Введение в сетевую криминалистику

Первым шагом в любом криминальном расследовании является резервное копирование всей имеющейся информации. К сожалению, это подразумевает не только копирование дисковых драйвов. Первый вопрос по прибытии на место расследования — как получить копию содержимого оперативной памяти скомпрометированной системы. В памяти компьютера может находиться какая-нибудь улика, и вам нужно до нее добраться. Известно, что не все операционные системы поддерживают возможность сброса содержимого оперативной памяти на диск. При этом системы, которые поддерживают такую возможность, обычно нужно заранее настроить. Существует одна основная проблема, с которой вы обязательно столкнетесь в процессе расследования, — вы вынуждены работать с компьютером, который находился или находится под контролем злоумышленника. В подавляющем большинстве случаев все будет ясно и просто, и у вас не появятся основания для беспокойства. В памяти вы не найдете ничего особенного и сможете завершить работу системы, ничего не потеряв и не причинив ущерб файловой системе. Однако есть вероятность, что систему взломал профессиональный хакер, которому вовсе не безразлично, какие улики оставить за собой. В подобной ситуации расследование скомпрометированного компьютера является чрезвычайно сложной задачей. Вам, наверное, удастся попасть в машину и покопаться в ней; однако хакер способен предугадать ваши действия и приоритеты. Изощренный взломщик может заменить отдельные части операционной системы в реальном времени. Такой искусник способен надежно скрыть процессы, файлы, что угодно. Пока вы зависимы от информации, которой снабжает вас работающая операционная система, вы зависимы от той лжи, которую предоставляет вам злоумышленник.