103
kriminalistikaga ta‘luqli ma‘lumotlarning manbalari aniqlanadi va
hokazo.
Bundan tashqari, baholash bosqichida hodisa bilan bog‗liq bо‗lgan
kompyuterni saqlash vositasi aniqlanadi.
2-bosqich. Tо‘plash.
Ushbu bosqichda insident bilan bog‗liq
barcha ma‘lumotlar yig‗iladi. Ular quyidagilardir:
quvvatga bog‗liq bо‗lmagan axborot vositalarining tarkibi
(qattiq disklar, ixcham disklar, USB flesh-disklar va h.k.);
quvvatga bog‗liq ommaviy axborot tashuvchilar tarkibi
(tezkor xotira);
tarmoq uskunalari, serverlarning
log-fayllari;
tarmoq trafigi.
Yuqoridagi ma‘lumotlarni tо‗plash maxsus asboblar bilan
nusxasini yaratishdan iborat.
Quvvatga
bog‘liq
bо‘lmagan
axborot
vositalarining
tarkibi.
Quvvatga bog‗liq bо‗lmagan vositaning nusxasini yaratmasdan
oldin, dasturiy ta‘minot va apparatni rо‗yxatga olish blokirovkalari
ishlatiladigan kontentning yaxlitligi (о‗zgarmasligi), shuningdek,
maxsus operatsion tizimlarni ta‘minlash kerak. Nusxa kо‗chirish (yoki
о‗chirish) kerak bо‗lgan kompyuter ishlayotgan bо‗lsa,
unda quvvatga
bog‗liq bо‗lmagan ma‘lumotlar yig‗ilgandan sо‗ng kompyuter faoliyati
tо‗xtaydi, quvvatga bog‗liq bо‗lmagan ma‘lumot yig‗ilmasligi kerak
bо‗lsa darhol tо‗xtatiladi; maxsus holatlarda (masalan, о‗ta muhim
serverlarni о‗chirib qо‗yish imkoni bо‗lmaganda), ishlaydigan tizimdan
quvvatga bog‗liq bо‗lmagan ma‘lumotlarning nusxasini kо‗chirish
mumkin.
Yozuv blokirovkalari operatsion tizimning
yoki uchinchi tomon
dasturlarining xatosidan kelib chiqadigan xato tufayli ma‘lumotni yozish
xavfsiz ma‘lumotlar tashuvchisini ulash imkonini beradi.
Uskuna
blokatorlari
ushbu
ma‘lumotlarni
о‗qish uchun
ishlatiladigan operatsion tizimlar va dasturlardan qat‘iy nazar о‗z
vazifalarini bajaradilar. Ixtisoslashgan operatsion tizimlar, qoida
tariqasida, tadqiq qilish ostida bо‗lgan kompyuterdan ishonchli
(kriminalistik) dasturiy ta‘minot muhiti о‗rnatilishi orqali ma‘lumot
tashuvchi vositalarni nusxalash uchun ishlatiladi. Odatda, ushbu
operatsion tizimlar CD yoki USB Flash vositasidan yuklanadi va
yuklash jarayonida dasturiy yozuvlarni blokirovkalashni о‗z ichiga
oladi. Bunday operatsion tizimlarning namunalari:
104
grml;
CAINE Live CD;
DEFT Linux;
e-fense Helix3 Pro.
Quyidagi dasturlar tо‗g‗ridan-tо‗g‗ri ma‘lumotlarni kо‗chirib olish
uchun ishlatilishi mumkin:
dd (deyarli barcha Linux tarqatuvchilari tarkibiga kiradi);
dc3dd - dd ning о‗zgartirilgan versiyasi;
aimage;
FTK Imager.
О‗rganishdan oldin quvvatga bog‗liq bо‗lmagan ma‘lumotlarni
tashuvchi vositalarning tarkibidan nusxa kо‗chirish ixtiyoriy ekanini
ta‘kidlash lozim - vositaning asl tarkib yaxlitligi
saqlangan hollarda
(masalan, vositaning sozligi yoki yozuvni bloklash qо‗llanilganda),
aslning о‗rniga nusxalarini о‗rganish maqbul emas.
Quvvatga bog‗liq ma‘lumotlarni tо‗plash operatsion tizimlardan
ularni о‗chirishdan oldin amalga oshiriladi. Odatda, quvvatga bog‗liq
ma‘lumotlarni yig‗ish jarayoni quyidagilardan nusxa olishdan iborat:
kompyuterning tezkor xotira tarkibi;
о‗rnatilgan shifrlangan fayllar va tarmoq omborlari tarkibi;
faoliyat yurituvchi jarayonlar va xizmatlar rо‗yxati;
joriy tarmoq ulanishlar va ochiq portlar rо‗yxati;
о‗rganilayotgan tizimning tarmoq konfiguratsiyasi;
muhit о‗zgaruvchilari;
monitor ekranida foydalanuvchi kо‗rgan tasvir (ekran
tasvirini yaratish).
Ushbu ma‘lumotni о‗rganilayotgan operatsion tizimga nusxalash
uchun tashqi ma‘lumot tashish vositalari ulanishi mumkin,
undan
ma‘lumotlarni tо‗playdigan maxsus dastur ishga tushiriladi. Ba‘zan
tarmoq
orqali
tizimga
maxsus
dastur
yuklanadi. Nusxalangan
ma‘lumotlar tashqi muhitda saqlanishi yoki tarmoq orqali ishonchli
serverga uzatilishi mumkin.
Loglarni nusxalash bir necha usulda amalga oshirilishi mumkin:
faqat muayyan insidentga bog‗liq ma‘lumotlarga oid
yozuvlarni kо‗chirib olish (masalan, muayyan bir IP-manzil yoki vaqt
oralig‗iga bog‗liq);
log fayllardan butunlay nusxa kо‗chirish;
barcha axborot tashuvchilarini nusxalash.
105
U yoki bu nusxa kо‗chirish usulini tanlashda asosiy omillar
quyidagilardir: loglarga bо‗lgan ishonch darajasi va shunga
muvofiq, loglarining tо‗g‗riligi va о‗zgarmasligi
darajasini aniqlashga
yо‗naltirilgan tadqiqot miqdori. Log fayllarning zararli о‗zgarishi yoki
soxtalashtirilishi ehtimoli kichkina bо‗lsa, faqat log fayllarni yoki
ularning alohida yozuvlarini kо‗chirib olish joizdir. Aks holda, butun
tashuvchi vositasining tarkibini (tizimga ruxsatsiz kirish izlarini, log
fayllarini о‗zgartirish izlari va boshqalarni qidirib topish uchun)
nusxalash tavsiya etiladi.
Do'stlaringiz bilan baham: 
