Волгоград, Россия
Москва, г. Москва и Московская область, Россия
с 01.01.2015 по 01.01.2024
Москва, г. Москва и Московская область, Россия
ВАК 12.00.02 Конституционное право; конституционный судебный процесс; муниципальное право
ВАК 12.00.10 Международное право; Европейское право
ВАК 12.00.12 Криминалистика; судебно-экспертная деятельность; оперативно-розыскная деятельность
ВАК 12.00.14 Административное право; административный процесс
УДК 343 Уголовное право. Уголовное судопроизводство. Криминология. Криминалистика
ГРНТИ 10.07 Теория государства и права
ББК 60 Общественные науки в целом
Статья посвящена современным возможностям получениях криминалистически значимой информации в ходе производства следственных действий при получении образов оперативной памяти компьютера. Рассмотрены программные средства, позволяющие получить образ оперативной памяти компьютера и методические рекомендации по их применению.
цифровая криминалистика, специалист, компьютерная информация, оперативная память компьютера, образ оперативной памяти компьютера, программные средства
В криминалистической деятельности сотрудникам органов предварительного расследования, экспертам и судьям достаточно часто приходится сталкиваться с преступлениями, предметом или средством совершения которых является компьютерная информация. По многим видам преступлений сегодня собирают, исследуют и оценивают информацию в цифровой форме [1, c. 14, 2, с. 87].
В ходе работы с доказательственной информацией широко используются новейшие программные и технические средства, основанные на современных информационных технологиях. При этом положения цифровой криминалистики ее методы и средства используются для решения практических задач в ходе поиска, фиксации и изъятия цифровых источников доказательств [3].
В контексте криминалистического исследования компьютерной информации в задачи цифровой криминалистики входит поиск доказательств на локальной машине, а именно анализ накопителей на жестких магнитных дисках (HDD), твердотельных накопителях (SSD), оперативной памяти (RAM), иных носителей информации, изучение реестра, журналов операционной системы и многое другое [4, c. 78].
Как правило, в ходе осмотра места происшествия изымаются компьютеры и компьютерные носители информации, в дальнейшем эти устройства направляются на судебную компьютерную экспертизу. Необходимо обратить внимание на то, что при отключении работающих компьютеров теряется ценная кримналистически значимая информация, содержащаяся в оперативной (энергозависимой) памяти компьютера [5, c. 419].
В оперативной памяти компьютера могут содержаться сведения, имеющие существенное значение при расследовании преступлений, в явном виде не содержащиеся на носителях информации устройств, например, текущие сообщения в социальных сетях, данные о запущенных процессах или открытых сетевых подключениях, другая информация может безопасно храниться на зашифрованном диске.
Содержащаяся в оперативной памяти компьютера информация может содержать важные для расследования преступления сведения, способствовать правильному восприятию следственной ситуации. Правоприменительная практика свидетельствует о том, что ходе производства следственных действий крайне редко изымается информация из оперативной памяти компьютера.
По нашему мнению, при изъятии информации из оперативной памяти компьютера целесообразно участие специалиста в связи со спецификой работы с компьютерной информацией, применением технических средств, необходимостью использования специальных знаний и угрозой потери хранящейся на носителе информации.
Ч. 9.1 ст. 182 УПК РФ и ч. 3.1 ст. 183 УПК РФ прямо устанавливают, что при производстве обыска и выемки изъятие электронных носителей информации производится с участием специалиста [6].
Несмотря на отсутствие у следователя предусмотренной ст. 177 УПК РФ прямой обязанности по привлечению специалиста при проведении следственного осмотра, применительно к изъятию информации из оперативной памяти компьютера участие специалиста необходимо и должно осуществляться по инициативе следователя. Копирование информации специалистом с устройств при производстве следственных действий должно осуществляться в порядке, предусмотренном ч. 2 и ч. 3 ст. 164.1 УПК РФ [7].
Представляется важным подробнее рассмотреть современные методы и средства, которые могут быть использованы специалистом для извлечения и анализа информации из оперативной памяти компьютера.
По прибытию на место происшествия специалист должен обеспечить сбор информации с устройств, заключающийся в изъятии содержимого энергозависимой памяти компьютера. Данное действие является по большей части необходимым для получения ключевой информации, которая хранится только в оперативной памяти устройства, например: пароли от учетных записей, расшифрованные файлы, ключи шифрования, сообщения в мессенджерах и чатах, журналы просмотра веб-страниц, вредоносный код, информация о текущих процессах и так далее.
Для исследования информации, хранящейся в оперативной памяти компьютера, для начала необходимо снять образ (дамп) оперативной памяти. На устройствах Windows извлечение образов памяти можно осуществить как с помощью утилит командной строки, так и программных средств с графическим интерфейсом. Каждый из способов имеет свои преимущества и недостатки, в этом случае специалист может сделать обоснованный выбор для конкретной ситуации.
Существует физический метод получения содержимого энергозависимой памяти, так называемая атака методом холодной загрузки. Его суть заключается в следующем: содержимое оперативной памяти компьютера обнуляется не мгновенно, а через какое-то время после выключения компьютера, если модули оперативной памяти охладить до отрицательной температуры, то это время еще увеличивается и его становится достаточно для перестановки этих модулей в тестовый стенд для последующего снятия образа оперативной памяти с помощью предустановленных утилит в загрузочном образе флеш-накопителя. Этот метод достаточно трудоемкий в использовании и нет полной гарантии в полном получении данных из полученного образа, также большая вероятность повредить оборудование.
Среди инструментария для сбора информации из энергозависимой памяти устройств на базе операционной системы Windows для криминалистических целей могут быть использованы Belkasoft Live RAM Capturer [8], FTK Imager [9], OSForensics [10], DumpIt или Magnet RAM Capture [11]. Программное обеспечение Belkasoft Live RAM Capturer и DumpIt не требуют установки на устройство, с которого осуществляется изъятие содержимого оперативной памяти, а значит можно получить образ без дополнительной установки приложений на устройство. Использование таких программ в качестве метода изъятия образа энергозависимой памяти достаточно удобно для специалиста, при наличии всего лишь приложения на флеш-накопителе.
Для изъятия информации из оперативной памяти может быть использован дистрибутив Ubuntu CyberPack (ALF) 1.0 [12]. Достоинством применения этого дистрибутива является его универсальность, состоящая в возможности работы со всем операционными системами, установленными на устройстве, а также в отсутствии необходимости подключения каких-либо плат и кабелей. Также для данного метода необходима подготовка устройства, с которым будут проводиться действия по снятию образа оперативной памяти и всего лишь одна попытка для перезагрузки, иначе все данные будут безвозвратно потеряны.
Для устройств на базе операционной системы Linux при создании дампа оперативной памяти можно использовать программу LiME. Запуск этого инструмента осуществляется в командной строке вводом кода, после чего в папке создается файл с образом оперативной памяти с расширением .lime.
Образ памяти является ценным источником данных из энергозависимых источников информации. Они могут содержать пароли для зашифрованных томов (TrueCrypt, BitLocker, PGP Disk), учетные данные для входа в аккаунты многих служб электронной почты и социальных сетей, таких как Gmail, Mail, Facebook, Twitter, ВКонтакте и так далее, а также в службы обмена файлами, такие как Dropbox, Flickr, Google диск, иные облачные хранилища и т. д.
Анализ образов оперативной памяти, как и все другие криминалистические исследования, связан с поиском информации, которая может служить источником доказательств при расследовании преступлений.
Для исследования содержимого оперативной памяти есть огромное количество утилит, как для Linux-систем, так и для Windows.
Для исследования образов оперативной памяти используется функция Live RAM Analysis, которая входит в программное обеспечение Belkasoft Evidence Center. Это инструмент для извлечения из полученного образа оперативной памяти различной информации, которая может содержать доказательства по расследуемому делу или иметь к ним непосредственное отношение. При удачном анализе данной программой можно получить сведения об очищенной истории браузеров, онлайн-чатах и переписках в социальных сетях, истории использования облачных сервисов, просмотренных изображениях и многом другое, представляющем интерес для следствия.
При работе на операционной системе Linux достаточно известен кроссплатформенный фреймворк под названием Volatility, который также может быть использован и для операционной системе Windows. Это инструмент командной строки, который позволяет извлечь данные о запущенных процессах, открытых сетевых соединениях, библиотеках, модулях ядра и так далее, с наличием веб-интерфейса, который может быть установлен отдельно. Данный инструмент, в частности, используется для поиска запущенных подозрительных процессов, вызванных вредоносным программным обеспечением. Также с помощью данного инструмента при вводе определенной последовательности команд (находятся в открытом доступе) специалист может получить пароль пользователя и ключи от криптоконтейнеров, если они имеются на исследуемом устройстве.
Также большую роль в современных системах играют файлы подкачки (swap-память). Файл подкачки используется в том случае, когда место для хранения данных в оперативной памяти заканчивается и они для быстрой доставки процессору сгружаются в этот файл. Также файл гибернации, в котором находится информация из оперативной памяти устройства, когда оно находится в спящем режиме. Данные файлы хранятся на накопителе компьютера/ноутбука. В разных операционных системах отличается организация хранения файлов информации. В операционной системе Windows данные файлы располагаются в корневом каталоге С: pagefile.sys и hiberfil.sys, их необходимо скопировать и проанализировать с помощью программного обеспечения Belkasoft Evidence Center. В операционной системе Linux данные файлы располагаются в отдельном разделе на носителе, копирование осуществляется с помощью команды dd. Для операционной системы MacOS необходимо скопировать все файлы из директории /private/var/vm/swapfile. Так же можно проанализировать файлы с помощью HEX-редактора.
В любом случае, инструментарий для снятия, исследования и анализа образов оперативной памяти выбирается специалистом в зависимости от целей, поставленных перед ним. Универсального решения не существует и вряд ли будет существовать из-за быстрого развития технологий и появления все новых программных средств. Однако для каждой задачи можно найти свой подход и попробовать различные варианты. Важным остается и тот факт, что все данные в оперативной памяти хранятся недолго и по истечению какого-то определенного количества времени они могут быть перезаписаны и таким образом безвозвратно потеряны, поэтому снять образ нужно в максимально короткий срок, что называется «по горячим следам», в дальнейшем, при наличии копии на съемном устройстве можно провести подробное экспертное исследование информации в лабораторных условиях.
Таким образом, применение современных методов и средств получения криминалистической информации из оперативной памяти компьютеров позволит повысить эффективность раскрытия и расследования преступлений.
1. Цифровая криминалистика: Учебник / В. Б. Вехов, С. В. Зуев, Д. В. Бахтеев [и др.]. – 2-е издание, дополненное и переработанное. – М.: Издательство Юрайт, 2024. – 490 с.
2. Кучин, О. С. Тенденции и проблемы в развитии современной российской криминалистики / О. С. Кучин, Ю. В. Гаврилин // Академическая мысль. – 2020. – № 4(13). – С. 85-89.
3. Ищенко, Е. П. Современные технико-криминалистические средства, применяемые для обнаружения доказательств на электронных носителях информации / Е. П. Ищенко, О. Г. Костюченко // Вестник Восточно-Сибирского института МВД России. – 2021. – № 2(97). – С. 181-189.
4. Гаврилин, Ю. В. Процессуальный порядок собирания доказательств на энергонезависимых локальных электронных носителях информации / Ю. В. Гаврилин, А. А. Балашова // Сибирский юридический вестник. – 2020. – № 2(89). – С. 77-82.
5. Зайцева, О. О. Анализ дампов физической памяти компьютеров под управлением операционных систем семейства Windows NT / О. О. Зайцева, В. О. Иванищев, П. А. Коротков // Процессы управления и устойчивость. – 2015. – Т. 2, № 1. – С. 416-420.
6. Балашова, А.А. Электронные носители информации и их использование в уголовно-процессуальном доказывании: автореферат дис. ... кандидата юридических наук: 12.00.09 / Балашова Анна Александровна; [Место защиты: Академия управления Министерства внутренних дел Российской Федерации]. – М., 2020. - 30 с.
7. Уголовно-процессуальный кодекс Российской Федерации: Федер. закон от 18 декабря 2001 г. № 174-ФЗ: принят Гос. Думой 22 ноября 2001 г.: одобрен Советом Федерации 5 декабря 2001 г.: [в ред. от 25 октября 2024 г.] // Официальный интернет-портал правовой информации: КонсультантПлюс – URL:https://www.consultant.ru/document/cons_doc_LAW_34481/?ysclid=m36rzxs6qv45975167 (дата обращения: 06.11.2024).
8. Belkasoft RAM Capturer: инструмент сбора данных в энергозависимой памяти [Электронный ресурс] Дата обновления: 20.07.2024. – URL: https:// https://belkasoft.com/ram-capturer (дата обращения 02.11.2024).
9. Используем FTK the Forensics Toolkit для расследования компьютерных преступлений [Электронный ресурс] Дата обновления: 16.08.2024. – URL: https://itsecforu.ru/2022/07/20/используем-ftk-the-forensics-toolkit-для-расследования-ко/ (дата обращения 03.11.2024).
10. OS Forensics V11 [Электронный ресурс] Дата обновления: 16.08.2024. – URL: https://www.osforensics.com/index.html (дата обращения 03.11.2024).
11. Free Digital Forensics Tools Every Investigator Needs [Электронный ресурс] Дата обновления: 21.12.2022. – URL: https://www.magnetforensics.com/blog/free-digital-forensics-tools-every-investigator-needs/ (дата обращения 03.11.2024).
12. Ubuntu CyberPack (ALF) 1.0 - новый дистрибутив для криминалистического анализа Дата обновления: 17.02.2014. – URL: https://www.opennet.ru/opennews/art.shtml?num=3910 (дата обращения 05.11.2024).
