FastBlock — аппаратное средство, которое блокирует внесение изменений информации на НЖМД — накопители на жестких магнитных дисках и позволяет безопасно перенести содержимое жесткого диска подозреваемого на компьютер эксперта. Дальше за дело принимается EnCase.
— ?..
— «Прога» работает практически с любыми видами носителей. Скажем, с флеш-карт для цифровых камер можно восстановить фотографии. Удаленные письма EnCase тоже восстанавливает.
— Все это можно делать и бесплатными утилитами, например Knoppix-STD и Penguin Sleuth Kit…
— Все так, но в случаях использования EnCase на кону часто стоят миллионы или даже миллиарды долларов. Поэтому ее цена в несколько тысяч долларов оправданна. Американцы, помимо EnCase, также Forensic Toolkit (FTK) используют.
— Есть ли способ обойти EnCase?
— Если не считать физического уничтожения всех жестких дисков, CD, флешек и дискет, то способов очень немного. Обрати внимание, что я имею в виду именно физическое уничтожение, поскольку просто разбить винчестер молотком или бросить его в костер может быть недостаточно. Во многих случаях придется превратить носитель в пепел.
Иногда злоумышленники — и непосредственно ты — пытаются затруднить экспертизу, изменяя расширения файлов. Если переименовать файл, допустим, passport.jpg в test.txt, то Windows откроет в Блокноте бессмысленный текст. EnCase же позволяет определить принадлежность файла определенной программе. Сокрытие информации внутри картинок или музыки EnCase также обнаружит.
— ?..
— Существуют тысячи способов включить сообщение, звук или изображение в другой файл. Это называется стеганографией. Многие хакеры уверены, что если спрятать секретные сведения в. avi или. wav-файлы, их не найдет и сам Господь. Однако мало кто знает, что используемые в большинстве случаев алгоритмы стеганографии давно устарели и вероятность обнаружения ваших личных, глубоко припрятанных данных близка к 100 %.
— Есть инструменты, которые позволяют полностью удалить файлы с жесткого диска, — я использовал Eraser. Стандартное удаление в Windows стирает только информацию, используемую для доступа к файлам, — сами данные в файлах остаются без изменений. Eraser или BestCrypt Wipe стирают информацию, используемую для доступа к файлам, и поверх всех данных записывают нули. Стандарт уничтожения магнитных носителей Министерства обороны США предусматривает семипроходное стирание — нули поверх данных записываются семь раз…
— Однако для того, чтобы EnCase не смогла восстановить удаленные подобным образом файлы, запись поверх данных надо бы произвести раз тридцать пять… — мы восстановили все твои удаленные файлы. Надо было чаще дефрагментировать жесткий диск, на котором раньше находилась конфиденциальная информация, так как процесс дефрагментации позволяет более надежно удалять остатки информации, которая могла быть стерта недостаточно эффективно. Да и форматировать крипты, хотя бы время от времени, тоже бы не помешало.