Volgograd, Russian Federation
Moskva, Moscow, Russian Federation
from 01.01.2015 to 01.01.2024
Moscow, Moscow, Russian Federation
VAC 12.00.02 Конституционное право; конституционный судебный процесс; муниципальное право
VAC 12.00.10 Международное право; Европейское право
VAC 12.00.12 Криминалистика; судебно-экспертная деятельность; оперативно-розыскная деятельность
VAC 12.00.14 Административное право; административный процесс
UDK 343 Уголовное право. Уголовное судопроизводство. Криминология. Криминалистика
GRNTI 10.07 Теория государства и права
BBK 60 Общественные науки в целом
The article is devoted to modern possibilities of obtaining criminally significant information during the production of investigative actions when obtaining images of computer RAM. Software tools allowing to obtain an image of computer RAM and methodological recommendations on their application are considered.
digital forensics, specialist, computer information, computer RAM, computer RAM image, software
В криминалистической деятельности сотрудникам органов предварительного расследования, экспертам и судьям достаточно часто приходится сталкиваться с преступлениями, предметом или средством совершения которых является компьютерная информация. По многим видам преступлений сегодня собирают, исследуют и оценивают информацию в цифровой форме [1, c. 14, 2, с. 87].
В ходе работы с доказательственной информацией широко используются новейшие программные и технические средства, основанные на современных информационных технологиях. При этом положения цифровой криминалистики ее методы и средства используются для решения практических задач в ходе поиска, фиксации и изъятия цифровых источников доказательств [3].
В контексте криминалистического исследования компьютерной информации в задачи цифровой криминалистики входит поиск доказательств на локальной машине, а именно анализ накопителей на жестких магнитных дисках (HDD), твердотельных накопителях (SSD), оперативной памяти (RAM), иных носителей информации, изучение реестра, журналов операционной системы и многое другое [4, c. 78].
Как правило, в ходе осмотра места происшествия изымаются компьютеры и компьютерные носители информации, в дальнейшем эти устройства направляются на судебную компьютерную экспертизу. Необходимо обратить внимание на то, что при отключении работающих компьютеров теряется ценная кримналистически значимая информация, содержащаяся в оперативной (энергозависимой) памяти компьютера [5, c. 419].
В оперативной памяти компьютера могут содержаться сведения, имеющие существенное значение при расследовании преступлений, в явном виде не содержащиеся на носителях информации устройств, например, текущие сообщения в социальных сетях, данные о запущенных процессах или открытых сетевых подключениях, другая информация может безопасно храниться на зашифрованном диске.
Содержащаяся в оперативной памяти компьютера информация может содержать важные для расследования преступления сведения, способствовать правильному восприятию следственной ситуации. Правоприменительная практика свидетельствует о том, что ходе производства следственных действий крайне редко изымается информация из оперативной памяти компьютера.
По нашему мнению, при изъятии информации из оперативной памяти компьютера целесообразно участие специалиста в связи со спецификой работы с компьютерной информацией, применением технических средств, необходимостью использования специальных знаний и угрозой потери хранящейся на носителе информации.
Ч. 9.1 ст. 182 УПК РФ и ч. 3.1 ст. 183 УПК РФ прямо устанавливают, что при производстве обыска и выемки изъятие электронных носителей информации производится с участием специалиста [6].
Несмотря на отсутствие у следователя предусмотренной ст. 177 УПК РФ прямой обязанности по привлечению специалиста при проведении следственного осмотра, применительно к изъятию информации из оперативной памяти компьютера участие специалиста необходимо и должно осуществляться по инициативе следователя. Копирование информации специалистом с устройств при производстве следственных действий должно осуществляться в порядке, предусмотренном ч. 2 и ч. 3 ст. 164.1 УПК РФ [7].
Представляется важным подробнее рассмотреть современные методы и средства, которые могут быть использованы специалистом для извлечения и анализа информации из оперативной памяти компьютера.
По прибытию на место происшествия специалист должен обеспечить сбор информации с устройств, заключающийся в изъятии содержимого энергозависимой памяти компьютера. Данное действие является по большей части необходимым для получения ключевой информации, которая хранится только в оперативной памяти устройства, например: пароли от учетных записей, расшифрованные файлы, ключи шифрования, сообщения в мессенджерах и чатах, журналы просмотра веб-страниц, вредоносный код, информация о текущих процессах и так далее.
Для исследования информации, хранящейся в оперативной памяти компьютера, для начала необходимо снять образ (дамп) оперативной памяти. На устройствах Windows извлечение образов памяти можно осуществить как с помощью утилит командной строки, так и программных средств с графическим интерфейсом. Каждый из способов имеет свои преимущества и недостатки, в этом случае специалист может сделать обоснованный выбор для конкретной ситуации.
Существует физический метод получения содержимого энергозависимой памяти, так называемая атака методом холодной загрузки. Его суть заключается в следующем: содержимое оперативной памяти компьютера обнуляется не мгновенно, а через какое-то время после выключения компьютера, если модули оперативной памяти охладить до отрицательной температуры, то это время еще увеличивается и его становится достаточно для перестановки этих модулей в тестовый стенд для последующего снятия образа оперативной памяти с помощью предустановленных утилит в загрузочном образе флеш-накопителя. Этот метод достаточно трудоемкий в использовании и нет полной гарантии в полном получении данных из полученного образа, также большая вероятность повредить оборудование.
Среди инструментария для сбора информации из энергозависимой памяти устройств на базе операционной системы Windows для криминалистических целей могут быть использованы Belkasoft Live RAM Capturer [8], FTK Imager [9], OSForensics [10], DumpIt или Magnet RAM Capture [11]. Программное обеспечение Belkasoft Live RAM Capturer и DumpIt не требуют установки на устройство, с которого осуществляется изъятие содержимого оперативной памяти, а значит можно получить образ без дополнительной установки приложений на устройство. Использование таких программ в качестве метода изъятия образа энергозависимой памяти достаточно удобно для специалиста, при наличии всего лишь приложения на флеш-накопителе.
Для изъятия информации из оперативной памяти может быть использован дистрибутив Ubuntu CyberPack (ALF) 1.0 [12]. Достоинством применения этого дистрибутива является его универсальность, состоящая в возможности работы со всем операционными системами, установленными на устройстве, а также в отсутствии необходимости подключения каких-либо плат и кабелей. Также для данного метода необходима подготовка устройства, с которым будут проводиться действия по снятию образа оперативной памяти и всего лишь одна попытка для перезагрузки, иначе все данные будут безвозвратно потеряны.
Для устройств на базе операционной системы Linux при создании дампа оперативной памяти можно использовать программу LiME. Запуск этого инструмента осуществляется в командной строке вводом кода, после чего в папке создается файл с образом оперативной памяти с расширением .lime.
Образ памяти является ценным источником данных из энергозависимых источников информации. Они могут содержать пароли для зашифрованных томов (TrueCrypt, BitLocker, PGP Disk), учетные данные для входа в аккаунты многих служб электронной почты и социальных сетей, таких как Gmail, Mail, Facebook, Twitter, ВКонтакте и так далее, а также в службы обмена файлами, такие как Dropbox, Flickr, Google диск, иные облачные хранилища и т. д.
Анализ образов оперативной памяти, как и все другие криминалистические исследования, связан с поиском информации, которая может служить источником доказательств при расследовании преступлений.
Для исследования содержимого оперативной памяти есть огромное количество утилит, как для Linux-систем, так и для Windows.
Для исследования образов оперативной памяти используется функция Live RAM Analysis, которая входит в программное обеспечение Belkasoft Evidence Center. Это инструмент для извлечения из полученного образа оперативной памяти различной информации, которая может содержать доказательства по расследуемому делу или иметь к ним непосредственное отношение. При удачном анализе данной программой можно получить сведения об очищенной истории браузеров, онлайн-чатах и переписках в социальных сетях, истории использования облачных сервисов, просмотренных изображениях и многом другое, представляющем интерес для следствия.
При работе на операционной системе Linux достаточно известен кроссплатформенный фреймворк под названием Volatility, который также может быть использован и для операционной системе Windows. Это инструмент командной строки, который позволяет извлечь данные о запущенных процессах, открытых сетевых соединениях, библиотеках, модулях ядра и так далее, с наличием веб-интерфейса, который может быть установлен отдельно. Данный инструмент, в частности, используется для поиска запущенных подозрительных процессов, вызванных вредоносным программным обеспечением. Также с помощью данного инструмента при вводе определенной последовательности команд (находятся в открытом доступе) специалист может получить пароль пользователя и ключи от криптоконтейнеров, если они имеются на исследуемом устройстве.
Также большую роль в современных системах играют файлы подкачки (swap-память). Файл подкачки используется в том случае, когда место для хранения данных в оперативной памяти заканчивается и они для быстрой доставки процессору сгружаются в этот файл. Также файл гибернации, в котором находится информация из оперативной памяти устройства, когда оно находится в спящем режиме. Данные файлы хранятся на накопителе компьютера/ноутбука. В разных операционных системах отличается организация хранения файлов информации. В операционной системе Windows данные файлы располагаются в корневом каталоге С: pagefile.sys и hiberfil.sys, их необходимо скопировать и проанализировать с помощью программного обеспечения Belkasoft Evidence Center. В операционной системе Linux данные файлы располагаются в отдельном разделе на носителе, копирование осуществляется с помощью команды dd. Для операционной системы MacOS необходимо скопировать все файлы из директории /private/var/vm/swapfile. Так же можно проанализировать файлы с помощью HEX-редактора.
В любом случае, инструментарий для снятия, исследования и анализа образов оперативной памяти выбирается специалистом в зависимости от целей, поставленных перед ним. Универсального решения не существует и вряд ли будет существовать из-за быстрого развития технологий и появления все новых программных средств. Однако для каждой задачи можно найти свой подход и попробовать различные варианты. Важным остается и тот факт, что все данные в оперативной памяти хранятся недолго и по истечению какого-то определенного количества времени они могут быть перезаписаны и таким образом безвозвратно потеряны, поэтому снять образ нужно в максимально короткий срок, что называется «по горячим следам», в дальнейшем, при наличии копии на съемном устройстве можно провести подробное экспертное исследование информации в лабораторных условиях.
Таким образом, применение современных методов и средств получения криминалистической информации из оперативной памяти компьютеров позволит повысить эффективность раскрытия и расследования преступлений.
1. Digital forensics: Textbook/V. B. Vekhov, S. V. Zuev, D. V. Bakhteev [and others]. - 2nd edition, supplemented and revised. - M.: Yuright Publishing House, 2024. - 490 s.
2. Kuchin, O.S. Trends and problems in the development of modern Russian forensics/O.S. Kuchin, Yu. V. Gavrilin//Academic thought. – 2020. – № 4(13). - S. 85-89.
3. Ishchenko, E.P. Modern technical and forensic means used to detect evidence on electronic media/E.P. Ishchenko, O. G. Kostyuchenko//Bulletin of the East Siberian Institute of the Ministry of Internal Affairs of Russia. – 2021. – № 2(97). - S. 181-189.
4. Gavrilin, Yu. V. Procedural Procedure for Collecting Evidence on Non-Volatile Local Electronic Media/Yu. V. Gavrilin, A. A. Balashova//Siberian Legal Bulletin. – 2020. – № 2(89). - S. 77-82.
5. Zaitseva, O. O. Analysis of physical memory dumps of computers running operating systems of the Windows NT family/O. O. Zaitseva, V. O. Ivanishchev, P. A. Korotkov//Control processes and stability. – 2015. - T. 2, NO. 1. - S. 416-420.
6. Balashova, A.A. Electronic media and their use in criminal procedure evidence: abstract dis.... Candidate of Law: 12.00.09/Balashova Anna Alexandrovna; [Place of protection: Academy of Management of the Ministry of Internal Affairs of the Russian Federation]. - M., 2020. - 30 s.
7. Code of Criminal Procedure of the Russian Federation: Feder. Law of December 18, 2001 No. 174-FZ: adopted by the State. Duma November 22, 2001: approved by the Federation Council on December 5, 2001: [as amended on October 25, 2024 ]//Official Internet portal of legal information: ConsultantPlus - URL:https://www.consultant.ru/document/cons_doc_LAW_34481/?ysclid=m36rzxs6qv45975167 (access date: 06.11.2024).
8. Belkasoft RAM Capturer: Volatile Memory Data Collection Tool [Electronic Resource] Updated 20.07.2024. - URL: https :// https://belkasoft.com/ram-capturer (access date 02.11.2024).
9. We use FTK the Forensics Toolkit to investigate computer crimes [Electronic Resource] Update Date: 16.08.2024. - URL: https://itsecforu.ru/2022/07/20/ispolzuem-ftk-the-forensics-toolkit-dlia-rassledovania-ko/ (access date 03.11.2024).
10. OS Forensics V11 [Electronic Resource] Updated 16.08.2024. - URL: https://www.osforensics.com/index.html (access date 03.11.2024).
11. Free Digital Forensics Tools Every Investigator Needs Update Date: 21.12.2022. – URL: https://www.magnetforensics.com/blog/free-digital-forensics-tools-every-investigator-needs/ (access date 03.11.2024).
12. Ubuntu CyberPack (ALF) 1.0 - a new distribution for forensic analysis Update date: 17.02.2014. - URL: https://www.opennet.ru/opennews/art.shtml?num=3910 (access date 05.11.2024).
