Распространенное явление, которое приходится наблюдать снова и снова, — это попытка оперативного лечения компьютерной техники от вредоносных программ пользователями, сотрудниками информационной безопасности, системными администраторами или приглашенными специалистами сторонней организации.
К сожалению, только лишь действиями по лечению гениальность алгоритма не заканчивается. После обнаружения неисправностей, сбоев или фиксации вредоносной активности происходит установка различного рода программ, направленных на предотвращение угроз, защиту и анализ.
Многие идут еще дальше — производят переустановку операционных систем, форматирование носителей информации, дабы прихлопнуть потенциально находящиеся на них все страшные вирусы.
Любые осуществляемые действия в информационной среде, подвергшейся атаке, могут привести к невозможности установления истинных причин произошедшего или сильно затруднить их анализ. Даже при осуществлении простой перезагрузки, выключения-включения компьютерной техники происходит множество операций, невидимых пользователю.
Модификация компьютерной информации влечет за собой изменения, которые находят свое отражение в затирании удаленных файлов, которые можно было бы еще восстановить, потере записей системных журналов, изменении настроек, процессов, атрибутов файлов, временных папок и уничтожении еще целого ряда «маячков, знаков и отметин», используемых специалистами при проведении исследований и экспертиз.
Таким образом, стоит рассмотреть некоторые рекомендуемые действия, направленные на сохранение следов и одновременно способствующие расследованию произошедшего инцидента.
4.5.1. Изоляция системы
Первое, что необходимо сделать, — это обеспечить изоляцию атакуемой (атакованной) системы (компьютера, сервера, сети, мобильного телефона). При этом, по возможности, можно завершить критические процессы, обрабатывающие важную информацию, если таковые имеются.
Как известно, самая защищенная система — это система, которая не имеет сетевого взаимодействия и. обесточена.
4.5.2. Изготовление клонов носителей информации
После отключения системы наступает основной этап полезных действий. Необходимо сделать посекторные копии[77] носителей информации атакованной системы, желательно в двух экземплярах.
Для клонирования жесткого диска осуществляется процедура по-секторного (так называемого низкоуровневого) переноса данных с одного носителя на другой. При этом клон будет представлять собой точную копию оригинального носителя информации. Для данной операции можно применять носители информации такого же или большего объема.