Тип работы:
 Предмет:
 Язык работы:


Восстановление данных с дисков, повреждённых современными вредоносными программами

Работа №132684

Тип работы

Дипломные работы, ВКР

Предмет

программирование

Объем работы31
Год сдачи2018
Стоимость4550 руб.
ПУБЛИКУЕТСЯ ВПЕРВЫЕ
Просмотрено
21
Не подходит работа?

Узнай цену на написание


Введение 4
Постановка задачи 6
1. Обзор уязвимых служебных структур 7
1.1. MBR-запись 7
1.1.1. Структура 7
1.1.2. Роль в процедуре загрузки компьютера 10
1.1.3. Уязвимость 10
1.2. MFT-таблица 11
1.2.1. Структура 11
1.2.2. Уязвимость 12
2. Способы восстановления доступа к данным 14
2.1. Восстановление MBR-записи 14
2.2. Восстановление MFT-таблицы 16
3. Архитектура прототипа 18
3.1. Требования 18
3.2. Компоненты 19
4. Особенности реализации прототипа 22
4.1. Компонент восстановления MBR-записи 22
4.2. Компонент восстановления данных при повреждённой MFT-таблице 22
5. Тестирование прототипа 26
5.1. Тестирование восстановления MBR-записи 26
5.2. Тестирование восстановления данных при повреждённой MFT-таблице 26
Заключение 29
Список литературы 30

Основной ценностью для пользователя компьютера являются его файлы - документы, фотографии, платёжные реквизиты, программы и т.д. Поэтому большинство современных операционных систем в первую очередь предназначены для упрощения работы с файлами.
Как и любой сложный программный продукт, операционная систе­ма неизбежно содержит дефекты. Этим пользуются злоумышленники, заинтересованные в использовании данных пользователя в собственных целях. Создавая вредоносные программы, они намеренно используют обнаруженные уязвимости и получают доступ к данным пользователя.
Одним из видов вредоносных программ являются программы-вымо­гатели. Общий цикл работы таких вредоносных программ после за­ражения компьютера делится на три этапа [5]. В первую очередь вы­полняется поиск целевых объектов программы: разделов на жёстком диске, файлов с конкретным расширением, файлов, содержащих в сво­ём названии определённые ключевые слова, и т.п. Затем вредоносная программа блокирует доступ пользователя к обнаруженным объектам. После этого программа объявляет пользователю о том, что доступ к его данным заблокирован, и требует от него определённых действий для восстановления доступа. При этом никаких гарантий не предостав­ляется.
В случае, если вредоносная программа шифрует файл, чаще все­го восстановить доступ к нему в обход требований вымогателя мож­но лишь расшифровав его. Однако, такой подход требует тщательного анализа алгоритма работы этой вредоносной программы. Поэтому та­кая задача решается индивидуально для каждой новой угрозы.
Если доступ к данным ограничивается шифрованием служебных структур или системных областей памяти, сами пользовательские дан­ные остаются нетронутыми. Таким образом, доступ к данным может быть восстановлен, если удастся восстановить повреждённые служеб­ные структуры.
Одним из примеров вредоносных программ, которые умышленно по­вреждают служебные данные, является The Petya [9]. Несмотря на то, что непосредственно файлы на заражённом компьютере не модифици­руются, доступ к ним полностью ограничивается из-за того, что ви­рус шифрует MFT-запись, главную файловую таблицу NTFS [16]. В MFT-записи содержится вся информация о файлах на томе файловой системы. The Petya предлагает пользователю перечислить денежные средства на счёт вымогателя и получить взамен код для расшифровки данных. Вместо того, чтобы выкупать ключ шифрования у злоумыш­ленника, пользователь может попытаться восстановить файлы на по­вреждённом томе файловой системы и скопировать их на другой диск.
Belkasoft Evidence Center - инструмент цифрового криминалистиче­ского анализа [3], который позволяет анализировать и восстанавливать данные разных видов: файлы гибернации операционной системы, за­шифрованные архивы, образы памяти мобильных устройств и т.д. Од­нако, при повреждении вредоносными программами служебных струк­тур носителя информации, доступ к данным ограничивается, в связи с чем анализ данных усложняется. Для того чтобы восстановить доступ к данным необходимо в первую очередь восстановить повреждённые служебные структуры. Таким образом, представляет интерес задача восстановления доступа к данным на дисках с повреждёнными слу­жебными структурами.

Возникли сложности?

Нужна помощь преподавателя?

Помощь в написании работ!
ДИПЛОМНЫЕ МАГИСТЕРСКИЕ ДИССЕРТАЦИИ
КУРСОВЫЕ СТАТЬИ ВКР

В рамках данной работы были выполнены следующие задачи:
• выполнен обзор MFT-таблицы и MBR-записи;
• исследованы способы восстановления доступа к данным при по­вреждении MBR-записи и MFT-таблицы; установлено, что MBR- запись можно воссоздать, определив адреса разделов и восстано­вив таблицу разделов, а для восстановления доступа к данным при повреждённой MFT-таблице можно воспользоваться методом сигнатурного поиска с учётом возможной фрагментации;
• определены основные компоненты прототипа; разработана архи­тектура прототипа;
• реализован прототип инструмента на языке C#; реализован мо­дуль MBRRestore с поддержкой файловых систем NTFS и FAT32; реализован модуль MFTRestore с поддержкой файлов формата JPEG;
• проведено тестирование компонентов разработанного прототипа.
В дальнейшем планируется провести апробацию реализованного про­тотипа в инструменте криминалистического анализа Belkasoft Evidence Center [3], а также расширить функционал возможностью восстанавли­вать фрагментированные файлы других форматов.


[1] AccessData. Forensic Toolkit.— URL: https://accessdata.com/ products-services/forensic-toolkit-ftk.
[2] Assembly Digital. Adroit Photo Forensics.— URL: https://www. forensicswiki.org/wiki/Adroit_Photo_Forensics.
[3] Belkasoft. Belkasoft Evidence Center.— URL: https://belkasoft. com/ec.
[4] Eugene Rodionov Alexander Matrosov David Harley. Bootkits: Past, Present Future // Virus Bulletin. — 2014.
[5] Gazet Alexandre. Comparative analysis of various ransomware virii // Journal in Computer Virology. — 2010. — Vol. 6. — P. 77-90.
[6] Heo Tejun. ATA 4 KiB sector issues.— URL: https://ata.wiki. kernel.org/index.php/ATA_4_KiB_sector_issues.
[7] Hexacorn Forensic Analysis. Sector size and MFT FILE Record size.— URL: http://www.hexacorn.com/blog/2012/05/04/ sector-size-and-mft-file-record-size/.
[8] KIT Sleuth. Scalpel.— URL: https://github.com/sleuthkit/ scalpel.
[9] Labs Malwarebytes. The Petya.— URL: https:// blog.malwarebytes.com/threat-analysis/2016/04/ petya-ransomware/.
[10] Microsoft. Attribute List Entry.— URL: https://msdn.microsoft. com/en-us/library/bb470038.aspx.
[11] Microsoft. Chkdsk.— URL: https://docs.microsoft.com/en-us/ windows-server/administration/windows-commands/chkdsk.
[12] Microsoft. File Record Segment Header.— URL: https://msdn. microsoft.com/en-us/library/bb470124.aspx.
[13] Mokrzycki W.S. Tatol M. Colour difference AE - A survey // Machine Graphics and Vision. — 2011. — April. — P. 383-411.
[14] OpenText. EnCase Forensic.— URL: https://www. guidancesoftware.com/encase-forensic.
[15] Ray Duncan Bill Gates. The MS-DOS Encyclopedia. — Microsoft Press.
...
Оглавление и введение
Содержание с началом введения
Фрагменты нескольких параграфов

Работу высылаем на протяжении 30 минут после оплаты.




©2025 Cервис помощи студентам в выполнении работ
.