Многие пользователи наивно полагают, что отследить чем они занимались за компьютером очень сложно, а иногда и просто невозможно. Некоторые офисные пользователи запускают игрушки или «запрещенные» программы с флешек, смотрят со съемных носителей фильмы, слушают музыку редактируют «нежелательные» документы думая, что если руководство вдруг что-то заподозрит и решит проверить компьютер, ничего на нем не найдет. Можно отгородится от начальника стеной, перегородкой или расстоянием, но от такой враждебной системой как Windows не спрятаться!!! Она постоянно шпионит за тобой!!! Будь бдителен!!!
О всех действиях Windows наверное не знает даже Бил Гейтс, что уж говорить о конечном пользователе. А она ежесекундно выполняет десятки непонятных операций, создает кучи временных файлов, пишет кто, когда, что запускал, какие устройства подключал и т.д.
Для того что бы описать какие следы оставляет пользователь и где их искать потребуется не один пост…… А сперва я хотел рассказать как создать точную побитовую копию жесткого диска (тем же способом можно сделать копию любого носителя информации). Можно разумеется исследовать и сам диск, но очень часто с этим возникает ряд проблем:
- доступ к компьютеру имеется только на пару часов (провести полное исследование за это время сложновато);
- при исследовании можно внести изменения в жесткий диск, что не останется незамеченным для пользователя;
- компьютер опломбирован или опечатан, вскрыть корпус невозможно.
При создании образа с помощью Acronis True Image, Norton Ghost или чем-нибудь похожим данные с жесткого диска сохраняется не все (если не использовать «подробные» режимы), как правило, отсутствуют удаленные (логически) файлы, в некоторых случаях еще и временные, могут пропускаться скрытые разделы диска. Для полного побитного копирования диска, на мой взгляд, проще всего использовать утилиту, которая имеется в любом дистрибутиве Linux – dd. (кстати, есть и для Windows). Программа хороша, хотя и не выводит статистику скопированных, оставшихся и ошибочных блоков. Этого недостатка лишены dcfldd, dd_rescue, ddrescue. Синтаксис команд у них практически одинаковый.
Так что загружаем компьютер c LiveCD c Unix-овой системой, подключаем внешний жесткий диск и создаем на нем точный побитовый образ.
1) создаем посекторный образ в текущем каталоге в файле hda.img
#dd if=/dev/hda of=<каталог на примонтированном внешнем диске>/hda.img conv=noerror,sync
conv=noerror,sync указывают dd продолжить чтение информации, даже если диске встречены плохие сектора.
Не стоит забывать при записи файла-образа на систему FAT-32, что данная файловая система поддерживает файлы размером только 4Gb, а NTFS по умолчанию монтируется «только для чтения», необходимо его монтировать для записи например так:
#mount –t ntfs-3g /dev/sdb /mnt/sdb –o force
2) создаем точную копию диска на другой жесткий диск (клонирование)
#dd if=/dev/hda of=/dev/sdb conv=noerror,sync
3) создаем точную копию диска на компьютере по сети
Достаточно редко, но еще встречаются компьютеры с USB 1.0, копирование информации по такому интерфейсу потребует много времени (десятки часов), так что удобнее и быстрее скопировать образ по сети.
На компьютер подключенном к сети (ip:192.168.1.100)(на который будем копировать образ) запускаем программу Netcat, данная программа существует как для Unix-систем так и для Windows (права желательно админские:
#nc -L –p 5555 > ./hda.img
Программа netcat будет ожидать открытия соединения на порту 5555. Данные принятые по сети будут попадать в файл hda.img, в текущем каталоге.
На компьютере, чей образ будем копировать по сети пишем команду
#dd if=/dev/hda bs=1M | nc 192.168.1.100 5555
При проведении копирования по сети необходимо учитывать, что netcat прилично забивает сеть.
Образ получен, теперь смело можно приступать к изучению информации на нем и поиску следов работы…
Продолжение исследования следует….
