Дни, когда расследование компьютерных инцидентов и следственные мероприятия
проводились на отключенных от источника питания машинах, прошли. Как показал
прошедший недавно саммит SANS
What Works in Forensics and Incident Response Summit
, с выпуском новых
утилит, нацеленных на сбор и анализ хранящейся в оперативной памяти временной
информации, проведение расследования инцидентов на включенных в сеть машинах
становится более целесообразным.

Обычным аргументом противников проведения следственных действий на работающих
машинах всегда было то обстоятельство, что такие мероприятия могли уничтожить
существующие улики. И хотя подобные случаи действительно могут иметь место,
мнение экспертов по этому вопросу все же меняется, поскольку, как показывает
практика, выключив компьютер можно навсегда потерять еще больше ценной временной
информации (такой, как IP-адреса, URL, email, пароли и прочее), которая хранится
в его оперативной памяти. В случае, если специалист понимает, какое влияние
оказывает используемый инструментарий на изучаемую машину, он имеет возможность
пользоваться им более эффективно, и собирать доказательства таким образом, чтобы
их впоследствии можно было представить в суде.

За последние шесть месяцев свет увидели три новых утилиты, предназначенных
для сбора информации, хранящейся в физической памяти машин под управлением ОС
Windows. Все они поддерживают работу с такими операционными системами, как
Windows Vista и Windows Server 2003. Также появилось несколько новых плагинов
для Volatility Framework (инструментария на основе Python, предназначенного для
извлечения данных из сделанных ранее снимков памяти машин под управлением
Windows). Среди них есть два любопытных плагина от Джесса Корнблюма,
предназначенных для восстановления паролей TrueCrypt , а также просмотра коман
подозрительных процессов.

Выпущенная недавно бета-версия утилиты F-Response позволяет удаленно получать
снимки оперативной памяти машин, работающих под Windows, не повреждая при этом
сами данные, поскольку доступ к ним осуществляется по принципу "только для
чтения". Эффект от применения F-Response и Volatility Framework может усилить и
представленная на SANS Digital Forensics Summit Аароном Волтерсом из Volatile
Systems утилита под названием Voltage, которая помогает отслеживать работу
системы на постоянной основе, автоматически делать снимки оперативной памяти и
осуществлять поиск различных угроз.



Оставить мнение