- Мя..)
Компьютерно-техническая экспертиза — одна из разновидностей судебных экспертиз, объектом которой является компьютерная техника и (или) компьютерные носители информации, а целью — поиск и закрепление доказательств. Проводится как по уголовным делам, так и по гражданским.
Обычно перед экспертом ставятся вопросы:
- О наличии на исследуемых объектах информации, относящейся к делу (в том числе, в неявном, удалённом, скрытом или зашифрованном виде);
- О функциях программ для ЭВМ, в частности, предназначенных для уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации;
- Об идентификации найденных электронных документов, программ для ЭВМ, пользователей компьютера.
Как мы можем видеть, шифровать, скрывать, запароливать информацию - плохая идея. Ведь наличие такой информации само по себе служит косвенным доказательством по делу. А изучив судебную практику, можно увидеть, что в 99% случаев информацияпод пытками чудесным образом расшифровывается, тома находятся, а пароли подбираются.
Так же на практике плохой идеей является использование специфического ПО. Ведь оно само по себе будет служить косвенными доказательствами.
Другой проблемой в вопросе противодействия компьютерно-технической экспертизе является наличие компрометирующих данных на носителях. Даже имея возможность быстро их удалить - это ничего не даст, ведь данные можно восстановить. А надежное затирание данных может занимать дни, что не очень подходит, когда вам выбивают дверь.
Исходя из этих соображений, предлагаю использовать концепцию правдоподобного отрицания, посредством портативных программ, дополнительно изолированных в песочнице и помещенных на виртуальный диск в оперативной памяти. А бэкап мы будем хранить на флешке, в облаке, или не хранить вообще.
Что это дает:
- Моментальное удаление всей компрометирующей информации при отключении питания компьютера. Или удаление и автоматическое затирание данных в случае закрытия всех программ в песочнице. Затирание в таком случае занимает буквально секунды
- Портативные версии программ хранят рабочие и временные файлы только в своей папке, не оставляя следов в системе.
- Использование песочницы даст дополнительную защиту от вредоносного ПО, а так же гарантию того, что файлы используемых программ будут находиться только в RAM-диске.
Поехали:
Установка программы для создания RAM-дисков:
Установка песочницы:
Самое важное! Программы запускаем не двойным кликом, а правой кнопкой мыши на "Run Sandboxie". В открывшемся окне жмем "OK".
Создаем на виртуальном диске новый текстовый документ и открываем его в песочнице. После этого на виртуальном диске создастся папка P:\Sandbox\DefaultBox . В нее мы и будем помещать все программы и данные которые должны быть удалены и затерты при необходимости.
Настроим автоматическое удаление и затирание данных:
Почти готово. Теперь нам нужно подобрать для своего рода деятельности необходимый портативный софт.
Некоторые программы на официальных сайтах имеют портативную версию. Те, которые не имеют, вы можете поискать, к примеру, тут.
С этого сайта я скачал браузер, телеграмм и программу для работы с почтой. После скачки установочные файлы также нужно перенести на виртуальный диск и установить аналогично песочнице, но уже в эту папку P:\Sandbox\DefaultBox\
Закрыть сразу все запущенные программы в песочнице можно вот так:
Запущенные в песочнице программы при наведении мышкой на края обводятся желтой рамочкой.
После запуска программ в песочнице на нашем виртуальном диске появится папка со всеми рабочими и временными файлами программ.
Готово. Теперь наши файлы будут удалены при отключении компьютера от питания. Или удалены и затерты при закрытии всех программ запущенных в песочнице. Чтоб не потерять важные файлы в случае непредвиденного отключения питания или сбоя системы - их можно скопировать на внешний носитель (и далеко спрятать) или сетевой диск, пароль от которого нигде не записан.
После переноса всех компрометирующих файлов в виртуальный диск - следует произвести затирку данных на физических носителях, где эти данные были ранее. К примеру, с помощью CCleaner
Обычно перед экспертом ставятся вопросы:
- О наличии на исследуемых объектах информации, относящейся к делу (в том числе, в неявном, удалённом, скрытом или зашифрованном виде);
- О функциях программ для ЭВМ, в частности, предназначенных для уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации;
- Об идентификации найденных электронных документов, программ для ЭВМ, пользователей компьютера.
Как мы можем видеть, шифровать, скрывать, запароливать информацию - плохая идея. Ведь наличие такой информации само по себе служит косвенным доказательством по делу. А изучив судебную практику, можно увидеть, что в 99% случаев информация
Так же на практике плохой идеей является использование специфического ПО. Ведь оно само по себе будет служить косвенными доказательствами.
Другой проблемой в вопросе противодействия компьютерно-технической экспертизе является наличие компрометирующих данных на носителях. Даже имея возможность быстро их удалить - это ничего не даст, ведь данные можно восстановить. А надежное затирание данных может занимать дни, что не очень подходит, когда вам выбивают дверь.
Исходя из этих соображений, предлагаю использовать концепцию правдоподобного отрицания, посредством портативных программ, дополнительно изолированных в песочнице и помещенных на виртуальный диск в оперативной памяти. А бэкап мы будем хранить на флешке, в облаке, или не хранить вообще.
Что это дает:
- Моментальное удаление всей компрометирующей информации при отключении питания компьютера. Или удаление и автоматическое затирание данных в случае закрытия всех программ в песочнице. Затирание в таком случае занимает буквально секунды
- Портативные версии программ хранят рабочие и временные файлы только в своей папке, не оставляя следов в системе.
- Использование песочницы даст дополнительную защиту от вредоносного ПО, а так же гарантию того, что файлы используемых программ будут находиться только в RAM-диске.
Поехали:
Установка программы для создания RAM-дисков:
Скачиваем с официального
1-6 Устанавливаем.
7-8 Кликаем и открывается диалоговое окно. В "Drive size" укажите нужный вам размер диска в гигабайтах. В поле "Vovume Label" произвольное имя диска. Остальные параметры как на скрине, и нажимаем "OK".
9-10 Видим, что наш диск успешно создался и отображается в списке других.
1-6 Устанавливаем.
7-8 Кликаем и открывается диалоговое окно. В "Drive size" укажите нужный вам размер диска в гигабайтах. В поле "Vovume Label" произвольное имя диска. Остальные параметры как на скрине, и нажимаем "OK".
9-10 Видим, что наш диск успешно создался и отображается в списке других.
Скачиваем портативную версию
.
Перемещаем скаченный установочный файл на наш новый виртуальный диск.
Устанавливаем, запускаем от имени администратора и просто сворачиваем.
Перемещаем скаченный установочный файл на наш новый виртуальный диск.
Устанавливаем, запускаем от имени администратора и просто сворачиваем.
Настроим автоматическое удаление и затирание данных:
Скачиваем утилиту
, достаем из архива файл sdelete.exe и помещаем его в любое место на компьютере. Запускаем и в открывшемся окне нажимаем "OK" (это надо сделать всего один раз).
Настраиваем Sandboxie как на скринах. Указываем путь до файла sdelete.exe, применяем и перезапускаем программу.
Настраиваем Sandboxie как на скринах. Указываем путь до файла sdelete.exe, применяем и перезапускаем программу.
Некоторые программы на официальных сайтах имеют портативную версию. Те, которые не имеют, вы можете поискать, к примеру, тут.
С этого сайта я скачал браузер, телеграмм и программу для работы с почтой. После скачки установочные файлы также нужно перенести на виртуальный диск и установить аналогично песочнице, но уже в эту папку P:\Sandbox\DefaultBox\
Закрыть сразу все запущенные программы в песочнице можно вот так:
После запуска программ в песочнице на нашем виртуальном диске появится папка со всеми рабочими и временными файлами программ.
Готово. Теперь наши файлы будут удалены при отключении компьютера от питания. Или удалены и затерты при закрытии всех программ запущенных в песочнице. Чтоб не потерять важные файлы в случае непредвиденного отключения питания или сбоя системы - их можно скопировать на внешний носитель (и далеко спрятать) или сетевой диск, пароль от которого нигде не записан.
После переноса всех компрометирующих файлов в виртуальный диск - следует произвести затирку данных на физических носителях, где эти данные были ранее. К примеру, с помощью CCleaner
Последнее редактирование модератором:
