Введение
Всем привет, Кодебай! Сегодня я хочу рассказать и показать, реальные примеры работы специалистов из области Форензики. Смотря фильмы или сериалы по IT-тематике, встречал такое, что главный герой открывает крышку своего системного блока и достает некоторые компоненты (процессор, жесткий диск и оперативную память), а затем они оказываются либо в микроволновках, или под работой дрели. К чему я это? Для этого я и пишу данную статью. Новички, которые только узнали об этой сфере, будет идеально ознакомиться! Статья получится очень легкой для восприятия, я не буду здесь использовать сложную терминологию.

На столе Компьютер и Телефон, но данный человек совершил преступление, используя Технологии
Представим такое, что человек, используя некие цифровые технологии, совершил преступление в сфере денежных махинаций. Специальные службы изначально должны понять, в какое время данный человек использует свои устройства и время неактивности для того, чтобы застать его с включенными устройствами, чтобы работа была легче.
Например:
~8:00 - 21:00 (примерное время использования),
~21:00 - 8:00 (примерное время неактивности).

В один из дней (8:00 - 21:00), специальные службы работают по месту жительства преступника, где и ловят его с включенным устройством (ПК). Даже если он и будет находиться в режиме блокировки, то это не повлияет - им нужны некие дампы.

*Перезагрузка или выключение устройства влечет за собой нулевой Процент получения информации*

MSD (Дамп оперативной памяти) - содержимое некоторых данных из процессора (или процессоров), ядер и информации о системе, содержимого стэка (чего - либо из перечисленного), удаленные файлы.

Как это происходит?
Первое, что у меня в голове, это снятие 'снимка' физическим методом (запоминающие устройство), в котором используется заморозка. Выглядит очень эффектно! Не знаю, насколько этот вариант используется широко в реалиях. Используется IEEE 1394 (FireWire порт)
Могут использоваться некие платы расширения, но об этом я планирую поговорить позже.
Идеальная выходная информация должна выглядеть так:





Так выглядит MSD (1) Линукса (в случае с Windows (2) - они практически не отличаются)



HDD? HDD. SSD? SSD. Здесь все зависит от владельца (+ОС) и от исследователя. Диск же может быть зашифрован, правда? Слишком много слухов ходит вокруг темы 'Аппаратные взломы', 'Перебор', и так далее. Никогда не угадаешь, что будет дальше.

Сетевая Криминалистика в случае с нашей ситуацией
Все мы прекрасно знаем про каноничные ситуации с VPN и PROXY, когда человек просто забыл его включить или один из этих сервисов в режиме 'down'. Здесь подключается сетевая криминалистика (не в этом именно случае, она много где используется). Сетевая криминалистика занимается анализом траффика пользователя. Конечно, данный подраздел является очень динамичным, ведь данные всегда изменчивы, но в нашем случае это имеет право на жизнь.

Что с телефоном?
Главная задача мобильной криминалистики заключается в поиске и извлечении информации с носителя. 'Открыть - Забрать - Уйти'. Но все зависит от методов и защиты устройства, навыков исследователя (старые/уязвимые версии Android и иное ПО, установленные вредоносные программы).

Заключение
Сегодня мы рассмотрели несколько случаев работы в области форензики. На данный момент в мире второй дом - это интернет и всю личность человека можно найти именно там. С каждым днем работа в этой сфере становится еще сложней, технологии развиваются и методы тоже. Статья получилась очень легкая для восприятия. Надеюсь, что вам понравилось, но делал акцент на новичков в этой сфере. В следующих статьях рассмотрим некоторые задачи. Храните свои данные с головой, ведь форензика рядом с вами! Спасибо, что прочитали.