В 2015 году израильская коррупционная сеть, объединенная полицейскими и высокопоставленными прокурорами, такими как Рути Давид, была раскрыта при предъявлении и предъявлении поддельных обвинений гражданам, которые платили или отказывались давать взятки. Когда ключевой полицейский, Ронал Фишер, был задержан, его сотовый телефон был конфискован для дальнейшего исследования, телефон Фишера был зашифрован, и израильская полиция долгое время не могла расшифровать контент, который наносил ущерб расследованию и приводил к скорому раскрытию коррумпированных материалов. офицеры. Здесь в игру вступает компьютерная криминалистика, чтобы анализировать и восстанавливать любую информацию, совместимую с доказательствами.
Цель компьютерной криминалистики - реконструировать события в устройстве, чтобы собрать доказательства или их следы для подтверждения или отклонения иска в суде. Вот почему основная задача компьютерных криминалистов - восстановление данных, в том числе удаленных или зашифрованных. Разница между программным обеспечением, используемым агентом компьютерной криминалистики, и обычным пользователем, восстанавливающим потерянные данные, заключается в журнале аудита, документирующем процедуру и события в юридически приемлемом формате, в некоторых случаях агенты записывают весь процесс на видео, но сама задача входит в число самый простой, поскольку, когда мы удаляем информацию с жесткого диска, мы не удаляем данные, а помечаем сектор как свободный для хранения новой информации, пока новая информация не достигнет сектора диска, информацию можно будет восстановить, чтобы избежать этого, мы должны стереть наши данные, а не просто удалить их.
Компьютерная криминалистика даже может восстанавливать несохраненные данные, хранящиеся в оперативной памяти, поэтому есть инструменты для работы с образами устройств и в живых сеансах, этот второй метод известен как Живой анализ и это первый шаг, когда включается устройство для исследования.
Более современные методы, такие как Стохастическая криминалистика позволяют нам узнать, произошла ли утечка данных, путем определения временных меток, связанных с такой деятельностью, как копирование файла, что было невозможно раньше, поскольку такие инструкции, как копирование, не оставляют следов в системе.
Компьютерная криминалистика на практике в основном связана с восстановлением и расшифровкой данных, но также позволяет обнаруживать компрометирующие элементы в системе, такие как вредоносные программы, вредоносный код или хакерские атаки на устройство.
Когда аргентинский прокурор Альберто Нисман был убит за несколько часов до того, как должен был предъявить обвинения экс-президенту, компьютерные криминалисты обнаружили удаленные интрузивные подключения к его персональному компьютеру, что привело к расследованию против его собственного компьютерного помощника.
Kali Linux, самый популярный дистрибутив Linux для задач безопасности, поставляется с самыми мощными и популярными инструментами для выполнения задач компьютерной криминалистики без необходимости предварительных знаний. Поскольку Kali можно запустить как live cd / usb, это отличный вариант для изучения этих инструментов, которые я представлю в следующей статье.
Надеюсь, вы нашли это введение в компьютерную криминалистику полезным. Следите за LinuxHint для получения дополнительных руководств и обновлений по Linux.