Методы поиска в кибер-криминалистике

Опубликовано: 29 Декабря, 2021

Компьютерная судебно-медицинская экспертиза использует данные, сгенерированные компьютером, в качестве жизненно важного источника. Цель любой компьютерной судебно-медицинской экспертизы - найти факты, и через эти факты они пытаются воссоздать правду о событии. Эти методы автоматического поиска используются для определения того, присутствует ли данный тип объекта, такой как инструменты взлома или изображения определенного типа, в собираемой информации.

Существует два типа методов автоматического поиска: просмотр вручную и автоматический просмотр.


Рисунок - Типы методов автоматического поиска в кибернетической экспертизе



Что такое ручной просмотр?
Forensic Analyst просматривает собранную информацию и выбирает объекты предпочтительного типа при просмотре вручную. Инструмент, используемый для этого просмотра, представляет собой Наблюдатель. Он принимает объект данных, например файл, декодирует этот файл и возвращает результат в удобочитаемом формате. Просмотр вручную выполняется медленно и требует много времени, так как в ходе большого количества расследований необходимо собрать огромный объем данных.

Что такое автоматический поиск?
Слово «Автоматизированный» происходит от греческого слова «automatos», что означает «действовать по собственному желанию». То, что автоматизировано, может делать то, для чего предназначено, без участия человека, который бы помогал им управлять. Автоматическая процедура поиска обеспечивает прямой доступ к автоматизированным файлам другой стороны, где ответ на процедуру поиска полностью автоматизирован.

Типы автоматического поиска: поиск по ключевым словам, поиск по регулярному выражению, поиск с приблизительным соответствием, пользовательский поиск, поиск изменений.

  1. Поиск по ключевой фразе -
    Кибер-криминалистический поиск по ключевым словам используется для поиска доказательств из большого количества электронных данных. Во время расследования киберпреступлений криминалистический поиск по электронной почте выполняется на основе ключевых слов, которые вы вводите в инструмент компьютерной криминалистики. Поиск по ключевым словам состоит из определенных ключевых слов. Это широко используемый простой метод, ускоряющий просмотр вручную. Список найденных объектов данных выводится при поиске по ключевым словам. Однако есть две проблемы с поиском по ключевым словам: ложноположительный и ложноотрицательный.
    • (я). Ложно положительный :
      Поиск по ключевым словам дает приблизительный требуемый тип объектов данных. Из-за этого на выходе могли быть ложные срабатывания. Ложные срабатывания означают объекты, которые не принадлежат к какому-либо конкретному типу, даже если они содержат указанные ключевые слова. Эксперт-криминалист должен вручную просматривать объекты данных поиска по ключевым словам, чтобы исключить ложные срабатывания.
    • (ii). Ложноотрицательный:
      Ложноотрицательные значения означают, что есть объекты определенного заданного типа, но они пропущены поиском. Если утилита поиска не может правильно интерпретировать объекты данных, результат будет ложноотрицательным. Причиной этого может быть шифрование, сжатие или отсутствие возможности утилиты поиска интерпретировать новые данные.
  2. Поиск по регулярному выражению -
    Регулярное выражение (Regex) - это мощный способ, используемый для поиска данных с идентифицируемым шаблоном в текстовых файлах. Этот поиск дает более понятный язык для описания интересующего объекта, чем ключевые слова. Это расширение поиска по ключевым словам. Они также используются для определения поиска адресов электронной почты и файлов определенного типа. Для поиска регулярных выражений используется Encase Tool. Не все типы данных можно в достаточной мере описать с помощью регулярных выражений. Поиск по регулярному выражению также приводит к ложным срабатываниям и ложным отрицаниям.
  3. Приблизительный поиск соответствия -
    Расширение поиска по регулярному выражению - это поиск с приближенным соответствием. Он использует алгоритм сопоставления. Алгоритм поиска приблизительного соответствия допускает несоответствие символов при поиске по ключевому слову. Он обнаруживает слова с ошибками, что дает несоответствия и увеличивает количество ложных срабатываний. Соглашение используется для приблизительных совпадений.
  4. Пользовательские поиски -
    Этот инструмент использует эвристическую процедуру для поиска полных имен людей в собранной информации / данных. Эти программы написаны для более сложных поисков, например, инструмент FILTER_1 от new Technologies Inc., потому что регулярные выражения имеют ограниченную выразительность. Это тоже страдает от ложных срабатываний и ложных отрицаний.
  5. Поиск модификаций -
    Это используется для объектов данных, которые были изменены с указанного момента в прошлом. Модификации объектов данных, которые происходят не так часто, как утилиты операционной системы. Эти утилиты обнаруживаются путем сравнения их текущего хэша с ожидаемым хешем. Перед поиском создается библиотека ожидаемых хешей.
Кибер-безопасность Программная инженерия

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Печатные платы: описание и разновидности
14 Июня, 2023
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023