Методи за откриване на следи от оперативната памет и твърдите дискове посредством приложения с отворен код. | Защитена на: 28/06/2016

Компютърната криминалистика е клон на цифровата криминалистиката, отнасяща се
до доказателства намерени на компютри и цифрови носители на информация. Целта на
компютърната криминалистика е да се изследват цифрови носители на информация,
идентифицира ги, да възстановява вече изтрити файлове от тях, доказва или опровергава
твърдения на базата на цифровата информация. При извършване на компютърно
престъпление могат да останат следи, като промени по твърдите дискове, промени в лог
файловете, също така и в оперативната памет. Промените на файлове на твърдите дискове,
променят и т.н. MAC времена или времената на достъпване на файловете, една от първите
задачи е да се създаде времева линия с използването на времето на последно достъпваните
файлове. По този начин компютърната криминалистика се опитва да създаде хронология на
действията които са били извършени.
Настоящата дипломна работа има за цел да предостави необходимите данни за подпомагане
на разследването при компютърни престъпления. Ще бъде направен анализ на
подразбиращите файлови системи за Linux, това са Еxtended file system 2, 3 и 4. За които в
първата глава ще бъде разгледана тяхната структура и начини за записване, групиране и
организация на данните върху твърдият диск, за да се придобие ясна представа за
служебните(meta) структури използвани от тях.
Освен твърдите дискове, които съдържат критична за разследването информация,
оперативната памет също предоставя огромно количество данни, които биха подпомогнали
разследването. Във втората глава ще бъдат разгледани методи за създаване на копия на
оперативната памет, които могат да бъдат изследвани в последствие след изключване на
компютъра който представлява интерес за разследването. Чрез създаване на копие на
оперативната памет се стремим да запазим информация, като дървото с процеси, мрежовите
връзки, отворени файлове, т.е тази информация която след прекъсване на захранването, ще
бъде безвъзвратно загубена.
Използваната Linux дистрибуция e Caine 7.0, която съдържа в себе си всички нужни
приложения и инструменти за анализ на твърди дискове и копия от оперативната памет.
Приложенията които биват използвани в настоящата дипломна работа са безплатни и с
отворен код, което дава възможност те постоянно да бъдат обновявани и към тях да бъдат
добавяни нови функции. Крайната точна на цялото изследване на твърди дискове и
оперативна памет е да бъде събрано максимално количество информация, която да бъде
представена в подходящ вид за разследващите органи.