Қайта жазылатын дискідегі деректерді қалпына келтіру [Системы информационной безопасности]
Организация : Еуразия Ұлттық университеті
Должность : Магистрант
Дата : 28.03.2024
Номер журнала : 18-2024
Қайта жазылатын дискіден деректерді қалпына келтіру – бұл әртүрлі сақтау құрылғыларынан жоғалған немесе бүлінген деректерді алуды қамтитын маңызды процесс. Бұл мақалада DMDE, X-Ways Forensics, EnCase және Autopsy сияқты деректерді қалпына келтіру үшін қолданылатын құралдар зерттеледі және оларды қолдау, платформалық үйлесімділік, интерфейс, функционалдылық, заңдылық және тиімділік негізінде жіктеледі. Мақалада деректерді қалпына келтірудің ерекшеліктері, соның ішінде қате жойылғаннан немесе дұрыс емес көшірілгеннен кейін ақпаратты қалпына келтірудің қиындығы қарастырылады. Мақаланың практикалық бөлігі әртүрлі файл түрлерінен жойылған ақпаратты қалпына келтіруді қамтиды. Мақала белгілі бір қалпына келтіру сценарийі үшін деректерді қалпына келтірудің дұрыс құралын таңдаудың маңыздылығын шолумен қорытындыланады.
Кілт сөздер: деректерді қалпына келтіру, DMDE, X-Ways Forensics, EnCase, Autopsy, заңдылық.
Кіріспе. Қайта жазылатын дискіден деректерді қалпына келтіру - бұл сақталған деректерге сүйенетін кәсіпорындар мен жеке тұлғалар үшін маңызды процесс. Әртүрлі сақтау құрылғыларында сақталған деректер көлемінің ұлғаюымен аппараттық құралдың істен шығуы, кездейсоқ жою немесе жүйенің істен шығуы салдарынан деректердің жоғалу ықтималдығы да артады. Бұл мақала деректерді қайта жазылатын дискіден қалпына келтіру үшін қолданылатын әртүрлі құралдарды, соның ішінде олардың ерекшеліктерін, жіктелуін және тиімділігін зерттеуге арналған. Бұл мақаланың мақсаты - оқырмандарға деректерді қалпына келтірудің әртүрлі құралдары туралы түсінік беру және олардың нақты қалпына келтіру сценарийі үшін дұрыс құралды таңдауға көмектесу.
Бұл мақаланы жазу үшін әртүрлі дереккөздер, соның ішінде академиялық зерттеулер мақалалары және онлайн форумдар пайдаланылды. Қолданылған әдебиеттерге қысқаша шолу жасайтын болсақ, “Forensic Investigations of Digital Devices” кітабында логикалық және түсінуге оңай құрылымдалған және цифрлық криминалистика негіздерінен бастап желілік криминалистика, бұлттық криминалистика және мобильді криминалистика сияқты нақты тақырыптарға дейін барлығын қамтиды. Авторлар оқырмандарға тергеу процесі туралы терең түсінік алуға көмектесетін практикалық кеңестер мен нақты өмір мысалдарын ұсынады. Кітап цифрлық криминалистика, құқық қорғау органдарының мамандары және киберқауіпсіздік мамандары үшін құнды ресурс болып табылады. Бұл салаға жаңадан келгендерге де, білімдерін кеңейтуді қалайтын тәжірибелі тәжірибешілерге де ұсынылады. Хепман мен Ван Дер Люббенің "Data Protection and Privacy: The Individual and the Society" – бұл қазіргі цифрлық дәуірдегі деректерді қорғау мен жеке өмірге қол сұғылмаушылыққа қатысты күрделі мәселелерді қарастыратын терең кітап. Авторлар деректерді қорғау мен құпиялылықтың негізінде жатқан құқықтық, этикалық және техникалық ойларға жан-жақты шолу жасайды және жеке тұлғалардың, ұйымдардың және жалпы қоғамның алдында тұрған мәселелерге сыни талдау жасайды. Кітап жақсы ұйымдастырылған және қол жетімді, негізгі ұғымдардың нақты түсіндірмелері және қарастырылып отырған мәселелерді суреттеуге көмектесетін практикалық мысалдар бар. Ол деректерді бұзу, қадағалау, онлайн бақылау және құпиялылықты арттыратын технологиялардың рөлін қоса алғанда, көптеген тақырыптарды қамтиды. Сонымен қатар мақалада әр түрлі файл түрлерінен жойылған ақпаратты қалпына келтіруге арналған практикалық бөлім бар. Тұтастай алғанда, "деректерді қорғау және құпиялылық" - бұл цифрлық дәуірде деректерді қорғау мен құпиялылыққа қатысты күрделі мәселелерді жақсырақ түсінуге тырысатындар үшін тамаша ресурс. Студенттерге, саясаткерлерге және құқық, технология және киберқауіпсіздік саласындағы мамандарға ұсынылады.
Осы мақаланың соңында оқырмандар деректерді қалпына келтіру құралдары мен олардың жіктелуі, ерекшеліктері және нақты қажеттіліктері үшін дұрыс таңдаудың маңыздылығы туралы жақсы түсінік алуы керек.
1 Деректерді қалпына келтірудің негіздері мен қиындықтары: құралдар мен тәсілдерді салыстыру
Кейбір деректерді қалпына келтіру құралдары қатты дискілер немесе жад карталары сияқты медианың белгілі бір түрлерін ғана қолдай алады, ал басқалары медиа түрлерінің кең ауқымын қолдай алады. Кросс-платформаның үйлесімділігі тағы бір маңызды критерий болып табылады, өйткені кейбір құралдар тек Windows немесе macOS сияқты белгілі бір операциялық жүйелер үшін қол жетімді болуы мүмкін.
Деректерді қалпына келтіру құралының пайдаланушы интерфейсі оның ыңғайлылығына да әсер етуі мүмкін: кейбір құралдар қарапайым және интуитивті интерфейсті ұсынады, ал басқалары күрделірек болуы мүмкін және тиімді жұмыс істеу үшін жетілдірілген техникалық дағдыларды қажет етеді.
Деректерді қалпына келтіру құралдарының функционалдығы да айтарлықтай өзгеруі мүмкін, кейбір құралдар файлдарды сканерлеу және қалпына келтіру сияқты негізгі функцияларды ұсынады, ал басқалары дискіні бейнелеу және деректердің сақтық көшірмесін жасау сияқты жетілдірілген мүмкіндіктерді қамтуы мүмкін. [1]
Деректерді қалпына келтіру құралының заңдылығы, мысал ретінде Америка елін алатын болсақ, заңдылықтар NIST(National Institute of Standards and Technology) немесе басқа реттеуші органдар ұсынған сияқты құқықтық және этикалық принциптерге сәйкестігіне байланысты. Заңды құралдар қалпына келтірілген деректердің сот процесінде рұқсат етілуін қамтамасыз ету үшін қолайлы әдістерді пайдаланады.
Қазақстан мен Америка Құрама Штаттарындағы (АҚШ) цифрлық форензиканың дамуы мен қолданылуының салыстырмалы талдау жүргізіп көретін болсақ, АҚШ-та цифрлық криминалистика 20 ғасырдың аяғынан бастап белсенді түрде дами бастады, ал Қазақстанда бұл салаға 21 ғасырдың басында белсенді көңіл бөліне бастады. Екі елде мамандандырылған бөлімшелер мен ғылыми орталықтар құрылды.
АҚШ-та электронды коммуникациялардың құпиялылығы туралы заң (ECPA) сияқты сандық криминалистика сараптамасына қатысты заңдар мен ережелердің кең жиынтығы бар. Қазақстанда негізгі нормативтік құжаттарға «Байланыс туралы» және «Ақпараттандыру туралы» заңдар жатады.
АҚШ-та цифрлық криминалистикалық функцияларды федералды агенттіктер (ФБР, NSA), ал Қазақстанда ұлттық қауіпсіздік органдары мен мамандандырылған полиция бөлімшелері атқарады.[2]
Қазақстандағы цифрлық форензика саласындағы негізгі проблемалардың бірі – білікті мамандар мен білім беру бағдарламаларының жетіспеушілігі, сондай-ақ АҚШ-пен салыстырғанда заманауи технологиялар мен криминалистикалық құралдарға қолжетімділіктің шектелуі. АҚШ дамыған инфрақұрылымға және мамандардың көп санына қарамастан, негізгі қиындықтар киберқылмыстың үнемі дамып келе жатқан әдістерімен күресу және тергеу кезінде жеке деректердің құпиялылығын қамтамасыз ету болып қала береді.
Қазақстан өзінің киберқауіпсіздік және технологиялық жүйелерін дамытуда ілгерілеуде, бірақ NIST деңгейіне жету үшін зерттеулер мен халықаралық ынтымақтастыққа инвестицияны арттыру қажет. NIST сияқты институттармен білім мен тәжірибе алмасу Қазақстанның осы саладағы инфрақұрылымын дамытудың негізгі факторы болуы мүмкін.
2 Деректерді қалпына келтіру және сандық криминалистика құралдары: негізгі шешімдерге шолу
DMDE, X-ways Forensics, EnCase және Autopsy - бұл деректерді қалпына келтіру және форензикалық талдау үшін қолданылатын қуатты құралдар болып саналады.
DMDE (DM Disk Editor and Data Recovery Software) – қатты дискілерді, жад карталарын және USB дискілерін қоса алғанда, медиа түрлерінің кең ауқымын қолдайтын кросс-платформалық деректерді қалпына келтіру құралы. Ол ыңғайлы интерфейске ие және жойылған файлдарды сканерлеуді және қалпына келтіруді қоса, негізгі қалпына келтіру мүмкіндіктерін ұсынады. Дегенмен, оның тиімділігі күрделі қалпына келтіру сценарийлерінде шектелуі мүмкін. Windows, Linux операциялық жүйелерін (ОЖ) қолдайды. Скрипттерді қолдау шектеулі, құралды интерактивті пайдалануға назар аударылған. Тілдердің шектеулі санын қолдайды. Сыртқы құралдармен интеграция - арнайы қалпына келтіру тапсырмаларына назар аударылған, шектеулі. Бастапқы деректерге қауіп төндірмей, қалпына келтіру әрекеттерін орындауға мүмкіндік беретін диск кескіндерін жасап, өңдей алады. Деректер жоғалғаннан кейін деректерді қалпына келтіруге баса назар аудара отырып, нақты уақыттағы талдауды қолдамайды.
X-Ways Forensics – қатты дискілерді, RAID жүйелерін және форензикалық кескіндерді қоса алғанда, медиа түрлерінің кең ауқымын қолдайтын деректерді қалпына келтіру және талдау құралы. Оның ыңғайлы интерфейсі және дискіні кескіндеу, файлдарды кесу және деректерді талдауды қоса алғанда, жетілдірілген қалпына келтіру мүмкіндіктері бар. Бұл сонымен қатар құқықтық және этикалық принциптерге сәйкес келетін заңды құрал. Windows, Wine программалық құралы арқылы Linux/Mac ОЖ-ін қолдайды. Скрипттер мен плагиндер арқылы тапсырмаларды автоматтандыруға арналған кеңейтілген мүмкіндіктер бар. Құралды халықаралық контексте пайдалануды жеңілдететін көптілділікті қолдайды. Сыртқы құралдармен интеграция жасау мүмкінді бар. X-Ways жасау, талдау және өзгертуді қоса алғанда, диск кескіндерімен жұмыс істеудің кеңейтілген түрін ұсынады. Нақты уақыттағы талдауға мүмкіндік береді, бұл жылдам тергеу және жауап беру үшін маңызды.[3]
EnCase – бұл құқық қорғау органдарында және корпоративтік тергеулерде кеңінен қолданылатын деректерді қалпына келтіру және криминалистикалық талдау құралы. Ол қатты дискілерді, мобильді құрылғыларды және бұлтты сақтауды қоса алғанда, медиа түрлерінің кең ауқымын қолдайды. Оның ыңғайлы интерфейсі және кеңейтілген қалпына келтіру мүмкіндіктері бар, соның ішінде диск кескінін жасау, деректерді шығару және кілт сөздерді іздеу. Windows, Linux, Mac ОЖ-ін қолдайды. Тапсырмаларды автоматтандыру және функционалдылықты кеңейту үшін скрипттерді пайдалану мүмкіндігі бар. Бірнеше тілдерді қолдау EnCase-ті жаһандық аудиторияға қолжетімді етеді. Нақты уақыттағы талдау мүмкіндіктерін ұсынады, бұл сарапшыларға қауіптер мен оқиғаларға жылдам жауап беруге мүмкіндік береді.[4]
Autopsy – Файлдық жүйені талдауды, деректерді қалпына келтіруді және т.б. қолдайтын ашық бастапқы кодты зерттеу құралы. Windows, Linux, Mac ОЖ-ін қолдайды. Пайдаланушыларға процестерді автоматтандыруға болатын скрипттер мен модульдерді қолдайды. Негізгі нұсқасы ағылшын тілінде, бірақ қауымдастық арқылы локализациялау мүмкіндігі бар. Autopsy диск кескінін талдауды қолдайды және графикалық интерфейстегі мазмұнды зерттеуге арналған құралдарды ұсынады. Операциялық зерттеулерді жеңілдететін Live Analysis модулі арқылы нақты уақыттағы жүйені талдауды қамтиды.
Осылайша, бұл құралдардың барлығы деректерді қалпына келтіру үшін пайдалы болғанымен, олардың функциялары, үйлесімділігі және тиімділігі жағынан ерекшеленеді. Ең жақсы нәтижеге қол жеткізу үшін нақты қалпына келтіру сценарийі үшін дұрыс құралды таңдау маңызды.
2 Деректерді қалпына келтіру
2.1 Ерекшеліктердің сипаттамасы
Деректерді қалпына келтірудің сәттілігі деректердің жоғалу себебі, медиа күйі, деректер түрі және қолданылатын қалпына келтіру әдісі сияқты бірнеше факторларға байланысты. Кейбір жағдайларда барлық жоғалған деректерді қалпына келтіру мүмкін болмауы мүмкін екенін ескеру маңызды. Мысалы:
- Деректерді қалпына келтіру процесі аяқталмады немесе сәтсіз аяқталды.
- Файлдар қалпына келтірілгенге дейін зақымданған немесе бүлінген.
- Файлдар вирус немесе зиянды бағдарлама инфекциясы салдарынан шифрланған.
- Файлдар жаңа деректермен қайта жазылды.
- Сақтау құрылғысында кейбір мәселелер бар, мысалы, зақымдалған секторлар, физикалық зақымданулар және т. б.
2.2 Практикалық материалды дайындау
3 Қалпына келтіру сипаттамасы
Бұл жұмыстың практикалық бөлігінде мәтіндік файл түрлерінен жойылған ақпаратты қалпына келтіру процесі көрсетіледі. Қалпына келтіру процесі Linux операциялық жүйесінде жүзеге асырылатын болады.
Бір медиадағы бірнеше файлдардың жағдайы
- Флэш-медиа нөлдермен қайта жазылады (fdisk-l командасынан кейін):
Жоғарыдағы команда нөлдік диск жасау үшін қолданылады.
2. Флэш-медианы FAT файлдық жүйесіне пішімдеу (форматтау)
3. Файлдарды құру
* Орыс тілінде (2 абзац) және ағылшын (3 абзац) тілінде мәтіні бар DOCX файлы жасалды,
* Ағылшын тіліндегі мәтіні бар мәтіндік файл(.txt) жасалды.
4. Word файл және мәтіндік файл флэш-медиаға көшірілді. Бұл флэш-медиада файл ашық, мәтіннің бір бөлігі жойылған, сақталған файл жабық
5. Келесі қадам флэш-медианың dd кескінін жасау. Бұл келесі команда арқылы жүзеге асады:
6. Кескін жасалғаннан соң директорияда файл құрылатын болады.
Ескерту. Файлдарды сақтауды манипуляциялау кезінде (кейбір ақпаратты алып тастағанда және файл өлшемін кішірейту кезінде) кейбір кластерлер бос деп жарияланып, жүйеге қайтарылуы мүмкін. Сондықтан файлдық жүйедегі кейінгі өзгерістер (файлдарды құру, көшіру, өзгерту) бұрын өзгертілген файл кластерлерінің қалдықтарын қалпына келтіру мүмкіндігіне әсер етеді.
Алдымен word файлы, содан кейін мәтіндік файл жазылып, өзгертілген жағдайда, деректерді қалпына келтіруге тырысқанда, қолда бар құралдармен толық қалпына келтірудің мүмкін еместігі анықталады.
Түсіндіру. Дискіде алдымен word файлы, содан кейін ақпараттың бір бөлігін жойғаннан кейін жасалған файл (ақпаратты жойғаннан кейін түпнұсқа файл Word процессорымен жойылады және сол атпен жаңа файл жасалады, жаңа жерде), содан кейін мәтіндік файл (ол дәл бастапқы Word файлы болған жерде жасалды, осылайша бастапқы файл жойылды). Осылайша, Word файлынан жойылған деректерді (кейіннен басқа файлдармен қайта жазу немесе тіпті қолда бар жаңа өзгеріс болған жағдайда) толық емес және Word форматында (бірақ терең зерттеуді қажет ететін кейбір байттар түрінде) қалпына келтіруге болады.
Қорытынды. Қорытындылай келе, деректерді қалпына келтіру құралдары әртүрлі дискілерден жоғалған немесе бүлінген деректерді қалпына келтіруде маңызды рөл атқарады деп айтуға болады. Жоғарыда аталған мүмкіндіктер деректерді қалпына келтіру бағдарламалық құралын таңдау кезінде пайдаланушылар ескеруі керек ең маңызды мүмкіндіктердің бірі. Деректер тасымалдаушысы пайдаланатын файлдық жүйені қолдайтын, қалпына келтіру қажет файл түрлерін танитын, белгілі бір файлдарды іздеуге және сүзуге мүмкіндік беретін, қалпына келтірілген деректерді көруге мүмкіндік беретін және ыңғайлы интерфейсі бар құралды таңдау маңызды.
Сонымен қатар, деректерді қалпына келтіру құралдарын пайдалану әрқашан олар қолданылатын юрисдикцияның заңдары мен ережелеріне сәйкес келуі керек екенін ескеру маңызды. Кейбір елдерде деректерді қалпына келтірудің белгілі бір әдістерін қолдану заңсыз немесе этикалық емес деп саналуы мүмкін, әсіресе егер бұл деректер үшінші тарапқа тиесілі болса. Сондықтан пайдаланушылар әрқашан деректерді қалпына келтіру құралдарын заңды және этикалық түрде қолданатынына сенімді болуы керек.
Қолданылған әдебиеттер тізімі:
- Data Recovery Digest. (2021). Top 5 Data Recovery Software. https://datarecoverydigest.com/top-5-data-recovery-software.html
- NIST. (2021). Computer Forensics Tool Testing Program (CFTT). https://www.nist.gov/itl/ssd/software-quality-group/computer-forensics-tool-testing-program-cftt
- Kessler, G. C. (2020). Investigating Windows Systems. Boca Raton, FL: CRC Press.
- Quick, D., & Choo, K. K. R. (2020). Forensic Investigations of Digital Devices. Cham, Switzerland: Springer.
- Hoepman, J. H., & van der Lubbe, J. C. A. (2020). Data Protection and Privacy: The Individual and the Society. Cham, Switzerland: Springer.
- Sathyanarayana, V. N., & Naidu, P. (2022). Digital forensic investigation of online frauds: An empirical study. Computers in Human Behavior, 126, 107118.
- Ullah, M., & Zhang, Y. (2021). A Survey on the Forensic Analysis of Social Media. Journal of Forensic Sciences, 66(1), 180-189.
- Singh, A., & Bhatt, N. (2021). A survey on digital forensics investigation using machine learning techniques. Multimedia Tools and Applications, 80(11), 16033-16057.
- Pal, S., & Chakraborty, S. (2021). The challenges of digital forensics during COVID-19 pandemic: A review. Computers & Security, 102, 102242.
- Computer forensics: a closer look at three tools // https://www.dataexpert.eu/news/computer-forensics-a-closer-look-at-three-tools/