datalabcomua

Призрачные файлы: как преступники восстанавливают надежно удаленные данные?
Содержание статьи
Файлов изображений flambe file дефрагментация истина и мифы о магнитной микроскопии лучше всего защита - это атака заключение программа для безвредного удаления данных: для исследователя, проводящего анализ компьютера подозреваемого, есть постоянные данные, которые представляют особый интерес. Полем но иногда мы можем сказать, что, поскольку сфера, в которой была обнаружена случайные данные, тогда вообще нечего восстановить. Это правда, но только отчасти. Даже в конце такого перестрахования данным часто удается извлечь!
Что происходит, когда файл удален? Это слишком просто - в файловой системе один атрибут меняет его, и в результате он помечен как удаленный. При всем этом содержание файла, как и прежде, находится на винте, а бетон может быть восстановлен с помощью ближайших из всех платных и неоплачиваемых программ (например, r-studio). Мы писали десятки раз о том, где безопасно удалить видео без вероятности восстановления. Для этого есть много ставней утилиты, они перегружают области дисков, где удаленные данные были расположены с использованием простых методов. Таким образом, также при использовании технологий восстановления, когда данные считываются непосредственно из магнитных носителей, удаленные файлы не смогут восстановить возможность. В оптимальности этого даже реальные эксперты с точки зрения восстановления данных были гарантированы нам. Но - у гуру все еще есть лазейки для получения информации!
Файлы изображений
Начнем с рассмотрения простого случая - удаление обычной фотографии. Предположим, здесь представлена ячейка с иллюстрациями, и наша компания избавится от любого из них. Более того, мы официально удаляем, уменьшая желаемую область диска более одного раза. Теоретически, вы должны согласиться, что ничто не должно давать его содержимое (если мы сами не скопировали места в другой папке и не помнили об этом). Однако сразу же люди сразу же забывают об одной функции windows - файла thumbs.Db. Это специальное хранилище, используемое операционной, где есть наброски изображений из текущей папки. Если в проводнике выберите режим отображения «эскиз -эскиз», то в операционной комнате будет получено уменьшенные изображения изображений из этого файла. Он разработан в любой папке, с доступом к изображению и включает в себя уменьшенные наброски изображений в томе jpeg (независимо от формата исходного изображения).
Мы проведем небольшой эксперимент - мы создадим там папку и поместим там три любых картинка. Теперь мы откроем этот каталог в проводнике - появился thumbs.Db (чтобы увидеть этот файл, вам необходимо включить отображение скрытых файлов). У нас есть возможность просмотреть и проанализировать его через утилиту просмотра базы данных миниатюры. Программа, конечно, показывает наброски для каждого трех файлов. И теперь мы удалим одну из них через программу sdelete или любое другое программное обеспечение для безвредного удаления данных:
sdelete.Exe -p 2 file1.Jpg
Параметр r обеспечивает количество отрывков schroeder, говоря, другими словами, указывает на то, сколько раз видео будет перезаписано перед удалением. В результате фотография будет выпущена безвозвратно стерто с жесткого диска. Но давайте посмотрим, затронуло ли это удаление на больших пальцах. Снова откройте это и что наблюдает наша компания? Рисунок для удаленной картинки все еще дома! Сформируется, что видео без напряжения может иметь наброски уже отдаленных изображений. Даже на этом, как мне сказали, много умного человека столкнулся с ...
Как предотвратить это? Это чрезвычайно легко, вам просто нужно отключить наброски в видео thumbs.Db. В windows xp вам необходимо поместить disablethumbnailcache для hkey_current_usersoftwarosososofoftwindowscurrentersplorararararararararararararararararararodvancenced «1». В windows 7 этот ключ имеет имя nothumbnailcache и занята hkey_current_usersoftwaremicrosoft windowscurenerntersionpoliceeseesplorer. И, конечно, вам нужно помнить, чтобы удалить все phombs.Db.
Накачанный файл
Ос с первого взгляда в единственном файле с набросками не исчерпана. Во время выполнения работы сертифицированная информация о том, которая попала в различные детали ос - временную папку, каталог и многое другое. Поэтому довольно сложно отслеживать и уничтожить все данные, возникающие из файла. В дополнение ко всему остальному, есть углы, в которых копия файла может быть абсолютно внезапно (часто такая авария может сделать безумно дорогостоящую). Я говорю о свайном файле (pagefile.Sys) и о ударе памяти, используемой в режиме сгибания (hiberfil.Sys).Очевидно, нереально предсказывать содержимое насосного файла, поэтому никто не может согласиться с тем, что он ничего не может гарантировать. Я также предлагаю, чтобы с единственным экспериментом, чтобы убедиться, что является опасным местом.
, Поскольку система легко не предоставляет представление и не скопировать свинг -файл, у нашего предприятия есть 2 способа: для использования специальных утилит или загрузки в новой операционной комнате и восстановить пароль в файл из это. Второй метод казался мне проще, однажды в доступе был обратно, заполненный различными утилитами, даже для реабилитации файлов. Поэтому, загрузив с livecd, я установил файл windows и пошел на вкладку backtrack-> forensic, откуда я запустил главную утилиту. Эта замечательная консольная программа может восстанавливать файлы в зависимости от их заголовков и внутренней структуры. Вам просто нужно перенести имя входного файла, в котором будет выполнен поиск, и выбрать каталог, в котором можно сохранить все найденные данные:
#Ofremost-i/mnt/hda1 /pagefile.Sys-o/root/desktop/page_file -v -v -v
В качестве входного файла я указал на насос /мнт/hda1/pagefile.Sys и каталог для обслуживания результаты -/root/desktop/page_file. Программа начала свою часть работы. В течение нескольких часов, прежде всего получили шанс выбрать и получить 524 файла.
Статистика извлеченных файлов: jpg: = 73 gif: = 4 gif: = 19 jpg: = 77 jpg: = 95 doc: = 1 pgp: = 65 pgp: = 62 pgp: = 44 pgp: = 36 dat: = 7 lnk: = 3 кук: = 38
Утилита удобно отсортировала все композиции по принципу и выложено на интересных папках. Начнем с того, что я поднялся, чтобы проверить, что попадает в каталог jpg. Из любых отреставрированных файлов около 50% отказались отображаться, но другой был совершенно заметен. И что произошло в области изображений: пара фотографий, которые я удалил на днях; много маленьких изображений из журналов; facebook аватары и т. Д. .. Честно говоря, я не планировал найти много изображений. В дополнение к картинкам, я также хотел выяснить, которое является единственным видео doc, которое было включено в насосную файл. Однако, к сожалению, только слово прокляло, что файл был испорчен, также не имел возможности открыть его. Внезапный подарок ждал меня в папке печенья - свободно пронзив пару порно, я нашел адрес видео, который я смотрел почти год назад на youtube. Вот еще одно доказательство того, что все удаляется через окно браузера все файлы cookie и историю, все можно проколоть.
Что мы на самом деле делаем? Есть несколько способов. Первый - отключить качающий файл в целом. Для этого вам необходимо ввести панель управления-> система и security-> system-> advanced system settings-> performance-> advanced-> virtual memory-> изменить и указать опцию «нет paging file». Другой метод состоит в том, чтобы заставить ос стирать все данные в спинге, прежде чем выключить компьютер. Этот режим активируется, если вы поместите ключ clearpagefileatshutdown в категории управления управления hkey_local_machinesysystrolsetrolserolsitrolssione. Увы, другой метод очень медленный, и выключение продукта будет проходить для занимать довольно длительный интервал, он означает использовать его из опыта или нет - решайте сами. Подобная ситуация - и подключение файла hiberfil.Sys. В то же время это может быть отключено, что он защищает дополнительное место на диске.
Кстати, не является грехом, чтобы исследовать насосной файл в windows. Однако, поскольку ос не позволяет ее изучать и копировать ее с помощью обычных инструментов, нам понадобится программа ftk imager. Мы перейдем на вкладку «file-> добавить элемент доказательств» и указываем диск, в какой момент зарегистрирован накачанный файл. Дерево каталогов будет отображаться на панели слева, которая требует выбора pagefile.Sys и использования функции экспорта через контекстное меню. Накачанный файл проще, чем простой, в любую папку, которая у нас есть, и никакая конструкция структуры с аналогичным моментом не позволяет анализировать ее. Для ознакомления, кстати, мы рекомендуем использовать diskdigger или photorec. Первый проще, однако, второе может восстановить более диаметр круга всех областей файлов.
Дефрагментация
Давайте перейдем к следующей причине появления файлов призраков. Чтобы быть более ясным и ясным - мы все равно проведем небольшой эксперимент. В его глазах нам понадобится флэш -драйв и талант, чтобы лечить winhex'om. Во -первых, мы предоставим базу для опыта, удаляя всю информацию с другой среды. Для этого мы запускаем winhex, даем команду open disk даже в рабочем поле, мы выберем наше устройство. В результате раскрытия мы полностью выбираем все его содержимое (ctrl a) и засорение нулей (ctrl l).Значительный «но» - процесс переписывания занимает много времени, поэтому я рекомендую сделать меньшую флэш -накопитель. С этого момента нет никакого сокращения диска и выше, нет файловой системы. Следовательно, дальнейшей стадией будет форматирование флэш -накопителя в ntfs. По умолчанию windows xp предоставляет формат usb -флэш -накопителя исключительно в fat, но для наших процедур нам нужен ntfs.In заказ, чтобы операционная комната для формирования смартфона в файловую систему, которая нам нужна, вам нужно посетить диспетчер устройств, найдите носителя в каталоге и установите вариант «оптимизировать производительность» в качество качества. Только после всего этого windows сможет форматировать флэш -накопитель в ntfs.
Цель нашего опыта состоит в том, чтобы увидеть, какое состояние файлы в течение периода дефрагментации. Для этого мы создадим искусственную фрагментацию на нашем среде информации. Возьмите три файла jpeg и три из любых аудиофайлов или видеоклипа (основной, чтобы их размеры были больше jpeg) и скопируйте материалы на флэш -накопителе в этом порядке: 1.Mp3, 1.Jpg, 2.Mp3, 2.Jpg, 3.Mp3, 3.Jpg.
Интересно, как они находятся на диске? Чтобы посмотреть это, мы будем использовать tulas diskview от mark russinovich. Он отображает графическую дисковую схему, где можно будет узнать о направлении информационного движения и вычислить, какое видео принимает любые кластеры (для этой цели необходимо нажимать на кластер с мышью). Двойной щелчок позволяет получить более конкретную информацию о файле, на который выделяется кластер. Мы запускаем программу, выбираем нашего перевозчика и нажимаем. Во -первых, существует зеленая полоса, обозначающая кластеры системы, и, например, сразу после того, как это область синих кластеров, представляющих наши видения, записанные один за другим. Теперь мы создадим фрагментацию, удалив все аудиофайлы. Мы снова нажимаем и убедим, что перед каким -либо файлом jpeg есть пустая область. Теперь давайте переключимся на winhex на короткое время. Чтобы дополнительно выяснить, что в настоящее время на рынке есть флэш -накопитель, нет малейших утомительных графических файлов, мы будем проводить поисковую систему по подписи: мы ищем последовательность «jfif», которая присутствует в заголовок любого файла jpeg. В процессе редактор, как и ожидалось, обнаружил ровно три таких последовательности по количеству оставшихся файлов.
Ну, тогда пришло время разместить вещи в порядке: это не дело, когда файлы так разбросаны вдоль диска :). Мы запускаем дефрагментацию, так любимые пользователями, для процветающего перевозчика:
C: decumbs и settingsadministrator> defrag h: difragment (c) 2001 microsoft corp. И executive software international. , Inc.
Отчет об анализе 7,47 гб всего, 7,43 гб (99%) бесплатно, 0% фрагментировано (0% фрагментация файла)
Defragmentation отчет 7,47 гб общий, 7,43 гб (99%) бесплатно, 0% фрагментирован (0% фрагментация файла)
Дефрагментация. Позвольте нам спросить, что изменилось на флэш -накопителе. Нажмите на приложение diskview и какую полезную вещь мы наблюдаем? Видео, которое было расположено в интернете друг от друга, было аккуратно перенесено в начало диска и расположено строго последовательно. Но теперь внимание! Дефрагментация скопировала ленты в начале диска, поместив их последовательно, но набрал ли экран их предыдущая копия? Чтобы дать ответ на такой вопрос, мы снова перейдем к самому мощному шестнадцатилетнему редактору. Мы снова будем держать поисковую систему для "jfif". Op-pa, теперь вместо трех линий мы получили до шести! Но это может привести только к себе - в новом тысячелетии весь файл сделан в 2 копиях. Каждое из вышеперечисленного легко восстанавливается с помощью diskdigger’a или photorec’a. И сегодня представьте, что в обмен на графические файлы были какие -либо конфиденциальные документы или новости с информацией о кредитных картах. Даже если бы мы использовали утилиты sdelete и переписали эти 3 файла тысячи раз перед удалением, их призраки все равно возникнули бы на диске и существовали там смутно в течение долгого времени. До этого часа, пока они не будут перезаписаны чем -то другим. И такое счастье может быть восстановлено!
Правда и мифы о магнитной микроскопии
Год за годом игроки падают на две крайности. Некоторые открыто отказываются от своей безопасности, анонимности и хранят все интересные данные на жестком диске, будучи уверенными, что они спас бы их. Другие, напротив, ежедневно тереть винт и устанавливать операционную. Возможно, я преувеличиваю. Тем не менее, довольно часто он читает конфликты в интернете о том, как переписать винт, чтобы информация не была восстановлена. Я предлагаю экспериментально, чтобы выяснить, достаточно ли одного полного переписывания, чтобы безвозвратно удалить все предложения. Итак, мы снова принимаем нашу экспериментальную среду и полностью переписываем ее с помощью нулей, только после всего этого мы форматируем в ntf.Чтобы уточнить, мы бросим на него какой -то файл: будь то все еще jpeg. Его всегда можно найти в winhex'e с помощью подписи "jfif". У меня есть это со сдвигом 274432. Ну, давайте запустим schroeder (я использовал инструмент hdd wip) и застрял весь диск. Отныне, если мы учимся в winhex, который расположен в соответствии с смещением 274432, то наша организация будет смотреть только на нули. Чтобы успокоиться и больше уверенности, вам необходимо попытаться вернуть некоторые данные, используя diskdigger, photorec, прежде всего и другие утилиты. Тем не менее, это однозначно бесполезное потребление сил - из них ничего не будет. " Ну, давайте обсудим магнитную микроскопию. Суть этого варианта состоит в том, чтобы исследовать уровень амортизации каждого бита до его переписывания. Другими словами, было ли это равным одному или нулю. Возьмите текст в формате ascii. Каждый символ кодируется восемью битами, настолько удивительными, что в случае, когда у вас есть только один бит неправильно, получается совершенно другой символ. Например, существует последовательность «анти» символов, которая выглядит следующим образом: 0110000111111111111111111101001. Предположим, что магнитная микроскопия правильно определила все летучие мыши, за исключением последнего - в конце такого восстановления, каждый из нас удаляет « последовательность anth ». Неоценка получается. И это подразумевается самый простой текстовый файл. Представьте себе, что может быть со структурированными форматами - например, архивы, файлы базы данных, заполненные фильмы и тому подобное. В дополнение к такому методу, довольно медленно и дешевле. Следовательно, в ряде ситуаций использование магнитной микроскопии имеет такой же точный результат, а также восстановление, бросая монету в «орлиную секунду». Следовательно, нет ни малейших требований три раза переписать диск.
Лучшая защита - это атака
, Что можно сделать сплю, чтобы усложнить судьбу человеческой расы, способной на них. Проникнуть в компьютер для экзамена? Есть несколько методов. Если «желаемый контент найден на ноутбуке, процесс его создания станет хорошим доказательством его владельца. Чтобы проследить цепочку событий, эксперты основаны на времени создания/доступа/модификации файла. А почему бы не запутать следы? На страницах веб -сайта metasploit.Com есть такая отличная утилита, как и временная, которая позволяет изменить время создания, модификации или подключения для данного файла. Основные функции для его работы:
-M устанавливает дату последней модификации файла -a устанавливает дату последнюю квитанцию файла -c устанавливает время создать файл -e устанавливает время изменения файла, хранящегося в mft -z устанавливает четыре из приведенных выше параметров
Дата устанавливается в этой форме: dayofweek monthdayar hh: ss: ss [am вечера].
Уже есть очень интересная опция -b, которая устанавливает приведенные выше атрибуты, которые программа engase, известная в кругах компьютерного преступления, не обнаруживает порно и отображается пустой :).
Таким образом изменить атрибуты файла, просто выполните команду в консоли:
C:> timeestomp.Exe boot.Ini - z "воскресенье 12.01.2099 22:00:00"
Вы можете легко набросать скрипт, который может повторно изменять временные атрибуты файлов ежедневно. Идеальная идея заключается в следующем:
Для/r: инструменты %i in (*) dotimestomp.Exe %i -z "понедельник 3/12/2009 22:00:00"
Существуют другие методы, чтобы испортить жизнь товарищей-исследователей других людей. Они используют программы, написанные обычными людьми, и в связи с этим есть ошибки. Конечно, у нас есть возможность использовать уязвимости программы, используемой для поиска доказательств. Более подробно, все это можно рассмотреть в некоторых отчетах с конференцией defcon.
"Безопасное удаление профиля не является чудо-леваризмом. Я осмелюсь заверить вас, что описанные лазейки не одиноки. Кто, по характеру деятельности, проводит экзамены компьютеров в подробный уровень, знает, как будет легче найти данные, которые ему нужны. Теперь ваша безопасность в ваших руках - не дайте «призраков» ни одного «призрака» на вашем компьютере. Во -вторых, хорошо не даст им причину для приходите в свою квартиру друзей :).
Для владельцев есть какие -либо вопросы относительно места, в каком месте и сколько у вас есть возможность поставить информацию о восстановлении из внешнего диск (datalab.com.ua), у вас может быть возможность нажать менеджер на этом ресурсе сайта.