Важно Расследование инцидентов в Windows.

cybercop

Постоянный участник
Сообщения
286
Реакции
258
Владимир Безмалый
В наше время атаками на компьютеры и компьютерные сети сложно кого-либо удивить. Для атак активно используется Internet, электронная почта и другие каналы связи. Подобные действия подвергают организации правовым и финансовым рискам и часто требуют проведения внутренних расследований.
В данной статье мы обсудим процессы и инструментальные средства, которые можно использовать при проведении компьютерных расследований. Речь пойдет о применении средств Windows Sysinternals (http://go.microsoft.com/?linkId=6013253) — утилит, используемых для исследования компьютеров на базе ОС Windows, а также внутренних команд и инструментов Windows. При этом часть политик и процедур, задействованных в ходе расследования, могут также применяться для восстановления хода событий.
Компьютерная модель расследования
Согласно определению Уоррена Круса и Джея Хейсера, авторов «Computer Forensics: Incident Response Essentials», компьютерные расследования — это сохранение, идентификация, извлечение, документация и интерпретация компьютерных носителей для анализа первопричины. Компьютерная модель расследования показывает логическую модель проведения расследования.
В ходе расследования специалисты выполняют следующие действия:
  1. Оценивают ситуацию — проводят анализ области расследования и предпринимаемых действий.
  2. Накапливают данные — собирают, защищают и сохраняют доказательства.
  3. Анализируют данные — исследуют и сопоставляют цифровые доказательства с теми событиями, которые представляют реальный интерес, что в дальнейшем позволит понять ход атаки.
  4. Подготавливают отчет о проведенном расследовании — собирают и упорядочивают информацию и составляют окончательный отчет.
Детально стадии проведения расследования рассмотрим ниже.
Инициирование процесса расследования
Прежде чем начинать свое расследование, необходимо инициировать процесс расследования.
Для начала следует решить, будете ли вы привлекать юристов для проведения административного (уголовного) преследования злоумышленника. Если да, то следует привлечь правоохранительные органы. Но стоит иметь в виду, что это можно сделать и на более поздних стадиях проведения расследования.
Однако нужно понимать, что в первую очередь необходимо предотвратить дальнейшее нанесение ущерба злоумышленниками. Ведь важнее всего защитить организацию от возможного ущерба, если, конечно, не затронуты интересы государственной безопасности.
Оценка ситуации
Рассмотрим, как провести полную оценку ситуации, установить область инцидента и определить требуемые ресурсы для проведения внутреннего расследования.
Уведомление руководства
Для проведения внутреннего расследования компьютерного инцидента следует получить соответствующее разрешение руководства компании, если политика безопасности не предусматривает инцидентное разрешение. В таком случае требуется провести полную оценку ситуации и определить дальнейшие шаги. Для этого необходимо сделать следующее.
  • Если в организации не существует определенной политики реагирования на инциденты, то необходимо письменно уведомить руководство и получить письменное же разрешение от уполномоченного лица о проведении компьютерного расследования.
  • В ходе расследования необходимо документировать все связанные с ним действия. У вас должно быть точное и законченное описание событий и решений, имевших место в ходе инцидента и ответа на инцидент. В дальнейшем эта документация может использоваться в суде для описания действий, проводимых в ходе расследования.
  • В зависимости от контекста инцидента и при отсутствии угрозы государственной безопасности главной задачей является защита организации от нанесения дальнейшего ущерба. После того как безопасность организации будет обеспечена, необходимо восстановить работу и расследовать инцидент.
Вместе с тем, следует учитывать, что ваши решения и доказательства могут быть оспорены в суде, поскольку компьютерное доказательство — процесс весьма сложный и различные исследования могут дать разные результаты и заключения.
Обзор политик и процедур
Приступая к компьютерному расследованию, крайне важно понимать политики и процедуры, принятые в компании, к которым вы можете обратиться в ходе расследования. Обратите внимание на следующие важные соображения.
  • Имеете ли вы законные полномочия для проведения расследования?
  • Существуют ли принятые в организации политики и процедуры, в которых описаны правила обращения с конфиденциальной информацией?
  • Описаны ли в этих политиках и процедурах правила проведения внутреннего расследования в случае инцидента? Ведь не секрет, что во многих компаниях соответствующие политики и процедуры отсутствуют или не рассмотрены и не согласованы с юристами. А кроме того, не все сотрудники и посетители уведомлены об их существовании. Если вы не уверены в своих полномочиях, проконсультируйтесь с руководством и юристами.
Проконсультируйтесь с юристами во избежание потенциальных проблем, связанных с неправильной обработкой результатов проведенного расследования. В число факторов, провоцирующих такие проблемы, могут входить:
  • персональные данные скомпрометированных клиентов;
  • нарушение любых государственных законов;
  • несение уголовной или административной ответственности за перехват электронных сообщений;
  • просмотр закрытой информации. Данные, которые могут поставить под угрозу конфиденциальность информации клиента, должны быть доступны как часть связанной с расследованием документации, если это непосредственно использовалось в проведении расследования.
В дальнейшем необходимо гарантировать конфиденциальность клиентских данных:
  • все данные должны надежно храниться, при этом контроль доступа к ним должен быть ужесточен;
  • по окончании расследования все данные, включая документацию, в течение периода времени, согласованного с юристами или в соответствии с законодательством, должны находиться под пристальным вниманием. Если данные — потенциальная часть уголовного дела, то необходимо проконсультироваться с правоохранительными органами.
В случае судебного иска требуется поддерживать и тщательно хранить все цифровые копии доказательств. Если вы не обеспечите безопасное хранение доказательств, вы не обеспечите доверие собранным в ходе расследования доказательствам. Сохранность доказательств достигается при наличии документации, поддающейся проверке.
Создание группы проведения расследований
Для успешного проведения внутреннего компьютерного расследования следует сформировать группу реагирования на инциденты. Лучше всего создать группу заранее, до того, как реально потребуется проводить расследование. Важно, чтобы члены группы имели навыки проведения подобных расследований. При этом необходимо учесть следующее.
  • Определите компетентных сотрудников, которые понимают, как нужно проводить расследование. Идеальным будет обучение на соответствующих курсах. Помните, что в случае проведения слушаний в суде навыки и умения сотрудника, проводившего расследование, будут тщательно проверяться.
  • Назначьте членов группы расследования и определите их обязанности.
  • Назначьте одного из членов группы как технического руководителя. Как правило, технический руководитель должен иметь опыт участия в проведении расследований и достаточные технические знания. Не забывайте, что члены группы проведения расследования должны иметь более высокую квалификацию, чем подозреваемые.
  • Для обеспечения защиты информации и личной безопасности членов группы расследования состав группы должен держаться в секрете.
  • В случае отсутствия в организации должным образом подготовленного персонала к расследованию может привлекаться доверенная внешняя группа, обладающая необходимыми знаниями.
  • В случае проведения расследования необходимы гарантии, что каждый член группы обладает полномочиями для решения поставленной задачи. Данный пункт особенно важен в случае привлечения специалистов со стороны для проведения расследований.
Полная оценка ситуации
Для определения приоритета соответствующих действий и распределения ресурсов группы расследования необходима тщательная оценка ситуации. Данная оценка определяет текущее и потенциальное воздействие инцидента на работу организации, позволяет идентифицировать затронутую инфраструктуру и как можно полнее оценить ситуацию. Вместе с тем эта информация позволит быстрее определить соответствующее направление работы.
Для получения полной оценки ситуации необходимы следующие действия.
  • Исследуйте все ее потенциальные опасности, потенциально затрагиваемые стороны и, если возможно, информацию о подозреваемой стороне.
  • Изучите возможное воздействие на организацию. Оцените, затрагивает ли инцидент данные клиентов, финансовые данные или конфиденциальные данные компании. Не забудьте оценить потенциальное влияние инцидента на связи с общественностью. Стоит учесть, что данная оценка, вполне вероятно, будет находиться за пределами полномочий служб информационных технологий и информационной безопасности и, возможно, должна быть сделана при поддержке руководства и юристов компании.
  • В течение расследования проанализируйте воздействие инцидента на работу организации. Перечислите ресурсы, необходимые для полной ликвидации последствий инцидента, время простоя, стоимость поврежденного оборудования, оцените возможную потерю доходов и стоимость разглашенной конфиденциальной информации. Учтите, что такая оценка должна быть реалистичной. Фактические затраты на преодоление последствий инцидента будут определены позднее.
  • Проанализируйте возможные нематериальные потери — влияние на репутацию организации т. д. Не стоит преувеличивать серьезность инцидента. Этот анализ необходим только для того, чтобы понять область инцидента. Фактические потери от инцидента будут определены позднее. Вероятнее всего, данная оценка потерь будет находиться вне компетенции служб информационных технологий и информационной безопасности и будет выполняться руководством вместе с юристами и сотрудниками других подразделений.
Для проведения идентификации, анализа и документирования сетевой инфраструктуры и компьютеров, затронутых инцидентом, необходимо сделать следующее.
  • Идентифицировать сеть, вовлеченную в инцидент, количество, типы и роли затронутых инцидентом компьютеров.
  • Изучить топологию сети, включая детальную информацию о серверах, сетевых аппаратных средствах, системах сетевой защиты, подключениях к Internet.
  • Идентифицировать внешние запоминающие устройства.
  • Определить удаленные компьютеры, подключаемые к компьютерной сети.
  • В случае необходимости (если требуется оперативный анализ) фиксировать сетевой трафик. Данный тип анализа необходим в том случае, если в сети по-прежнему наблюдается подозрительный трафик. Microsoft Windows XP и Windows Server 2003 включают встроенные сетевые инструментальные средства сбора данных для фиксирования локального сетевого трафика — Netcap и Rasdiag. Вместе с тем вы можете использовать Windows Network Monitor (NetMon) и Windows Sysinternals TDIMon (http://www.microsoft.com/technet/sysinternals/default.mspx ) для сетевого анализа данных.
  • Для исследования состояния приложений и операционных систем на компьютерах, которые затрагивает расследование, используйте инструментальные средства. В этом случае будут полезны файлы журналов Windows, Windows Sysinternals PsTools.
  • Для исследования и документирования затронутых файлов и серверов приложений используйте инструментальные средства Windows Sysinternals: PsTools, PsFile, ShareEnum и файлы журналов Windows.
Для получения завершенного понимания ситуации сделайте следующее.
  • Составьте временной график. Это особенно важно для глобальных инцидентов. Данный документ должен содержать возможные несоответствия между датой и временем рабочих станций и службой времени Windows Server 2003.
  • Определите круг вовлеченных в инцидент лиц и побеседуйте с ними. Это чрезвычайно важно для понимания ситуации.
  • Документируйте все результаты интервью. Они потребуются позже для полного понимания ситуации.
  • Восстановите и сохраните информацию (файлы журналов) внешних и внутренних устройств сети, таких как системы сетевой защиты и маршрутизаторы, которые могли находиться на пути атаки.
  • Общедоступную информацию, типа IP-адреса и имени домена, для возможной идентификации атакующего можно получить с помощью Windows Sysinternals Whois http://go.microsoft.com/?linkId=6013254
Собранная информация может пригодиться для подготовки плана восстановления после инцидента.
На стадии сбора доказательств требуется гарантировать, что результат стадии оценки ситуации использован правильно. Такой документ должен содержать следующую информацию.
  • Начальная оценка воздействия инцидента на бизнес организации.
  • Детальная топология сети с подробными указаниями о том, какие компьютерные системы и каким образом были скомпрометированы.
  • Резюме с пользователями и администраторами скомпрометированных систем.
  • Результаты любых юридических взаимодействий.
  • Сообщения и файлы журналов, сгенерированные инструментальными средствами, используемыми на стадии оценки.
  • Предложенное направление и план действий.
Сбор данных
В данном разделе мы обсудим, как собрать данные, необходимые для проведения расследования. Стоит учесть, что некоторые данные, получаемые в ходе расследования, энергозависимы и могут быть легко повреждены. Поэтому следует гарантировать, что соответствующие данные собраны правильно и должным образом сохранены для проведения анализа.
Формируйте компьютерный инструментарий для проведения расследования
Для грамотного и своевременного проведения расследования организации потребуется коллекция аппаратных и программных средств для сбора данных в ходе расследования. Такой инструментарий должен содержать ноутбук с набором соответствующих программных средств, операционных систем с необходимыми обновлениями, мобильными носителями, сетевым оборудованием и набором соответствующих кабелей. Идеально создать такой набор инструментов заранее. Причем члены группы должны быть ознакомлены с инструментальными средствами до проведения расследования.
Сбор доказательств
Сбор цифровых доказательств выполняется локально или по сети. Однако локальный сбор данных не всегда возможен. В случае сбора данных по сети следует учитывать тип собираемых данных и те усилия, которые для этого потребуются.
Рекомендуемый процесс сбора данных:
1. Создать точную документацию, которая позволит подтвердить подлинность собранных доказательств. Важно обращать внимание на любые потенциально интересные элементы и регистрировать любые действия, которые могут быть позже признаны важными в процессе расследования. Ключом к успешному расследованию является надлежащая документация, в том числе такая информация:
  • Кто выполнил действие и почему?
  • Чего таким образом пытались добиться?
  • Как именно выполнено действие?
  • Какие использовались инструменты и процедуры?
  • Когда (дата и время) выполнено действие?
  • Какие результаты достигнуты?
2. Определить необходимые методы проведения расследования. Как правило, используется комбинация автономных и интерактивных методов.
  • При проведении автономных расследований дополнительный анализ выполняется на поразрядной копии оригинального доказательства. Автономный метод расследования применяется всегда, когда это возможно, так как это уменьшает риск повреждения оригинального доказательства. Однако стоит учесть, что данный метод может использоваться только в тех случаях, когда может быть создана соответствующая копия, и не может применяться для сбора некоторых энергозависимых данных.
  • При проведении интерактивного расследования анализ выполняется на оригинальном оперативном доказательстве. Сотрудники, участвующие в проведении расследования, должны быть особенно осторожны ввиду риска модификации доказательств.
3. Идентифицировать и задокументировать потенциальные источники данных, включая:
  • серверы; информация включает роль сервера, файлы логов, файлы данных, приложения;
  • файлы журналов внутренних и внешних сетевых устройств;
  • внутренние аппаратные компоненты (например, сетевые адаптеры);
  • внешние порты — Firewire, USB и PCMCIA;
  • запоминающие устройства, включая жесткие диски, сетевые запоминающие устройства, сменные носители;
  • переносные мобильные устройства — Pocket PC, Smartphone и MP3-плееры.
4. При фиксировании энергозависимых данных следует тщательно рассматривать порядок сбора данных. Учтите, что энергозависимое доказательство может быть легко разрушено при выключении питания.
5. Используйте следующие методы сбора данных.
  • Если необходимо извлечь какие-либо устройства внутренней памяти, требуется проверить, все ли энергозависимые данные зафиксированы, а затем выключить компьютер.
  • Решите, удалить запоминающее устройство или использовать собственную систему для фиксирования данных. Учтите, что возможна ситуация, когда вы не сможете удалить запоминающее устройство из-за аппаратной несовместимости.
  • Создайте поразрядную копию доказательства на резервном носителе, защитив оригинальное доказательство от записи. Весь последующий анализ данных должен выполняться на этой копии, а не на оригинальном доказательстве.
  • Документируя запоминающие устройства, гарантируйте включение информации об их конфигурации. Обратите внимание на изготовителя и модель оборудования, параметры настройки перемычки, объем устройства, тип интерфейса и состояние диска.
6. Проверьте собранные данные. Если есть возможность, создайте контрольные суммы и цифровые подписи, чтобы гарантировать, что скопированные данные идентичны оригиналу. Учтите, что в некоторых случаях (например, при наличии сбойных секторов на носителе данных) вы не сможете создать абсолютную копию. Однако следует гарантировать, что вы получили наилучшую копию, которую можно было создать с помощью имеющихся инструментальных средств. Для вычисления криптографических хешей по алгоритмам MD5 или SHA1 можно использовать Microsoft File Checksum Integrity Verifier (http://www.microsoft.com/downloads/details.aspx?FamilyID=b3c93558-31b7-47e2-a663-7365c1686c08&DisplayLang=en ) (FCIV).
Хранение и архив
После того как доказательства собраны и готовы к анализу, чрезвычайно важно архивировать и хранить их таким образом, чтобы гарантировать целостность.
Перечислим наиболее надежные способы хранения и архивации данных.
  • Хранение данных в физически безопасном месте.
  • Документирование физического и сетевого доступа к информации.
  • Гарантия того, что неуполномоченные лица по сети или иным способом не могут получить доступ к доказательствам.
  • Защита комнат и оборудования, в которых хранятся носители, содержащие доказательства, от воздействия электромагнитных полей и статического электричества.
  • Изготовление не менее двух копий доказательств, собранных в ходе расследования. При этом одна из копий должна храниться в безопасном месте вне основного здания.
  • Гарантия того, что доказательство защищено как физически (например, помещено в сейф), так и в цифровой форме (например, назначен пароль на носители данных).
  • Документирование всего процесса хранения информации доказательства.
  • Создание журнала контроля, который включает следующую информацию:
– имя человека, исследующего доказательство;
– дату и время начала работы с доказательством;
– дату и время его возврата в хранилище.
 
Анализ данных
В этой статье мы обсудим различные подходы к анализу доказательств, собранных на стадии сбора данных внутреннего расследования.
При проведении расследований часто приходится анализировать сетевые данные. При этом используется следующая процедура:
  1. Исследовать сетевые файлы журналов на предмет наличия событий, которые могут представлять интерес. Как правило, файлы журналов содержат огромные объемы данных, так что стоит делать выборку по определенным критериям. Например, имя пользователя, дата и время либо ресурс, к которому обращались.
  2. Исследовать систему сетевой защиты, proxy-сервер, систему обнаружения вторжения и файлы журналов служб удаленного доступа.
  3. Рассмотреть файлы журналов сетевого монитора для определения событий, произошедших в сети.
  4. С помощью любого сниффера рассмотреть сетевые пакеты.
  5. Определить, зашифрованы ли сетевые подключения, которые вы исследуете.
Анализ данных рабочих станций
Данные рабочих станций включают информацию о таких компонентах, как операционная система и установленные приложения. Используйте следующую процедуру, чтобы анализировать копию данных, полученных на стадии сбора данных.
  1. Идентифицируйте собранные материалы. Стоит учесть, что собранных с рабочих станций данных будет намного больше, чем необходимо для анализа инцидента. Следовательно, требуется заранее выработать критерии поиска событий, представляющих интерес для расследования. Например, можно использовать Microsoft Windows Sysinternals Strings tool для поиска файлов, расположенных в папке WindowsPrefetch. Эта папка содержит информацию о том, где, когда и какие приложения были запущены.
  2. Исследуйте данные операционной системы и любые данные, загруженные в память компьютера, чтобы определить, выполняются ли (подготовлены ли к запуску) любые приложения или процессы. Например, для того, чтобы увидеть, какие программы будут выполнены в процессе загрузки или входа в систему, можно использовать Windows Sysinternals AutoRuns.
  3. Исследуйте выполняющиеся прикладные программы, процессы, сетевые подключения. Например, можно найти прикладные программы с соответствующими названиями, но стартовавшие из ненормативных мест. Для выполнения подобных задач можно использовать Windows Sysinternals ProcessExplorer, LogonSession и PSFile.
Анализ носителей данных
Носители данных, собранные в ходе сбора данных, будут содержать много файлов. Однако придется проанализировать эти файлы, чтобы определить их причастность (или непричастность) к инциденту. Ввиду огромного количества файлов эта процедура может быть чрезвычайно сложной.
Для того чтобы извлечь и проанализировать данные, расположенные на собранных носителях данных, можно применить следующую процедуру:
  1. Проведите автономный анализ поразрядной копии оригинального доказательства.
  2. Определите, использовалось ли шифрование данных (Encrypting File System, EFS) в Windows Microsoft. Для установления факта применения EFS потребуется исследование определенных разделов реестра. Как просмотреть необходимые разделы, рассказано в статье «Encrypting File System in Windows XP and Windows Server 2003» (http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/cryptfs.mspx ) из Microsoft TechNet. Если вы подозреваете, что шифрование данных все же использовалось, придется определить, удастся ли прочитать зашифрованные данные. Это будет зависеть от многих обстоятельств: версии Windows, входит ли данный компьютер в домен, каким образом был развернут EFS. Для получения дополнительной информации о EFS можно обратиться к статье «The Encrypting File System» (http://www.microsoft.com/technet/security/guidance/cryptographyetc/efs.mspx ) на Microsoft TechNet. Существуют и внешние инструментальные средства восстановления EFS, например Advanced EFS Data Recovery (http://www.elcomsoft.com/aefsdr.html ) от компании Elcomsoft.
  3. В случае необходимости распакуйте любые сжатые файлы.
  4. Создайте дерево каталогов. Может быть очень полезно графически представить структуру каталогов и файлов на носителях данных, чтобы затем эффективно анализировать файлы.
  5. Идентифицируйте файлы, представляющие интерес. Если вы знаете, какие файлы затронул инцидент безопасности, можно вначале сосредоточить расследование на этих файлах. Для сравнения известных файлов (входящих в состав операционной системы или прикладных программ) могут использоваться наборы хешей, созданные National Software Reference Library http://www.nsrl.nist.gov/ . Для категорирования и идентификации файлов можно использовать информационные сайты типа http://www.filespecs.com/ , Wotsit’s Format (http://www.wotsit.org/ ), http://www.processlibrary.com/ и Microsoft DLL Help (http://support.microsoft.com/dllhelp/Default.aspx ).
  6. Исследуйте реестр для получения информации о процессе загрузки компьютера, установленных приложениях (включая загружаемые в процессе запуска) и т. д. Просмотреть информацию о системном реестре и детальное описание содержания системного реестра можно в Windows Server 2003 Resource Kit Registry Reference http://technet2.microsoft.com/WindowsServer/en/library/56a33a88-a7b2-4f21-ab5e-5c62d728619f1033.mspx?mfr=true . Для исследования реестра доступны различные инструментальные средства, включая RegEdit, входящий в состав операционной системы Windows, Windows Sysinternals RegMon for Windows http://go.microsoft.com/?linkId=6013256 и Registry Viewer <http://www.accessdata.com/products/ >от AccessData.
  7. Исследуйте содержание всех собранных файлов, чтобы идентифицировать те из них, которые могли бы представлять интерес.
  8. Изучите файлы метаданных, представляющие интерес, используя инструментальные средства типа Encase от Guidance Software (http://www.guidancesoftware.com/ ), The Forensic Toolkit (FTK) от AccessData (http://www.accessdata.com/ ) или ProDiscover от Technology Pathways (http://www.techpathways.com/ ). Следует учесть, что атрибуты файла (метка времени) могут показать время создания, последнего обращения и последнего изменения, которые могут быть полезны при исследовании инцидента.
  9. Для просмотра идентифицированных файлов используйте специальные средства просмотра этих файлов, что позволит просматривать файлы без использования создавшего эти файлы оригинального приложения. Обратите внимание, что выбор средства просмотра определяется типом файла. Если средство просмотра недоступно, используйте оригинальное приложение для исследования файла.
Проанализировав всю доступную информацию, вы сможете подготовить заключение. Однако на этой стадии чрезвычайно важно быть очень осторожным и гарантировать, что вы не обвините невиновную сторону. Если вы уверены в результатах, можете приступить к подготовке отчета.
Подготовка отчета о расследовании
В данном разделе мы рассмотрим создание итогового отчета по расследованию.
Сбор и упорядочение информации для отчета
В ходе расследования на каждой стадии создавались промежуточные отчеты о совершении определенных действий. На данной стадии следует упорядочить эту информацию по соответствующим категориям. Для этого:
  1. Соберите всю документацию и примечания, полученные на всех стадиях проведения расследования.
  2. Идентифицируйте те части документации, которые соответствуют целям расследования.
  3. Идентифицируйте факты, поддерживающие выводы, которые затем вы будете делать в отчете.
  4. Создайте список всех доказательств, которые будут представлены в отчете.
  5. Перечислите любые заключения, которые затем будут представлены в отчете.
  6. Классифицируйте информацию для ясности и краткости отчета.
Создание отчета
После упорядочения информации ее следует использовать для создания итогового отчета. Причем необходимо учитывать аудиторию, для которой он предназначен.
В отчете должны быть следующие разделы:
  1. Цель отчета. Ясно объясните цель отчета, опишите аудиторию, на которую он рассчитан, и причины создания данного отчета.
  2. Авторы отчета. Перечислите всех авторов и соавторов отчета, включая их позиции и обязанности в ходе расследования.
  3. Краткое описание инцидента. Опишите инцидент, объясните его воздействие. Описание должно быть составлено таким образом, чтобы не только технический специалист мог понять, что и как произошло.
  4. Доказательства. Обеспечьте описания доказательств, которые были получены в ходе расследования. При описании доказательств укажите, как оно было получено, когда, кем и каким образом.
  5. Подробности. Обеспечьте детальное описание того, как были проанализированы доказательства. Объясните результаты анализа. Перечислите процедуры, которыми сопровождалось расследование, и использованные методы анализа. Включите в отчет доказательства результатов.
  6. Заключение. Суммируйте результат расследования. Процитируйте определенные доказательства, чтобы подтвердить заключение, однако не описывайте слишком подробно, как было получено это доказательство. Заключение должно быть максимально ясным.
  7. Приложения. Включите любую основную информацию, упомянутую в отчете, типа сетевых диаграмм, документов, описывающих используемые компьютерные процедуры расследования, и краткие обзоры технологий, используемые при проведении расследования. Приложения должны обеспечить достаточно информации для читателя отчета, чтобы можно было понять суть инцидента настолько полно, насколько это возможно.
В таблицах приведена информация о различных инструментальных средствах, которые могут использоваться в компьютерных расследованиях.
082.gif
Таблица 2. Windows Sysinternals. Описание инструментальных средств
Таблица 3. Информация о командах Windows
 
Назад
Сверху Снизу