Какими средствами снимать образ диска при расследовании инцидентов?

Question

[SkyNezu]

Здравствуйте, коллеги.
Представим ситуацию. Произошел инцидент. Человек не хочет идти на контакт и все отрицает. Процесс по сути простой: опечатываем ПК (жесткий диск и т.п.) при понятых, снимаем образ ОЗУ и жесткого диска, ищем доказательства, оформляем все документально и наказываем сами или идем с этим в суд.

И тут встает ряд вопросов:
1. Чем снять образ жесткого диска для дальнейшего расследования?
Обязательно ли использовать хардварные блокираторы записи, или можно обойтись каким-нибудь LiveCD дистрибутивом?
2. Чем снять образ оперативной памяти для дальнейшего расследования?
3. Если дело дойдет до суда, то нужно, чтобы результаты расследования принял суд. Какие программные средства при этом нужно использовать?

У кого есть опыт в подобных расследованиях инцидентов, пожалуйста, поделитесь опытом.

Comments

[Сергей]

Образ оперативной памяти?)

[SkyNezu]

Сергей: Да, при расследованиях очень часто нужно снять слепок/образ ОЗУ, для дальнейшего изучения. Я разве что-то написал неправильно?

[Юрий]

SkyNezu: о какого рода расследованиях идет речь? не лицензионное ПО? хакеры? контрабандисты или что там?

[Сергей]

SkyNezu: неправильно. Вас с этим образом судья отправит ... лесом. В лучшем случае! Попробуйте растолковать человеку что в оперативке находилось что-то хз что, но вы считаете это противозаконным. К тому же хз как вы его там опечатывали. Может кто-то уже после этого что-то запускал. И интересно знать как вы в полевых условиях будете снимать образ оперативки с ранее выключенного компа

[Сергей]

Вы чучуть путаете роли в этой истории. Вы можете подозревать кого-то. Он типо преступник. Но у вас нет прав на ведение сыскной деятельности и сбора доказательной базы. Этим занимаются органы. Анализом улик тоже в органы. А вы просто сообщаете о нарушении.

[SkyNezu]

Юрий: Есть основания полагать, что в оперативной памяти есть необходимые доказательства его вины. А инфу он там сливал конкурентам или что-то еще, это не важно в данном случае.

[SkyNezu]

Сергей: Конечно, перед выключением снимается слепок ОЗУ, после этого ПК выключается, снимается образ жесткого диска и весь ПК опечатывается, с понятыми и прочими действующими лицами. Все эти действия записываются на видео и прочее. Организационные меры оставим за пределами данного поста.

Вопрос в том, какими средствами при этом можно и нужно пользоваться, чтобы уже в суде предоставить эти данные и суд их принял.

[Сергей]

Никакими. У вас нет лицензии на ведение данного вида деятельности. Нет экспертов могущих провести анализ и сделать заключение

[Сергей]

А значит в суде ваши умозаключения не примут)

[SkyNezu]

Сергей: А может ли специалист организации стать таким экспертом и делать заключения для своей организации? Если пройдет определенные курсы/обучение?

[Максим Е]

SkyNezu: если будет работать в органах, то да :)

[SkyNezu]

Максим Ф: Хотелось бы не вступать в ряды МВД.

[Максим Е]

SkyNezu: по закону любой может быть экспертом, но примет ли суд мнение/заключение эксперта - это чисто его желание.
У нас иногда видеозаписи с камер, на которых преступление, не приобщают, а тут заключение неизвестного эксперта. Тем более Ваш сотрудник заинтересованное лицо.
Ищите в гугле: "экспертная деятельность", "судебный эксперт"

[Justin Bieber]

случаем не на друга стучишь? )

Answer 1

[athacker]

Посмотрите здесь: https://forensiccontrol.com/resources/free-software/

По поводу слепков RAM -- тут всё не так просто, но можно посмотреть здесь: www.forensicswiki.org/wiki/Tools:Memory_Imaging

Answer 2

[Gleb Gryadk.in]

3. = "Обеспечение доказательств нотариусом" ?

Answer 3

[Александр]

WinHEX умеет и то и другое, но придется купить лицензию.