Тип работы:
 Предмет:
 Язык работы:


Криминалистический анализ системных файлов современных операционных систем семейства Windows

Работа №126571

Тип работы

Бакалаврская работа

Предмет

программирование

Объем работы32
Год сдачи2016
Стоимость4800 руб.
ПУБЛИКУЕТСЯ ВПЕРВЫЕ
Просмотрено
31
Не подходит работа?

Узнай цену на написание


Введение 4
1. Постановка задачи 6
2. Обзор теневой копии 7
2.1. Хронология 7
2.2. Общие сведения 8
2.3. Существующие решения 10
3. Разбор и анализ формата теневой копии 13
3.1. Хранение данных 13
3.2. Структура формата 14
3.2.1. Местоположение 14
3.2.2. Внутреннее устройство 16
3.2.3. Извлекаемая информация 20
4. Разработка компонента поддержки и анализа теневой копии 21
5. Обзор тост уведомления 24
6. Разбор и анализ тост уведомления 25
6.1. Хранение данных 25
6.2. Структура 25
6.2.1. Местоположение 25
6.2.2. Внутреннее устройство 25
6.2.3. Извлекаемая информация 26
7. Разработка компонента поддержки и анализа тост уведомления 28
Заключение 29
Список литературы 30

В современном мире с целью полного и всестороннего расследова­ния обстоятельств совершенных преступлений и противоправных де­яний зачастую прибегают к помощи компьютерного криминалистиче­ского анализа [2].
Электронные вычислительные машины (ЭВМ): компьютеры, ноут­буки, смартфоны и т.д., - а также устройства хранения информации: жесткие диски, флеш накопители и т.д., - имеющиеся у подозреваемого, в соответствии с судебным постановлением подвергаются различным видам исследований [18] в том числе, с помощью специализированных инструментов для проведения компьютерной экспертизы.
Объектами компьютерной экспертизы является совокупность хра­нимых на устройстве файлов, которые могут содержать интересующие данные (артефакты), и могут быть предъявлены в суде [7].
Содержащаяся в объектах исследования информация может под­твердить или опровергнуть причастность подозреваемого к совершен­ному деянию, а также выявить наличие у злоумышленника предметов, являющихся уликами преступления.
Файлы, представляющие непосредственный интерес для компьютер­ной экспертизы, можно разделить на две категории: файлы операцион­ной системы и приложений. Во время работы операционной системы файлы первой категории постоянно модифицируются, так как в си­стеме происходят некоторые действия, влияющие на данные файлы. К действиям, приводящим к модификации, относятся такие, как удаление или изменения файлов, установка сторонних программных продуктов, подключение или отключение внешних ЭВМ и т.д..
Одним из системных файлов является появившийся в последних версиях операционных систем Windows уведомление Toast Notification, также называемое тост уведомление (Тост). Тост представляет из се­бя оповещение, уведомление или событие, которое произошло в опре­деленный момент времени с приложением или сервисом, к примеру, уведомление о получении новых сообщений в социальных сетях или в почтовых сервисах. Данные уведомления отображаются в системной области, называемой Центр Уведомлений (Action Center) [22].
В расследуемых делах, когда часть данных была удалена подозре­ваемым, специалист в области компьютерной экспертизы может приме­нить различные способы восстановления утерянной информации. В тех ситуациях, когда восстановление информации не принесло желаемого результата или когда интересующие данные были перезаписаны, экс­перт проводит поиск резервных копий данных или предыдущих версий утерянной информации, чтобы проанализировать их взамен отсутству­ющих или перезаписанных данных.
Одной из технологий резервного копирования, встроенной в совре­менные операционные системы семейства Windows, является техноло­гия Microsoft Volume Shadow Copy Service [16], основанная на формате логического раздела Volume Shadow Copy, также называемой теневой копией (ТК). Теневая копия представляет из себя копию логического раздела на определенный момент времени в прошлом. Теневые копии могут быть полными, дифференциальными или инкрементальными [21] копиями логического раздела. Теневые копии также могут быть копия­ми любого логического раздела вне зависимости от файловой системы, установленной на данном разделе.

Возникли сложности?

Нужна помощь преподавателя?

Помощь в написании работ!
ДИПЛОМНЫЕ МАГИСТЕРСКИЕ ДИССЕРТАЦИИ
КУРСОВЫЕ СТАТЬИ ВКР

В рамках данной работы были получены следующие результаты:
• Исследована структура формата теневой копии
— Определены местоположение и внутренние элементы
— Установлена новая информация, пригодная для извлечения, и, как следствие, выявлены различные состояния теневых ко­пий
— Выделена криминалистически значимая извлекаемая инфор­мация
• Исследована структура тост уведомления
— Определены местоположение и внутренние элементы
— Выделена криминалистически значимая извлекаемая инфор­мация
• Разработаны компоненты анализа тост уведомления и формата теневой копии, которые были интегрированы в продукт цифровой криминалистики
Дальнейшие пути развития:
• Восстановление содержимого логического раздела на момент со­здания теневой копии в тех случаях, когда дескриптор метаин­формации и дескриптор измененных блоков данных находятся на разных логических разделах
• Реализовать восстановление не всего содержимого логического раз­дела на момент создания теневой копии, а лишь тех файлов и директорий, что подверглись изменениями.


[1] Belkasoft. Belkasoft Evidence Center.— 2015.— URL: https:// belkasoft.com/ec (online; accessed: 29.10.2015).
[2] Computer forensics education / A. Yasinsac, R.F. Erbacher, D.G. Marks et al.— Piscataway, NJ, USA : IEEE Educational Activities Department, 2003. — July.— Vol. 1.— P. 15-23.— URL: dx.doi.org/10.1109/MSECP.2003.1219052 (online; accessed: 29.01.2016).
[3] Dokan. Dokan.— 2015.— URL: https://github.com/dokan-dev/ dokany (online; accessed: 29.12.2015).
[4] Eilam Eldad. Reversing: secrets of reverse engineering. — John Wiley & Sons, 2005. - P. 595. - ISBN: 0-7645-7481-7.
[5] Forensic Explorer. Forensic Explorer.— 2016.— URL: http://www. forensicexplorer.com/ (online; accessed: 10.01.2016).
[6] Forensics Wiki. Mounting Disk Images // Wikipedia, the free encyclopedia.— 2011.— URL: http://www.forensicswiki.org/ wiki/Mounting_Disk_Images (online; accessed: 16.01.2016).
[7] Forensics Wiki. Computer forensics // Wikipedia, the free encyclopedia. -- 2013. -- URL: http://forensicswiki.org/wiki/ Computer_forensics (online; accessed: 27.10.2015).
[8] Guidance Software. EnCase Forensic. -- 2016. -- URL: https: //www.guidancesoftware.com/encase-forensic?cmpid=nav_r (online; accessed: 06.02.2016).
[9] Libyal. Libvshadow.— 2015.— URL: https://github.com/libyal/ libvshadow (online; accessed: 12.11.2015).
[10] Magnet Forensics Inc. Internet Evidence Finder. -- 2015. -- URL: https://www.magnetforensics.com/ (online; accessed: 26.12.2015).
[11] Metz Joachim. Analysis the Windows NT VSS format.— 2013.— URL: https://390edf27cd124f5c044caae3c61c3ef563054824. googledrive.com/host/0B3fBvzttpiiSZDZXRFVMdnZCeHc/Volume% 20Shadow%20Snapshot%20%28VSS%29%20format.pdf (online; accessed: 08.10.2015).
[12] Microsoft. Adaptive and interactive toast notifications for Windows 10 // Microsoft Developer, the official blog. — 2016.— URL: https: //blogs.msdn.microsoft.com/tiles_and_toasts/2015/07/02/ adaptive-and-interactive-toast-notifications-for-windows-10/ (online; accessed: 04.03.2016).
[13] Microsoft. Services // Windows Dev Center.— 2016.— URL: https://msdn.microsoft.com/en-us/library/ms685141.aspx (online; accessed: 20.01.2016).
[14] Microsoft. Toast // Windows Dev Center.— 2016.— URL: https://msdn.microsoft.com/en-us/library/windows/apps/ br230846.aspx (online; accessed: 04.03.2016).
[15] Microsoft. Volume Shadow Copy Service. — 2016. — URL: https://msdn.microsoft.com/ru-ru/library/windows/desktop/ bb968832(v=vs.85).aspx (online; accessed: 11.01.2016).
...
Оглавление и введение
Содержание с началом введения
Фрагмент подраздела

Работу высылаем на протяжении 30 минут после оплаты.



Подобные работы


©2025 Cервис помощи студентам в выполнении работ
.