Читаем Как я украл миллион. Исповедь раскаявшегося кардера полностью

Я бегло просмотрел документ: «Для обнаружения и фиксации следов преступления в ходе осмотра использовался служебный компьютер, на котором установлены: операционная система Linux, стандартный набор программ Linux, а также операционная система Microsoft Windows XP Professional SP2, стандартный пакет программ Microsoft Office XP, программа WriteBlocker, блокирующая внесение каких-либо изменений информации на подключаемых НЖМД (накопителях на жестких магнитных дисках); а также программно-аппаратный комплекс EnCase. Винчестер подключен к служебному компьютеру. С использованием программы WriteBlocker XP version 6.10 заблокирована возможность записи информации на подключаемые к служебному компьютеру машинные носители информации. Далее производился осмотр содержимого носителя с использованием аналитического программного комплекса I Look Investigator v 8.0.14.

— EnCase, FastBlock, WriteBlocker, I Look Investigator… При расследовании моих прошлых преступлений ничего из этого не фигурировало… — задумчиво произнес я.

— Вспомнил прошлогодний снег: то было в 2004-м, а сейчас уже, слава богу, — Сушко посмотрел на свои часы, — 2008-й. Вы начинаете все больше использовать компьютеры — нам требуются все более изощренные инструменты, чтобы вас поймать. Многие и не подозревают, что практически все действия на компьютере, будь то путешествие по web или общение через ICQ, оставляют следы…

— Ну для меня-то это не новость. Ладно, что это за программно-аппаратный комплекс EnCase?

— Эталон компьютерной экспертизы. Американская разработка. Компьютер с установленным программным обеспечением EnCase, которое очень успешно восстанавливает удаленные данные.

— А устройство FastBlock что такое?

— Процесс компьютерной экспертизы обычно разбит на три фазы: поиск улик, их анализ и отчет. Этап поиска улик подразумевает перенос данных с носителя (дискеты, флешки, жесткого диска) на компьютер эксперта. При этом необходимо гарантировать, что на оригинальный носитель запись произведена не будет. Потому как Windows, например, производит запись на любое устройство при его подключении.

FastBlock — аппаратное средство, которое блокирует внесение изменений информации на НЖМД — накопители на жестких магнитных дисках и позволяет безопасно перенести содержимое жесткого диска подозреваемого на компьютер эксперта. Дальше за дело принимается EnCase.

— ?..

— «Прога» работает практически с любыми видами носителей. Скажем, с флеш-карт для цифровых камер можно восстановить фотографии. Удаленные письма EnCase тоже восстанавливает.

— Все это можно делать и бесплатными утилитами, например Knoppix-STD и Penguin Sleuth Kit…

— Все так, но в случаях использования EnCase на кону часто стоят миллионы или даже миллиарды долларов. Поэтому ее цена в несколько тысяч долларов оправданна. Американцы, помимо EnCase, также Forensic Toolkit (FTK) используют.

— Есть ли способ обойти EnCase?

— Если не считать физического уничтожения всех жестких дисков, CD, флешек и дискет, то способов очень немного. Обрати внимание, что я имею в виду именно физическое уничтожение, поскольку просто разбить винчестер молотком или бросить его в костер может быть недостаточно. Во многих случаях придется превратить носитель в пепел.

Иногда злоумышленники — и непосредственно ты — пытаются затруднить экспертизу, изменяя расширения файлов. Если переименовать файл, допустим, passport.jpg в test.txt, то Windows откроет в Блокноте бессмысленный текст. EnCase же позволяет определить принадлежность файла определенной программе. Сокрытие информации внутри картинок или музыки EnCase также обнаружит.

— ?..

— Существуют тысячи способов включить сообщение, звук или изображение в другой файл. Это называется стеганографией. Многие хакеры уверены, что если спрятать секретные сведения в. avi или. wav-файлы, их не найдет и сам Господь. Однако мало кто знает, что используемые в большинстве случаев алгоритмы стеганографии давно устарели и вероятность обнаружения ваших личных, глубоко припрятанных данных близка к 100 %.

— Есть инструменты, которые позволяют полностью удалить файлы с жесткого диска, — я использовал Eraser. Стандартное удаление в Windows стирает только информацию, используемую для доступа к файлам, — сами данные в файлах остаются без изменений. Eraser или BestCrypt Wipe стирают информацию, используемую для доступа к файлам, и поверх всех данных записывают нули. Стандарт уничтожения магнитных носителей Министерства обороны США предусматривает семипроходное стирание — нули поверх данных записываются семь раз…

— Однако для того, чтобы EnCase не смогла восстановить удаленные подобным образом файлы, запись поверх данных надо бы произвести раз тридцать пять… — мы восстановили все твои удаленные файлы. Надо было чаще дефрагментировать жесткий диск, на котором раньше находилась конфиденциальная информация, так как процесс дефрагментации позволяет более надежно удалять остатки информации, которая могла быть стерта недостаточно эффективно. Да и форматировать крипты, хотя бы время от времени, тоже бы не помешало.