Введение 5
Постановка задачи 7
1. Обзор существующих решений 8
1.1. Мобильный криминалист 8
1.2. Forensic Toolkit 8
1.3. UFED Link Analysis 9
1.4. Nuix 9
1.5. IBM i2 Analyst’s Notebook 9
1.6. Выводы 10
2. Описание модели для нахождения связей между людьми
или группами лиц 11
2.1. Исходные данные 11
2.2. Понятие “сущности” 12
2.3. Связи между сущностями 13
2.4. Веса для связей между сущностями 13
3. Реализация модели 15
3.1. Выделение сущностей 15
3.1.1. Создание контактов для источника данных .... 15
3.1.2. Создание сущностей 16
3.2. Вычисление связей между сущностями 17
3.3. Вычисление весов для связей 17
3.4. Визуализация результатов 18
3.5. Ограничения реализации модели 19
4. Использование результатов модели 21
5. Апробация модели 22
5.1. Учётные записи Skype 22
5.2. Резервные копии мобильных телефонов с операционной
системой Android 23
5.3. Резервные копии мобильных телефонов с операционной
системой iOS 24
Заключение 25
Список литературы 26
Анализ цифровых устройств уже давно стал стандартной процедурой при расследовании преступлений. История мгновенных сообщений, удалённые файлы, фотографии сомнительного содержания - всё это может пригодиться для доказательства вины или невиновности подозреваемого в суде [5].
Специальное программное обеспечение для криминалистического анализа данных облегчает задачи нахождения и анализа артефактов, оставшихся от работы пользователя на компьютере, мобильном телефоне и прочих цифровых устройствах. Артефакты могут представлять собой как файлы (например, текстовые документы, файлы баз данных браузера со списком посещённых страниц в интернете), так и данные оперативной памяти компьютера (например, данные, оставшиеся после посещения сайтов — личные сообщения, письма почтовых сервисов и т.п.). Данные могут быть найдены в нераспределённых областях жёсткого диска, где могли сохраниться удалённые файлы или куда специально могли быть спрятаны временные данные программ, представляющие интерес для экспертов. Используемое криминалистами ПО также гарантирует, что во время анализа устройства данные не были изменены.
В анализе могут участвовать источники данных одного или нескольких лиц. Во втором случае эксперту может понадобиться исследовать взаимодействие группы лиц между собой, установить связи между подозреваемыми и жертвами, выявить наиболее активных участников, основные пути передачи информации и т.д. Однако, так как извлекаемые данные разнообразны и их количество может быть довольно объёмным (например, при анализе жёсткого диска могут найтись десятки и тысяч электронных писем и миллионы сообщений), эксперту будет непросто увидеть целостную картину взаимодействий.
Другая сложность состоит в том, что человек может иметь несколько почтовых адресов, номеров телефонов и учётных записей, поэтому не всегда можно сразу обозначить список всех собеседников и взаимодействий. Эксперту приходится вручную искать похожие учётные записи, которые могут быть созданы одним человеком, и рассматривать их как единое целое. Это занимает немалое время, хотя вполне может быть автоматизировано.
Также было бы полезно выявлять наиболее крепкие связи, то есть те, которые длятся достаточно долго и содержат большое количество сообщений, писем, звонков и прочих видов взаимодействия. Это позволило бы увидеть приоритетные направления взаимодействия, на которые стоит обратить внимание в первую очередь.
Немаловажным является представление результатов анализа цифрового устройства. Обработанные данные должны быть представлены в виде графа связей, чтобы эксперт быстрее вникнул в суть дела и эффективно взаимодействовал с данными. Таким образом, разрозненные данные превращаются в практическую информацию, продвигающую расследование.
В полученном графе могут быть обнаружены группы тесно связанных между собой вершин, которые часто называют сообществами. Задаче разбиения вершин графа взаимодействий на группы, которую также называют выделением сообществ, посвящена работа Куликова Е.К. ’’Выделение сущностей в криминалистическом анализе источников данных”, представленная на конференции ”СПИСОК-2016”.
Предложенная модель должна быть реализована и интегрирована в продукт Belkasoft Evidence Center [2], поэтому при разработке программного решения использовался язык C# и программная платформа Microsoft .NET 4.0...
В рамках данной работы были получены следующие результаты.
• Создана модель для нахождения связей между людьми или группами лиц в криминалистическом анализе источников данных.
• Предложенная модель реализована.
• Модель внедрена в продукт Belkasoft Evidence Center.
• Полученный граф связей используется для выделения сообществ.
• Выполнена апробация модели.
По результатам работы был сделан доклад “Поиск связей между сущностями в криминалистическом анализе цифровых источников данных” на конференции “СПИСОК-2016”, тезисы опубликованы в сборнике материалов конференции.
В дальнейшем планируется провести эксперименты с использованием других формул для вычисления весов. Также будут исследованы возможности для ускорения работы алгоритмов выделения сущностей и подсчёта весов.
