Разработка методики идентификации последовательности внешних воздействий на динамическую систему, изоморфную конечному автомату (на примере восстановления последовательности файловых операций в операционной системе)
Актуальность темы исследования. Современные информационные техно-логии не только стимулируют активное развитие общества, но и способствуют росту преступлений, в которых компьютер выступает средством их совершения. Так, согласно официальным данным правоохранительных органов, в 2018 г. было зарегистрировано 174 723 преступлений, совершаемых с использованием информационных технологий, в 2019 г. зарегистрировано на 68,5 % больше — 294 409 аналогичных деяний. В 2020 г. количество компьютерных преступлений выросло еще на 73,4 %, они составили 25 % от всех совершаемых преступлений. Больше половины компьютерных преступлений относится к категориям тяжких и особо тяжких. Четыре пятых таких преступлений совершаются путем кражи или мошенничества, почти каждое одиннадцатое с целью незаконного производства, сбыта или пересылки наркотических средств.
Одним из важных этапов успешного раскрытия компьютерного преступления является проведение компьютерно-технической экспертизы (КТЭ), в результате которой могут быть получены доказательственные данные. В отличие от традиционных видов экспертизы, где для формирования полного, достоверного, научно обоснованного заключения используются методики двадцатилетней давности, для КТЭ это невозможно, так как механизмы и методы совершения компьютерных преступлений постоянно модифицируются.
Объектами КТЭ являются документы, базы данных, фотографии, видео, программы и т.д., которые хранятся в виде файлов — поименованных наборов данных, расположенных на машинных носителях информации. В ходе КТЭ часто требуется установить, какие действия пользователь производил с объектами:
- каким способом интересующие следствие файлы появлялись на исследуемом носителе (были созданы на этом носителе или скопированы с других носителей информации);
- имели ли место факты распространения файлов (копирование на внешний носитель информации, отправка по электронной почте);
- имели ли место факты работы с файлами (открытие, редактирование, печать).
Таким образом, обобщение экспертной практики показывает, что восстановление последовательности операций, совершенных пользователем над файлами, является одной из важнейших задач при проведении КТЭ.
Для решения этой задачи исследуется служебная информация, регистрируемая в файловой системе (ФС) компьютера. ФС представляет собой структурированное хранилище каталогов и файлов.
Во время активных действий пользователя компьютера временные отметки (ВО) файла (состояния ФС) изменяются. Обычно при той или иной файловой операции (ФОп) одновременно изменяются не одна, а несколько ВО. При этом нередко наблюдается, что одноименные ВО, сохраняемые в различных атрибутах файловой записи, расходятся в значениях. Кроме того, одна и та же ФОп, но выполненная различными приемами или с использованием разных утилит, может приводить к неравным результатам в отношении ВО.
Современный этап развития компьютерной криминалистики характеризуется отсутствием научно обоснованных и поддающихся автоматизации методик восстановления ФОп. В настоящее время на восстановление последовательности ФОп, совершенных над одним файлом, эксперт тратит от одного дня до недели, а достоверно выявляет лишь последнюю ФОп для небольшого списка исследованных операций. Обеспечение достоверности и глубины восстановления цепочки ФОп требуют большого объема ручной работы и высокой квалификации специалиста. При этом количество обрабатываемых пользователем файлов таково, что эффективное восстановление последовательности ФОп для каждого из них оказывается невозможным.
Таким образом, существует объективная потребность в изучении закономерностей изменения ВО при различных действиях над файлами и создании методики восстановления последовательности ФОп по ВО, а также реализующего эту методику программного обеспечения, адаптированного для использования в практической деятельности эксперта-криминалиста.
Гипотеза настоящего исследования состоит в том, что с точки зрения восстановления ФОп, файловую систему можно рассматривать как дискретную динамическую систему, которая характеризуется состояниями в некоторые моменты времени. Состояниями системы называют совокупность значений некоторых ее характеристик. Применительно к ФС под состоянием системы следует понимать совокупность значений метаданных исследуемых файлов, а именно их ВО.
Восстановление цепочки ФОп сводится к обратной задаче, для решения ко-торой необходимо определить траекторию движения между начальным и конечным состояниями системы.
Разработанность темы исследования. В настоящее время к исследованию методов и алгоритмов проведения КТЭ проявляется повышенный интерес со стороны мировой экспертной и научной общественности. Весомый вклад в развитие этого направления внесли российские ученые Федотов Н.Н., Шелупанов А.А., Смолина А.Р.
Серьезное внимание исследователи уделяют способам восстановления последовательности ФОп. Основоположниками данного направления являются Carrier B., Chow K., Parsonage H. Обзор их работ позволил подтвердить принципиальную возможность анализа ВО с целью восстановления некоторых ФОп. Однако использование теоретических результатов на практике остается весьма сложной за-дачей. Большинство работ ограничены наблюдением не за всеми потенциально имеющимися в распоряжении специалиста ВО и позволяют, как правило, по явным признакам определять выполнение только одной последней ФОп, а не цепочки событий. Так, если файл был отредактирован после копирования на носитель, то факт копирования может быть уже не установлен. Из-за подобных ограничений могут быть допущены серьезные ошибки при проведении КТЭ, или не все поставленные на КТЭ вопросы окажутся проанализированы в полном объеме.
Существуют универсальные криминалистические программные комплексы, предназначенные для проведения КТЭ и позволяющие просматривать ВО файлов и выводить их в упорядоченном виде. Но функцией анализа ВО с целью восстановления последовательности ФОп они не обладают. Процесс восстановления хронологии ФОп в указанных комплексах не предусмотрен.
К текущему моменту специалистами накоплен некоторый раздел знаний о причинно-следственных связях между ФОп и изменениями ВО файлов, но попыток формализации этих знаний до сих пор не предпринималось. В открытых источниках не обнаружены методики и алгоритмы, позволяющие автоматизировать анализ ВО. Практикой компьютерной криминалистики востребована разработка научно обоснованной методики восстановления хронологии ФОп, пригодной для автоматизации.
Объект исследования. Процесс восстановления последовательности ФОп.
Предмет исследования. Закономерности изменения ВО при совершении ФОп.
Целью работы является повышение количества восстанавливаемых ФОп, увеличение длины последовательности восстанавливаемых ФОп при снижении времени, затрачиваемого на восстановление хронологии ФОп.
Научной задачей работы является разработка математической модели изменения значений ВО и методики восстановления последовательности ФОп на основе анализа ВО файлов.
Цель диссертационной работы достигается последовательным решением следующих частных задач:
1. Анализ состояния предметной области.
2. Разработка алгоритма проведения экспериментов для формирования базы знаний о механизмах изменений ВО файлов при выполнении различных ФОп.
3. Выявление закономерностей изменений ВО при совершении ФОп. Разработка математической модели изменения значений ВО файлов при проведении над ними операций. Оценка адекватности модели.
4. Разработка методики восстановления последовательности ФОп. Создание программного обеспечения, реализующего данную методику. Формирование рекомендаций по применению программного обеспечения.
В результате проведенного исследования на защиту выносятся следующие положения:
1. Динамика изменения ВО файлов в ОС Windows изоморфна динамике изменения состояний конечного автомата и может быть представлена в виде конечного автомата, где состояниями являются множество состояний ВО файлов, а входным алфавитом — множество совершаемых ФОп [5].
2. Разработанный алгоритм анализа изменения ВО файлов, включающий этап подготовки ВО файлов путем присваивания им уникальных значений, позволяет в автоматическом режиме формировать полные таблицы изменения ВО в ФС NTFS во всех версиях ОС Windows на заданных пространствах ФОп и типах файлов [10, 3, 4, 6].
3. Восстановление последовательности операций, совершенных над файлом, сопоставимо с поиском траекторий, по которым автомат мог прийти в конечное состояние, является обратной задачей и решается с помощью алгоритма обхода в глубину [2].
Методы исследования. Для решения поставленных задач в работе использовались методы системного анализа, моделирования, теория автоматов, теория графов. Моделирование производилось с использованием программной среды MATLAB.
Границы исследования:
- Операционные системы Windows XP, 7, 8, 10.
- Файловая система NTFS.
Обоснованность выбранных границ исследования подтверждает статистика использования ОС персональных компьютеров. По официальным статистическим данным компании StatCounter на октябрь 2020 г. ОС Windows представляет 76,32% доли рынка ОС для настольных ПЭВМ в мире. В ОС Windows по умолчанию используется ФС NTFS.
В работе исследуются следующие ФОп: копирование, перемещение (переименование), удаление, просмотр (изменение) атрибутов, открытие, редактирование, исполнение (запуск), помещение в архив, разархивирование. Перечень анализируемых операций основан на вопросах, которые в большинстве случаев задают эксперту-криминалисту при постановке задачи на проведение КТЭ.
Степень достоверности результатов исследования. Достоверность результатов диссертационной работы обеспечивается применением корректных исходных данных, апробированных методов исследований, проверкой непротиворечивости и адекватности положений и выводов, экспериментальными данными, полученными при апробации программного обеспечения, реализующего методику восстановления последовательности ФОп.
Научная новизна. В рамках проведенного исследования получены следующие новые научные результаты:
1. Впервые предложена математическая модель изменения значений ВО при совершении ФОп в ОС Windows, основанная на гипотезе изоморфизма динамики изменения ВО файлов и динамики изменения состояний конечного автомата.
2. Впервые разработан алгоритм анализа изменения ВО, отличающийся специальной подготовкой ВО файлов и выявляющий полный набор закономерностей изменения ВО при совершении ФОп в ФС NTFS во всех версиях ОС Windows на заданных пространствах ФОп и типов файлов.
3. Разработана автоматическая методика восстановления последовательностей ФОп, которая впервые решает обратную задачу путем адаптации алгоритма обхода в глубину к особенностям решаемой задачи .
Теоретическая значимость работы заключается в развитии научно-методического аппарата КТЭ в части восстановления последовательности совершенных над файлом операций, основанного на системном анализе изменения ВО, хранящихся в файловой записи таблицы MFT.
Практическая значимость результатов исследования заключается в разработке программы, позволяющей в автоматическом режиме проводить анализ ВО, расположенных внутри файловой записи, и восстанавливать хронологию ФОп. Разработаны рекомендации по использованию ВО, хранящихся во внутренней структуре файла, для повышения количества восстанавливаемых ФОп.
Апробация результатов. Основные результаты работы докладывались и обсуждались на Международной конференции Ural Symposium on Biomedical Engineering, Radioelectronics and Information Technology (USBEREIT) (Екатеринбург, май 2020 г.).
Публикации. По теме диссертации опубликовано 6 научных работ, в том числе 5 научных статей в рецензируемых научных изданиях, определенных ВАК РФ и Аттестационным советом УрФУ, из них 2 статьи в изданиях, индексируемых в международной цитатно-аналитической базе Scopus.
Структура и объем диссертации. Диссертация содержит 156 страниц текста, 72 рисунка, 19 таблиц и состоит из содержания, введения, 4 глав, заключения, списка литературы, 7 приложений.
Личный вклад. Все результаты диссертационной работы получены автором самостоятельно.
1. Проведен анализ существующих способов восстановления ФОп в ОС Win-dows, в результате которого обоснована целесообразность изучения изменений ВО для решения задачи восстановления последовательности ФОп.
2. Предложен алгоритм проведения экспериментальных исследований процесса изменений внешних ВО. Исследования проводились над файлами с различной наполняемостью и разных форматов в ОС Windows ХР, 7, 8 и 10. При проведении экспериментов использовалась программа, которая работает в режиме «только чтение» и выводит информацию обо всех ВО, хранящихся в файловой записи файла. В результате проведения экспериментальных исследований выявлены закономерности изменений ВО при совершении ФОп. Закономерности обобщены в таблицу, представленную во второй главе.
3. Обоснован изоморфизм динамики изменения ВО файлов в ОС Windows и динамики изменения состояний КА. Представлена модель, описывающая закономерности процесса изменения ВО при выполнении операций над файлами, в виде конечного автомата, где состояниями являются множество состояний ВО файлов, а входным алфавитом — множество совершаемых ФОп. Адекватность модели подтверждена экспериментально.
4. Предложена методика восстановления последовательности ФОп, основанная на разработанной модели. Методика позволяет достоверно восстанавливать последовательность ФОп и определять последнюю совершенную над файлом операцию.
5. Разработана и протестирована функция, позволяющая автоматизировать методику восстановления хронологии ФОп, что значительно сокращает временные затраты при исследовании большого количества файлов. Сформированы рекомендации по применению функции и использованию внутренних ВО для уточнения анализа.
Прагматическая цель работы, которая заключалась в разработке математической модели изменения значений ВО и программного обеспечения для восстановления последовательности ФОп на основе анализа ВО файлов, которые поспособствует повышению количества восстанавливаемых ФОп, увеличению длины последовательности восстанавливаемых ФОп и уменьшению времени, затрачиваемому на восстановление хронологии ФОп, достигнута.
В результате применения алгоритма экспериментального исследования изучены изменения ВО для ФОп, которые ранее не были известны. На основе модели изменения значений ВО разработана методика восстановления последовательности ФОп, которая позволяет восстанавливать цепочку ФОп, состоящую из двух и более операций. Функция Retro.m, реализующая методику восстановления ФОп, уменьшает время, затрачиваемое экспертами при проведении анализа ВО.
Направление дальнейших исследований
Перспективным направлением дальнейших исследований является разработка методики восстановления последовательности ФОп, основанной на анализе ВО и журналов событий ОС Windows, с учетом возможной модификации системного времени.
1. Духан Е.И. Анализ результатов исследования изменений временных отметок файлов / Е.И. Духан, Н.С. Князева // Вестник УрФО. Безопасность в информационной сфере. — 2О21. — Вып. 39. — № 1. — С. 21-26. (0,38 п.л. / 0,19 п.л.).
2. Князева Н.С. Восстановление последовательности файловых операций с применением теории графов при проведении компьютерных исследований / Н.С. Князева // Вестник УрФО. Безопасность в информационной сфере. — 2021. — Вып. 40. — № 2. — С. 14-21. (0,5 п.л.).
3. Духан Е.И. Методика и результаты исследования изменений временных отметок файловых объектов / Е.И. Духан, Н.С. Князева // М.: Радиотехника. — 2020. — т. 84. — № 2(4). — С. 64-72. (0,56 п.л. / 0,28 п.л.).
4. Knyazeva N.S. Building Knowledge Bases for Timestamp Changes Detection Mechanisms in MFT Windows OS / Natalia Knyazeva, Dmitry Khorkov, Elena Vos-tretsova // 2020 Ural Symposium on Biomedical Engineering, Radioelectronics and In-formation Technology (USBEREIT). — 2020. — pp. 553-556. (0,25 п.л. / 0,125 п.л.) (Scopus).
5. Knyazeva N.S. Timestamp Change Model in Windows OS / Natalia Knyazeva, Evgeny Dukhan // 2020 Ural Symposium on Biomedical Engineering, Radioelectronics and Information Technology (USBEREIT). — 2020. — pp. 623-626. (0,25 п.л. / 0,125 п.л.) (Scopus).
Другие публикации:
6. В.В. Бакланов Анализ временных отметок файловой системы NTFS в операционной системе Microsoft Windows XP / В.В. Бакланов, Н.С. Князева, Д.А. Хорьков // Проблемы информационной безопасности. Компьютерные системы. — Выпуск № 4. — Санкт-Петербург. — 2012. — С. 25-32. (0,5 п.л. / 0,16 п.л.).