппаратные и программные сбои

Восстановление данных

1. Восстановление разрушенных данных
• Аппаратные и программные сбои
• Воздействие вредоносного

ПО
• Ошибки и намеренные действия пользователей
2. Восстановление «закрытых» данных
• Данные, закрытые паролем
• Кодированные и шифрованные данные
• Данные в «скрытых» областях
3. Восстановление с систем хранения данных
• RAID системы и внешние DAS системы
• Сетевые хранилища NAS
• Виртуальные и распределенные хранилища данных
4. Разнообразие технологий хранения данных
• Типы накопителей
• Интерфейсы
• Способы организации хранения данных
Слайд 23

Анализ данных и представление результатов 1. Анализ данных • Выбор инструментария

Анализ данных и представление результатов

1. Анализ данных
• Выбор инструментария (ПО, утилиты)

Интерпретация данных
• Корректная постановка вопросов эксперту
2. Представление результатов
• Доказательность собранных данных
Слайд 24

Особенности Mobile forensics 1. Использование Flash, SSD в качестве основного носителя

Особенности Mobile forensics

1. Использование Flash, SSD в качестве
основного носителя
Работа с твердотельными

носителями со сложной организацией памяти
2. Закрытость платформы
Трудность обеспечения полноты копии из-за сложностей с организацией прямого доступа к памяти
3. Многообразие реализаций
4. Технические сложности из-за миниатюризации
Слайд 25

Особенности Network forensics 1. Большое количество компьютеров Необходимо применение специальных средств

Особенности Network forensics

1. Большое количество компьютеров
Необходимо применение специальных средств мониторинга, анализа

и хранения сетевых данных
2. Обмен данными с Интернет
Необходимо предварительное накопление и хранение данных в специальных системах (аналогия - видеорегистраторы)
3. Беспроводные сети
Проблемы Computer forensics
- Предыдущая
Защита информационных ресурсов компьютерных систем и сетей
Следующая -
Архитектура Вмис

Похожие презентации

Кривые линии
Презентация "Стратегическое планирование или управление – что выбрать?" - скачать презентации по Экономике
Монастырь Шаолинь. Боевые искусства Шаолинь
Нанесение размеров
Корпоративная культура (3). Семейная модель корпоративного управления
Презентация Трудовые ресурсы России
Системы связи. Единая сеть электросвязи РФ
Арматура для конструкций
5-1-3-tehnika-bezopasnosti-i-organizacija-rabochego-mesta
Возвращение Крыма в Россию
Внеклассное занятие к неделе географии
Монизм и пантеизм Спинозы
Презентация по алгебре Арифметическая прогрессия вокруг нас 9 класс
Искусство доколумбовой Америки
Резьбы, резьбовые изделия и соединения. Разъемные соединения. Неразъемные соединения
Всеобщее декларирование доходов и имущества физических лиц
Оценка соответствия. Порядок аккредитации. Проведение проверки квалификации. Тема 6
Образы и темы в народном искусстве Руси
Рабочее оборудование рыхлителя. Бульдозер-рыхлитель
Хроматографические методы анализа и разделения смесей веществ
PIETER PAUL RUBENS (1577-1640)
Социально-биологические основы физической культуры
Адгезивные мостовидные протезы
Контрольно-оценочная деятельность
Информационная безопасность учащихся
Презентация Таможенная статистика и анализ
Культура крымских татар
Презентация на тему "моя воспитательная концепция" - скачать презентации по Педагогике
Вы можете прислать нам Вашу презентацию и мы опубликуем ее на сайте.
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть