Способы копирования компьютерной информации.
Существует несколько подходов к копированию информации, выбор которых определяется процессуальными требованиями к доказательствам, имеющимися техническими средствами и соображениями целесообразности.
Зеркальное копирование
При таком способе копирования создается точная копия источника, либо сжатый образ, позволяющий создать точную копию носителя информации, включая области удаленной и служебной информации и свободное пространство.
Полное копирование
Копируется вся информация (все файлы) с исходного носителя. Служебная информация, а также области удаленной информации и свободного пространства при этом не копируются
Выборочное копирование
Копируется информация (файлы) отобранные по определенным признакам. В качестве определяющего признака может использоваться
– Тип информации (текстовая, графическая и т.д.)
– Время создания или модификации
– Расположение информации на носителе
– Содержание
Выявление информации, подлежащей копированию.
Для поиска и отбора применяется специальное программное обеспечение. Во многих случаях эффективность отбора можно повысить правильным составлением критериев, даже если используются неинтеллектуальные поисковые системы. При этом следует отметить, что критерии отбора должны определяются во взаимодействии следователя со специалистом в области компьютерных систем и, возможно, специалистом в предметной области исходной информации.
Виды и основные характеристики устройств копирования.
Для копирования информации может применяться широкий спектр устройств, которые можно классифицировать по конструктивному исполнению (внешние или внутренние); по используемым накопителям (на магнитных дисках, на магнитных лентах, на оптических дисках и т. п.); по быстродействию и т.д. Выбор технических средств копирования должен осуществляться с учетом архитектуры компьютерных систем.
Преодоление систем защиты компьютерной информации
В ходе исследования информации, содержащейся в компьютерных системах, может возникнуть необходимость преодоления установленных систем защиты. Например, информация на исследуемом носителе может быть криптографически закрыта, или исследуемая программа может включать элементы защиты, и исследование ее функций без их преодоления невозможно. Способы:
Мистификация
При реализации данного способа атакующая сторона вступает во взаимодействие с системой защиты, так как это бы делал легальный пользователь системы. Поскольку для доступа к данным необходимо указать определенный набор идентифицирующей информации (в простейшем случае имя пользователя и пароль), его необходимо подобрать или предварительно узнать косвенными методами.
Подбор идентификационной информации
Подбор идентификационной информации возможен только в тех случаях, когда система защиты не накладывает никаких ограничений на количество неправильных попыток идентификации. Типичный пример системы защиты, которая может быть преодолена таким способом – это криптографическое закрытие информации с использованием известного алгоритма.
Перехват идентификационной информации
Перехват информации осуществляется во время ее ввода – набора пароля на клавиатуре, передачи по сети и т.п.
Получение идентификационной информации из мест хранения
Имитация системы защиты
В случае, когда идентификационная информация передается в зашифрованном виде, может применяться такой метод, как имитация деятельности системы защиты для пользователя. При этом пользователь взаимодействует не с системой защиты, а с внедренным посредником, который в свою очередь взаимодействует с системой защиты от имени пользователя.
Обход
При реализации данного способа атакующая сторона не вступает во взаимодействие с системой защиты. При этом используется альтернативный способ доступа к данным – в обход системы защиты. Работа системы защиты при этом не нарушается, действия атакующей стороны данной системой
Для реализации данного метода требуется наличие альтернативного способа доступа к данным.
Незащищенные копии
Перехват защищаемой информации до момента закрытия