Разработка методики идентификации последовательности внешних воздействий на динамическую систему, изоморфную конечному автомату (на примере восстановления последовательности файловых операций в операционной системе) : диссертация на соискание ученой степени кандидата технических наук : 2.3.1
Введение ………………………………………………………………………………………………………. 4 1 Анализ состояния предметной области. Постановка задач
исследования ……………………………………………………………………………………………… 13
1.1 Файловая система как дискретная динамическая система в задачах компьютерной криминалистики……………………………………………………………….. 13 1.2 Феноменология ВО в ФС NTFS в ОС Windows……………………………………. 18
1.2.1 Внешние ВО ………………………………………………………………………………… 20 1.2.2 Внутренние ВО…………………………………………………………………………….. 27 1.2.3 Дополнительные ВО …………………………………………………………………….. 30 1.2.4 Сравнение существующих способов восстановления последовательности ФОп по ВО в ОС Windows ……………………………………. 36
1.3 Обзор программ, имеющих средства просмотра и анализа внешних
ВО файлов……………………………………………………………………………………………….. 37 1.4 Постановка задач исследования ………………………………………………………….. 41
2 Исследование механизма изменения внешних ВО файлов ……………………. 43
2.1 Программный инструментарий для наблюдения за изменениями
внешних ВО …………………………………………………………………………………………….. 43 2.2 Алгоритм экспериментального исследования механизма изменения внешних ВО файлов…………………………………………………………………………………. 45 2.3 Выявление закономерностей изменения внешних ВО …………………………. 52 2.4 Анализ демаскирующих признаков подделки внешних ВО …………………. 66 2.5 Выводы………………………………………………………………………………………………. 69
3 Разработка модели изменения значений внешних ВО и методики восстановления последовательности ФОп ……………………………………………….. 71 3.1 Разработка модели изменения значений внешних ВО………………………….. 71
3.2 Экспериментальная оценка адекватности модели изменения
значений ВО…………………………………………………………………………………………….. 80 3.3 Разработка методики восстановления последовательности ФОп
по внешним ВО ……………………………………………………………………………………….. 84
3
3.4 Выводы………………………………………………………………………………………………. 96
4 Программная реализация методики восстановления
последовательности ФОп ………………………………………………………………………….. 98
4.1 Назначение и описание функции Retro.m ……………………………………………. 98 4.2 Рекомендации по использованию внутренних ВО……………………………… 101 4.3 Примеры восстановления последовательности ФОп, оценка
результатов восстановления …………………………………………………………………… 104 4.4 Выводы…………………………………………………………………………………………….. 108
Заключение………………………………………………………………………………………………. 109 Список сокращений и условных обозначений………………………………………… 111 Список литературы …………………………………………………………………………………. 112 Приложение А. Листинг функции Table.m……………………………………………… 121 Приложение Б. Таблица переходов между ВВУ………………………………………. 129 Приложение В. Таблица возможных выявленных состояний ВО………….. 138 Приложение Г. Подсчет количества и процента известных ВВУ для исследуемых ПЭВМ …………………………………………………………………………………. 142 Приложение Д. Листинг функции Transition_digraph.m ………………………… 146 Приложение Е. Листинг функции Retro.m ……………………………………………… 147 Приложение Ж. Копии актов об использовании результатов диссертационного исследования ……………………………………………………………… 154
Актуальность темы исследования.
Современные информационные технологии не только стимулируют ак- тивное развитие общества, но и способствуют росту преступлений, в которых компьютер выступает средством их совершения. Так, согласно официальным данным правоохранительных органов, в 2018 г. было зарегистрировано 174 723 преступлений, совершаемых с использованием информационных технологий [1], в 2019 г. зарегистрировано на 68,5 % больше — 294 409 аналогичных деяний [2]. В 2020 г. количество компьютерных преступлений выросло еще на 73,4 %, они составили 25 % от всех совершаемых преступлений. Больше половины компьютерных преступлений относится к категориям тяжких и особо тяжких. Четыре пятых таких преступлений совершаются путем кражи или мошенничества, почти каждое одиннадцатое с целью незаконного производ- ства, сбыта или пересылки наркотических средств [3].
Одним из важных этапов успешного раскрытия компьютерного преступ- ления является проведение компьютерно-технической экспертизы (КТЭ), врезультате которой могут быть получены доказательственные данные. В отличие от традиционных видов экспертизы, где для формирования полного, достоверного, научно обоснованного заключения используются методики двадцатилетней давности, для КТЭ это невозможно, так как механизмы и методы совершения компьютерных преступлений постоянно модифицируют- ся [4].
Объектами КТЭ являются документы, базы данных, фотографии, видео, программы и т.д., которые хранятся в виде файлов — поименованных наборов данных, расположенных на машинных носителях информации [5]. В ходе КТЭ часто требуется установить, какие действия пользователь производил с объектами:
5
− каким способом интересующие следствие файлы появлялись
на исследуемом носителе (были созданы на этом носителе или скопированы с других носителей информации);
−имели ли место факты распространения файлов (копирование на внешний носитель информации, отправка по электронной почте);
− имели ли место факты работы с файлами (открытие, редактирование, печать).
Таким образом, обобщение экспертной практики показывает, что восста- новление последовательности операций, совершенных пользователем над файлами, является одной из важнейших задач при проведении КТЭ.
Для решения этой задачи исследуется служебная информация, регистри- руемая в файловой системе (ФС) компьютера. ФС представляет собой структу- рированное хранилище каталогов и файлов.
Во время активных действий пользователя компьютера временные отмет- ки (ВО) файла (состояния ФС) изменяются. Обычно при той или иной файло- вой операции (ФОп) одновременно изменяются не одна, а несколько ВО. При этом нередко наблюдается, что одноименные ВО, сохраняемые в различных атрибутах файловой записи, расходятся в значениях. Кроме того, одна и та же ФОп, но выполненная различными приемами или с использованием разных утилит, может приводить к неравным результатам в отношении ВО.
Современный этап развития компьютерной криминалистики характеризу- ется отсутствием научно обоснованных и поддающихся автоматизации методик восстановления ФОп. В настоящее время на восстановление последовательно- сти ФОп, совершенных над одним файлом, эксперт тратит от одного дня до недели, а достоверно выявляет лишь последнюю ФОп для небольшого списка исследованных операций. Обеспечение достоверности и глубины восстановле- ния цепочки ФОп требуют большого объема ручной работы и высокой квалификации специалиста. При этом количество обрабатываемых пользовате- лем файлов таково, что эффективное восстановление последовательности ФОп для каждого из них оказывается невозможным.
6
Таким образом, существует объективная потребность в изучении законо-
мерностей изменения ВО при различных действиях над файлами и создании методики восстановления последовательности ФОп по ВО, а также реализую- щего эту методику программного обеспечения, адаптированного для использо- вания в практической деятельности эксперта-криминалиста.
Гипотеза настоящего исследования состоит в том, что с точки зрения вос- становления ФОп, файловую систему можно рассматривать как дискретную динамическую систему, которая характеризуется состояниями в некоторые моменты времени. Состояниями системы называют совокупность значений некоторых ее характеристик [6]. Применительно к ФС под состоянием системы следует понимать совокупность значений метаданных исследуемых файлов [5], а именно их ВО.
Восстановление цепочки ФОп сводится к обратной задаче, для решения которой необходимо определить траекторию движения между начальным и конечным состояниями системы.
Разработанность темы исследования. В настоящее время к исследованию методов и алгоритмов проведения КТЭ проявляется повышен- ный интерес со стороны мировой экспертной и научной общественности. Весомый вклад в развитие этого направления внесли российские ученые Федотов Н.Н. [7], Шелупанов А.А. [8], Смолина А.Р. [9].
Серьезное внимание исследователи уделяют способам восстановления последовательности ФОп. Основоположниками данного направления являются Carrier B., Chow K., Parsonage H. Обзор их работ [10–34] позволил подтвердить принципиальную возможность анализа ВО с целью восстановления некоторых ФОп. Однако использование теоретических результатов на практике остается весьма сложной задачей. Большинство работ ограничены наблюдением не за всеми потенциально имеющимися в распоряжении специалиста ВО и позволя- ют, как правило, по явным признакам определять выполнение только одной последней ФОп, а не цепочки событий. Так, если файл был отредактирован после копирования на носитель, то факт копирования может быть уже не
7
установлен. Из-за подобных ограничений могут быть допущены серьезные
ошибки при проведении КТЭ, или не все поставленные на КТЭ вопросы окажутся проанализированы в полном объеме.
Существуют универсальные криминалистические программные комплек- сы [35–40], предназначенные для проведения КТЭ и позволяющие просматри- вать ВО файлов и выводить их в упорядоченном виде. Но функцией анализа ВО с целью восстановления последовательности ФОп они не обладают. Процесс восстановления хронологии ФОп в указанных комплексах не предусмотрен.
К текущему моменту специалистами накоплен некоторый раздел знаний опричинно-следственных связях между ФОп и изменениями ВО файлов, нопопыток формализации этих знаний до сих пор не предпринималось. В открытых источниках не обнаружены методики и алгоритмы, позволяющие автоматизировать анализ ВО. Практикой компьютерной криминалистики востребована разработка научно обоснованной методики восстановления хронологии ФОп, пригодной для автоматизации.
Объект исследования. Процесс восстановления последовательности ФОп.
Предмет исследования. Закономерности изменения ВО при совершении ФОп.
Целью работы является повышение количества восстанавливаемых ФОп, увеличение длины последовательности восстанавливаемых ФОп при снижении времени, затрачиваемого на восстановление хронологии ФОп.
Научной задачей работы является разработка математической модели изменения значений ВО и методики восстановления последовательности ФОп на основе анализа ВО файлов.
Цель диссертационной работы достигается последовательным решением следующих частных задач:
1. Анализ состояния предметной области.
2. Разработка алгоритма проведения экспериментов для формирования базы знаний о механизмах изменений ВО файлов при выполнении различных ФОп.
8
3. Выявление закономерностей изменений ВО при совершении ФОп. Раз-
работка математической модели изменения значений ВО файлов при проведе- нии над ними операций. Оценка адекватности модели.
4. Разработка методики восстановления последовательности ФОп. Созда- ние программного обеспечения, реализующего данную методику. Формирова- ние рекомендаций по применению программного обеспечения.
В результате проведенного исследования на защиту выносятся следую- щие положения:
Динамика изменения ВО файлов в ОС Windows изоморфна динамике изменения состояний конечного автомата и может быть представлена в виде конечного автомата, где состояниями являются множество состояний ВО файлов, а входным алфавитом — множество совершаемых ФОп [85].
Разработанный алгоритм анализа изменения ВО файлов, включающий этап подготовки ВО файлов путем присваивания им уникальных значений, позволяет в автоматическом режиме формировать полные таблицы изменения ВО в ФС NTFS во всех версиях ОС Windows на заданных пространствах ФОп и типах файлов [81, 83, 84, 86].
Восстановление последовательности операций, совершенных над фай- лом, сопоставимо с поиском траекторий, по которым автомат мог прийти вконечное состояние, является обратной задачей и решается с помощью алгоритма обхода в глубину [82].
Методы исследования. Для решения поставленных задач в работе ис- пользовались методы системного анализа, моделирования, теория автоматов, теория графов. Моделирование производилось с использованием программной среды MATLAB.
Границы исследования:
− Операционные системы Windows XP, 7, 8, 10.
− Файловая система NTFS.
Обоснованность выбранных границ исследования подтверждает стати-
стика использования ОС персональных компьютеров. По официальным
9
статистическим данным компании StatCounter на октябрь 2020 г. ОС Windows
представляет 76,32% доли рынка ОС для настольных ПЭВМ в мире. В ОС Windows по умолчанию используется ФС NTFS.
В работе исследуются следующие ФОп: копирование, перемещение (пе- реименование), удаление, просмотр (изменение) атрибутов, открытие, редакти- рование, исполнение (запуск), помещение в архив, разархивирование. Перечень анализируемых операций основан на вопросах, которые в большинстве случаев задают эксперту-криминалисту при постановке задачи на проведение КТЭ.
Степень достоверности результатов исследования. Достоверность ре- зультатов диссертационной работы обеспечивается применением корректных исходных данных, апробированных методов исследований, проверкой непротиворечивости и адекватности положений и выводов, экспериментальны- ми данными, полученными при апробации программного обеспечения, реализующего методику восстановления последовательности ФОп.
Научная новизна. В рамках проведенного исследования получены сле- дующие новые научные результаты:
1. Впервые предложена математическая модель изменения значений ВО при совершении ФОп в ОС Windows, основанная на гипотезе изоморфизма динамики изменения ВО файлов и динамики изменения состояний конечного автомата (соответствует п. 2 паспорта специальности).
2. Впервые разработан алгоритм анализа изменения ВО, отличающийся специальной подготовкой ВО файлов и выявляющий полный набор закономер- ностей изменения ВО при совершении ФОп в ФС NTFS во всех версиях ОС Windows на заданных пространствах ФОп и типов файлов (соответствует п. 5 паспорта специальности).
3. Разработана автоматическая методика восстановления последователь- ностей ФОп, которая впервые решает обратную задачу путем адаптации алгоритма обхода в глубину к особенностям решаемой задачи (соответствует п. 12 паспорта специальности).
10
Теоретическая значимость работы заключается в развитии научно-
методического аппарата КТЭ в части восстановления последовательности совершенных над файлом операций, основанного на системном анализе изменения ВО, хранящихся в файловой записи таблицы MFT.
Практическая значимость результатов исследования заключается в раз- работке программы, позволяющей в автоматическом режиме проводить анализ ВО, расположенных внутри файловой записи, и восстанавливать хронологию ФОп. Разработаны рекомендации по использованию ВО, хранящихся во внутренней структуре файла, для повышения количества восстанавливаемых ФОп.
Апробация результатов. Основные результаты работы докладывались и обсуждались на Международной конференции Ural Symposium on Biomedical Engineering, Radioelectronics and Information Technology (USBEREIT) (Екате- ринбург, май 2020 г.).
Публикации. По теме диссертации опубликовано 6 научных работ, в том числе 5 научных статей в рецензируемых изданиях, определенных ВАК РФ и Аттестационным советом УрФУ, из них 2 статьи в изданиях, индексируемых в международной цитатно-аналитической базе Scopus.
Структура и объем диссертации. Диссертация содержит 156 страниц текста, 72 рисунка, 19 таблиц, и состоит из содержания, введения, 4 глав, заключения, списка литературы, 7 приложений.
Личный вклад. Все результаты диссертационной работы получены авто- ром самостоятельно.
Краткое содержание диссертационной работы. Во введении обоснова- на актуальность диссертационной работы, проанализировано состояние исследуемой проблемы, сформулированы цели и задачи работы, перечислены основные научные результаты диссертации, определена научная новизна и практическая ценность результатов, представлены основные положения, выносимые на защиту, приведены сведения об апробации работы, публикациях по теме работы, а также структура диссертации и ее объем.
11
В первой главе даны определения КТЭ и цифрового «следа». На конкрет-
ных примерах продемонстрировано, что в основе следообразования в компью- терной системе лежат стабильные программно-алгоритмические решения различных приложений, которые нигде не документированы. Предложена гипотеза о том, что ФС с точки зрения компьютерной криминалистики можно представить в виде «черного ящика». На вход «черному ящику» поступают сигналы в виде действий пользователя или программ. На выходе «черного ящика» эксперт имеет состояния ФС, которые характеризуются наличием или отсутствием определенных «следов». Изложены общие теоретические сведения о ВО, приводится их классификация. Проведен обзор публикаций по тематике восстановления последовательности ФОп и функционала программных средств, направленных на проведение криминалистических исследований компьютерных систем.
Во второй главе представлен инструментарий и алгоритм проведения экспериментальных исследований изменений ВО в ОС Windows. Определены закономерности визменении ВО при совершении ФОп. Представлены результаты анализа фальсификации ВО и описаны следы, позволяющие обнаружить эту фальсификацию.
В третьей главе описываются модель изменения значений ВО и методика восстановления хронологии ФОп, основанная на анализе ВО, хранящихся в файловой таблице MFT. Представлены результаты экспериментальной проверки адекватности модели.
В четвертой главе описана функция, разработанная на основе методики восстановления ФОп. Приведены рекомендации по использованию ВО, хранящихся во внутренней структуре файла. Представлены примеры восста- новления последовательности ФОп.
В заключении сформулированы основные результаты, полученные в диссертационной работе.
12
В приложениях приводятся листинги программ и элементы модели изме-
нения значений ВО: таблица переходов между векторами временных уровней и таблица возможных выявленных состояний ВО.
Помогаем с подготовкой сопроводительных документов
Хочешь уникальную работу?
Больше 3 000 экспертов уже готовы начать работу над твоим проектом!