Восстановление данных в криминалистике

Читайте, чем отличаются коммерческий и криминалистический подходы к восстановлению данных. Методы восстановления информации в криминалистике, алгоритмы, требования и программы для сбора улик.

Что происходит, когда извлечённый из компьютера жёсткий диск попадает в руки криминалиста? Криминалистический анализ диска очень похож на работу по восстановлению данных. Но есть и существенные различия, и различия эти далеко не только в цене соответствующих программ.

Восстановление данных в криминалистике

Основные требования

Не секрет, что разработка тех или иных инструментов подчиняется требованиям заказчика. В случае с программами для восстановления файлов – это восстановление максимального количества информации за минимальное время. А как обстоят дела в сфере криминалистики? Требования похожи и не похожи одновременно.

Перейти к просмотру
Как восстановить очищенную историю браузеров Chrome, Mozilla FireFox, Opera, Edge, Explorer 🌐⏳💻

Как восстановить очищенную историю браузеров Chrome, Mozilla FireFox, Opera, Edge, Explorer 🌐⏳💻

Работа в режиме «только чтение»

Работа в режиме «только для чтения» – одно из немногих требований, которое роднит две категории программ. Доступ только на чтение информации используется программами по восстановлению данных с целью не допустить повреждения или перезаписи удалённых файлов. А вот в криминалистике дела обстоят гораздо жёстче: требование неизменности извлекаемых улик – один из основополагающих принципов судопроизводства. Соответственно, криминалисты предпочитают не полагаться на добрую волю программистов, а подстраховываются, используя специальные аппаратные блокираторы записи. Использование таких устройств заведомо исключает любые попытки записи на исследуемый жёсткий диск.

Использование виртуальных образов диска

Использовать виртуальный образ диска или восстанавливать данные «по живому» – выбор каждого специалиста по восстановлению данных. У криминалистов такого выбора нет: стандартная процедура анализа диска подразумевает снятие образа в формате Ex01, DD или SMART, и последующий анализ этого образа. Практика, удобная со многих точек зрения, но требующая наличия свободного диска большого объёма.

Перейти к просмотру
Как создать образ восстановления и восстановить систему Windows 10 из образа ⚕️💻🤔

Как создать образ восстановления и восстановить систему Windows 10 из образа ⚕️💻🤔

Документирование процесса

Одна из обязанностей криминалиста – тщательное документирование каждого шага работы с цифровыми уликами. Все операции, проделанные аналитиком, должны быть прозрачны и повторяемы другим, независимым специалистом. Для программ по восстановлению данных таких требований не существует, поэтому создаваемые такими программами отчёты ограничиваются списком файлов, которые удалось или не удалось восстановить.

Поиск по сигнатурам и data carving

Программы для восстановления данных используют мощные алгоритмы для поиска файлов по сигнатурам на всей поверхности жёсткого диска. Эти алгоритмы используют известные повторяющиеся участки (сигнатуры) для того, чтобы обнаружить начало файла. К примеру, для *.docx и *.xlsx файлов это «50 4B». Последующий анализ заголовка файла позволяет вычислить его длину.

Недостаток таких алгоритмов – невозможность полностью восстановить фрагментированные файлы (разумеется, это касается только файлов, для которых нет соответствующей записи в файловой таблице, а также дисков с повреждённой или уничтоженной таблицей разделов).

Перейти к просмотру
Восстановление данных после удаления или создания новых разделов 📁🔥⚕️

Восстановление данных после удаления или создания новых разделов 📁🔥⚕️

В условиях расследования преступлений часто требуется восстановить какой-то конкретный файл независимо от того, фрагментирован он или нет. В этом случае на помощь приходят алгоритмы семейства «data carving» (соответствующего термина на русском языке пока не существует). Такие алгоритмы используют эвристику, комбинаторику и львиную долю ручного труда для сборки интересующего криминалиста файла из множества отдельных фрагментов. Процесс этот чрезвычайно длительный и трудоёмкий, поэтому даже в криминалистике на сегодняшний день он используется очень и очень редко. Впрочем, разработчики не стоят на месте – и уже завтра может появиться программа, которая сможет автоматизировать процесс.

Что именно восстанавливается

Казалось бы, пользователей компьютера и криминалистов должны интересовать одни и те же файлы, но это не так. Криминалистов интересует поведение подозреваемого на протяжении некоего отрезка времени. Соответственно, извлекаются такие данные, как кэш браузера, база данных, содержащая историю посещённых веб-сайтов, файлы реестра Windows, а также базы данных истории программ мгновенного обмена сообщениями – Skype, ICQ и подобных. Также извлекаются фотографии и документы – пожалуй, программы восстановления данных и криминалистические инструменты солидарны только по этим двум пунктам.

Перейти к просмотру
Как восстановить удаленную историю, отправленные файлы, контакты и пароль Skype ⚕️💬🔑

Как восстановить удаленную историю, отправленные файлы, контакты и пароль Skype ⚕️💬🔑

Аналитика и отчёты

Работа программы восстановления данных заканчивается тогда, когда все извлечённые файлы успешно записаны на альтернативный носитель. А работа аналитика-криминалиста на этом только начинается. Теперь нужно проанализировать все найденные данные, просмотреть записи в базах данных, проанализировать действия и составить психологический портрет преступника. Именно эта часть занимает большую часть времени криминалиста, и разработчики соответствующих программ не подкачали: аналитическая часть самых популярных пакетов (Guidance EnCase, AccessData FTK, Belkasoft Evidence Center, Oxygen Forensic Toolkit и многих других) превосходит воображение.

А потом наступает время составления отчёта. Криминалистические программы предоставляют для этого массу встроенных возможностей, позволяя создавать практически любые отчёты, от кратких до очень подробных.

Заключение

Как мы увидели, криминалистические программы используют в своей работе многие из тех алгоритмов, которые были разработаны для восстановления данных. Но там, где труд специалиста по восстановлению данных заканчивается, работа криминалиста только начинается. Для этого и существует масса аналитических пакетов соответствующего назначения. А нужды простых пользователей с лихвой покрывают самые обычные программы по восстановлению данных.

Michael Miroshnichenko

Автор: , Технический писатель

Мирошниченко Михаил – одни из ведущих программистов в Hetman Software. Опираясь на пятнадцатилетний опыт разработки программного обеспечения он делится своими знаниями с читателями нашего блога. По мимо программирования Михаил является экспертом в области восстановления данных, файловых систем, устройств хранения данных, RAID массивов.

Andrey Mareev

Редактор: , Технический писатель

В далеком 2005 году, я получил диплом по специальности «Прикладная математика» в Восточноукраинском национальном университете. А уже в 2006 году, я создал свой первый проект по восстановлению данных. С 2012 года, начал работать в компании «Hetman Software», отвечая за раскрутку сайта, продвижение программного обеспечения компании, и как специалист по работе с клиентами.

  • Обновлено:
  • Оценок:
  • 10
  • /
  • :

Поделиcь

Вопросы и ответы

  • Каковы основные этапы процесса восстановления данных в криминалистике?
    • Определение целей и ограничений: при восстановлении данных в криминалистике следует определить, какую цель нужно достичь, а также какие ограничения следует учитывать.
    • Оценка состояния: после того, как цель и ограничения были определены, следует провести оценку состояния, чтобы увидеть, что можно сделать.
    • Обработка исходных данных: следующим шагом является обработка исходных данных, чтобы удалить все лишние элементы, а также устранить повреждения.
    • Восстановление: последним шагом является восстановление данных, то есть замена или восстановление удаленных или поврежденных файлов.
  • Какие особенности и ограничения существуют при восстановлении данных в криминалистике?
    • Восстановление данных в криминалистике должно быть произведено с особой осторожностью, чтобы не повредить или не уничтожить данные.
    • Ограничения существуют на использование различных типов технологий, инструментов и средств для восстановления данных.
    • Процесс восстановления данных должен соответствовать требованиям законодательства и международным стандартам.
    • Восстановление данных должно производиться только специалистами, имеющими соответствующие навыки.
    • Восстановление данных должно производиться с учетом уровня защищенности, необходимого для сохранения целостности и чистоты данных.
  • Какие навыки и знания необходимы для профессионального восстановления данных в криминалистике?
    • Знание принципов и технологий восстановления данных.
    • Знание методов анализа данных.
    • Знание стандартов и протоколов для анализа данных.
    • Знание структуры файловой системы.
    • Знание различных методов восстановления удаленных файлов.
    • Знание различных методов анализа жестких дисков.
    • Знание различных структур данных, таких как FAT, NTFS, HFS, Ext2/3/4.
    • Знание различных средств резервного копирования.
    • Знание стандартов и протоколов связи, таких как Ethernet, Wi-Fi, Bluetooth.
    • Знание различных средств шифрования.
  • Какие факторы могут повлиять на успешность восстановления данных в криминалистике?
    • Наличие специализированного оборудования и программного обеспечения.
    • Опыт и квалификация персонала, выполняющего восстановление.
    • Тип и сложность устройства, с которым проводится восстановление.
    • Время, прошедшее с момента утраченных данных.
    • Состояние устройства, на котором хранились данные.
    • Наличие копий утраченных данных.
    • Наличие актуальных резервных копий.
    • Способ, которым утрачены данные.
    • Наличие утраченных файлов, удаленных случайно или умышленно.
    • Сложность удаления файлов.

Комментарии (14)

  • Владимир
    Владимир 9.07.2015 00:29 #
    Интересно какого качества жесткий диск можно восстановить, если данные просто были удаленны, то восстановить их не проблема, но если диск поврежден физически: обгорел или упал в воду, можно ли тогда восстановить данные? Специалисты используют новейшие технологии и очень мощные компьютеры, но против природного повреждения не попрешь, хотя видел как восстанавливают данные после пожаров, интересно просто как.
    Ответить
  • илья давыдов
    илья давыдов 8.07.2015 00:33 #
    Хорошо что существует такие программы которые восстанавливают информацию на дисках тем самым помогая в раскрытии дел и нахождении важных улик. Жаль раньше таких не было, сколько бы преступлений раскрыли? Помню учился в университете и дал знакомому комп на время, так он подпортил систему и вся информация полетела. Да сколько бы времени и своих сил мог бы сэкономить.
    Ответить
  • Кирил
    Кирил 6.07.2015 00:30 #
    У меня знакомый работает в данной сфере, так вот скажу вам,что эта работенка еще та. Иногда такие диски попадаются,в таком состояние,что кажется не проще их выбросить,но считывают все равно всю необходимую информацию. У них в наличии одни из мощнейшие компы и техника. Это конечно облегчает им жизнь,но и мозг тоже должен быть на высоте. Так что не легкий это труд.
    Ответить
  • Сева Беляков
    Сева Беляков 5.04.2010 03:18 #
    Какие типы данных могут быть восстановлены с помощью современных технологий?
    Ответить
    • Hetman Software
      Hetman Software 5.04.2010 03:41 #
      Современные технологии могут восстанавливать практически любой тип данных, включая текстовые файлы, документы, аудио- и видеофайлы, изображения, архивы, базы данных, электронные таблицы и т.д.
      Ответить
  • Владлен Борисов
    Владлен Борисов 4.04.2010 23:55 #
    Какие типы устройств могут быть предметом восстановления данных в криминалистике?
    Ответить
    • Hetman Software
      Hetman Software 5.04.2010 00:28 #
      • Компьютеры и ноутбуки.
      • Смартфоны.
      • Планшеты.
      • Флэш-накопители.
      • Фотоаппараты.
      • Видеокамеры.
      • Хранилища данных.
      • Карты памяти.
      • Жесткие диски.
      • Дисковые устройства хранения данных.
      Ответить
  • Мстислав Белозёров
    Мстислав Белозёров 4.04.2010 20:05 #
    Как восстановление данных помогает в расследовании уголовных дел?
    Ответить
    • Hetman Software
      Hetman Software 4.04.2010 20:24 #
      Восстановление данных может быть полезно для расследования уголовных дел путем восстановления удаленных или поврежденных файлов. Это позволяет следователям извлекать полезную информацию, такую как электронные сообщения, скриншоты, фотографии, документы, записи звонков, истории посещения сайтов и т.д., которые могут быть использованы для улучшения достоверности расследования.
      Ответить
  • Тихон Зыков
    Тихон Зыков 4.04.2010 16:58 #
    Какие случаи требуют восстановления данных в криминалистике?
    Ответить
    • Hetman Software
      Hetman Software 4.04.2010 17:26 #
      • Восстановление данных после кражи или повреждения жесткого диска.
      • Восстановление удаленных файлов, программ или данных с целью идентификации преступника.
      • Восстановление файлов из бэкапа, чтобы проанализировать их для сбора доказательств.
      • Восстановление цифровых изображений, текстовых документов, аудио- и видеофайлов, чтобы установить их связь с преступлением.
      • Восстановление удаленных файлов, чтобы обнаружить укрытые документы, связанные с преступлениями.
      • Восстановление удаленных файлов, чтобы обнаружить незавершенные транзакции, связанные с преступлениями.
      • Восстановление удаленных файлов, чтобы обнаружить удаленные документы, связанные с преступлениями.
      Ответить
  • Славик Лобанов
    Славик Лобанов 4.04.2010 14:58 #
    Как часто применяется восстановление данных в криминалистике?
    Ответить
    • Hetman Software
      Hetman Software 4.04.2010 15:26 #
      Восстановление данных в криминалистике применяется достаточно часто. Оно используется для раскрытия различных преступлений, проверки свидетельских показаний и установления ответственных. Также восстановление данных может быть использовано для анализа цифровых улик, поиска скрытых файлов и удаления нежелательного контента.
      Ответить
  • Hetman Software: Data Recovery
    Hetman Software: Data Recovery 18.09.2017 10:28 #
    Если у вас остались вопросы про восстановление данных в криминалистике, задавайте их в комментариях.
    Ответить
Оставьте комментарий
User
Оставьте ответ
Ваш электронный адрес не будет опубликован. Необходимые поля отмечены *

Рекомендуем для вас
Этот сайт использует куки для улучшения вашего опыта. Описание
Вас приветствует ассистент Hetman Software, созданный на основе искусственного интеллекта.
Начать Чат