РАЗРАБОТКА МЕТОДИКИ ИДЕНТИФИКАЦИИ ПОСЛЕДОВАТЕЛЬНОСТИ ВНЕШНИХ ВОЗДЕЙСТВИЙ НА ДИНАМИЧЕСКУЮ СИСТЕМУ, ИЗОМОРФНУЮ КОНЕЧНОМУ АВТОМАТУ (НА ПРИМЕРЕ ВОССТАНОВЛЕНИЯ ПОСЛЕДОВАТЕЛЬНОСТИ ФАЙЛОВЫХ ОПЕРАЦИЙ В ОПЕРАЦИОННОЙ СИСТЕМЕ)
Введение 4
1 Анализ состояния предметной области. Постановка задач
исследования 13
1.1 Файловая система как дискретная динамическая система в задачах
компьютерной криминалистики 13
1.2 Феноменология ВО в ФС NTFS в ОС Windows 18
1.2.1 Внешние ВО 20
1.2.2 Внутренние ВО 27
1.2.3 Дополнительные ВО 30
1.2.4 Сравнение существующих способов восстановления
последовательности ФОп по ВО в ОС Windows 36
1.3 Обзор программ, имеющих средства просмотра и анализа внешних
ВО файлов 37
1.4 Постановка задач исследования 41
2 Исследование механизма изменения внешних ВО файлов 43
2.1 Программный инструментарий для наблюдения за изменениями
внешних ВО 43
2.2 Алгоритм экспериментального исследования механизма изменения
внешних ВО файлов 45
2.3 Выявление закономерностей изменения внешних ВО 52
2.4 Анализ демаскирующих признаков подделки внешних ВО 66
2.5 Выводы 69
3 Разработка модели изменения значений внешних ВО и методики
восстановления последовательности ФОп 71
3.1 Разработка модели изменения значений внешних ВО 71
3.2 Экспериментальная оценка адекватности модели изменения
значений ВО 80
3.3 Разработка методики восстановления последовательности ФОп
по внешним ВО 84
3.4 Выводы 96
4 Программная реализация методики восстановления
последовательности ФОп 98
4.1 Назначение и описание функции Retro.m 98
4.2 Рекомендации по использованию внутренних ВО 101
4.3 Примеры восстановления последовательности ФОп, оценка
результатов восстановления 104
4.4 Выводы 108
Заключение 109
Список сокращений и условных обозначений 111
Список литературы 112
Приложение А. Листинг функции Table.m 121
Приложение Б. Таблица переходов между ВВУ 129
Приложение В. Таблица возможных выявленных состояний ВО 138
Приложение Г. Подсчет количества и процента известных ВВУ для
исследуемых ПЭВМ 142
Приложение Д. Листинг функции Transition_digraph.m 146
Приложение Е. Листинг функции Retro.m 147
Приложение Ж. Копии актов об использовании результатов диссертационного исследования
Актуальность темы исследования.
Современные информационные технологии не только стимулируют активное развитие общества, но и способствуют росту преступлений, в которых компьютер выступает средством их совершения. Так, согласно официальным данным правоохранительных органов, в 2018 г. было зарегистрировано 174 723 преступлений, совершаемых с использованием информационных технологий [1], в 2019 г. зарегистрировано на 68,5 % больше — 294 409 аналогичных деяний [2]. В 2020 г. количество компьютерных преступлений выросло еще на
73,4 %, они составили 25 % от всех совершаемых преступлений. Больше половины компьютерных преступлений относится к категориям тяжких и особо тяжких. Четыре пятых таких преступлений совершаются путем кражи или мошенничества, почти каждое одиннадцатое с целью незаконного производства, сбыта или пересылки наркотических средств [3].
Одним из важных этапов успешного раскрытия компьютерного преступления является проведение компьютерно-технической экспертизы (КТЭ), в результате которой могут быть получены доказательственные данные. В отличие от традиционных видов экспертизы, где для формирования полного, достоверного, научно обоснованного заключения используются методики двадцатилетней давности, для КТЭ это невозможно, так как механизмы и методы совершения компьютерных преступлений постоянно модифицируются [4].
Объектами КТЭ являются документы, базы данных, фотографии, видео, программы и т.д., которые хранятся в виде файлов — поименованных наборов данных, расположенных на машинных носителях информации [5]. В ходе КТЭ часто требуется установить, какие действия пользователь производил с объектами:
- каким способом интересующие следствие файлы появлялись на исследуемом носителе (были созданы на этом носителе или скопированы с других носителей информации);
- имели ли место факты распространения файлов (копирование на внешний носитель информации, отправка по электронной почте);
- имели ли место факты работы с файлами (открытие, редактирование, печать).
Таким образом, обобщение экспертной практики показывает, что восстановление последовательности операций, совершенных пользователем над файлами, является одной из важнейших задач при проведении КТЭ.
Для решения этой задачи исследуется служебная информация, регистрируемая в файловой системе (ФС) компьютера. ФС представляет собой структурированное хранилище каталогов и файлов.
Во время активных действий пользователя компьютера временные отметки (ВО) файла (состояния ФС) изменяются. Обычно при той или иной файловой операции (ФОп) одновременно изменяются не одна, а несколько ВО. При этом нередко наблюдается, что одноименные ВО, сохраняемые в различных атрибутах файловой записи, расходятся в значениях. Кроме того, одна и та же ФОп, но выполненная различными приемами или с использованием разных утилит, может приводить к неравным результатам в отношении ВО.
Современный этап развития компьютерной криминалистики характеризуется отсутствием научно обоснованных и поддающихся автоматизации методик восстановления ФОп. В настоящее время на восстановление последовательности ФОп, совершенных над одним файлом, эксперт тратит от одного дня до недели, а достоверно выявляет лишь последнюю ФОп для небольшого списка исследованных операций. Обеспечение достоверности и глубины восстановления цепочки ФОп требуют большого объема ручной работы и высокой квалификации специалиста. При этом количество обрабатываемых пользователем файлов таково, что эффективное восстановление последовательности ФОп для каждого из них оказывается невозможным.
Таким образом, существует объективная потребность в изучении закономерностей изменения ВО при различных действиях над файлами и создании методики восстановления последовательности ФОп по ВО, а также реализующего эту методику программного обеспечения, адаптированного для использования в практической деятельности эксперта-криминалиста.
Гипотеза настоящего исследования состоит в том, что с точки зрения восстановления ФОп, файловую систему можно рассматривать как дискретную динамическую систему, которая характеризуется состояниями в некоторые моменты времени. Состояниями системы называют совокупность значений некоторых ее характеристик [6]. Применительно к ФС под состоянием системы следует понимать совокупность значений метаданных исследуемых файлов [5], а именно их ВО.
Восстановление цепочки ФОп сводится к обратной задаче, для решения которой необходимо определить траекторию движения между начальным и конечным состояниями системы.
Разработанность темы исследования. В настоящее время к исследованию методов и алгоритмов проведения КТЭ проявляется повышенный интерес со стороны мировой экспертной и научной общественности. Весомый вклад в развитие этого направления внесли российские ученые Федотов Н.Н. [7], Шелупанов А.А. [8], Смолина А.Р. [9].
Серьезное внимание исследователи уделяют способам восстановления последовательности ФОп. Основоположниками данного направления являются Carrier B., Chow K., Parsonage H. Обзор их работ [10-34] позволил подтвердить принципиальную возможность анализа ВО с целью восстановления некоторых ФОп. Однако использование теоретических результатов на практике остается весьма сложной задачей. Большинство работ ограничены наблюдением не за всеми потенциально имеющимися в распоряжении специалиста ВО и позволяют, как правило, по явным признакам определять выполнение только одной последней ФОп, а не цепочки событий. Так, если файл был отредактирован после копирования на носитель, то факт копирования может быть уже не установлен. Из-за подобных ограничений могут быть допущены серьезные ошибки при проведении КТЭ, или не все поставленные на КТЭ вопросы окажутся проанализированы в полном объеме.
Существуют универсальные криминалистические программные комплексы [35-40], предназначенные для проведения КТЭ и позволяющие просматривать ВО файлов и выводить их в упорядоченном виде. Но функцией анализа ВО с целью восстановления последовательности ФОп они не обладают. Процесс восстановления хронологии ФОп в указанных комплексах не предусмотрен.
К текущему моменту специалистами накоплен некоторый раздел знаний о причинно-следственных связях между ФОп и изменениями ВО файлов, но попыток формализации этих знаний до сих пор не предпринималось. В открытых источниках не обнаружены методики и алгоритмы, позволяющие автоматизировать анализ ВО. Практикой компьютерной криминалистики востребована разработка научно обоснованной методики восстановления хронологии ФОп, пригодной для автоматизации.
Объект исследования. Процесс восстановления последовательности ФОп.
Предмет исследования. Закономерности изменения ВО при совершении ФОп.
Целью работы является повышение количества восстанавливаемых ФОп, увеличение длины последовательности восстанавливаемых ФОп при снижении времени, затрачиваемого на восстановление хронологии ФОп.
Научной задачей работы является разработка математической модели изменения значений ВО и методики восстановления последовательности ФОп на основе анализа ВО файлов.
Цель диссертационной работы достигается последовательным решением следующих частных задач:
1. Анализ состояния предметной области.
2. Разработка алгоритма проведения экспериментов для формирования базы знаний о механизмах изменений ВО файлов при выполнении различных ФОп.
3. Выявление закономерностей изменений ВО при совершении ФОп. Раз-работка математической модели изменения значений ВО файлов при проведении над ними операций. Оценка адекватности модели.
4. Разработка методики восстановления последовательности ФОп. Создание программного обеспечения, реализующего данную методику. Формирование рекомендаций по применению программного обеспечения.
В результате проведенного исследования на защиту выносятся следующие положения:
1. Динамика изменения ВО файлов в ОС Windows изоморфна динамике изменения состояний конечного автомата и может быть представлена в виде конечного автомата, где состояниями являются множество состояний ВО файлов, а входным алфавитом — множество совершаемых ФОп [85].
2. Разработанный алгоритм анализа изменения ВО файлов, включающий этап подготовки ВО файлов путем присваивания им уникальных значений, позволяет в автоматическом режиме формировать полные таблицы изменения ВО в ФС NTFS во всех версиях ОС Windows на заданных пространствах ФОп и типах файлов [81, 83, 84, 86].
3. Восстановление последовательности операций, совершенных над файлом, сопоставимо с поиском траекторий, по которым автомат мог прийти в конечное состояние, является обратной задачей и решается с помощью алгоритма обхода в глубину [82].
Методы исследования. Для решения поставленных задач в работе использовались методы системного анализа, моделирования, теория автоматов, теория графов. Моделирование производилось с использованием программной среды MATLAB.
Границы исследования:
- Операционные системы Windows XP, 7, 8, 10.
- Файловая система NTFS.
Обоснованность выбранных границ исследования подтверждает статистика использования ОС персональных компьютеров. По официальным
9 статистическим данным компании StatCounter на октябрь 2020 г. ОС Windows представляет 76,32% доли рынка ОС для настольных ПЭВМ в мире. В ОС Windows по умолчанию используется ФС NTFS.
В работе исследуются следующие ФОп: копирование, перемещение (переименование), удаление, просмотр (изменение) атрибутов, открытие, редактирование, исполнение (запуск), помещение в архив, разархивирование. Перечень анализируемых операций основан на вопросах, которые в большинстве случаев задают эксперту-криминалисту при постановке задачи на проведение КТЭ.
Степень достоверности результатов исследования. Достоверность результатов диссертационной работы обеспечивается применением корректных исходных данных, апробированных методов исследований, проверкой непротиворечивости и адекватности положений и выводов, экспериментальными данными, полученными при апробации программного обеспечения, реализующего методику восстановления последовательности ФОп.
Научная новизна. В рамках проведенного исследования получены следующие новые научные результаты:
1. Впервые предложена математическая модель изменения значений ВО при совершении ФОп в ОС Windows, основанная на гипотезе изоморфизма динамики изменения ВО файлов и динамики изменения состояний конечного автомата (соответствует п. 2 паспорта специальности).
2. Впервые разработан алгоритм анализа изменения ВО, отличающийся специальной подготовкой ВО файлов и выявляющий полный набор закономерностей изменения ВО при совершении ФОп в ФС NTFS во всех версиях ОС Windows на заданных пространствах ФОп и типов файлов (соответствует п. 5 паспорта специальности).
3. Разработана автоматическая методика восстановления последовательностей ФОп, которая впервые решает обратную задачу путем адаптации алгоритма обхода в глубину к особенностям решаемой задачи (соответствует п. 12 паспорта специальности).
Теоретическая значимость работы заключается в развитии научно-методического аппарата КТЭ в части восстановления последовательности совершенных над файлом операций, основанного на системном анализе изменения ВО, хранящихся в файловой записи таблицы MFT.
Практическая значимость результатов исследования заключается в раз-работке программы, позволяющей в автоматическом режиме проводить анализ ВО, расположенных внутри файловой записи, и восстанавливать хронологию ФОп. Разработаны рекомендации по использованию ВО, хранящихся во внутренней структуре файла, для повышения количества восстанавливаемых ФОп.
Апробация результатов. Основные результаты работы докладывались и обсуждались на Международной конференции Ural Symposium on Biomedical Engineering, Radioelectronics and Information Technology (USBEREIT) (Екатеринбург, май 2020 г.).
Публикации. По теме диссертации опубликовано 6 научных работ, в том числе 5 научных статей в рецензируемых изданиях, определенных ВАК РФ и Аттестационным советом УрФУ, из них 2 статьи в изданиях, индексируемых в международной цитатно-аналитической базе Scopus.
Структура и объем диссертации. Диссертация содержит 156 страниц текста, 72 рисунка, 19 таблиц, и состоит из содержания, введения, 4 глав, заключения, списка литературы, 7 приложений.
Личный вклад. Все результаты диссертационной работы получены автором самостоятельно.
Краткое содержание диссертационной работы. Во введении обоснована актуальность диссертационной работы, проанализировано состояние исследуемой проблемы, сформулированы цели и задачи работы, перечислены основные научные результаты диссертации, определена научная новизна и практическая ценность результатов, представлены основные положения, выносимые на защиту, приведены сведения об апробации работы, публикациях по теме работы, а также структура диссертации и ее объем.
В первой главе даны определения КТЭ и цифрового «следа». На конкретных примерах продемонстрировано, что в основе следообразования в компьютерной системе лежат стабильные программно-алгоритмические решения различных приложений, которые нигде не документированы. Предложена гипотеза о том, что ФС с точки зрения компьютерной криминалистики можно представить в виде «черного ящика». На вход «черному ящику» поступают сигналы в виде действий пользователя или программ. На выходе «черного ящика» эксперт имеет состояния ФС, которые характеризуются наличием или отсутствием определенных «следов». Изложены общие теоретические сведения о ВО, приводится их классификация. Проведен обзор публикаций по тематике восстановления последовательности ФОп и функционала программных средств, направленных на проведение криминалистических исследований компьютерных систем.
Во второй главе представлен инструментарий и алгоритм проведения экспериментальных исследований изменений ВО в ОС Windows. Определены закономерности в изменении ВО при совершении ФОп. Представлены результаты анализа фальсификации ВО и описаны следы, позволяющие обнаружить эту фальсификацию.
В третьей главе описываются модель изменения значений ВО и методика восстановления хронологии ФОп, основанная на анализе ВО, хранящихся в файловой таблице МТТ. Представлены результаты экспериментальной проверки адекватности модели.
В четвертой главе описана функция, разработанная на основе методики восстановления ФОп. Приведены рекомендации по использованию ВО, хранящихся во внутренней структуре файла. Представлены примеры восстановления последовательности ФОп.
В заключении сформулированы основные результаты, полученные в диссертационной работе.
В приложениях приводятся листинги программ и элементы модели изменения значений ВО: таблица переходов между векторами временных уровней и таблица возможных выявленных состояний ВО.
Благодарности. Автор выражает благодарность кандидату технических наук, доценту Бакланову Валентину Викторовичу, доктору технических наук, профессору, члену-корреспонденту Академии криптографии РФ Гайдамакину Николаю Александровичу, научному руководителю доктору технических наук, доценту Духану Евгению Изовичу за всестороннюю помощь и поддержку в проведении исследований. Автор благодарит своих коллег кандидата технических наук Хорькова Дмитрия Алексеевича и Черемных Ивана Витальевича за помощь в организации экспериментов и ряд ценных советов, позволивших улучшить разработанную методику восстановления ФОп.
В результате проведения диссертационного исследования частные задачи выполнены в полном объеме:
1. Проведен анализ существующих способов восстановления ФОп в ОС Windows, в результате которого обоснована целесообразность изучения изменений ВО для решения задачи восстановления последовательности ФОп.
2. Предложен алгоритм проведения экспериментальных исследований процесса изменений внешних ВО. Исследования проводились над файлами с различной наполняемостью и разных форматов в ОС Windows ХР, 7, 8 и 10. При проведении экспериментов использовалась программа, которая работает в режиме «только чтение» и выводит информацию обо всех ВО, хранящихся в файловой записи файла. В результате проведения экспериментальных исследований выявлены закономерности изменений ВО при совершении ФОп. Закономерности обобщены в таблицу, представленную в разделе 2.3.
3. Обоснован изоморфизм динамики изменения ВО файлов в ОС Windows и динамики изменения состояний КА. Представлена модель, описывающая закономерности процесса изменения ВО при выполнении операций над файлами, в виде конечного автомата, где состояниями являются множество состояний ВО файлов, а входным алфавитом — множество совершаемых ФОп. Адекватность модели подтверждена экспериментально.
4. Предложена методика восстановления последовательности ФОп, основанная на разработанной модели. Методика позволяет достоверно восстанавливать последовательность ФОп и определять последнюю совершенную над файлом операцию.
5. Разработана и протестирована функция, позволяющая автоматизировать методику восстановления хронологии ФОп, что значительно сокращает временные затраты при исследовании большого количества файлов. Сформированы рекомендации по применению функции и использованию внутренних ВО для уточнения анализа.
Прагматическая цель работы, которая заключалась в разработке математической модели изменения значений ВО и программного обеспечения для восстановления последовательности ФОп на основе анализа ВО файлов, которые поспособствуют повышению количества восстанавливаемых ФОп, увеличению длины последовательности восстанавливаемых ФОп и уменьшению времени, затрачиваемому на восстановление хронологии ФОп, достигнута.
В результате применения алгоритма экспериментального исследования обнаружены изменения ВО для ФОп, которые ранее не были известны. На основе модели изменения значений ВО разработана методика восстановления последовательности ФОп, которая позволяет восстанавливать цепочку ФОп, состоящую из двух и более операций. Функция Retro.m, реализующая методику восстановления ФОп, уменьшает время, затрачиваемое экспертами при проведении анализа ВО.
Направление дальнейших исследований
Перспективным направлением дальнейших исследований является разработка методики восстановления последовательности ФОп, основанной на анализе ВО и журналов событий ОС Windows, с учетом возможной модификации системного времени.
1. Краткая характеристика состояния преступности в Российской Федерации за январь - декабрь 2018 года. [Электронный ресурс]. — Режим доступа : ййрз://мвд.рф/герог1з/йет/16053092. (дата обращения: 03.06.2021).
2. Краткая характеристика состояния преступности в Российской Федерации за январь - декабрь 2019 года. [Электронный ресурс]. — Режим доступа : ййрз://мвд.рф/герог1з/йет/19412450. (дата обращения: 03.06.2021).
3. Краткая характеристика состояния преступности в Российской Федерации за январь - декабрь 2020 года. [Электронный ресурс]. — Режим доступа : ййрз://мвд.рф/герог1з/йет/22678184. (дата обращения: 03.06.2021).
4. Шелупанов А.А., Смолина А.Р. Методика проведения подготовительной стадии исследования при производстве компьютерно-технической экспертизы. — Доклады Томского государственного университета систем управления и радиоэлектроники. — 2016. — № 1. — С. 31-34.
5. ГОСТ Р 57429—2017. Судебная компьютерно-техническая экспертиза. Термины и определения.
6. Гайдук А.Р. Непрерывные и дискретные динамические системы. — М.: УМ и ИЦ «Учебная литература», 2004. — 252 с.
7. Федотов Н.Н. Форензика — компьютерная криминалистика. — М.: Юридический мир, 2007. — 432 с.
8. Шелупанов А.А., Смолина А.Р. Форензика. Теория и практика расследования киберпреступлений. — М.: Горячая линия - Телеком, 2020. — 104 с.
9. Смолина А.Р., Шелупанов А.А. Классификация методик производства компьютерно-технической экспертизы с помощью подхода теории графов. — Безопасность информационных технологий. — № 2016-2. — С. 73-77.
10. Кэрриэ Б. Криминалистический анализ файловых систем. — СПб. : Питер, 2007. — 480 с.
11. Chow K., Law F., Kwan M., Lai K. The Rules of Time on NTFS File Sys-tem // Second International Workshop on Systematic Approaches to Digital Forensic
113
Engineering. — 2007. [Электронный ресурс]. — Режим доступа :
i.cs.hku.hk/cisc/forensics/papers/RuleOfTime.pdf (дата обращения: 03.06.2021).
12. Knutson T. Filesystem Timestamps: What Makes Them Tick? — 2016. [Электронный ресурс]. — Режим доступа : https://www.sans.org/reading- room/whitepapers/forensics/filesystem-timestamps-tick-36842(дата обращения: 03.06.2021).
13. Матвеева В.С. Криминалистический подход к анализу временных атрибутов файлов в операционной системе семейства Microsoft Windows и файловой системе NTFS // Безопасность информационных технологий. — 2013. — Вып. 1.
14. Cho GS. An Intuitive Computer Forensic Method by Timestamp Changing Patterns // Eight International Conference on Innovative Mobile and Internet Services in Ubiquitous Computing. — 2014. — pp.542-548.
15. Cho GS. A computer forensic method for detecting timestamp forgery in NTFS // Computer & Security, 2013. — Vol. 34. — pp.36-46.
16. Ding X., Zou H. Reliable Time Based Forensics in NTFS. — 2010. [Электронный ресурс]. — Режим доступа : https://www.acsac.org/2010/program/ posters/ding.pdf (дата обращения: 03.06.2021).
17. Neuner S., Voyiatzis A. G., Schmiedecker M., Weippl E. Timestamp hiccups: Detecting manipulated filesystem timestamps on NTFS. // Proceedings of the 12th International Conference on Availability, Reliability and Security, 2017. — pp. 1-6.
18. Didriksen E. Forensic Analysis of OOXML Documents // Master’s Thesis. [Электронный ресурс]. — Режим доступа : https://ntnuopen.ntnu.no/ntnu- xmlui/bitstream/handle/11250/198656/EDidriksen.pdf?sequence=1(дата обращения: 03.06.2021).
19. Gungor A. Word Forensic Analysis And Compound File Binary Format. [Электронный ресурс]. — Режим доступа : https://www.forensicfocus.com/ articles/word-forensic-analysis-and-compound-file-binary-format (дата обращения: 03.06.2021).
20. Godiah D.O. Forensic analysis of office open XML spreadsheets (Thesis). — [Электронный ресурс]. — Режим доступа : https://su- plus.strathmore.edu/handle/11071/5614(дата обращения: 03.06.2021).
21. Parsonage H. The Meaning of Linkfiles In Forensic Examinations. [Электронный ресурс]. — Режим доступа : http://computerforensics.parsonage.co.uk/ downloads/TheMeaningofLIFE.pdf (дата обращения: 03.06.2021).
22. Rusbarsky K. A Forensic Comparison of NTFS and FAT32 File Systems.
— 2012. [Электронный ресурс]. — Режим доступа : http://www.marshall.edu/
forensics/files/RusbarskyKelsey_Research-Paper-Summer-2012.pdf (дата обращения: 03.06.2021).
23. Casey E. Errors, Uncertainty and Loss in Digital Evidence // International Journal on Digital Evidence. — 2002. — Vol. 1(2). [Электронный ресурс]. — Режим доступа : https://pdfs.semanticscholar.org/35d7/b7386ee91fc4576966259 daf360b4754c1 d0.pdf?_ga=2.92825179.718869684.1501156263-1854761517. 1501156263 (дата обращения: 03.06.2021).
24. Brian D., Eugene H. Defining event reconstruction of a digital crime scene
// Journal of Forensic Sciences. — 2004. — Vol. 6(49). [Электронный ресурс]. — Режим доступа : https://pdfs.semanticscholar.org/fa3e/6b4d398dc0afeab038f
c9e267f63c6226914.pdf (дата обращения: 03.06.2021).
25. Tanushree R., Aruna J. Windows Registry Forensics: An Imperative Step
in Tracking Data Theft via USB Devices // International Journal of Computer Science and Information Technologies. — 2012. — Vol. 3(3). [Электронный ресурс]. — Режим доступа : http://citeseerx.ist.psu.edu/viewdoc/download?doi=
10.1.1.301.4521&rep=rep1&type=pdf (дата обращения: 03.06.2021).
26. Minnaard W. Timestomping NTFS. — 2014. — [Электронный ресурс]. — Режим доступа :http://www.delaat.net/rp/2013-2014/p48/report.pdf (дата обращения: 03.06.2021).
27. Antonovich C. Jump List Forensics. // Patrick Leahy Center for Digital In-vestigation (LCDI), Champlain College Miller Center, Burlington, USA, April, 2014.
28. Lallie H. and Bains P. An overview of the jump list configuration file in Windows 7 // Journal of Digital Forensics, Security and Law, 2012. — Vol. 7(1). — pp. 15-28.
29. Lyness R. Forensic Analysis of Windows 7 Jump Lists. [Электронный ресурс]. — Режим доступа :https://articles.forensicfocus.com/2012/10/30/forensic-analysis-of-windows-7-jump-lists/ (дата обращения: 03.06.2021).
30. Kishore A. Delete or Clear Jump List Recent Items in Windows 7, 8 & 10.
[Электронный ресурс]. — Режим доступа : https://www.online-tech-
tips.com/computer-tips/clear-recent-items-windows-jumplists/(дата обращения: 03.06.2021).
31. Cho GS., Rogers M. Finding Forensic Information on Creating a Folder in of NTFS // Social Informatics and Telecommunications Engineering, 2012. — pp.211-225.
32. Xiaoyu H., Shunxiang W. Vista Event Log File Parsing Based on XML Technology // Proceedings of 4th International Conference on Computer Science & Education, 2009. — pp.1186-1190.
33. Murphey R. Automated Windows event log forensics // Digital Investigation 4S, 2007. — pp. 92-100.
34. Dwyer J., Truta T.M. Finding in Windows Event Logs Using Standard
Deviation // 9th IEEE Inernational Conference on Collaborative Computing: Networking, Applications and Worksharing (CollaborateCom), 2013. —
pp. 563-570.
35. FTK® Imager | AccessData. [Электронный ресурс]. — Режим доступа : https://accessdata.com/products-services/forensic-toolkit-ftk/ftkimager(дата обращения: 10.08.2020).
36. The Sleuth Kit. [Электронный ресурс]. — Режим доступа : https://sleuthkit.org/sleuthkit/download.php(дата обращения: 10.08.2020).
37. Autopsy | Digital Forensics. [Электронный ресурс]. — Режим доступа : https://www.autopsy.com(дата обращения: 10.08.2020).
38. NirSoft - freeware utilities: password recovery, system utilities, desktop utilities. [Электронный ресурс]. — Режим доступа : https://www.nirsoft.net(дата обращения: 15.05.2019).
39. Программа Восстановления Данных для ОС Windows. [Электронный ресурс]. — Режим доступа : https://www.r-studio.com/ru(дата обращения: 10.08.2020).
40. Plaso/tools at master • log2timeline/plaso • GitHub [Электронный ресурс]. — Режим доступа : https://github.com/log2timeline/plaso/blob/master/tools/ psort.py (дата обращения: 10.08.2020).
41. Усов А.И. Концептуальные основы судебной компьютерно - технической экспертизы : автореф. дис. ... д-ра юрид. наук : 12.00.09 / Моск. ин¬т МВД России. М., 2002.
42. Усов А.И. Судебная компьютерно-техническая экспертиза: становление, развитие, методическое обеспечение // Теория и практика судебной экспертизы. — № 3 (11). 2008. — С. 10-22.
43. Россинская Е. Р., Рядовский И. А. Концепция цифровых следов в криминалистике // Аубакировские чтения : материалы Международной научно-практической конференции (19 февраля 2019 г.). Алматы, 2019. — С. 6-8.
44. NtfsDisableLastAccessUpdate. [Электронный ресурс]. — Режим доступа : https://technet.microsoft.com/en-us/library/cc959914.aspx(дата обращения: 03.06.2021).
45. ГОСТ ИСО 8601-2001. Представление дат и времени. Общие требования. — Взамен ГОСТ 7.64-90 ; введ. 2002-07-01. — Минск : Межгос. совет по стандартизации, метрологии и сертификации. — 20 с. — (Система стандартов по информации, библиотечному и издательскому делу).
46. JavaScript метод Date.toISOString. [Электронный ресурс]. — Режим доступа : https://basicweb.ru/javascript/js_date.php(дата обращения: 10.08.2020).
47. [MS-SHLLINK] — v20170915 Shell Link (.LNK) Binary File Format. [Электронный ресурс]. — Режим доступа: https://msdn.microsoft.com/en- us/library/dd871305.aspx(дата обращения: 02.04.2018).
48. FAR Manager — скачать бесплатно с официального сайта. [Электронный ресурс]. — Режим доступа: https://farmanager.ru(дата обращения: 10.06.2021).
49. Total Commander - Download. [Электронный ресурс]. — Режим доступа: https://www.ghisler.com/download.htm(дата обращения: 10.06.2021).
50. FreeCommander официальный сайт, бесплатно скачать FreeCommander XE. [Электронный ресурс]. — Режим доступа: https://freecommander.ru(дата обращения: 10.06.2021).
51. File Shredder. [Электронный ресурс]. — Режим доступа: https://www.fileshredder.org(дата обращения: 10.06.2021).
52. Free PC cleaner &Privacy tool - Download. [Электронный ресурс]. — Режим доступа: https://privazer.com/download.php(дата обращения: 10.06.2021).
53. Recuva - бесплатная программа для восстановления файлов. [Электронный ресурс]. — Режим доступа: http://recuva.su(дата обращения: 10.06.2021).
54. SDelete - Windows Sysinternals | Microsoft Docs. [Электронный ресурс]. — Режим доступа: https://docs.microsoft.com/en-us/sysinternals/downloads/ sdelete (дата обращения: 10.06.2021).
55. WordPad официальный сайт, бесплатно скачать текстовый редактор Ворд Пад на русском. [Электронный ресурс]. — Режим доступа: https://wordpad.ru(дата обращения: 10.06.2021).
56. Office 365 | Microsoft Office. [Электронный ресурс]. — Режим доступа: https://www.office.com(дата обращения: 10.06.2021).
57. Adobe Acrobat Reader DC (Россия). [Электронный ресурс]. — Режим доступа: https://acrobat.adobe.com/ru/ru/acrobat/pdf-reader.html(дата обращения: 10.06.2021).
58. Бесплатная загрузка PDF Reader и PDF Viewer | Foxit Software. [Электронный ресурс]. — Режим доступа: https://www.foxit.com/ru/pdf-reader(дата обращения: 10.06.2021).
59. GNU Image Manipulation Program (GIMP). [Электронный ресурс]. — Режим доступа: https://www.gimp.org(дата обращения: 10.06.2021).
60. Скачать бесплатный фоторедактор на русском языке - Movavi. [Электронный ресурс]. — Режим доступа: https://www.movavi.ru/photosuite-download(дата обращения: 10.06.2021).
61. Photoscape бесплатный графический редактор с русским интерфейсом. [Электронный ресурс]. — Режим доступа: https://photoscape.su(дата обращения: 10.06.2021).
62. PixBuilder Studio - Free photo editor. [Электронный ресурс]. — Режим доступа: https://www.wnsoft.com/en/pixbuilder(дата обращения: 10.06.2021).
63. Media Player Classic официальный сайт! Лучший видеоплеер 2018 года для Windows: XP, Vista, 7, 8, 8.1, 10! [Электронный ресурс]. — Режим доступа: http://mediaplayerclassic.ru(дата обращения: 10.06.2021).
64. Браузер Opera | Быстрее, безопаснее, умнее | Opera. [Электронный ресурс]. — Режим доступа: https://www.opera.com/ru(дата обращения:
10.06.2021).
65. Интернет для людей, а не для прибыли — Mozilla. [Электронный ресурс]. — Режим доступа: https://www.mozilla.org/ru(дата обращения:
10.06.2021).
66. Веб-браузер Google Chrome. [Электронный ресурс]. — Режим доступа: https://www.google.ru/chrome(дата обращения: 10.06.2021).
67. WinRAR download free and support: WinRAR. [Электронный ресурс]. — Режим доступа : http://www.win-rar.ru(дата обращения: 10.06.2021).
68. 7-Zip. [Электронный ресурс]. — Режим доступа : https://www.7-zip.org(дата обращения: 10.06.2021).
69. Руссинович М., Соломон Д., Ионеску А., Йосифович П. Внутреннее устройство Windows. 7-е изд. — СПб. : Питер, 2018. — 944 с.
70. ClockRes - Windows Sysinternals | Microsoft Docs. [Электронный ресурс]. — Режим доступа : https://docs.microsoft.com/en-us/sysinternals/downloads/ clockres (дата обращения: 03.06.2021).
71. Timestomp-GUI - Browse /Windows at SourceForge.net. [Электронный ресурс]. — Режим доступа : https://sourceforge.net/projects/timestomp- gui/files/Windows/Timestomp-GULexe/download(дата обращения: 10.08.2020).
72. Перегудов Ф.И., Тарасенко Ф.П. Основы системного анализа. — Томск: Изд-во НТЛ, 1997. — 396 с.
73. Советов Б.Я. Моделирование систем : Учебник для вузов / Б.Я. Советов, С.А. Яковлев — 5-е изд., стер. — М. : Высш. шк., 2007. — 343 с.
74. Пестриков В.М. Дискретная математика : учеб. пособие /сост. В.М. Пестриков, В.С. Дудкин , Г.А. Петров — СПб.: СПб ГТУРП, 2013. — 136 с.
75. Карпов Ю.Г. Теория автоматов : Учебник для вузов. — СПб. : Питер, 2002. — 224 с.
76. Graph with directed edges - MATLAB [Электронный ресурс]. — Режим доступа : https://ch.mathworks.com/help/matiab/ref/digraph.html(дата обращения: 01.04.2021).
77. Асанов М.О., Баранский В.А., Расин В.В. Дискретная математика: графы матроиды, алгоритмы. — Ижевск: НИЦ «РХД». 2001. — 288 c.
78. Breadth-first graph search - MATLAB bfsearch [Электронный ресурс]. — Режим доступа : https://www.mathworks.com/help/matlab/ref/
graph.bfsearch.html (дата обращения: 01.04.2021).
79. Depth-first graph search - MATLAB dfsearch [Электронный ресурс]. — Режим доступа : https://www.mathworks.com/help/matlab/ref/graph.dfsearch.html(дата обращения: 01.04.2021).
80. Find all paths between two graph nodes - MATLAB allpaths [Электронный ресурс]. — Режим доступа : https://www.mathworks.com/help/
matlab/ref/graph.allpaths.html (дата обращения: 01.04.2021).
Список публикаций автора по теме диссертации
Статьи, опубликованные в рецензируемых научных журналах и изданиях, определенных ВАК РФ и Аттестационным советом УрФУ:
81. Духан Е.И. Князева Н.С. Анализ результатов исследования изменений временных отметок файлов // Вестник УрФО. Безопасность в информационной сфере. — 2021. — Вып. 39. — № 1. — С. 21-26 (ВАК).
82. Князева Н.С. Восстановление последовательности файловых операций с применением теории графов при проведении компьютерных исследований // Вестник УрФО. Безопасность в информационной сфере. — 2021. — Вып. 40. — № 2. — С. 14-21 (ВАК).
83. Духан Е.И., Князева Н.С. Методика и результаты исследования изме-нений временных отметок файловых объектов // М.: Радиотехника, 2020. — т. 84. — № 2(4). — С. 64-72 (ВАК).
84. Natalia Knyazeva, Dmitry Khorkov, Elena Vostretsova. Building Knowledge Bases for Timestamp Changes Detection Mechanisms in MFT Windows OS // 2020 Ural Symposium on Biomedical Engineering, Radioelectronics and Information Technology (USBEREIT), 2020. — С. 553-556 (Scopus).
85. Natalia Knyazeva, Evgeny Dukhan. Timestamp Change Model in Win¬dows OS // 2020 Ural Symposium on Biomedical Engineering, Radioelectronics and Information Technology (USBEREIT), 2020. — С. 623-626 (Scopus).
Другие публикации:
86. Бакланов В.В., Князева Н.С., Хорьков Д.А. Анализ временных отметок файловой системы NTFS в операционной системе Microsoft Windows XP // Проблемы информационной безопасности. Компьютерные системы. Выпуск № 4. — Санкт-Петербург, 2012. — С. 25-32.