1.21M
Categories: internetinternet lawlaw

Криминалистически значимая информация файловой системы NTFS и особенности её исследования

1.

Федеральное государственное бюджетное образовательное
учреждение высшего образования
«Московский государственный технический университет имени Н.Э. Баумана
(национальный исследовательский университет)»
(МГТУ им. Н.Э. Баумана)
КАФЕДРА «БЕЗОПАСНОСТЬ В ЦИФРОВОМ МИРЕ»
«Криминалистически значимая информация
файловой системы NTFS и особенности её исследования»
ВЫПОЛНИЛ: Сучков Алексей Романович, студент 5 курса группы ЮР-94
НАУЧНЫЙ РУКОВОДИТЕЛЬ: старший преподаватель Манучарян Аветис Каренович
2022, МОСКВА

2.

АКТУАЛЬНОСТЬ КУРСОВОЙ РАБОТЫ.
Поиск информации на
уровне файловой системы
играет важную роль для
раскрытия преступлений,
так как множество
криминалистически
важной информации
хранится именно на этом
уровне. Файловая
система NTFS является
для всех компьютеров
под управлением
Windows.
Рисунок 1 – процентное
соотношение операционных
систем в мире.

3.

ОБЪЕКТ И ПРЕДМЕТ КУРСОВОЙ РАБОТЫ.
ОБЪЕКТОМ
ИССЛЕДОВАНИЯ
файловая система NTFS.
являются
ПРЕДМЕТОМ ИССЛЕДОВАНИЯ является
анализ
цифровых
следов
и
особенностей системы атрибутов NTFS в
экспертных исследованиях.

4.

ЦЕЛЬ И ЗАДАЧИ КУРСОВОЙ РАБОТЫ.
ЦЕЛЬ КУРСОВОЙ РАБОТЫ – является проведение поиска и анализа
криминалистически значимой информации в файловой системе NTFS с
использованием специальных программ и носителей информации..
ЗАДАЧИ:
-рассмотреть принцип работы файловой системы NTFS, а так же её структуру
данных.
-рассмотреть атрибуты файлов в NTFS
-рассмотреть метод декодирования файловой записи файловой системы NTFS
-проанализировать и охарактеризовать основные способы обнаружения
альтернативных потоков у файлов.

5.

СПЕЦИФИКА И ОБЩИЕ ПРИНЦИПЫ
КРИМИНАЛИСТИЧЕСКОЙ РАБОТЫ ….
Файловая система NTFS представляет собой сложную, многоэлементную
структуру, которая включает:
•файл MFT
•зону роста MFT
•место под хранящуюся информацию, а так же копию первых записей
файла MFT.
Рисунок 2 – Структура файловой системы NTFS

6.

Атрибуты файловой системы NTFS
Два типа атрибутов: нерезидентные и резидентные
Рисунок 3 – Окно программы «WinHex». Атрибуты файловой записи: оранжевым выделен $STANDARD_INFORMATION, синим - $FILE_NAME, розовым - $DATA, зелёным - $BITMAP

7.

ОСНОВНЫЕ ПРОБЛЕМЫ
С КОТОРЫМИ МОЖЕТ СТОЛКНУТЬСЯ ЭКСПЕРТ
1.Полное или частичное удаление файлов.
2.Форматирование диска .
3.Частичная перезаписывание информации
на носителе информации.
4.Уничтожение информации на уровне
двоичного кода (зануление в 16-ричных
редакторах)
5.Создание скрытых потоков данных для
одного файла.

8.

РЕКОМЕНДАЦИИ
….
1.Проверить носитель информации (его образ) на
наличие журналов MFT и USN с помощью
специализированного ПО.
2.Дублировать проверку с помощью быстрого
осмотра образа в 16-ричном редакторе на наличие
файловых записей не обнаруженных ПО.
3.Все найденные файлы проверить на наличие
скрытых потоков.
4.Изучить данные находящиеся в MFT и USN .

9.

Журнал USN
Рисунок 4 – Окно программы «NTFS Journal Viewer». Содержащее начало USN журнала.

10.

ОСНОВНЫЕ ВЫВОДЫ
Информация, полученная в ходе написания данной курсовой
работы, может быть применима для экспертного исследования всех
носителей информации под управлением NTFS, корректного
формулирования вопросов эксперту или специалисту участниками
судопроизводства.
Вопросы, ставящиеся перед экспертом при криминалистическом
исследования NTFS направлены на установление причастности лица к
действиям на ЭВМ и получения криминалистически значимой информации.
Основные методы экспертного исследования в таких случаях:
1. декодирование файловой записи
2. обнаружение скрытых потоков
3. изучение файлов журналов таких как USN .

11.

Спасибо за внимание!
English     Русский Rules