Выбери формат для чтения
Загружаем конспект в формате doc
Это займет всего пару минут! А пока ты можешь прочитать работу в формате Word 👇
МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ КАЗЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «МОСКОВСКИЙ УНИВЕРСИТЕТ МВД РОССИИ
ИМЕНИ В.Я. КИКОТЯ»
Кафедра специальных информационных технологий
учебно-научного комплекса информационных технологий
УТВЕРЖДАЮ
Начальник кафедры
специальных информационных технологий
подполковник полиции
А.В. Пузарин
«___» __________ 2018 г.
ПЛАН КОНСПЕКТ ЛЕКЦИИ
по дисциплине Выявление и раскрытие преступлений с использованием современных технйЧЕСКИХ СРЕДСТВ
на тему 7:
ВОССТАНОВЛЕНИЕ И КОПИРОВАНИЕ УДАЛЕННОЙ И МОДИФИЦИРОВАННОЙ ИНФОРМАЦИИ
Подготовлен: доцентом кафедры СИТ УНК ИТ
полковником полиции
В.Ю. Ивановым
Обсужден и одобрен на заседании кафедры ОРД и СТ протокол №_
от «___»___________2018г.
Москва 2018
ВВЕДЕНИЕ
Многие пользователи компьютеров верят, что удаление файла, например из Windows Explorer, достаточно для предотвращения того, чтобы к этому файлу в будущем получил доступ кто-то другой (особенно если еще очистить Корзину). К счастью для компьютерных экспертов, удаление файла таким способом оставляет возможность для восстановления данных. Это связано с тем, что когда удаляется файл, сами данные при этом не удаляются с носителя. Вместо этого, операционная система просто помечает файл как удаленный и пространство на диске, занимаемое этим файлом, становится доступным для хранения других данных. Пока эта область не будет перезаписана, данные, принадлежащие удаленному файлу, остаются на диске. Используя соответствующие инструменты и методику, данные можно восстановить. Даже в случаях, когда эта область на диске перезаписывается данными из другого файла, но исходный файл перезаписан не полностью, все еще возможно восстановление части удаленного файла.
ВОПРОС 1. ВОССТАНОВЛЕНИЕ ФАЙЛОВ ИЗ КОРЗИНЫ
Корзина, которая существует в операционных системах Windows, действует как промежуточное хранилище удаленных пользователем файлов, которые затем могут быть восстановлены пользователем, если потребуется. Она представляет огромный интерес для компьютерных экспертов из-за специального файла, называемого INFO, или INFO2, который используется операционной системой для записи деталей о файлах, перемещенных в Recycle Bin. Среди других деталей, в этом файле содержатся исходное расположение файлов до удаления, а также дата и время их удаления. При очистке Recycle Bin, этот файл удаляется вместе с остальными, но его содержимое возможно восстановить способом, описанном выше при условии, что оно не перезаписано другим файлом. Если корзина не очищена, то восстановление данных не представляет особого труда.
Однако при этом следует учитывать, что восстановление данных из «Корзины» осуществляется на место их первоначального размещения. Определить место их первоначального размещения можно просмотрев их свойства.
При необходимости восстановления этих объектов в место, отличное от первоначального, следует, выделив требуемый объект, выполнить пункт меню «Правка – Переместить в папку…» и указать место для восстановления выбранного объекта.
ВОПРОС 2. ВОССТАНОВЛЕНИЕ ФАЙЛОВ СПЕЦИАЛИЗИРОВАННЫМИ ПРОГРАММАМИ
Безвозвратное удаление файлов осуществляется только с использованием специального программного обеспечения (утилиты очистки PGP, BestCrypt и др.). Если же удаление информации осуществлялось путем очистки Корзины или из иной программы, например, файлового менеджера, минуя корзину, то всегда существует вероятность полного или частичного восстановления этих данных.
Для восстановления удаленных файлов используются специальные программы. Процедура восстановления должна осуществляется на другой носитель (предпочтительно НЖД, использование съемных носителей – дискет, FLASH-дисков, CD-дисков – не целесообразно ввиду значительного объема восстанавливаемой информации).
Все программы, предназначенные для этих целей, можно разделить по их функциональности на простые «восстановители», действующие по принципу «найти все, что удалено и восстановить» и более мощные программы, позволяющие делать прогноз восстановления, работать с поврежденными носителями и обладающие другими опциями. Различных программ восстановления много.
Примером первого типа подобных продуктов (достаточно удачным в силу своей простоты, быстроты работы и неплохой результативности) является программа Handy Recovery (SoftLogica LLC, www.handyrecovery.com). Примером программ второго типа является Easy Recovery Pro (Kroll Ontrack Inc., www.ontrack.com).
При удалении файлов средствами операционной системы или файловыми менеджерами возможно обратное восстановление удаленной информации.
При удалении файлов физического уничтожения информации не производится. Операционная система заменяет первый символ в заголовке файла, размещенного в таблице FAT, на специальный символ. В дальнейшем система считает, что кластера дисков, на которые ссылается такой модифицированный заголовок, являются свободными. Поэтому возможно восстановить удаленные файлы.
Для восстановления удаленных ранее файлов используются специальные программы, например, Handy Recovery и Easy Recovery Pro.
Восстановление удаленных файлов осуществляется
только на другой носитель (или в другой раздел)!
2.1. Восстановление удаленных файлов программой Recuva
Программа представляет собой классический пример простейшей утилиты, действующей по принципу "найти удаленный файл и восстановить", позволяющая искать удаленные файлы на всем диске (работает и со съемными носителями).
После выбора области сканирования и запуска режима анализа, программа обрабатывает выбранный диск, определяет наличие удаленных файлов и строит список. Для восстановления требуется выбрать необходимые файлы или папки (по правилам Windows) и нажать кнопку "Восстановить".
Для восстановления выбранных файлов, после нажатия кнопки " Восстановить " следует задать место, где будут располагаться восстанавливаемые объекты
2.2. Восстановление удаленных файлов программой Easy Recovery
Программа представляет пример "продвинутой" утилиты, обладающей достаточно мощными возможностями по восстановлению информации.
Программа работает только с дисками целиком (с разделами жестких дисков). Имеется 4 режима восстановления данных:
1. FormatRecovery – восстанавливает данные после случайного форматирования носителя
2. DeletedRecovery – восстанавливает удаленные файлы
3. AdvancedRecovery – "продвинутое" восстановление – позволяет просматривать все дерево каталогов и восстанавливать поврежденные файлы
4. RawRecovery – используется для восстановления данных с "нечитаемых" носителей (с поврежденной логической структурой).
FormatRecovery. Данный режим используется для восстановления информации на носителях, которые были намеренно или случайно отформатированы. При этом имеется возможность выбирать тип файловой системы, в которой был размечен носитель до форматирования.
DeletedRecovery. Данный режим – «классический» режим восстановления удаленных файлов. При поиске удаленных файлов программа предлагает возможность сканировать носитель на предмет поиска либо всех файлов, либо файлов определенного типа. При восстановлении следует обращать внимание на статус файла (колонка CONDITION), который определяет прогноз по восстановлению (DX – удаленный файл, восстановление возможно, но файл поврежден; D – удаленный файл, восстановление возможно в полном объеме).
AdvancedRecovery. При работе в данном режиме программа сканирует поверхность носителя и строит полное дерево каталогов носителя, в которое включаются все обнаруженные объекты (и существующие и удаленные). Данный режим целесообразно применять для работы с «проблемными» носителями.
RawRecovery. Данный режим применяется для восстановления информации с носителей, доступ к которым средствами операционной системы невозможен (на которых разрушена файловая система). В этом случае программа осуществляет попытку восстановить информацию с носителя, не восстанавливая собственно файловую структуру. Т.е. восстанавливаются файлы по типу, которые будут сгруппированы в каталоги с условными названиями «DIR01», «DIR02», «DIR03» и т.д. Имена файлов так же будут условны – «File001», «File002», «File003» и т.д. В дальнейшем пользователю придется вручную (или используя методику поиска по контексту) обрабатывать восстановленную информацию.
Кроме восстановления удаленных файлов, программа позволяет осуществить операции диагностирования накопителей, восстановления поврежденных документов MS Office и электронной почты, а также создавать дискеты аварийного восстановления.
Порядок работы по восстановлению удаленных данных следующий (на примере режима «Deleted Recovery»):
Перед завершением работы программа предлагает сохранить результаты работы для использования в последующем (как правило, рекомендуется отвечать на этот вопрос"NO").