Анализ цифровых данных

Бывает несколько ступеней, описывающих работу анализа цифровых данных для судебных целей в компьютерной криминалистике. Было предложено порядка 12 разных моделей, но в настоящее время одной из наиболее общепринятых является так называемая улучшенная модель цифрового процесса, предложенная Брайаном Керером и Юджином Паффаром в 2003 г.

Компьютер, цифровые устройства, мобильные телефоны, iPad, iPod и так далее рассматриваются как отдельное место преступления. После того, как вы извлекли и сохранили данные, хранящиеся на этих устройствах, вы точно так же проводится первый анализ того, что же находится на жестком диске или в смартфоне, оформления и после этого определяете зоны дальнейшего осмотра, которые уже углубленно изучаются.

На сегодня объем жестких дисков постоянно увеличивается, кроме того, одна и та же ОС Windows XP просуществовала как минимум 7 лет, это дало возможность специалистам форензики выработать стандартные методики анализа систем, которые могли быть изучены в течение небольшого отрезка времени. Сейчас существует 8 разных ОС для мобильных устройств, они активно противодействуют тому, чтобы из них извлекали информацию, и самое сложное, что версии этих ОС постоянно обновляются, что делает проблематичным разработку обычных методов для анализа.

Облачные сервисы, заменяющие автономные цифров устройства, должны обеспечить сходный уровень криминалистической готовности. Однако это требует преодоления проблем, связанных с объединением ресурсов, мульти арендой и эластичностью инфраструктуры облачных вычислений. Необходим повышенный уровень взаимодействия с органами внутренних дел и компаниями, которые являются провайдерами облачных сервисов.

Другая тонкость заключается в том, что если данные находятся на вашем компьютере, то хакер или вредоносное ПО, которое попало к вам в систему, могут их увести и передать тому, кто будет их использовать в нечестных целях. Поэтому количество данных, хранящихся именно на компьютере, тоже стало уменьшаться. Кроме того, преступники стали гораздо аккуратнее и стараются оставлять как можно меньше следов в ПК и смартфоне.

Кроме того, из системы с полным шифрованием жесткого диска, если она выключена и у вас нет пароля, очень проблематично извлечь данные, поэтому расследование таких систем возможно, когда такая система находится на месте преступления во включенном состоянии. Проблема еще и в том, что большинство сотрудников полиции не имеют специального образования и им требуется помощь специалистов, а их количество ограничено, что требует широкого обучения оперативников именно на уровне извлечения данных из живых компьютеров.