ТИПИ ЦИФРОВИХ КРИМІНАЛІСТИЧНИХ АРТЕФАКТІВ В КОМП’ЮТЕРАХ ПІД УПРАВЛІННЯМ ОС WINDOWS
DOI:
https://doi.org/10.28925/2663-4023.2024.24.221228Ключові слова:
кібербезпека; форензіка; артефакти; неповні вихідні дані; Windows; Forensic Triage.Анотація
. Останнім часом все більшої актуальності набуває питання вирішення різних завдань в умовах, коли вихідних даних для вирішення не вистачає. Пов’язано це з різними проблемами, частина яких виникла і продовжує виникати внаслідок постійного ослаблення економіки України в ході її війни з Російською Федерацією. Зараз обидві країни увійшли до фази «війни на виснаження». Тому виникає об’єктивна необхідність вивчення цього процесу та вироблення стратегії, методів та алгоритмів адаптації до нових умов, коли база вихідних даних для вирішення завдань стає недостатньою. Можна привести множину прикладів, коли життєво потрібно вирішувати завдання в умовах нестачі ресурсів. Це, наприклад, розподіл 10 бронежилетів серед 100 бійців у роті; лікування ранених в умовах нестачі медикаментів; рішення інформаційних задач при відсутності всіх необхідних даних. Ми розглядатимемо інформаційні завдання, пов’язані з комп’ютерною криміналістикою (форензікою). При дослідженні комп’ютера, що зазнав злому, необхідно вирішити питання виявлення факту несанкціонованого проникнення у програмне забезпечення (ПЗ), а також детального аналізу причин та наслідків цього. Ці завдання вже багато в чому вирішені та опубліковані. Але в досліджених публікаціях розглядаються випадки, коли для аналізу доступний сам комп’ютер і достатньо часу на аналіз. Також вважається, що кваліфікація дослідника перебуває на відповідному високому рівні. А от якщо не вистачає часу, кваліфікації, обсягу отриманих вихідних даних? Що і як робити? Стаття і присвячена цій ситуації. Вона починає цикл статей, які об’єднані напрямком «Вирішення задач комп’ютерної криміналістики в умовах неповних вихідних даних».
Завантаження
Посилання
Hintea, D., Bird, R., & Green, M. (2017). An investigation into the forensic implications of the Windows 10 operating system: recoverable artefacts and significant changes from Windows 8.1. International Journal of Electronic Security and Digital Forensics, 9(4). https://doi.org/10.1504/ijesdf.2017.10008013
Rogers, M. K., Goldman, J., Mislan, R., Wedge, T., & Debrota, S. (2006). Computer Forensics Field Triage Process Model. Journal of Digital Forensics, Security and Law, 1(2). https://doi.org/10.15394/jdfsl.2006.1004
Jusas, V., Birvinskas, D., & Gahramanov, E. (2017). Methods and Tools of Digital Triage in Forensic Context: Survey and Future Directions. Symmetry, 9(4). https://doi.org/10.3390/sym9040049
Steam Hardware & Software Survey. (n.d.). Welcome to Steam. https://store.steampowered.com/hwsurvey/Steam-Hardware-Software-Survey-Welcome-to-Steam
GitHub - Psmths/windows-forensic-artifacts: Handbook of windows forensic artifacts across multiple Windows version with interpretation tips with some examples. (n.d.). GitHub. https://github.com/Psmths/windows-forensic-artifacts
Windows registry for advanced users - Windows Server. (n.d.). Microsoft Learn: Build skills that open doors in your career. https://learn.microsoft.com/en-us/troubleshoot/windows-server/performance/windows-registry-advanced-users
Zimmerman, E. R. (2017). Registry Explorer User manual. https://www.oit.va.gov/Services/TRM/files/ RegistryExplorerManual.pdf
Windows $MFT and NTFS Metadata Extractor Tool. (n.d.). TZWorks LLC (www.tzworks.com) Homepage. https://tzworks.com/prototype_page.php?proto_id=12
Acquiring Memory with Magnet RAM Capture - Magnet Forensics. (n.d.). Magnet Forensics. https://www.magnetforensics.com/blog/acquiring-memory-with-magnet-ram-capture/
Korkmaz, F. (2021). Windows artifacts. Medium. https://r4bb1t.medium.com/windows-artifacts-8fae778aa8c7
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Авторське право (c) 2024 Олександр Богданов , Іван Чернігівський
Ця робота ліцензується відповідно до Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.
