Список версий файлов
Имя файла
Amcache.hve.LOG1
система
Windows 10
Размер файла
0 bytes
Дата
2017-04-24
Скачать
Подробности файла | ||
---|---|---|
MD5 | d41d8cd98f00b204e9800998ecf8427e | |
SHA1 | da39a3ee5e6b4b0d3255bfef95601890afd80709 | |
SHA256 | e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 | |
CRC32 | 00000000 | |
Пример расположения файла | C:\Windows\AppCompat\Programs\ |
Имя файла
Amcache.hve.LOG1
система
Windows 10
Размер файла
1069056 bytes
Дата
2017-05-10
Скачать
Подробности файла | ||
---|---|---|
MD5 | 95f1f7a52fa5e46f5015482269419f0e | |
SHA1 | 56ba0dd878327c7e7aa301a6db8ff66c8c01fd5c | |
SHA256 | 8481da7ae009dc1d2ce0bcac308e85f1dc44ce34c43e19c408dcccfedbeccee6 | |
CRC32 | 92335aca | |
Пример расположения файла | C:\Windows\AppCompat\Programs\ |
Имя файла
Amcache.hve.LOG1
система
Windows 8.1
Размер файла
176128 bytes
Дата
2013-08-22
Скачать
Подробности файла | ||
---|---|---|
MD5 | c89bb660dedda6c6ad568cd88bd3b023 | |
SHA1 | 557e30ae0fd4c83829c513113c2b9f6b95de0673 | |
SHA256 | 4a4221686d539037e94cb2a51a2cdcd708b7e9483dfa45e271b5b96f72bc368e | |
CRC32 | 9cc6764b | |
Пример расположения файла | C:\Windows\AppCompat\Programs\ |
Имя файла
Amcache.hve.LOG1
система
Windows 8
Размер файла
8192 bytes
Дата
2012-07-26
Скачать
Подробности файла | ||
---|---|---|
MD5 | 907ade13b8f53dba94bf82a0de9099de | |
SHA1 | fdc6627c68d35c4c7113196ebdc7843ae5cd8488 | |
SHA256 | 28d941f2d33901383771aea287ea26b44e3f0f1e3efef510d5de2ede3a29a478 | |
CRC32 | 6c488f5c | |
Пример расположения файла | 1: C:\Windows\AppCompat\Programs\ |
Имя файла
Amcache.hve.LOG1
система
Windows 8
Размер файла
1069056 bytes
Дата
2017-05-10
Скачать
Подробности файла | ||
---|---|---|
MD5 | 95f1f7a52fa5e46f5015482269419f0e | |
SHA1 | 56ba0dd878327c7e7aa301a6db8ff66c8c01fd5c | |
SHA256 | 8481da7ae009dc1d2ce0bcac308e85f1dc44ce34c43e19c408dcccfedbeccee6 | |
CRC32 | 92335aca | |
Пример расположения файла | — |
FOUND.000 — что за папка и как восстановить из неё файлы chk?
FOUND.000 — что за папка?
Случается, что нежданно-негаданно, на жестком диске или флешке появляется скрытая системная папка с названием FOUND.000, в ней файлы с расширением CHK. Некоторые пользователи сразу думают, что это является признаком заражения компьютера вирусами. На самом деле, появление папки FOUND.
000 связано с работой системной утилиты CHKDSK — эта программа входит в состав операционной системы Windows и предназначена для проверки и исправления ошибок на жестких дисках и флешках.
Согласно интернет-источникам, CHKDSK содержит ошибку как минимум в Windows 2000, Windows XP Home (SP3), Windows 2003 Server, Windows Vista (SP1).
Причина появления папки FOUND.000
Программа CHKDSK, обычно запускается в автоматическом режиме после внезапной перезагрузки компьютера. Такая перезагрузка вполне может произойти, если компьютер не оборудован бесперебойным источником питания.
После внезапной перезагрузки ПК, может нарушится файловая структура операционной системы — CHKDSK проверяет файловую структуру и пытается восстановить файлы и папки если они повреждены. Подвох заключается в том, что алгоритм работы утилиты не идеален и она способна «наломать дров».
Ситуация усугубляется тем, что программа может вносить некорректные изменения в файловую структуру, не делая при этом никаких резервных копий, т.е. отменить действия уже нельзя.
При самом негативном сценарии, ценные файлы могут быть безвозвратно удалены с диска. В лучшем случае, CHKDSK сохранит данные в скрытую папку FOUND.000 (.001, .002 и т.д.), а сами файлы примут вид типа: FILE0000.CHK, FILE0001.CHK и т.д. К счастью, как правило, содержимое файлов не повреждается и удается добраться до их содержимого.
Поскольку папка FOUND.000 является не только скрытой, но и системной, она не будет отображаться стандартными средствами Windows, даже если включить отображение скрытых файлов и папок.
Увидеть её можно при помощи файлового менеджера Total Commander, если в его настройках (Конфигурация — Настройки — Содержимое полей) выставлены галочки «Показывать скрытые файлы» и «Показывать системные файлы».
В папке FOUND.000 все файлы имеют расширение CHK.
В файле с расширением CHK могут храниться данный любых типов (текстовые документы, картинки, музыка, видео и т.д.), а также программы.
Как восстановить файлы из FOUND.000?
К сожалению, Windows не в состоянии самостоятельно определить содержимое файлов CHK (ОС Ubuntu, большую часть таких файлов открывает без проблем). По этой причине, у файлов надо менять расширение, чтобы Windows знала, при помощи каких программ их открывать. Если в файле хранится фотография, то тогда расширение файла должно быть JPG.
Если на флешке хранились только фотографии, тогда можно поменять расширение с CHK на JPG сразу у всех файлов средствами Total Commander. Если же на диске хранилось большое количество файлов разного типа, то проще воспользоваться программами, которые сами распознают какая информация хранится в файле и соответствующим образом изменят расширение.
Одной из таких программ является unCHKfree (скачать 35 Кб). У программы русский интерфейс, она не требует установки на компьютер и проста в работе. Достаточно выполнить три шага:
- Указать путь к папке с файлами CHK;
- Выбрать способ восстановления: «Восстановить файлы в этой же папке» или «Восстановить файлы разложить их по папкам с расширениями»;
- Нажать на кнопку «Старт».
Внимание! Программа unCHKfree не видит папку FOUND.000, так как она скрытая и системная. По этой причине, файлы CHK лучше загрузить на любой локальный диск в специально созданную папку
Программа unCHKfree специально предназначена для восстановления информация из файлов с расширением CHK
unCHKfree без проблем распознала файлы с фотографиями и изменила у них расширение на JPG.
Программа не смогла распознать около 3% процентов файлов — расширение у них не изменилось и осталось CHK.
Файлы с презентациями PowerPoint, были распознаны как вордовские документы (с расширением DOC).
Красной рамкой обведен файл, содержимое которого программа не смогла определить. Зелёной рамкой выделен файл с презентацией PowerPoint, распознанный программой как документ Word
К сожалению, программа не в состоянии восстановить исходные имена файлов — часть наиболее ценных файлов, явно придется переименовывать.
Материалы для изучения компьютерной криминалистики
Книги
Так вышло, что русскоязычной литературы по компьютерной криминалистики практически нет. Да оно и неудивительно, форензика как прикладная деятельность стала популярна относительно недавно.
- Н. Н. Федотов. Форензика — компьютерная криминалистика с материалами книги и PDF, доступная для загрузки. Это единственный на русском языке и наиболее полный труд, системно рассказывающий о форензике. Из минусов — многие вещи, описанные в книге, на сегодня устарели. Однако это все-таки must read как для начинающих, так и для тех, кто уже занимается криминалистикой в сфере высоких технологий.
- Network Forensics 1st Edition — этот труд посвящен особенностям экспертизы систем на сетевом уровне. Хорошее пособие, с основ и по шагам рассказывающее о сетевом стеке и методах его анализа.
- File System Forensic Analysis 1st Edition — труд, аналогичный предыдущему, но посвященный исключительно анализу файлов и файловой системы взломанных машин.
- Practical Mobile Forensics — хороший вариант для новичков, желающих заняться мобильной форензикой.
- The Basics of Digital Forensics:The Primer for Getting Started in Digital Forensics — еще одна книга, которую можно порекомендовать новичкам для уверенного старта.
- Windows Forensic Analysis Toolkit: Advanced Analysis Techniques for Windows 8 — само название книги говорит о продвинутых техниках экспертизы и особенностей применения именно в Windows 8.
- Practical Windows Forensics Paperback — неплохое пособие по форензике ОС, файловой системы, реестра, сети и съемных носителей.
- Digital Forensics with Kali Linux — можно сказать, это гайд по встроенным утилитам из раздела форензики дистрибутива Kali Linux.
- Windows Registry Forensics: Advanced Digital Forensic Analysis — книга концентрируется на особенностях парсинга системного реестра Windows, извлечении данных и особенностях, появившихся с Windows 8.
- Computer Forensics: Investigating File and Operating Systems, Wireless Networks, and Storage (CHFI) by EC-Council — официальный мануал по курсу обучения CHFI с уклоном на исследование артефактов Wi-Fi-сетей и носителей данных.
- Malware Forensics Field Guide for Windows Systems — хоть эта книга и не имеет прямого отношения к «классической» форензике, но все же стоит ее почитать, особенно если ты расследуешь инциденты с уклоном в сторону малвари.
- CHFI Computer Hacking Forensic Investigator Certification All-in-One Exam Guide 1st Edition — официальное издание по курсу обучения CHFI. Рассмотрены все основные темы и вопросы с экзамена.
- Practical Forensic Imaging: Securing Digital Evidence with Linux Tools — книга, целиком посвященная правильному подходу к созданию корректного образа взломанной системы для ее дальнейшего ресерча в лабораторных условиях. Считаю, что это must read для тех, кто начинает заниматься ремеслом криминалистической хай-тек-экспертизы.
Материалы и курсы
- FOR500: Windows Forensic Analysis — курс обучения основам форензики от авторитетного института SANS.
- Free Online Computer Forensics Training Class — CHFI — еще один вариант курса по программе CHFI.
- Android Forensics & Security Testing — материалы к курсу обучения по мобильной форензике.
- Computer Forensics Fundamentals — базовый курс обучения на площадке Udemy, заявленная стоимость — 50 долларов, однако по акции — 14 долларов.
- Computer Hacking Forensic Investigator (CHFI) — еще один курс на площадке Udemy для продвинутых, стоимость 200 долларов, в дни распродаж — всего 14.
- Certified Cyber Forensics Professional (CCFP) and Certified Hacking Forensics Investigator (CHFI) exams — курс профессиональной подготовки с дальнейшей сертификацией по программе CHFI.
Для тех, кто хочет проверить свои знания в деле форензики, доступен бесплатный онлайновый тест Computer Forensics Fundamentals.
Классификация компьютерной криминалистики
Любая наука склонна делиться на более мелкие темы. Чтобы окончательно почувствовать себя в институте, давайте прикинем карту классификации компьютерной криминалистики.
- Computer forensics — к ней относится все, что связано с поиском артефактов взлома на локальной машине: анализ RAM, HDD, реестра, журналов ОС и так далее.
- Network forensics, как понятно из названия, имеет отношение к расследованиям в области сетевого стека — например, дампу и парсингу сетевого трафика для выявления таких интересных вещей, как RAT, reverse shell, backdoor-туннелей и тому подобного.
- Forensic data analysis посвящена анализу файлов, структур данных и бинарных последовательностей, оставшихся после атаки или использовавшихся при вторжении.
- Mobile device forensics занимается всем, что касается особенностей извлечения данных из Android и iOS.
- Hardware forensic — экспертиза аппаратного обеспечения и технических устройств (примеры тут, тут и еще тут, все ссылки — в PDF). Это направление наименее популярно и наиболее сложно. Сюда входит разбор данных на низком уровне (микроконтроллера, прошивки или BIOS), исследование специфических особенностей работы устройства, к примеру диапазона частот работы Wi-Fi-передатчика или внутреннего устройства скиммера, устанавливаемого на банкоматы.
Описание Registry Explorer
Что такое Registry Explorer
Registry Explorer — это инструмент на основе графического интерфейса, используемый для просмотра содержимого автономных кустов реестра. Он может загружать несколько кустов сразу, выполнять поиск по всем загруженным кустам с использованием строк или регулярных выражений, выполняет экспорт данных, вы можете установить закладки на выбранные фрагменты, сохранить сделанные изменения в проект и многое другое.
Программу Registry Explorer разрабатывает EricZimmerman, его профиль на GitHub.
Программа Registry Explorer основывается на нескольких предыдущих наработках с открытым исходным кодом, в том числе на Registry (https://github.com/EricZimmerman/Registry), но исходный код Registry Explorer не является открытым.
Официальная страница программы Registry Explorer: https://ericzimmerman.github.io/. Там же вы можете ознакомиться с другими наработками автора EricZimmerman.
Что такое RECmd
RECmd — это инструмент командной строки, используемый для доступа к автономным кустам реестра. Он включает в себя многие из тех же функций, что и Registry Explorer, включая поиск, просмотр ключей и значений и экспорт данных. В версии 1.2 добавлен пакетный режим и
поддержка плагинов для автоматического поиска и извлечения данных в CSV.
RECmd использует ту же внутреннюю часть, что и Registry Explorer, для обработки кустов реестра. RECmd имеет открытый исходный код, который доступен здесь.
Для работы также требуется Microsoft .net framework версии 4.6 или выше.
Домашняя страница: https://ericzimmerman.github.io/
Лицензия: ?
Программные инструменты
Среди профессиональных систем для анализа самая популярная, пожалуй, EnCase Forensic. Она позволяет анализировать большие объёмы данных, задавать поиск по ключевым словам, атрибутам и т. п.
EnCase Forensic создает точную побитовую копию всего диска или части данных, после этого верифицирует собранные улики, генерируя хэш MD5 файла собранных доказательств и снимая CRC-значения данных. Это даёт возможность гарантировать, что данные не были изменены, и в любой момент использовать их в виде доказательств в суде.
EnCase Forensic умеет восстанавливать файлы и разделы, искать удаленную информацию и журналы событий, сигнатуры файлов и значения хэша, анализировать составные файлы (архивы) и находить остатки информации в неразмеченном пространстве жесткого диска в встроенном HEX редакторе.
Другой удобный вариант – дистрибутив Digital Evidence & Forensics Toolkit: DEFT Linuix на платформе Lubuntu. Он позволяет находить и анализировать информацию на жестком диске и других носителях, включает систему поиска информации в кэше браузера, сетевые сканеры и утилиты для выявления руткитов.
Для снятия копий дисков обычно используют дистрибутивы вроде Rip Linux, DEFT Linux, CAINE, Paladin, Helix, Kali. Но обычно в них для полноценной работы нужно уметь работать с консолью. Это не всегда просто, потому что ошибки в командах могут привести к уничтожению улик.
Другой вариант – сборка Windows Forensic Environment (WinFE) с графическим интерфейсом. Она была создана сотрудником Microsoft, компьютерным криминалистом. Сборка основана на WinPE и работает аналогично Linux-дистрибутивам, которые не монтируют разделы в процессе загрузки. В системе есть основные инструменты анализа.
Полезные ссылки
- DumpIt– создание дампа физической памяти Windows.
- Live RAM Capturer– создание дампа RAM, в том числе защищенный анти-отладочной или антидампинговой системой.
- FTK Imager– просмотр и клонирование носителей данных в Windows.
- FTK Imager CLI for Mac OS– консольная версия утилиты FTK Imager для mac
- EnCase Forensic Imager– утилита для создания доказательных файлов EnCase.
- EWF MetaEditorутилита для редактирования метаданных EWF (E01).
- Forensics Acquisition of Websites– браузер для захвата веб-страниц для проведения расследований.
- Mail Viewer– просмотр почты Outlook Express, Windows Mail/Windows Live Mail, базы данных сообщений Mozilla Thunderbird и отдельных файлов EML.
- bstrings– поиск в двоичных данных, умеет работать с регулярными выражениями.
- floss– утилита для автоматической деобфускации данных из двоичных файлов вредоносных программ.
- Defraser– поиск полных и частичных данных о мультимедийных файлах в нераспределенном пространстве.
- bulk_extractor— поиск e-mail, IP-адресов, телефонов в файлах на диске.
- Encryption Analyzer– анализ защищенных паролем и зашифрованных файлов.
- photorec— извлечение данных и файлов изображений.
- Forensic Image Viewer– получение данных из изображений.
- iPBA2– анализ резервных копий iOS.
- SAFT– поиск SMS, журналов звонков и контактов на Android-устройствах.
- KeeFarce— извлечение паролей KeePass из памяти.
- Rekall— анализ дампов RAM.
- volatility— анализ образов физической памяти.
- RecuperaBit— восстановление NTFS-данных.
- python-ntfs— анализ NTFS-данных.
- chrome-url-dumper— извлечение данных из Google Chrome.
- hindsight— анализ истории Google Chrome/Chromium.
Особенности работы с DLL файлами и возможные проблемы
Некоторые DLL не удастся не только изменить, но даже открыть. Это происходит с защищенными библиотеками и проблема не решается без специальных программ для взлома.
Пользователи также сталкиваются с отсутствием библиотек, необходимых для работы некоторых программ. ОС при этом выдает сообщение о том, что «файл не найден». Для устранения неисправности требуется отыскать недостающие DLL с помощью поисковых систем и скачать. Затем – поместить в требуемую папку.
В редких случаях библиотеки DLL придется зарегистрировать в ОС:
- В Windows 7 (и более поздних версиях) войти в каталог, содержащий требуемый файл.
- Нажать «Shift» + правую клавишу мышки.
- В появившемся меню выбрать строчку: «Открыть окно команд».
- Набрать: regsvr32 dllxxxx.dll, где «dllxxxx.dll» – название регистрируемой библиотеки.
- Нажать «Enter».
Список версий файлов
Имя файла
Amcache.hve
система
Windows 10
Размер файла
524288 bytes
Дата
2017-04-24
Скачать
Подробности файла | ||
---|---|---|
MD5 | 74f3fa2edceb760fde27f86b11db6ffb | |
SHA1 | 3178a1e62602935d08d100a71db3e3c13b6a4820 | |
SHA256 | 6e51e3d94c65929938d657842a15ce3da06a524db8ae2da1ffcca81bd0779409 | |
CRC32 | 3d39f310 | |
Пример расположения файла | C:\Windows\AppCompat\Programs\ |
Имя файла
Amcache.hve
система
Windows 10
Размер файла
1310720 bytes
Дата
2017-05-10
Скачать
Подробности файла | ||
---|---|---|
MD5 | 8ffbdcda8c2e6dc71a5b2ad428f2c8f9 | |
SHA1 | e6ed401f16b4632e429b4b22933f6116e6503aa0 | |
SHA256 | fde5342236e70e4a329558bd163e74219b0cfa0c07725c329953583f88d6148a | |
CRC32 | 23056df8 | |
Пример расположения файла | C:\Windows\AppCompat\Programs\ |
Имя файла
Amcache.hve
система
Windows 8.1
Размер файла
262144 bytes
Дата
2017-04-24
Скачать
Подробности файла | ||
---|---|---|
MD5 | f96b2f39f80a47f0f7589016ca680abd | |
SHA1 | 8993b818b552dab62997cbdb4292481a34097e1a | |
SHA256 | 43661ddaf4483059fef32d35a2d7a3056812c100d783da2c16333673bad10e7f | |
CRC32 | cb19e8b3 | |
Пример расположения файла | C:\Windows\AppCompat\Programs\ |
Имя файла
Amcache.hve
система
Windows 8
Размер файла
262144 bytes
Дата
2017-04-24
Скачать
Подробности файла | ||
---|---|---|
MD5 | 0b31a6899084ae35a453663341f4ff3f | |
SHA1 | e60b46ff12d8798111e32bb032ae37322721462f | |
SHA256 | 57f0877dff6755022db62f3ad600764eb547c9c860ce22a835351d06e68c2184 | |
CRC32 | d1c043a3 | |
Пример расположения файла | 1: C:\Windows\AppCompat\Programs\ |
Имя файла
Amcache.hve
система
Windows 8
Размер файла
1310720 bytes
Дата
2017-05-10
Скачать
Подробности файла | ||
---|---|---|
MD5 | 8ffbdcda8c2e6dc71a5b2ad428f2c8f9 | |
SHA1 | e6ed401f16b4632e429b4b22933f6116e6503aa0 | |
SHA256 | fde5342236e70e4a329558bd163e74219b0cfa0c07725c329953583f88d6148a | |
CRC32 | 23056df8 | |
Пример расположения файла | — |
Что такое JAR-файлы
JAR расшифровывается как Java ARchive. Это архивный файл внутри которого находятся другие файлы запакованные с максимальным уровнем сжатия. Если вы знакомы с файлами ZIP или RAR, то файл JAR — это, по сути, одно и то же. Разница в том, что JAR-файлы — это приложения, разработанные для использования в среде выполнения Java.
Другое отличие файлов JAR от обычных архивов — это то, что они содержат манифест. Это специальный метафайл, который, сообщает JAR, как себя вести во время запуска, и содержит информацию о файлах находящихся внутри.
Файл JAR также может содержать файлы CLASS (скомпилированный код Java), аудиофайлы, файлы изображений и многое другое.
JAR может использоваться для самых разных целей на настольных и мобильных устройствах. Например, это может быть игра, тема приложения или расширение браузера.
Автоматическая сортировка
Вот, в принципе, и всё, целый один chk-файл мы опознали и вернули на место. Но ведь это только один файл, а их может быть порядка тысячи и более… Что же, просматривать все файлы вручную? Правильно! Конечно же нет… Благодарим Михаила Маврицина, который написал, с моей точки зрения, наиболее толковую из бесплатных программ для автоматической сортировки .chk. Итак, приветствуем нашего помощника – CHKParser32.
После запуска программы перед нами предстает окно, показанное выше. Как можно видеть, функционально всё достаточно удобно, видно количество известных сигнатур, количество chk-файлов в сканируемой директории и, по окончании процесса, количество распознанных. Во время тестирования все файлы, которые я попытался «скормить» программе были успешно «проглочены» и распознаны. Программа работает очень быстро. Так же к плюсам можно отнести легкость расширения списка сигнатур. Для этого нужно лишь добавить строчку в ini-файл, идущий в комплекте с программой.
Я, например, при тестировании, в течении 5 минут изучил сигнатуры файлов типа mov и уже при следующем этапе тестирования программа легко их находила и распознавала. Если же хочется более подробно изучить работу программы, то милости прошу к её описанию. Как видно, потратив 2 минуты на работу с программой, мы экономим кучу времени, которое потратили бы на ручную сортировку. Однако не советую про нее забывать. Если все-таки программа не смогла распознать какие-то chk-файлы, рекомендую вручную их посмотреть, а не удалять, вдруг чего интересного разыщите!
Андрей Зельников, специально для rlab.ru.
Перепечатка или цитирование разрешены при условии указания ссылки вида Восстановление данных R.LAB на первоисточник.
Отзывы о статье Восстановление данных из chk-файлов 28.08.2007 |
1. Возможно ли хотя бы теоретически как то восстановить имена файлов и/или структуру папок?2. Как отключить этот злосчастный скандиск? 26.12.2010 |
1) Нет.2) Зависит от версии ОС. Скорее всего, через реестр, точнее не знаю. Посмотрите в яндексе, я думаю найдёте много советов на эту тему. 26.12.2010 |
интересует такой вопрос- а можно ли как нибудь направить вывод chkdsk в папку?а то как-то при сканировании одной флешки писалось что chk файлов на 5гб(на флешке 1гб) и процесс исправления ошибок останавливался. 07.01.2011 |
Ответ на вопрос лучше поискать в доке к Чекдиску, т.к. мы не сталкивались никогда с такой задачей. 08.01.2011 |
Большое спасибо, Андрей Очень хорошая статья, которая помогла мне! 03.10.2011 |
От лица Андрея скажу вам пожалуйста! Андрею благодарность передам! 03.10.2011 |
Спасибо! помогло 17.07.2015 |
Пожалуйста. 17.07.2015 |
«Очень часто chk-файлы могут содержать не все, а лишь часть данных исходного файла. Например, после смены расширения chk-файла мы получаем битый doc или кусок картинки. В этих случаях, для получения удовлетворительных результатов, может потребоваться использование специализированных программам, предназначенных для восстановления данных из повреждённых файлов конкретных типов.»Подскажите пожалуйста, какую программу можно использовать для восстановление фотографий из кусков? Процесс поиска не привел меня ни к чему хорошему( 29.03.2016 |
|
Как скопировать в буфер обмена
Как выделить информацию
Предварительно необходимо выделить левой кнопкой мыши объект для помещения в буфер. Для выделения текстового фрагмента надо зажать левую кнопку и провести мышью по всему нужному фрагменту.
Для выделения фрагмента графического изображения следует воспользоваться возможностями графического редактора. Если это растровый редактор, такой как Фотошоп или Пойнт, для выделения фрагмента рисунка существуют клавиши управления. В векторных редакторах, таких как Корал Дро, выделяется выбранный примитив.
Также если нужно выделить весь текст или рисунок можно использовать комбинацию клавиш Ctrl + А.
Как загрузить в буфер информацию
Чтобы загрузить информацию в буфер обмена можно использовать правую кнопку мыши или горячие клавиши. Если пользоваться мышью, то при нажатии на правую кнопку появляется меню, в котором можно выбрать
- Копировать
- Вырезать
Горячие клавиши:
- Ctrl + C — копировать
- Ctrl +X – вырезать
- Ctrl + Insert – копирование
- Delete — удалить
Ещё один способ помещения информации в буфер это кнопка Print Screen. Она позволяет сделать текущую фотографию экрана и поместить в буфер. Извлечь это изображение из буфера можно как обычную картинку.
Некоторые программы имеют встроенную функцию копирования в буфер, которая доступна из интерфейса.
Как вставить из буфера обмена
Чтобы вставить содержимое буфера обмена в текстовый или графический редактор тоже используются или горячие клавиши Ctrl + V, или правая кнопка мыши. При нажатии на неё появится меню, в котором нужно выбрать позицию «Вставить» после чего нажать правую кнопку.
В некоторых редакторах вставить с помощью мыши нельзя и приходится использовать клавиши. Так, например, ведёт себя графический редактор Фотошоп.
Информация из буфера обмена будет вставлена в зависимости от того редактора в который она вставляется. В блокноте это будет только текст, в ворде будет текст с картинками, а в графических редакторах появится изображения и текст в графической форме.
Если редактор не поддерживает формат объекта, содержащегося в буфере обмена, появится сообщение о невозможности выполнения операции. В текстовых редакторах вставка будет произведена туда, где в этот момент находился курсор. В графических редакторах объект, вставляется в произвольную область. Затем его можно передвинуть мышью в нужное место.
Буфер обмена сохраняет информацию до того момента, когда в него будет скопирована другая информация. В этот момент предыдущие данные будут уничтожены. Это также произойдет при выключении или перезагрузке компьютера.
Увидеть то, что в текущий момент находится в буфере обмена проще всего через растровый графический редактор. В этом случае содержимое буфера всегда будет отображаться в виде картинки, даже если там находится текст или векторное изображение. Если попытаться использовать текстовый редактор, то вставить в него изображение не удастся.
В операционной системе Виндовс до версии ХР включительно существовала возможность просмотра содержимого буфера через системный файл clipbrd.exe. Во всех последующих версиях операционной системы такая возможность не предусмотрена.
Основные инструменты форензики
Первое, что нужно сделать в начале компьютерной криминалистической экспертизы, — это собрать и сохранить информацию, чтобы затем можно было восстанавливать хронологию и поведенческую картину инцидента.
Давайте посмотрим, какие инструменты по умолчанию должны быть в инструментарии эксперта Форензики. Начнем с самого главного — снятия образа диска для последующего анализа в лабораторных условиях.
Всегда ясно и четко осознавайте, какое именно действие и для чего вы совершаете. Неправильное использование приведенных в тексте статьи программ может привести к потере информации или искажению полученных данных (доказательств). Ни автор статьи, ни редакция сайта не несут ответственности за любой ущерб, причинный из-за неправильного использования материалов данной статьи.
Создание образа диска, раздела или отдельного сектора
- FTK Imager — неплохой инструмент для клонирования носителей данных в Windows.
- dc3dd (а также adulau/dcfldd) — улучшенные версии стандартной консольной утилиты dd в Linux.
- Guymager — специализированное приложение для создания точных копий носителей (написано на C++, на базе Qt).
- Paragon или Acronis — комбайны «все в одном» для просмотра, создания, изменения, копирования любых данных, разделов, отдельных секторов.
- Смонтировать его с атрибутами o -ro
- Подключить через blockdev —setro
- Смонтировать как -o ro,loop
Обработка сформированных образов дисков
- Imagemounter — утилита на Python, которая работает из командной строки и помогает быстро монтировать образы дисков.
- Libewf — тулза и вместе с ней библиотека для обработки форматов EWF (Encase Image file Format).
- Xmount — крохотная CLI-утилитка для конвертирования образов дисков в удобный формат с сохранением всей информации и метаданных.
Сбор данных с жестких дисков
- DumpIt — утилита для создания дампа оперативной памяти машины. Проста и удобна.
- Encase Forensic Imager — софтинка для создания базы доказательных файлов.
- Encrypted Disk Detector — еще одна тулза для криптоаналитиков, помогает искать зашифрованные тома TrueCrypt, PGP и Bitlocker.
- Forensics Acquisition of Websites — специальный браузер, предназначенный для захвата веб-страниц и последующего расследования.
- Live RAM Capturer — годная утилита для извлечения дампа RAM, в том числе приложений, защищенных антиотладочной или антидампинговой системой.
- Magnet RAM Capture — как и прошлый инструмент, предназначен для снятия RAM всех версий Windows — от ретро Windows XP до Windows 10 (включая и релизы Windows Server).
Уделяйте пристальное внимание корректному созданию образа системы для дальнейшего изучения. Это позволит быть уверенным в достоверности полученных результатов
Перед любыми действиями, задевающими работоспособность системы или сохранность данных, обязательно делайte снапшоты и резервные копии файлов.
Анализ файлов найденных на жестких дисках
- Crowd Inspect помогает в получении информации о сетевых процессах и списков двоичных файлов, связанных с каждым процессом. Помимо этого, линкуется к VirusTotal и другим онлайновым сервисам анализа вредоносных программ и службам репутации.
- dCode преобразует разные типы данных в значения даты и времени.
- Bstrings — программа для поиска в двоичных данных, есть поддержка регулярных выражений.
- eCryptfs Parser рекурсивно анализирует заголовки каждого файла eCryptfs в выбранном каталоге или диске и выводит список шифрованных файлов.
- Encryption Analyzer — утилита для анализа защищенных паролем и зашифрованных другими алгоритмами файлов, которая заодно анализирует сложность шифрования и предлагает варианты дешифровки.
- File Identifier — программа для онлайнового анализа типа файлов по собственной базе сигнатур, которых уже больше двух тысяч.
- Memoryze — утилита для анализа образов оперативной памяти, включая анализ файлов подкачки и извлечения оттуда данных.
- ShadowExplorer — утилита для просмотра и дальнейшего извлечения файлов из теневых копий в системе Windows.
- HxD — маленький и быстрый HEX-редактор.
- Synalyze It! — HEX-редактор с поддержкой шаблонов, при этом быстр и в нем нет ничего лишнего.
- wxHex Editor — кросс-платформенный HEX-редактор с возможностью сравнивать файлы и кучей других фич.
Загрузите и замените файл Amcache.hve.LOG2
Последнее решение — вручную загрузить и заменить файл Amcache.hve.LOG2 в соответствующей папке на диске. Выберите версию файла, совместимую с вашей операционной системой, и нажмите кнопку «Скачать». Затем перейдите в папку «Загруженные» вашего веб-браузера и скопируйте загруженный файл Amcache.hve.LOG2.
Перейдите в папку, в которой должен находиться файл, и вставьте загруженный файл. Ниже приведен список путей к каталогу файлов Amcache.hve.LOG2.
- Windows 10: C:\Windows\AppCompat\Programs\
- Windows 8.1: C:\Windows\AppCompat\Programs\
- Windows 8: —
Если действия не помогли решить проблему с файлом Amcache.hve.LOG2, обратитесь к профессионалу. Существует вероятность того, что ошибка (и) может быть связана с устройством и, следовательно, должна быть устранена на аппаратном уровне. Может потребоваться новая установка операционной системы — неправильный процесс установки системы может привести к потере данных.
Что ещё можно сделать
Смотря что вы хотите скрыть. Понятно, что если в офис нагрянут, быстро перезаписать весь жесткий диск нулями не получится. Физическое уничтожение контроллера тоже не всегда помогает – блины HDD можно переставить на другое «железо» и восстановить данные.
А вот если изменить атрибуты файла, например, дату и время создания, изменения и т. п., это часто делает улики недействительными. Для таких действий подходит утилита Timestomp. Простейший скрипт для изменения временных атрибутов:
Здесь ключ –m используется для изменения даты модификации, -a – времени доступа, -с – времени создания, -e – времени модификации в MFT, -z – всех четырёх параметров сразу. Дата задается в формате DayofWeek MonthDayYear HH:MM:SS . Ещё один вариант дает ключ –b, который устанавливает атрибуты файлов такими, что программа EnCase, к примеру, их не видит. При этом вы не теряете доступа к данным.
Ошибки при открытии файла
Если при открытии файла возникает ошибка, то скорее всего по трём причинам: файл защищён, файл 16-битный, или это вообще не исполняемый файл.
1. Ошибка: Файл повреждён, сжат упаковщиком или защищён протектором.
Вероятность того, что файл сжат для уменьшения размера, весьма велика. Упаковщиков и протекторов для исполняемых файлов существует не один десяток, и всё время появляются новые. Resource Tuner поддерживает распаковку только одного, зато самого распостранённого упаковщика — UPX. Остальные упаковщики не поддерживаются, и вам придётся самостоятельно заниматься распаковкой файла, прежде чем вы сможете открыть файл для просмотра или редактирования.
Данная ситуация не рассматривается, как ошибка программы. Мы не собираемся ни бороться с попытками других авторов программ защитить свои творения от взлома, ни поддерживать распаковку нескольких десятков разных упаковщиков, среди которых есть и коммерчиские продукты, и самоделки.
Цели и методы форензики
Анализ «живой» и анализ выключенной системы в корне отличаются не только подходами, но и теми данными, которые удается собрать. В первом случае (Live Forensic) это наблюдение за атакованной системой в реальном времени. Есть возможность непосредственно оценить дисковую и сетевую активность, получить список запущенных процессов, открытых портов, просмотреть залогиненных пользователей, а главное — получить из оперативной памяти те данные, которые при отключении питания исчезнут бесследно.
Например, ключи трояна-шифровальщика, расшифрованную копию смонтированных криптоконтейнеров и даже доступ к удаленным ресурсам, если на них в текущем сеансе была выполнена авторизация. После выключения компьютера вся эта информация окажется безвозвратно утерянной, а криптографические контейнеры останутся лишь зашифрованными файлами на диске.
Наборы для анализа «вживую» каждый специалист формирует, исходя из собственных потребностей. Скажем, админу достаточно уметь быстро поднять сервисы, упавшие после атаки, и восстановить продуктив из бэкапа. Уже потом в спокойной обстановке он, может быть, и глянет логи, но вряд ли найдет в них что-то ценное. Айпишники китайских прокси? Признаки входа на корпоративный сайт через дырявую CMS, которую он хотел пропатчить месяц назад? Если все бизнес-процессы идут своим чередом, дальнейшее расследование КИ для него теряет смысл.
Иные подходы у отдела расследования компьютерных инцидентов антивирусной компании (который вместе с правоохранительными органами анализирует свежий случай массового заражения) или FinCERT, распутывающей APT в какой-нибудь платежной системе. Здесь совсем другие приоритеты: нужно собрать максимум информации, которую затем можно будет использовать в суде. Обнаружить C&C-серверы ботнета, найти источник угрозы, детально восстановить сценарий взлома и выйти на его организаторов (в идеале — с их последующим арестом). Для этого требуется тщательно собрать доказательную базу, но проблема в том, что анализ системы почти всегда вносит в нее искажения. Задача специалиста по компьютерной криминалистике — свести их к минимуму и учесть при дальнейшем анализе.
Криминалистический анализ связан с доступом к персональным данным и коммерческой тайне. Для его проведения на чужой системе требуется лицензия.