Компьютерно-техническая экспертиза

SMART

SMART (Storage Media Analysis Recovery Toolkit)

SMART (Storage Media Analysis Recovery Toolkit) Что такое SMART. SMART – это программное обеспечение, которое было разработано и оптимизировано для автоматизации работы судебных экспертов, специализирующихся на проведении компьютерно-технических экспертиз и сотрудников служб информационной безопасности предприятий. Технология и методология SMART были созданы с намерением объединения технических, методологических и юридических требований к программному инструменту исследования компьютерных систем. SMART – более чем программа для автономного использования. Особенности SMART позволяют применять ее в различных приложениях: 1.Решение специализированных, узконаправленных задач. 2.Локальный или удаленный просмотр исследуемой компьютерной системы. 3.Исследование поврежденной компьютерной системы. 4.Тестирование и проверка других программных продуктов для экспертного исследования компьютерных систем. 5.Установление соответствия данных, находящихся в файле, его расширению. 6.Определение основных параметров системы. Кто использует SMART. SMART в настоящее время используется: • В государственных и правительственных учреждениях. • Специализированными подразделениями армии США и правоохранительными • органами. • Фирмами, специализирующимися на исследованиях компьютерных систем. • Судебными экспертами. • Частными детективами. • Специалистами по восстановлению данных. • Системными администраторами и специалистами в области информационной • безопасности. SMART широко используется правоохранительными органами и крупными корпорациями. В SMART используются вспомогательные программные модули для выполнения рутинной работы. В целом, программа имеет высокомодульную философию. Это позволяет легко исправлять ошибки, обнаруженные в программе, и не влияет на основные функциональные возможности SMART. SMART поддерживает многозадачность. Вы можете управлять работой параллельных задач, наиболее эффективно используя аппаратные возможности Вашего компьютера. Вы можете запускать, приостанавливать или прерывать запущенные процессы. Создание образов исследуемых накопителей в SMART. Мощные и гибкие возможности SMART позволяют Вам создавать полные образы исследуемых накопителей или их логических разделов. Поддерживается функция компрессии создаваемого образа. На самом деле, не многие программы, за исключением SMART, способны создавать точную побитовую копию накопителя. На рисунке, в информационном окне, отображаются все детали процесса создания образа накопителя. SMART может создавать одновременно несколько копий исследуемого накопителя. Это позволяет создать «эталонную» и «рабочую» копии исследуемого накопителя одновременно. На рисунках показан процесс конфигурирования программы для создания образа устройства /dev/sda/ при его клонировании на жесткий диск. SMART-аутентификация (подтверждение подлинности). SMART показывает большое количество информации о клонируемом носителе. Отображаются контрольные суммы для всего носителя, его разделов и подразделов, неразделенных областей. Обработка ошибок в SMART, в ходе процесса клонирования носителей и расчета контрольных сумм, более точная и обеспечивает лучшую степень детализации, чем любой другой экспертный инструмент. Информация о носителе выводится в виде последовательных уровней, визуально отображающих структуру исследуемого носителя. SMART и файловые системы. SMART функционирует в операционных системах, реализованных на базе Linux/GNI в графических оболочках KDE и GNOME. SMART позволяет безопасно осуществлять предпросмотр данных практически любого типа. SMART позволяет подключать любые накопители, разделы и образы накопителей. Журналируемые файловые системы подключаются в режиме «только чтение». На момент написания статьи, SMART являлся единственным экспертным инструментом, который не повреждал информацию на носителе при исследовании журналируемой файловой системы. Вы можете легко определить тип файловой системы, содержащейся в подключаемом образе накопителя, даже если образ накопителя сегментирован. SMART обеспечивает дополнительные возможности при исследовании распространенных файловых систем. При исследовании файловых систем определяются параметры и атрибуты файлов, их расположение на носителе, детектируются служебные области файловой системы, проводится сбор статистической информации и многое другое. В ходе исследования файловой системы, в зависимости от параметров анализа, проводится исследование данных, находящихся в свободных и неразделенных областях (не отнесенных к определенным логическим разделам) накопителя. Обнаруженные данные сортируются по соответствующим категориям. Поиск в SMART. В SMART реализован мощный, гибкий и интуитивно понятный механизм поиска. Большое число настроек позволяет оптимально подобрать его параметры. Встроенный шестнадцатеричный редактор позволяет осуществлять предварительный просмотр обнаруженных данных. С файлами, в которых находятся найденные данные, возможно проведение различных действий. В том числе, они могут быть отсортированы, экспортированы, для них могут быть определены контрольные суммы и т.д. Все действия по поиску файлов могут быть зарегистрированы и использованы в дальнейшем при составлении отчета об исследовании. SMART – обработка данных. Встроенный просмотрщик SMART может автоматически распознавать некоторые структуры данных файловой системы. На рисунке показана интерпретация программой SMART фрагмента FAT таблицы. Расширенное изучение файловой системы с использованием SMART проводится с применением специализированного пользовательского интерфейса. Здесь исследуемые объекты файловой системы выделяются разным цветом. На рисунке: синяя область – окончание данных одного файла; зеленая область – начало данных другого файла (GIF- файла, о чем свидетельствует его заголовок). Отчеты SMART. Все действия в SMART могут быть зафиксированы и, в дальнейшем, в полном объеме или выборочно сведены в «финальный» отчет, который выводится в формате HTML. Отчет имеет древовидную структуру. Так, отчеты о конкретных действиях исследователя находятся в отчете сессии проведения исследования. Подробную информацию о конкретном событии можно просмотреть, кликнув правой кнопкой мыши по зеленой кнопке соответствующего отчета. Красным цветом отмечены наиболее важные части отчета. Очистка носителей в SMART. SMART имеет настраиваемую систему очистки носителей. В зависимости от настроек, могут быть очищены: весь накопитель, логический раздел, определенная область и т.д. Дополнительная информация: Оригинал переведенной статьи находится по адресу: http://www.asrdata.com/SMART/ Сайт производителя SMART: http://www.asrdata.com/ Демонстрационная версия SMART находится по адресу: http://smartforensics.net/SMART- 2004-10-05E.tar.bz2 Форум, посвященный использованию SMART, расположен по адресу: http://smartforensics.net/

Прикрепленные файлы

Оценить статью:
Рейтинг статьи: 5