TALLINNA TEHNIKAÜLIKOOL
AUTOMAATIKAINSTITUUT
Automaatjuhtimise ja süsteemianalüüsi õppetool
IAY34LT
Terry London
INFOTEHNO...
Autorideklaratsioon
Olen koostanud antud töö iseseisvalt. Kõik töö koostamisel kasutatud teiste autorite tööd,
olulised se...
Annotatsioon
Magistriõppe lõputöö
Lõpetaja T. London
Juhendaja R. Paluoja
Tallinna Tehnikaülikool 2008
Käesolevas magistri...
Annot
Master's thesis
Graduate T. London
Supervisor R. Paluoja
Tallinn University of Technology 2008
The master's thesis g...
Sisukord
Annotatsioon........................................................................................................
2.4 Failisüsteem NTFS........................................................................................................
Töös kasutatud lühendid
LMA – loomise, muutmise ja viimati avamise ajad (ingl. k - created, modified, last accessed)
MFT –...
Töös kasutatud terminid
Ofset – nihe baitides andmehulga, faili, sektori või klastri mõttelisest alguspunktist. Näiteks,
M...
Sissejuhatus
Arvuti on osutunud täiuslikuks infoallikaks erinevate kuritegude uurimisel. Tegu on
asitõendiga, mis tänu oma...
mehhanismi täpne taasloomine siiski ei huvita, vaid pigem mõistmine, kuidas NTFS
üleüldiselt toimib ning kuidas failisüste...
taanduma. Olemasolevad tarkvarad võib üldjoontes jagada kahte leeri: tarkvara andmete
taastamiseks ja tarkvara süvauuringu...
tulemused vajavad teadmiste ja kogemuste põhist hindamist.
Tahes-tahtmata tekib küsimus, et millal siis tarkvaralistest va...
1 . Läbilõige infotehnoloogilisest kohtuekspertiisist
Järgnev peatükk on osa loengumaterjalist, mida kasutatakse menetlusp...
arvutite operatsioonisüsteemid teevad alati midagi, millega kaasneb andmete kettale
kirjutamine ja vanade andmete üle kirj...
kasutades.
1.2 Andmete autentsuse tagamise üldised põhimõtted
Ekspertiisilaboris kontrollitakse igal hõivamisel saadud and...
arvutamine räsi järgi on füüsiliselt võimatu ning nõuab määramatut arvutus- ning ajaressurssi.
Kohtuekspertiisis on andmeh...
Andmekandja andmeala jaotatakse üheks või enamaks loogiliseks kettaks ehk partitsiooniks,
ning igal partitsioon on vormind...
Teame, et failid ei ole alati ühesuurused. Näiteks, võtame vabaks märgitud videokasseti
täispika filmiga ning salvestame s...
failide otsimisega kasutades failisüsteemide signatuure. Partitsioonide kirjeldust sisaldav
kõvaketta sektor (esimene sekt...
vaatlusel ning tema oli seda telefonis vaid natukene töödelnud. Pildi loomise kuupäeva
väljaselgitamiseks saadeti telefon ...
Olen kogenud, et ütluste andmine on olnud tulemuslikum, kui võimalike küsimusi eelnevalt
konsulteeritakse. Näiteks saab se...
2 . Tänapäevane operatsioonisüsteem
Tänapäevaseid operatsioonisüsteeme iseloomustab rahvusvaheline ja nägus kasutajaliides...
võidutses kodu- ja kontoriarvutites veel 2003. aastal. Windows Server 2003'le avaldati aasta
alguses järeltulija Windows S...
2.1.2 Kasutajat kirjeldavad failid ja kataloogid
Esimese viite NT-põhiste Windows operatsioonisüsteemide võimaliku kasutaj...
faile. Üks neist paikneb samas kataloogi Local Settings alamkataloogis Temporary Internet
Files ning peab arvet IE interne...
tarkvaradele, mille kasutaja on teinud otsetee-ikoonide ehk linkfailide abil hõlpsamini
kättesaadavamaks. Näiteks dokument...
Kataloog Send To sisaldab tavaliselt vaid otseteid pakkimis- ja meilitarkvarale, töölauale ja
kasutaja dokumendikataloogi....
kas vastava tarkvara paigaldamisel luuakse otseteefail töölauale automaatselt. Veelgi parem
viide kasutaja teadlikkusele m...
avamisele. Sellisel juhul on esimene võimalus pärast kustutatud kataloogikirjete taastamist
LNK-laiendi järgi failinimede ...
•Otseteefaili andmealale kantakse sihtfaili LMA aegadele täpselt vastavad ajamärgid
järjestuses LAM
•Otseteefaili loomise ...
2.1.2.8 Kasutaja prügikast
Ekspertiise tutvustavas peatükis mainisime, et failide kustutamine tähendab failide
ülekirjutam...
Süsteemifaili INFO2 lisatakse kustutatud faili kohta kirje, mis sisaldab faili kustutamise
kellaaja ja kuupäeva ning algse...
2.1.2.11 Prügikasti taastamine
Kuna prügikasti tühjendamine on tavaline toiming, ei saa piirduda vaid Recycler kataloogi
I...
2.2 NT-põhise Windows'i register
Windows operatsioonisüsteemi register on väga keeruline erinevatest failidest koosnev
kat...
Software – HKEY_LOCAL_MACHINESOFTWARE
System – HKEY_LOCAL_MACHINESYSTEM
Default – HKEY_USERS.DEFAULT
Userdiff – ei ole...
kaasa võtmisel tuleks hinnata, kas on vajalik eraldi ligipääs domeenikontrollerile sellest SAM
faili kättesaamiseks. Nimel...
2.2.2.2 SID numbrite kokkuviimine kasutajanimedega
Eelnevalt mainisin, et Recycler kataloogi kasutajakataloogide nimede jä...
sisselogimist
LegalNoticeText – näidatava teate tekst.
ShutdownWithoutLogon – sulgemise valik sisselogimisaknas (1 lubab...
ajanihet GMT suhtes ning seadma labori arvuti süsteemikella samasse aktiivsesse ajatsooni.
Kui viimati kasutuses olnud kon...
Tund – 24-tunnise päeva kellakeeramise tund. [3]
Näiteks 2008. aastal keerati kell 30. märtsi öösel kell 3:00 suveajale m...
jagatud kataloogid ja partitsioonid.
NTUSER.DAT failist registrikogumi HKEY_CURRENT_USER võtmed:
• SoftwareMicrosoftWindow...
2.3 NT-põhise Windows'i logimissüsteem
Järgnev peatükk käsitleb NT-põhiste Windows operatsioonisüsteemide kaht erinevat
lo...
• Type –sündmuse hindamise tüüp
• Date, Time – sündmuse toimumise aeg
• Source – sündmuse loginud protsess või rakendus
• ...
sündmusest: NTFS tekitab loodava faili jaoks vastava MFT kirje, märgib faili andmeala
kaardistamiseks vastavad bitid $BitM...
2.4 Failisüsteem NTFS
NTFS on väga huvitav failisüsteem, mille tunnuslauseks on: kõik andmed on failid ja kõik
failid on a...
failihõive süsteemi nimetataksegi tema organiseerimise meetodi järgi failihõive tabeliks, mis
paikneb partitsiooni alguses...
kettaadresseerimist ning võimaldab teoreetiliselt tekitada kuni 264
-baidiseid partitsioone.
Siiski Windows XP piirab sell...
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Infotehnoloogiliste ekspertiiside uuringud
Upcoming SlideShare
Loading in …5
×

Infotehnoloogiliste ekspertiiside uuringud

758 views

Published on

Infotehnoloogiliste ekspertiiside uuringud - magistritöö. Terry London 08.09.2008. Tallinna Tehnikaülikool.

Käesolevas magistritöös antakse ülevaade infotehnoloogiaekspertiiside läbiviimisest ja tõendite esitlemisest kohtus, käsitletakse NT-põhiste Windows operatsioonisüsteemide ja NTFS failisüsteemi toimimist ning uuritakse süsteemi iseärasuste rakendamist ekspertarvamuse andmisel. Töös analüüsitakse operatsioonisüsteemi Microsoft Windows XP ja selle failisüsteemi NTFS kohtuinfotehnoloogilise ekspertiisi vaatenurgast.
Magistritöö kirjutamist alustati Politseiameti halduses asuva Kohtuekspertiisi ja Kriminalistika Keskuse (KEKK) dokumendiosakonna infotehnoloogiavaldkonna ekspertiisilabori arendustööga paralleelselt. Töö tulemuseks on kõrgemal tasemel arvutiekspertide ning vaatluste läbiviijate juhendmaterjal ning uurimustöö NTFS failisüsteemist.
Töö koosneb seletuskirjast 84 lehel ja sisaldab 2 lisa.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
758
On SlideShare
0
From Embeds
0
Number of Embeds
7
Actions
Shares
0
Downloads
9
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Infotehnoloogiliste ekspertiiside uuringud

  1. 1. TALLINNA TEHNIKAÜLIKOOL AUTOMAATIKAINSTITUUT Automaatjuhtimise ja süsteemianalüüsi õppetool IAY34LT Terry London INFOTEHNOLOOGILISTE EKSPERTIISIDE UURINGUD Magistritöö Juhendaja: dots. R. Paluoja ……… Lõpetaja: Terry London ..…….. TALLINN 2008
  2. 2. Autorideklaratsioon Olen koostanud antud töö iseseisvalt. Kõik töö koostamisel kasutatud teiste autorite tööd, olulised seisukohad, kirjandusallikatest ja mujalt pärinevad andmed on viidatud. Kuupäev: Ees- ja perekonnanimi: Allkiri: 2
  3. 3. Annotatsioon Magistriõppe lõputöö Lõpetaja T. London Juhendaja R. Paluoja Tallinna Tehnikaülikool 2008 Käesolevas magistritöös antakse ülevaade infotehnoloogiaekspertiiside läbiviimisest ja tõendite esitlemisest kohtus, käsitletakse NT-põhiste Windows operatsioonisüsteemide ja NTFS failisüsteemi toimimist ning uuritakse süsteemi iseärasuste rakendamist ekspertarvamuse andmisel. Töös analüüsitakse operatsioonisüsteemi Microsoft Windows XP ja selle failisüsteemi NTFS kohtuinfotehnoloogilise ekspertiisi vaatenurgast. Magistritöö kirjutamist alustati Politseiameti halduses asuva Kohtuekspertiisi ja Kriminalistika Keskuse (KEKK) dokumendiosakonna infotehnoloogiavaldkonna ekspertiisilabori arendustööga paralleelselt. Töö tulemuseks on kõrgemal tasemel arvutiekspertide ning vaatluste läbiviijate juhendmaterjal ning uurimustöö NTFS failisüsteemist. Töö koosneb seletuskirjast 84 lehel ja sisaldab 2 lisa. 3
  4. 4. Annot Master's thesis Graduate T. London Supervisor R. Paluoja Tallinn University of Technology 2008 The master's thesis gives overview processing forensic examinations and using the result of examination in legal proceedings. Analyzes the performance of NT-based Windows operating system and NTFS file system and explores using hidden artefacts as evidence in forensic report. Part of the master's thesis has been written during the work process of the questioned document department's informational technology laboratory in the Forensic Service Centre of Estonian Police. The result of thesis is guide for advanced level computer forensic examinations and research paper of NTFS file system. The work consists of text on 84 pages included 2 appendixes. 4
  5. 5. Sisukord Annotatsioon...............................................................................................................................3 Annot..........................................................................................................................................4 Töös kasutatud lühendid.............................................................................................................7 Töös kasutatud terminid.............................................................................................................8 Sissejuhatus................................................................................................................................9 Hetkeseis kohtuinfotehnoloogia uuringutes.........................................................................10 1 .Läbilõige infotehnoloogilisest kohtuekspertiisist................................................................13 1.1 Arvuti kui tundlik asitõend...........................................................................................13 1.1.1 Andmete muutumatuse tagamine arvuti käitlemisel.............................................14 1.2 Andmete autentsuse tagamise üldised põhimõtted.......................................................15 1.3 Andmed andmekandjal - sissejuhatus failisüsteemidesse.............................................16 1.3.1 Andmete taastamine ja hävitamine.......................................................................17 1.3.2 Signatuurid – failide ja partitsioonide taastamine.................................................18 1.3.3 Digitaalsed fotod ja nende taastamine...................................................................19 1.4 Asitõendi esitlemine kohtuistungil...............................................................................20 2 .Tänapäevane operatsioonisüsteem.......................................................................................22 2.1 Kasutaja jäljed NT-põhistes operatsioonisüsteemides..................................................22 2.1.1 Operatsioonisüsteemi tüübi tuvastamine...............................................................23 2.1.2 Kasutajat kirjeldavad failid ja kataloogid..............................................................24 2.2 NT-põhise Windows'i register......................................................................................34 2.2.2 Registri kirjed........................................................................................................35 2.3 NT-põhise Windows'i logimissüsteem.........................................................................42 2.3.1 Sündmuste logimine..............................................................................................42 2.3.2 $LogFile................................................................................................................43 5
  6. 6. 2.4 Failisüsteem NTFS........................................................................................................45 2.4.2 NTFS vormindamine.............................................................................................48 2.4.3 NTFS'i süsteemifailid............................................................................................50 2.4.4 Failisüsteemi struktuur..........................................................................................51 2.4.5 Peafailitabel MFT..................................................................................................53 2.4.6 Failid NTFS'is.......................................................................................................56 3 .Meetodid..............................................................................................................................64 3.1 Kettapartitsioonide taastamine......................................................................................64 3.1.1 Alglaadesektoril on partitsioonikirjed alles...........................................................64 3.1.2 Alglaadesektori partitsioonikirjed on vigased.......................................................65 3.1.3 Partitsiooni alglaadekirje analüüs partitsiooni taastamiseks.................................66 3.1.4 Partitsiooni alglaadekirje analüüs NTFS failitabeli leidmiseks............................67 3.2 Andmete taastamine partitsiooni failide poolt hõivamata alalt.....................................67 3.2.1 Faili andmete taastamine.......................................................................................67 4 .Rakendus andmekandjate madaltasemel sirvimiseks..........................................................70 Kokkuvõte................................................................................................................................73 Kasutatud kirjandus..................................................................................................................75 Lisad.........................................................................................................................................76 Lisa 1 – Rakenduse kettalugemise lähtekood......................................................................77 Lisa 2 – Täiendav info Windows süsteemi uurimisel..........................................................83 6
  7. 7. Töös kasutatud lühendid LMA – loomise, muutmise ja viimati avamise ajad (ingl. k - created, modified, last accessed) MFT – NTFS'i peafailitabel (Master File Table) NTFS – Windows failisüsteem (New Technology File System) FAT – failihõivetabel, Windows failisüsteem (File Allocation Table) RAM – muutmälu, suvapöördusmälu EMF – arendatud metafaili formaat (Enhanced Metafile Format) SID – Turvaidentifikaator (Security Identifier) UID – kasutaja identifikaator (User Identifier) RID – suhteline identifikaator (Relative Identifier) MBR – alglaadesektor (Master Boot Record) VBR – partitsiooni alglaadesektor (Volume Boot Record) NTLDR – operatsioonisüsteemi NT alglaadekood (NT Loader) PS: – füüsiline sektor (Physical Sector) SO: – sektori ofset (Sector Offset) FO: – faili ofset (File Offset) LE: – valitud lõigu pikkus baitides (Lenght) 7
  8. 8. Töös kasutatud terminid Ofset – nihe baitides andmehulga, faili, sektori või klastri mõttelisest alguspunktist. Näiteks, MBR'i sektori ofsetil (SO) 446 algab partitsioonitabel ning selle leidmiseks tuleb andmekandja esimeselt sektorilt leida 446. bait. Klaster (cluster) – NTFS ja FAT failisüsteemides sektoritest koosnev minimaalne andmeala, mis on failisüsteemi poolt eraldatud ühe andmefaili hoidmiseks. GUID – globaalselt unikaalne identifikaator. 128-bitine täisarv, mida kasutatakse sarnaste objektide identifitseerimisel. Kasutusel põhiliselt Microsoft'i süsteemides ning Windows registris. Esitatakse tihti kujul {3F2504E0-4F89-11D3-9A0C-0305E82C3301} Dword – 32 biti suurune üksus x86 protsessoriplatvormidel (double word). Vastavalt qword 64 bitti (quadruple word). 8
  9. 9. Sissejuhatus Arvuti on osutunud täiuslikuks infoallikaks erinevate kuritegude uurimisel. Tegu on asitõendiga, mis tänu oma universaalsusele katab kõik valdkonnad, mis on seotud andmevahetuse või infotöötlusega. Dokumendid, pildid, internetilehtede külastused, jututubade logid võivad olla seotud mistahes kuritegudega alates lihtsate vargustega ja lõpetades alaealiste väärkohtlemise, mõrvade ning narkokuritegudega. Arvutite kohtulik ekspertuuring ei puuduta vaid arvutikuritegusid. Andmekandjal olemasolevate failide esiletoomine ei ole iseenesest midagi keerulist. Oluline on, kuidas leiumaterjaliga kaasnevat informatsiooni tõlgendada. Failid annavad leidjale küll mugavalt loetaval kujul informatsiooni, kuid eksperdi tööks on siinkohal tuvastada, kas leitud digitaalne tõend kinnitab või hoopis lükkab ümber menetluse osapoolte väited. Käesoleva magistritöö eesmärgiks on NT-põhiste operatsioonisüsteemide ja NTFS failisüsteemi toimimise uurimine ning rakendamine kohtuekspertiisitöös. Töö analüüsib operatsioonisüsteemi Microsoft Windows XP ja selle failisüsteemi kohtuinfotehnoloogilise ekspertiisi vaatenurgast. Windows XP väljastati 2001 aasta oktoobris ning tõenäoliselt on see veel aasta või paar levinuim operatsioonisüsteem, kuni kasutajad MS Vista'ga kohanevad. Failisüsteemi NTFS esmane tutvustus toimus juba 1993. aastal ning selle viimane viies versioon numbriga v3.1 on primaarse failisüsteemina kasutusel operatsioonisüsteemides Windows XP ja Vista [8]. Tõenäoliselt ei loobuta NTFS'ist veel niipea, sest väljavahetamiseks puudub praktiline vajadus. Hoolimata failisüsteemi vanusest, pole suurfirma Microsoft NTFS'i täpset spetsifikatsiooni avaldanud ning kogu teave selle funktsionaalsuse kohta on saadud asjahuviliste poolt aeganõudvate analüüside tulemusena. Praegused vabavaralised Linux ja FreeBSD draiverid võimaldavad küll NTFS failisüsteemi lugemist, kuid sellele kirjutamine pole veel piisavalt veakindel ning failisüsteemile kirjutamine on vabavaralistes süsteemides märgitud riskantseks. Autorit failisüsteemi 9
  10. 10. mehhanismi täpne taasloomine siiski ei huvita, vaid pigem mõistmine, kuidas NTFS üleüldiselt toimib ning kuidas failisüsteemist andmeid lugeda . Töö sissejuhatavas osas kirjeldatakse kohtuinfotehnoloogiliste uuringute hetkeolukorda ning jätkatakse esimeses peatükis praktilise konspektiivse ülevaatega infotehnoloogilise kohtuekspertiisi läbiviimisest kohtueelses menetluses ja kohtusaalis. Töös keskendutakse eelkõige NTFS failisüsteemi selle osa toimimise tõlgendamisele, mis on vajalik failisüsteemist andmete taastamiseks ja tõlgendamiseks, eesmärgiga tuvastada kasutaja käitumine ning leida asitõendeid. Kuna NTFS failisüsteem ja Windows XP on oma toimimisel seotud, kirjeldatakse töö teises peatükis Windows operatsioonisüsteemi kasutajale näha olevaid eripärasid ning NT-põhisele Windows'le iseloomulikke peitekohti. Lisaks kirjeldatakse Windows'i registrit ja logimissüsteemi, milles talletuvaid andmeid saab kasutada asitõendite kogumiseks. Seejärel keskendutakse NTFS toimimise analüüsile. Kolmandas peatükis rakendatakse eelmises peatükis kirjeldatud partitsioonide ja failisüsteemide omadusi andmete taastamisel andmekandjalt, mille partitsioon või failisüsteem on hävinud. Neljas peatükk kirjeldab töö kirjutamisega paralleelselt katsetamiste eesmärgil loodud tarkvararakendust, mille peamisteks ülesanneteks on töötava Windows XP operatsioonisüsteemiga arvuti andmekandja andmete madaltasemel sirvimine. MBR partitsioonitabelite tõlgendamine, NTFS partitsiooni VBR tõlgendamine ning $MFT leidmine selle abil. Lisaks võimaldab tarkvara üle andmekandja sektorite viia läbi etteantud failisignatuuride skaneerimist ning selle abil kustutatud failide andmealade otsingut ja kaardistamist, sh pildifailide otsingut ja taastamist failide poolt hõivamata alalt. Hetkeseis kohtuinfotehnoloogia uuringutes Infotehnoloogiaekspertiiside ja kriminalistikauuringute eesmärgiks on menetluses tõendamiseseme asjaoludega seonduvate asitõendite tuvastamine digitaalsetelt andmekandjatelt. 2003. aastal valmis käesoleva töö autori Tallinna Tehnikaülikooli (TTÜ) bakalaureusetöö “Infotehnoloogiliste ekspertiiside kvaliteedi tagamine”. Tänaseks on kohtuinfotehnoloogiliste uuringute tarkvarad jõudsalt arenenud. Loodud on erinevaid kõrgel tehnilisel tasemel rakendusi, mis võimaldavad suhteliselt lihtsalt orienteeruda erinevate operatsioonisüsteemide failisüsteemides, automaatselt avada levinud andmestruktuure ning tõlgendada andmeid, nagu seda teevad operatsioonisüsteemid. Kuna arvuteid kasutatakse menetluses üha enam asitõenditena, on ekspertiisitarkvara tootmisest saanud laialdane ja tugeva konkurentsiga rahvusvaheline ärivaldkond. Turul olevad tarkvaratootjad on üritanud leida oma nišši ning keskpärased on olnud sunnitud 10
  11. 11. taanduma. Olemasolevad tarkvarad võib üldjoontes jagada kahte leeri: tarkvara andmete taastamiseks ja tarkvara süvauuringuteks. Infotehnoloogiliste kohtuekspertiiside ja uuringute läbiviimiseks tuleb keskenduda kvaliteedile ning ei tohi jätta otsustamist ainult masina hooleks. Andmete taastamine on küll oluline osa kohtueksperdi tööst, kuid tarkvara poolt pakutav andmete taastamise funktsioon ei ole alati piisav eksperdiarvamuse andmiseks. Täisautomaatsete taastamisvahendite olemasolu ja kasutamine on vajalik, sest reeglina ei ole inimene võimeline ülevaatlikult tõlkima suvalist failisüsteemi ja nägema seda nii, nagu operatsioonisüsteem meile näitab. Siiski - infotehnoloogilise ekspertiisi puhul peab tulemust hindama ja arvamuse andma inimene oma kogemustega ning võimega mõelda üheaegselt nii inimese kui arvutina. Lihtsamatel, andmete taastamiseks mõeldud kriminalistikatarkvaradel on oma sihtgrupp. Arvuteid ja andmekandjaid on praeguseks tavakasutuses niivõrd massiliselt, et keskmises menetlusasjas leidub paratamatult mõni arvuti või andmekandja, mis vajab kiiret vaatlemist nagu tavaline märkmik. Sellistel juhtudel piisab, kui menetlejal on olemas lihtne vahend digitaalsete andmekandjate turvaliseks vaatlemiseks. Tavapärasest kodu- või kontoriarvutist dokumentide ja e-posti vaatluseks ei ole vaja keerukat ekspertiisitarkvara ning kasutaja ei pea teadma failisüsteemide iseärasusi. Piisab lihtsast väljaõppest, mis keskendub digitaalsete andmekandjate korrektsele käitlemisele andmekandjatest koopiate tegemisel. Oluline on, et vaatluse ettevalmistamisel oleks tagatud originaalsete andmete muutumatus ning andmekandja kui asitõendi andmed oleks fikseeritud selliselt, et sama andmekandja andmete korduval hõivamisel saadakse identne tulemus. Vastavat metoodikat käsitleb Kristel Meikas tema 2006. aastal valminud TTÜ diplomitöö “Infotehnoloogiaekspertiiside metoodika (KEKK'i näitel)”, mis kirjeldab arvutiekspertiisi ja vaatluse ettevalmistamise protseduure Kohtuekspertiisi ja Kriminalistika Keskuse (KEKK) infotehnoloogiaekspertiiside laboris. Eksperdi menetlusse sekkumise vajaduse digitaalsete andmete hõivamisel ja uurimisel tingib olukord, kus andmekandjal olevad andmed on segaselt tõlgendatavad ning tavalistest vahenditest vaatlemiseks enam ei piisa. Kohtusüsteemis on eksperdi roll pisut laiem ja üldisem ning on defineeritud kriminaalmenetluse seadustikus. Kriminaalmenetluse seadustik sätestab, et ekspert on isik, kes rakendab ekspertiisi tegemiseks mitteõiguslikke eriteadmisi [5]. Sellest tulenevalt on ekspert vajalik kohtus ekspertarvamuse andmiseks. Eksperdi ülesandeks ei ole otsida kurjategijat, nagu ekslikult arvatakse, vaid selgitada võimalik tõde või tõe väljaselgitamise võimalused. Sellest tulenevalt ei saa ekspert ekspertarvamuse andmisel pimesi usaldada ostetud ekspertiisitarkvarade raporteid ning 11
  12. 12. tulemused vajavad teadmiste ja kogemuste põhist hindamist. Tahes-tahtmata tekib küsimus, et millal siis tarkvaralistest vahenditest ei piisa ning millisel juhul on vajalik inimese sekkumine uuringuprotsessi? Vastus on lihtne - olukordades, kus loetavad andmed on ebatavaliselt esitatud ning väljuvad tarkvara automaatse tõlgendamise võimalustest või juhtudel, kui andmeid on loetamatuks muudetud. Näiteks saab kõvaketta esimeses sektoris üheainsa baidi muutmisega muuta terve andmekandja tavaolukorras kasutuskõlbmatuks, kuna alglaadesektorist MBR algab arvuti käivitamisel ülejäänud andmete lugemine ja tõlgendamine. Sellistel juhtudel on tegemist lihtsa viisiga andmete varjamiseks. Ning juba ongi vaja inimese sekkumist, et otsustada, milliste vahenditega andmed esile tuua. Kokkuvõtvalt peab ekspert uuringuvahendite kasutamisel olema teadlik, kuidas need toimivad. Probleem on, et uuritavad operatsiooni- ja failisüsteemid on avaldamata lähtekoodiga ning nende käitumine on tegelikult teadmata. Lisaks vabavaralistele tarkvaradele ja failiformaatidele eksisteerivad suletud süsteemid nagu Windows ja Mac ning suletud failiformaadid, nagu Microsoft Office dokumendifailid ja MS Outlook'i PST- konteinerfail. Lisaks on kõik turul olevad uuringutarkvarad suletud lähtekoodiga. Sellest tulenevalt baseerub selliste tarkvarade kasutamine ostetud usaldusel. Ideaaljuhul peaks iga uuringu läbiviimisel kasutama kõiki saadaolevaid uuringuvahendeid ning võrdlema saadud tulemusi, mis on ajaliselt aga liialt ebaotstarbekas. Sellisest kontrollimatusest tulenevalt on igal eksperdil arvamuse andmisel moraalne kohustus käsitletav teema endale võimalikult arusaadavaks teha. 12
  13. 13. 1 . Läbilõige infotehnoloogilisest kohtuekspertiisist Järgnev peatükk on osa loengumaterjalist, mida kasutatakse menetluspoolte ja kohtunike infotehnoloogiaekspertiiside koolitustel ning annab konspektiivse ülevaate minimaalsetest tehnilistest teadmistest, mis on eksperdi, menetluspoolte ja kohtu jaoks vajalikud ekspertiisiülesande püstitamisel, ekspertiisiakti lugemisel ning eksperdi tunnistajana ülekuulamisel. Peatükis käsitletakse asitõendi käitlemise üldiseid põhimõtteid andmete muutumatuse tagamisel ekspertiisitöö käigus. Selgitatakse, kuidas toimub andmete taastamine ja hävitamine ning lahatakse digitaalse asitõendi kohtus esitlemise probleeme. 1.1 Arvuti kui tundlik asitõend Infotehnoloogiaekspertiis tegeleb digitaalmeedial olevate võimalike andmete uurimise ja analüüsiga. Infotehnoloogiaekspertide peamine uurimisobjekt on arvuti andmekandjad, millel olevaid andmeid võib arvuti käitlemise ohutuse vaatenurgast tinglikult jagada kaheks: mittetundlikeks ja tundlikeks andmeteks. Mittetundlikud andmed on failid, mille säilimist ei ohusta arvuti tavakasutamine, kui välja arvata andmete tahtlik hävitamine. Sellised andmed on näiteks tavalised dokumendid, pildifailid ja andmefailid, andmed, mis on mõeldud kasutajale vabalt vaatlemiseks ja kasutamiseks. Kui ootamatut riistvarariket, viiruse või pahatahtliku kasutaja rünnakut ei esine, siis ei pea kasutaja selliste andmete säilimise pärast muretsema. Tundlikud andmed on vastupidiselt mittetundlikele andmetele arvuti töötamisel pidevas kadumisohus ning tavakasutajal puudub nende üle kontroll. Sellised andmed on kustutatud failid, ajutised failid ja failide poolt hõivamata ala. Tundlikud andmed on alalises hävimis- ehk ülekirjutamisohus. Olgu selle põhjustajaks siis arvuti sisselülitumine, operatsioonisüsteemi alglaadimine, väljalülitumine või lihtsalt töötav arvuti. Tänapäeva 13
  14. 14. arvutite operatsioonisüsteemid teevad alati midagi, millega kaasneb andmete kettale kirjutamine ja vanade andmete üle kirjutamine ehk kustutamine, ohustades sellega alaliselt ülalkirjeldatud tundlikke andmeid. Tavakasutajat loomulikult tundlike andmete mõiste ja kadumine ei huvita, sest reeglina on tegu kasutajale ebavajaliku informatsiooniga. Eksperdi jaoks sisaldavad sellised andmed aga olulist informatsiooni kasutaja toimingute kohta, mille viideteks võivad olla viimati avatud dokumendid, internetikülastused, äsja kustutatud failid, käivitatud programmid ning kõik sellega kaasnev. 1.1.1 Andmete muutumatuse tagamine arvuti käitlemisel Infotehnoloogiaekspert on huvitatud tundlike andmete fikseerimisest, mistõttu on oluline, kuidas täpselt andmekandjad ja arvuti sündmuskohalt ära võetakse. Nagu võetavat DNA- proovi ohustab saastumine, sõltub arvutis olevate andmete säilimine seadme äravõtmise viisist. Selleks, et vältida sündmuskohal erinevate olukordade mõjutusi, on asitõendite fikseerijaile kehtestatud vaikimisi reegel, et võimalikku asitõendit sisaldav arvuti tuleb vooluvõrgust vahetult lahti ühendada vältides selle tarkvaralist väljalülitamist. Loomulikult on alati erandeid, näiteks serverarvutite hõivamist või vaatlust tuleb planeerida eksperdi või spetsialistiga. Andmekandjate uuringu käigus täieliku originaalsete andmete muutumatuse tagamiseks tehakse ekspertiisiks esitatud arvuti andmekandjatest esimesel võimalusel koopia. Ekslikult arvatakse, et koopia moodustavad andmekandjalt üksikult kopeeritud failid. Väärarusaam tuleneb tehnilisest keelekasutusest ning koopia asemel oleks korrektsem kasutada hoopis tõmmise mõistet ning kopeerimise protsessi märkida hõivamisena (ingl. k acquire). Ükshaaval kõiki faile kopeerides saame küll kätte andmekandja failide poolt hõivatud ala, kuid saamata jäävad failide poolt hõivamata ala, failide lõpualad ja kasutajale nähtamatud süsteemifailid ja -piirkonnad kettal. Tegelikult kasutatakse koopia tegemiseks spetsiaalset tarkvara (näit. Guidance Software poolt toodetavat EnCase Forensic Edition) ning kopeerimise eesmärgiks on saada andmekandja andmealast üksühene tõmmis, tagades samaaegselt originaalse andmekandja andmete muutumatus. Originaalse andmekandja andmete kaitseks kasutatakse riistvaralisi kirjutuskaitseid või tehakse koopia tarkvarakeskkonnas, mis ei kirjuta iseseisvalt kopeeritavale andmekandjale. Koheselt pärast koopia tegemist kontrollitakse tehtud koopia samasus originaalse andmekandja andmetega ning koopiafailid arhiveeritakse. Koopiafailid moodustavad tervikliku ja üksühese andmekandja koopia ehk ekspertiisikoopia (ingl. k forensic image), mis sisaldab endas automaatset terviklikkuse kontrolli mehhanismi ning on vaadeldav vaid spetsiaalse uuringutarkvaraga. Kogu edasine uuring ja ekspertiis tehakse ainult koopiafaile 14
  15. 15. kasutades. 1.2 Andmete autentsuse tagamise üldised põhimõtted Ekspertiisilaboris kontrollitakse igal hõivamisel saadud andmete samasust originaalse andmekandja andmetega. Kui võrdlemine on juba üsna väikeste tekstidokumentide puhul vaevarikas, siis suuremate andmefailide ja andmete puhul on see mõeldamatu. Lahenduseks on räsialgoritmid digitaalse andmehulga sõrmejälje arvutamiseks. Sõrmejälje mõiste on paljudele segadust tekitav, sest mõistes keskendutakse jäljele ning unustatakse, et sõrmejälg tähistab kriminalistikas unikaalsust. Peamiselt on kasutusel 128-bitine MD5-algoritm, mille toimimise põhimõte on see, et identifitseeritav andmehulk ehk bitijada arvutatakse läbi ühesuunalise algoritmiga, mis annab tulemuseks tagasi pööramatu unikaalse 32-baidise tähe- ja numbrijada. Saadud MD5-räsi pikkus ega üldkuju ei sõltu originaalse läbi arvutatud sisend- andmehulga pikkusest. Tõenäosus, et kaks erinevat faili ehk andmehulka, annavad ühesuguse sõrmejälje, on üks võimalus 3,4x10 38 vastu. Näiteks toon mõned MD5-räsid eestikeelsetele sõnadele: ekspert 73722ddb589540430c78521866e45918 kohtuekspertiis db977f9443447dc57af8d2d814d6d686 Nagu näitest näha, ei sisalda räsid endas informatsiooni originaalsete andmehulkade pikkuse kohta. Kui kopeeritud andmehulgas muuta ka ühtainust märki, muutub räsisumma täielikult. Sellest tulenevalt on ainult sõrmejälje alusel ilma täiendava informatsioonita praktiliselt võimatu leida räsile vastav originaalne sõna või andmehulk. Mõeldav oleks jõuga murdmine, kui näiteks teame, et tegu on 4-kohalise numbrilise PIN- koodi MD5-räsiga. Selle viitega saame andmehulga üldkuju, mis PIN-koodi puhul on enamasti 4-kohaline numbrikood, samuti kasutatud räsialgoritmi. Siis saame MD5-räsi arvutajale pakkuda PIN-koode alates 0000 kuni 9999 ning võrrelda saadud räsiväärtusi otsitava andmehulga räsiga ning ründamiseks jääb vaid 104 varianti. Seda meetodit kasutatakse näiteks mõnede pihuarvutite PIN-koodide avamiseks. Mida pikem on kood ja keerulisem on üldkuju, seda aeganõudvam selline jõuga koodi ründamise meetod on. Näiteks 6-kohaline PIN-kood nõuaks juba kuni 106 katset ning neljakohaline parool, mis koosneb numbritest inglise tähestiku tähtedest ilma suurtähtedeta, vajab juba 364 ehk 1679616 maksimaalset proovimise võimalust. Siit on näha ka põhjus, miks soovitatakse kasutada vähemalt 8-kohalist numbreid ning suur- ja väiketähti sisaldavat parooli. 628 võimalust proovimiseks teeb juba rohkem kui 2x1014 varianti. Terve andmekandja andmete tagasi 15
  16. 16. arvutamine räsi järgi on füüsiliselt võimatu ning nõuab määramatut arvutus- ning ajaressurssi. Kohtuekspertiisis on andmehulkade autentsuse kontroll vajalik, et veenduda andmekandja vigadeta hõivamises. Kui pärast andmekandja tõmmise tegemist vastab originaalse ketta andmete räsi tõmmise räsile, on tõmmis originaalsete andmetega identne. Andmehulkade autentsuse kontroll ja dokumenteerimine on oluline, et tõmmise terviklikkuses saaks veenduda ka aastate pärast, kui asitõend taas uurimist vajab. Vastavalt vajadusele on omakorda võimalik arvutada ka tõmmisel olevate loogiliste andmehulkade, näiteks failide räsid ning need hilisemaks kontrollimiseks dokumenteerida. Sellisel juhul on võimalik tõmmise osalisel riknemisel kindlaks teha riknemata andmehulgad ning neid asitõendina edasi kasutada. Ekspertide kohtupraktikas on menetluses ette tulnud juhuseid, kus ühte kriminaalasja on menetletud erinevate menetlejate poolt, mistõttu on materjalid, seal hulgas andmekandjad ühelt menetlejalt teisele üle antud. Seetõttu on asitõendite puhul üritatud kahtluse alla seada erinevate menetlejate käes olnud ja kohtuni jõudnud asitõendi originaalsus. Peamiselt on väidetud, et asitõend võidi mingil hetkel fabritseerida. Siinkohal on sõltumatu eksperdi poolt ekspertiisi käigus arvutatud andmete digitaalne sõrmejälje dokumenteerimine eriti oluline ning eksperdi ülekuulamisel kohtus huvitutakse just eespool toodud selgitustest digitaalse sõrmejälje unikaalsuse kohta. Digitaalset sõrmejälge kasutatakse ka suurte failikoguste kiireks võrdlemiseks. Sellisel juhul arvutatakse kogu andmekanda failidest räsid ning võrreldakse neid räsisid otsitavate failide räsidega. Näiteks kasutatakse seda kindlate lapsporno kollektsioonide otsimiseks. 1.3 Andmed andmekandjal - sissejuhatus failisüsteemidesse Andmeid andmekandjaid saab vaadelda ülipika biti- või baidijadana, mis on jaotatud võrdseteks adresseeritud andmesektoriteks. Sektori suurus on kõvaketaste ja välkmälu-ketaste puhul reeglina 512 baiti, optilistel andmekandjatel aga 2048 baiti ning see on minimaalne üksus, mille kaupa saab andmekandjal lugeda ja kirjutada. Sektoritega kaetud andmeala ainus operatsioonisüsteemile normaaltingimustel nähtav ala. Kuna andmekandjate miljonitel sektoritel olevaid andmeid tuleb kuidagi organiseerida, on loodud kartoteegilaadne failisüsteem. Levinuimad failisüsteemid on FAT ja NTFS, mida käsitletakse käesolevas töös põhjalikumalt. FAT'i peetakse hääbuvaks failisüsteemiks, sest praktiliselt kõik uued Windows süsteemi kandvad andmekandjad on NTFS formaadis. Siiski, tänu oma lihtsusele ja vastupidi NTFS'i kasutamise keerukusele jääb FAT veel pikaks ajaks universaalseks kaasaskantavate andmekandjate ning eriseadmete failisüsteemiks. 16
  17. 17. Andmekandja andmeala jaotatakse üheks või enamaks loogiliseks kettaks ehk partitsiooniks, ning igal partitsioon on vormindatud eraldi failisüsteemiga. Sellised loogilised kettad on kasutajale nähtavad ning Windows süsteemis tähistatakse need suurtähtedega, näiteks „C:“ ja „D:“. Infot failisüsteemi failide kohta hoitakse suures kasutajale nähtamatus tabelis, mis hõivab ise osa partitsioonist. Ülejäänud partitsiooni ala on failide poolt hõivamiseks. FAT ja NTFS failisüsteemid jaotavad partitsiooni failide ala omakorda klastriteks. NTFS failisüsteemi omapära on, et see paikneb failidena iseenda failisüsteemil. Klastri suurus NTFS partitsioonil on 8 sektorit, kuid see on soovi korral muudetav. Failisüsteemi klastrite kasutamist võib võrrelda videoteegi kassettidega. Nii klastritel kui ka kassettidel on kindel aadress või järjekorranumber, mille järgi selle üles leiab ja mis ise ei sisalda infot salvestise sisu kohta. Viide sisule paikneb failisüsteemis. Oluline reegel on, et ühele klastrile saab korraga salvestada vaid ühe loogilise salvestise ehk faili. Kui fail on mahukam kui üks klaster, võetakse kettalt esimesed sobivad klastrid ning faili sisu paigutatakse nendele, kusjuures klastrid ise ei pea asuma järjestikku. See tingib andmekandja andmete tükeldumise, sest fail jaotatakse loogiliste lõikudena vabadele klastritele laiali ning see ei koosne enam järjestikusest andmejadast. Failisüsteemi kui kartoteegi peamine ülesanne on failiatribuudid kokku viia andmealadega, failide andmealad jaotada olemasolevatel klastritel ning lisaks hallata keerukat failiatribuutide süsteemi. 1.3.1 Andmete taastamine ja hävitamine Kustutatud andmete taastamine on andmete kustutamise vastandprotsess, mis toimib, kuni andmed ise veel andmekandjal alles on ehk andmed on üle kirjutamata. Andmete taastamise tulemus sõltub sellest, kas lisaks faili andmealale on alles failitunnused, mis näitavad ära faili andmeala asukoha andmekandjal. Mis juhtub faili kustutamisel? Kasutaja soovib vabaneda endale ebavajalikust failist. Näiteks printimiseks kasutatud 500-kroonise pildist või tekstidokumendist. Reeglina kustutab ta selle faili ära ning usub, et info on arvutist kaotatud. Tegelikult märgiti failisüsteemis kasutaja poolt kustutatud faili hoidvad klastrid vabadeks. Analoogia videokassettidega, millele tegime märke, et sellele võib uue filmi lindistada. Seda kõike haldab faili- ja operatsioonisüsteem kasutajale märkamatult. Mingi aja vältel on kustutatud ehk ülekirjutamiseks vabaks märgitud fail terviklikuna alles, kuid selle faili taastamiseks on tarvis eritarkvara, mis võimaldab näha infot, mida operatsioonisüsteem tavajuhul ei näita. Fail hävineb alles siis, kui luuakse uus fail, mis juhuslikult kirjutatakse kustutatud faili sisaldanud klastrisse, kirjutades sellega meie kustutatud faili sisu üle. 17
  18. 18. Teame, et failid ei ole alati ühesuurused. Näiteks, võtame vabaks märgitud videokasseti täispika filmiga ning salvestame selle algusesse 10-minutilise videolõigu. Sellega kirjutame üle vaid esimesed 10 minutit oma kassetist, kuid kogu ülejäänud kassett sisaldab vana infot. Kadunud on vaid 10 minutit infot kassetti algusest. Samamoodi on ka klastriga. Näiteks, kui meie uus fail on vaid 512 baidi pikkune, on klastri ülejäänud 7x512 baiti selle faili poolt üle kirjutamata. Seni, kuni me 512-baidist faili ära ei kustuta, on ülejäänud klastri andmeala puutumatu, sest igas klastris saab korraga olla vaid üks fail. Kuigi tavavahenditega seda näha ei ole, sisaldab see ülejäänud osa klastrist vana kustutatud faili andmeid. Seda ala nimetatakse klastri faili poolt kasutamata alaks (ingl. k slack space) ning sellelt võib tekstikatketena leida uurimises olulisi viiteid kustutatud meilidest või dokumentidest. Siiski, peamine koht kustutatud info otsimiseks on partitsiooni failide poolt hõivamata ala (ingl. k unallocated space). Sõltuvalt algsest failivormingust ning andmekandja fragmenteerumisest võib sellelt alalt leida ka terviklikke andmekogumeid kindla alguse ja lõpuga. Seda juhul, kui faili sisus on ära määratletud faili alguse ja lõpu tunnused. Näiteks tekstidokument on tunnusteta, pildifailid on kindla algustunnusega ning kompileerimata programmikood on äratuntava alguse ja lõputunnusega. Kuna failisüsteemis toimub faili andmealadele viitavate kirjete ülekirjutamine üsna kiiresti ning failile, mille andmeala võib olla terviklikult säilinud ei leidu failisüsteemis vastavat kirjet. Seetõttu puuduvad failide poolt hõivamata alas olevatele andmetele vastavad failiatribuudid. Sellisel juhul ei ole failide poolt hõivamata alal olevate andmete puhul enam tegu failidega, vaid ühe suure andmejadaga, mis on märgitud vabaks uute failide salvestamiseks. Nii nagu meid ei huvita, mis asus meie poolt ülelindistamiseks märgitud videokassettidel, nõnda pole ka failisüsteemil vaja kustutatud failide kartoteeki alles hoida. Siinkohal märkuseks, et Windows töölaua prügikast on süsteemikataloog, kuhu faili kustutamisel tekitatakse kartoteek kustutatud failidest, et kasutaja saaks need vajadusel taastada. 1.3.2 Signatuurid – failide ja partitsioonide taastamine Paljudel failitüüpidel on andmeosa alguses kindel märgijada - signatuur. Näiteks on JPG pildifail signatuur 16nd-süsteemis on (FF D8 FF). Võrreldes failide signatuure signatuuride andmebaasiga, saab määrata reaalse failitüübi. Sarnaselt failidele on ka failisüsteemide partitsioonidel signatuurid. Näiteks NTFS failisüsteemi signatuur on (EB 52 90 4E 54 46 53). Kustutatud failide otsimine põhineb failisignatuuridel. Teades otsitava failitüübi signatuuri otsitakse sama märgijada üle kõigi andmekandjal olevate andmete. Leides andmekandjalt signatuuri eksisteerib tõenäosus, et leiti kustutatud faili algus. Lõpliku kinnituse annab signatuurile järgnevate andmete täpsem analüüs. Partitsioonide otsimine toimub sarnaselt 18
  19. 19. failide otsimisega kasutades failisüsteemide signatuure. Partitsioonide kirjeldust sisaldav kõvaketta sektor (esimene sektor) ülekirjutamisel, võib partitsioone otsides taastada puuduvad andmed ja muuta kõvakettal olnud failid koheselt kättesaadavaks. 1.3.3 Digitaalsed fotod ja nende taastamine Nagu eespool mainitud, leidub failide poolt hõivamata alalt lisaks loetavatele tekstikatketele ka täiesti taastamiskõlbulikke pildifailide andmealasid. Pildifailide taastamine failide poolt hõivamata alalt on kindel protsess, mille käigus otsitakse pildifailide signatuure või algustunnuseid. Levinuim pildiformaat on JPEG, mida kasutatakse vaikeformaadina digifotoaparaatides. Enamik digikaameraga tehtud pildifaile sisaldavad vastava fotoaparaadi tootja ja mudeli tunnused ning pildi tegemise kellaaega vastavalt kaamera seadistusele. Pildifaili taastamisel tekstikatkest on see väga oluline, sest kuigi meil läheb kaduma faili nimi, saame me kätte tõenäolisel pildistamise aja ning isegi fotoaparaadi mudeli. Ülaltoodud näites on näha tüüpilise JPG-pildifaili päis vaadatuna Notepad programmiga. Märgistatud alal esineb viide Fujifilm FinePix A203 digifotoaparaadile. Teoreetiliselt võimaldab JPG-pildifaili alguses olev EXIF 2.2 andmeväli salvestada fotoaparaadi hetkekonfiguratsiooni pildistamise hetkel, kus on ära toodud näiteks välgu kasutamine pildi tegemisel jne. Päises oleva info hulk sõltub muidugi aparaadi enda ehitusest ning seadistustest. Siit tuleneb, et ekspertiisi peab koos andmekandjatega saatma ka need digifotoaparaadid, mis mälukaarti ei sisalda, sest kaameratunnuste alusel saab otsida ning võrrelda näiteks arvuti kõvakettal või teistel mälukaartidel olevaid pilte. Näide ekspertiisist: Paljudel tänapäeva mobiiltelefonidel on küllalt kvaliteetsed sisseehitatud digikaamerad, millega saab lisaks pildistamisele otse telefonis pilti ka töödelda. Ekspertiisist on läbi käinud juhtum, kus narkootikumide käitlemises kahtlustatu üheks asitõendiks oli telefoniga pildistatud tabletikuhja foto, mille kuupäev ja kellaaeg klappis uurimisandmetega. Mõned nädalad pärast vahi alt vabanemist sattus kahtlustatu uuesti uurimise alla ning telefonist leiti jälle tabletihunniku foto, mille kuupäev telefonis sattus ajavahemikku pärast vabastamist. Kahtlusalune väitis, et pilt on tegelikult sama, mis leiti eelmisel telefoni 19 ÿØÿá*Exif··II*··············�···········�···················· ··¬······(···········1···&···¼···2·······â···············��·· ····ö···i�······ü···b···FUJIFILM··FinePix A203 ··H·······H·······Digital Camera FinePix A203 Ver1.00·2004:05:24 11:47:44 Joonis 1: Näide JPG pildifaili päisest
  20. 20. vaatlusel ning tema oli seda telefonis vaid natukene töödelnud. Pildi loomise kuupäeva väljaselgitamiseks saadeti telefon ekspertiisi. Ekspertiisi käigus selgus, et kahtlusaluse väide oli õige. Kahtlustatava õnneks oli ta kasutanud telefonimudelit, mis pildistamisel salvestab EXIF väljaga JPG failiformaadis ning sellelt leitud kuupäev ja kellaaeg klappis varasemaga. Telefonis pildi töötlemisel salvestati fail üle juba töötlemise kuupäeva ja kellaajaga, kuid telefoni pilditöötlustarkvara säilitas algse pildifaili EXIF andmevälja andmed. Peab tõdema, et märkimisväärne hulk fotoaparaati sisaldavatest ekspertiisidest on seotud alaealiste väärkohtlemisega. Tuleb ette, et lapsporno tootjad kasutavad sama fotoaparaati ka nö perepiltide tegemiseks. Mõnede ekspertiiside puhul on selgunud, et ekspertiisiks esitatud arvutite andmekandjatel on erineva sisuga pilte (näit. perepildid ja lapspornograafilise sisuga pildid), mille failipäises sisalduvad sama tüüpi fotoaparaadi tunnused. 1.4 Asitõendi esitlemine kohtuistungil Aeg-ajalt soovib kohtunik soovib istungil arvutit isiklikult kui asitõendit vaadata ning näha, kuidas selle arvutiga kuritegu toime pandi. Näiteks, kuidas võltsiti rahatähte. Puudub küll kindel tõde, kas selline teguviis on õige või vale, kuid pigem on see ebasoovitatav. Peatüki alguses kirjeldasin, et ekspertiisi läbiviimisel on esmane ülesanne originaalse andmekandja andmete muutumatuse tagamine ning arvuti käivitamine rikub asitõendi. Kui võrrelda enne käivitamist kõvaketta räsi ja peale käivitamist, siis need on kindlasti erinevad. Samas on eksperdil olemas ekspertiisikoopia, millelt saab vajadusel originaalse ketta andmeala üksüheselt taastada. Juhul, kui asitõendiks olev arvuti on vaja käivitada, peaks seda tegema viisil, mis ei muudaks arvutis olevaid originaalseid andmeid. Kasutada võiks arvuti andmekandja üks-ühest koopiat või virtuaalmasinat. Siiski võib arvuti käivitamine osutuda võimatuks, sest kuigi eksperte ei takista asitõendi andmekandja uurimisel arvuti alglaadimisparool ja operatsioonisüsteemi sisenemise parool, takistavad need töötava arvuti süsteemi sisenemist ja selle vaatlemist. Kui arvutisse sisenemist ei takista paroolid, võivad takistuseks saada hoopis kustutatud andmed. Näiteks, kuigi ekspertiisi käigus taastati andmekandjal olevad kustutatud rahatähtede kujutised, siis töötava originaalse arvutiga ei saaks neid sellegi poolest vaadelda, sest originaalsel ekspertiisiks esitatud andmekandjal on need andmed kustutatud olekus. Selliste andmete vaatlemiseks on vajalik taastamistöö ekspertiisitarkvaraga. Analoogne probleem tekib, kui failid on küll loetavad, kuid arvutist on eemaldatud failide töötlemise tarkvara, näiteks Adobe Photoshop. Soovitatav ja vajalik on konsultatsioon ekspertiisi läbi viinud eksperdiga enne, kui ekspert kutsutakse istungile ütlusi andma või kui soovitakse kohtusaalis töötavat asitõendit vaadelda. 20
  21. 21. Olen kogenud, et ütluste andmine on olnud tulemuslikum, kui võimalike küsimusi eelnevalt konsulteeritakse. Näiteks saab selliselt välja jätta või ümber sõnastada spekulatiivset või statistilist vastust eeldavad küsimused ning selgitada, kas küsimus on ikka seotud konkreetse ekspertiisiga. 21
  22. 22. 2 . Tänapäevane operatsioonisüsteem Tänapäevaseid operatsioonisüsteeme iseloomustab rahvusvaheline ja nägus kasutajaliides, kasutamise mugavus ning töökindlus. Windows, Linux ja MacOS operatsioonisüsteemide paigaldamine ei ole enam aastaid entusiastide pärusmaa ning tihti pääseb inimene arvutit ostes vaid süsteemis kasutajaprofiili seadistamisega. Uute lisaseadmete paigaldamisel peab harva mõtlema ühilduvusele ning väliste andmekandjate süsteemi ühendamine toimub kasutajale sama lihtsalt nagu elektripistiku seinakontakti ühendamine. Arvutit kasutades on enesest mõistetav paljude rakendustega korraga töötamine ning erinevate väliste andmekandjate kasutamine ilma, et tööd tehes kuidagi eristaks, et tegu on mobiilsete andmekandjatega. Enda dokumendikausta, töölauda, ja prügikasti kasutades pole vaja mõelda rohkemale, kui vaid sellele, et tööfailid paiknevad arvutis, programmid töölaual ning ebavajalik rändab virtuaalsesse paberikorvi. Internetis toimetamine on muutunud piisavalt kiireks ja mugavaks, et puudub vahe, kas kasutame enda arvutisse paigaldatud rakendusi või teadmata kaugusel asuva serveri omi. Operatsioonisüsteemide kasutamise mugavus on kasvanud koos süsteemi keerukusega. Keeruline süsteem aga jätab enda kasutamisest maha ka küllalt palju jälgi. Järgnevates peatükkides vaatlemegi, kuidas tuvastada operatsioonisüsteemis Windows XP kasutaja tegevuse jälgi. 2.1 Kasutaja jäljed NT-põhistes operatsioonisüsteemides Windows XP on 2001. aastal välja lastud NT-põhine operatsioonisüsteem, milles ühildati aastatepikkuste pingutuste lõpuks Windows NT/2000 turvaline ja töökindel arhitektuur ning Windows 98 universaalne kasutusmugavus. XP järeltulijana on turul 2007. aasta algusest kasutajatele saada olev Windows Vista, millega loodetakse veelgi tõsta arvuti kasutamise turvalisust ning võrgurakendustega integreeritust. Vistale ennustatakse siiski veel 2 aastast üleminekuaega enne, kui laiem kasutajaskond sellega täielikult harjub. Ka Windows 98 22
  23. 23. võidutses kodu- ja kontoriarvutites veel 2003. aastal. Windows Server 2003'le avaldati aasta alguses järeltulija Windows Server 2008, mille üks huvitavamatest uuendustest on ilma alglaadimise abita NTFS'i vigade parandamine ehk iseparanev NTFS. NT-põhise Windows operatsioonisüsteemi kasutaja jälgede uurimiseks peab mõistma selle tehnilisi eripärasid, kuidas hallatakse süsteemi kasutajaga seotud kataloogistruktuure ning süsteemifaile, mis aitavad kirjeldada kasutaja toiminguid. Käesolevas peatükis käsitletakse Windows XP lihtsamaid omadusi, millele süsteemi esmasel uurimisel tähelepanu pöörata: kataloogistruktuuri, linkfaile, prügikasti ja printimise jälgi. Selgitatakse, saada kiire ülevaade paigaldatud Windows operatsioonisüsteemist ning valmistutakse järgmises peatükis käsitletud Windows registri analüüsiks. 2.1.1 Operatsioonisüsteemi tüübi tuvastamine Operatsioonisüsteemi tehniliste eripärade otsimisele eelneb süsteemi identifitseerimine, mis võimaldab edaspidiselt uuringu läbiviijal konkreetsemaid valikuid langetada. Allpool on ülevaatlik tabel operatsioonisüsteemide kiireks tuvastamiseks vaikeseadete korral. Võrreldes omavahel operatsioonisüsteeme Windows 95/98, Windows NT, Windows 2000 ja Windows XP/2003 näeme, et aja jooksul on muutunud süsteemide kasutajakataloogi, süsteemikataloogi ja prügikastikataloogi nimetused. Operatsioonisüsteemil Windows 95/98 puudub kasutajaprofiili kataloog. Süsteemikataloogiks on C:Windows ning prügikasti kataloogiks C:Recycled. Prügikasti taastamist käsitlevas osas näeme, kuidas Recycled kataloog on seotud FAT failisüsteemiga. NT-põhistes Windows süsteemides NT, 2000, XP, 2003 ja Vista on prügikastikataloogi nimeks Recycler. Võib-olla seetõttu, et seal tegeletakse kasutaja põhiselt prügi sorteerimisega. Kõigil NT-põhistel süsteemidel on ka kasutajaprofiilide kataloog. NT'l on selleks WINNTProfile, alates Windows 2000'st on see aga kataloogis Documents and Settings. Süsteemikataloogiks on NT'l ja 2000'l WINNT ning alates XP'st jälle Windows. Kataloogide nimede võrdlemine annab esimese ettekujutuse, millise operatsioonisüsteemiga tegu on. Lisaks näitab Windows 2000 ja XP süsteemikettal paikneva faili C:boot.ini sisu vaikimisi seadistuste korral laetava operatsioonisüsteemi tüübi nime. Windows registri kirjete järgi süsteemi tuvastamist käsitletakse peatükis NT-põhise Windows'i register. Järgnevad peatükid keskenduvad eelkõige Windows XP omaduste kirjeldamisele, mis on väga sarnased Windows Server 2003 ja kattuvad suures osas ka Windows 2000 omadustega. 23
  24. 24. 2.1.2 Kasutajat kirjeldavad failid ja kataloogid Esimese viite NT-põhiste Windows operatsioonisüsteemide võimaliku kasutaja kohta saame kataloogistruktuurist, mis luuakse kasutaja esimesel süsteemi logimisel. Nii lokaalsel logimisel kui läbi serveri autentides loodava kataloogistruktuuri juurkataloog ehk kasutaja juurkataloog nimetatakse kasutajanime järgi ning paigutatakse see kasutajaprofiilide kataloogi. Vastavalt Windows XP süsteemis kataloogi Documents and Settings”. Loodava kataloogi struktuur võetakse aga operatsioonisüsteemi paigaldamise käigus loodud vaikimisi kontolt Default User, mis samuti paikneb kasutajaprofiilide kataloogis. Tööjaama läbi Windows domeenikontrolleri autentimisel kasutatakse kasutajaprofiili loomiseks vastava serveri Default User kataloogistruktuuri. Kasutajaprofiilide kataloogi loodav kasutaja juurkataloog nimetatakse loodud konto nime järgi ning reeglina seda ei muudeta. Siiski on tegu vaikeseadega, mida saab muuta süsteemi administraatori. Kasutajaprofiilide kataloogide avamine on teistele kasutajatele piiratud ning isegi kasutajaspetsiifilised süsteemifailid on iga profiili kataloogis eraldi. Olulisim neist on kasutaja juurkataloogis paiknev registrifail NTUSER.DAT, mis sisaldab erinevaid kasutaja seadeid, näiteks keeleseaded. Töötavas registris vastab sellele failile registrikogum HKEY_CURRENT_USER. Teiste registriseadete uurimist käsitletakse peatükis NT-põhise Windows register. Faili uuendatakse operatsioonisüsteemi poolt igal kasutaja väljalogimisel, seega saab faili viimati muutmise aja järgi kindlaks teha, millal kasutaja viimati välja logis. 2.1.2.1 Kohalikud seaded Kohalike seadete kataloog Local Settings on kasutaja tegevuste jälgimisel oluline. Selle alamkataloogi History salvestatakse index.dat failidena MS Internet Explorer (IE) veebikülastuste ajalugu. Huvitav on, et Windows Explorer salvestab index.dat failidesse ka kasutaja failide avamise viited. Salvestamine toimub kasutajale nähtamatult ning üldiselt sõltumata failibrauserist. Failide avamist salvestatakse valikuliselt ning see ei toimi kõigi teksti- ja dokumendifailide puhul. Katsel selgus, et avatud failide ajalukku salvestati viited TXT, DOC ja ODT failide avamisele ning välja jäeti PDF-failid ning pildi- ja videofailid. TXT-failide viidete salvestamine kõigil kordadel ei toimunud. Hoolimata logimissüsteemi segasusest on sellisel viisil võimalik ühe päeva täpsusega vaadelda, milliseid dokumendifaile mingi kasutajanime alt avati. Index.dat failide kirjed algavad URL signatuuriga ning kirje viimati muutmise ja viimati vaatamise aja leiab kirje 9. baidilt 16 baidi pikkuse Windows Date/Time ajakirjena. Lisaks History index.dat failidele on kasutajaprofiili kataloogides veel kahte tüüpi index.dat 24
  25. 25. faile. Üks neist paikneb samas kataloogi Local Settings alamkataloogis Temporary Internet Files ning peab arvet IE internetisessiooni käigus alla laetud ajutiste failide kohta. Teine index.dat paikneb kasutaja juurkataloogi kataloogis Cookies ning peab arvet külastatud veebilehtede küpsiste (ingl. k cookies) üle. Küpsiste kataloogi salvestavad internetilehed tekstifailidena enda seadistuse kohalikus masinas. Näiteks lehekülje seaded, kasutajanime, külastuste statistika või isegi parooli. IE küpsised asuvad tavaliselt kataloogis Cookies tekstifailidena. Mozilla küpsised paiknevad kasutaja juurkataloogi alamkataloogi Application DataMozilla kataloogisüsteemis cookies.txt failis tekstikirjetena. 2.1.2.2 Rakenduste andmed Programmide kasutajapõhised tööfailid salvestatakse vajadusel kataloogis Application Data. Windows 95 ja 98 masinatel paikneb see Windows kataloogis. Windows XP kasutaja profiilide kataloogistruktuuris olemas on kaks Application Data kataloogi, millest üks paikneb otse kasutaja juurkataloogis, teine Local Settings kataloogis. Kahe sarnase kataloogi pidamise põhjus tuleneb võimalusest, et kasutaja kataloogi või profiili saab seadistada liikuva kasutajaprofiilina, mis paikneb serveris ning laetakse masinasse alles kasutaja sisselogimisel. Välja logimisel laetakse uuendatud profiiliandmed taas serverisse. Arvuti ja interneti kasutamise käigus tekib suures koguses kasutajaga seotud informatsiooni, näiteks veebibrauserite ja teiste tarkvarede vahemälufailid ning serveripõhiste meilikontode allalaetud sisu. Sellise pidevalt kasvava infohulga edasi-tagasi transportimine muudaks arvutisse logimise protsessi järjest aeglasemaks ning koormaks võrguliiklust. Seetõttu hoitakse kõik sellised transportimist mitte vajavad kasutajaga seotud andmed Local Settings kataloogis. 2.1.2.3 Dokumendid ja töölaud Kasutaja juurkataloogis on kaks süsteemikataloogi, mille sisu on täiesti kasutaja enda päralt: dokumendikaust My Documents ja töölauakaust Desktop. Visuaalsel töölaual paiknevad ikoonid pärinevad kahest erinevast kataloogist kasutajaprofiilide kataloogist: All UsersDesktop ja kasutaja enda Desktop kataloogist. Kui viimane on tühi, tähendab see, et kasutaja töölaual pole midagi kasutajale spetsiifilist ning kasutusel on üldised, kõigile süsteemi kasutajatele nähtavad failid, mida saavad töölauale paigaldada vaid administraatoriõigustes kasutajad. Uuringu käigus tuleb kontrollida mõlemat töölaua kausta, nii kasutaja enda oma kui üldist All UsersDesktop kataloogi. Kasutaja töölauakataloog võib sisaldada viiteid failidele või 25
  26. 26. tarkvaradele, mille kasutaja on teinud otsetee-ikoonide ehk linkfailide abil hõlpsamini kättesaadavamaks. Näiteks dokumentide võltsimise juhtudel võib töölaualt leida viiteid trükifailide töötlemise tarkvarade kasutamisele 2.1.2.4 Linkfailid – Favorites, Recent, Send To, Start Menu Töölaual hoitakse otsetee-ikoone dokumentide, programmide ja kataloogide mugavamaks kasutamiseks. Mõned neist tekivad sinna tarkvarade paigaldamise käigus, mõned luuakse kasutaja enda poolt. Selliseid LNK-laiendiga otseteefaile (ingl. k shotrtcuts) võib nimetada faililaiendist tulenevalt ka linkfailideks või linkideks. Need on tavalised failid, mida saab vastavalt vajadusele paigutada suvalistesse kataloogidesse. Linkfailide ülesanne on olla otseteeks rakendustele, failidele, kataloogidele või seadmetele, et säästa kasutajat rutiinsest kataloogide sirvimisest. Arvuti uuringu seisukohalt on oluline linkfailide omadus viidata arvuti kasutaja toimingutele. Nimelt on kasutajaprofiilis peale töölaua olemas veel neli peamist süsteemikataloogi, kuhu linkfailid arvuti kasutamise käigus automaatselt tekivad.. Tüüpiline kataloog, millesse kasutamise käigus sihtfailid tekivad on kataloog Recent. Tegu on süsteemikataloogiga, millesse salvestatakse automaatselt kasutaja poolt viimati vaadatud failide lingid Kasutajale on kataloogi Recent sisust nähtav Start-menüüs Dokumentide valiku all viimased 15 avatud faili. Kataloogi Recent jäävad alles aga kõigi vaadatud failide linkfailid. Kataloogis registreeritakse vaid õnnestunud failde ja kataloogide avamised, mis annab omakorda viite, et failid, mille linkfailid paiknevad Recent kataloog viitab on kindlasti avatud ja seega tõenäoliselt vaadatud. Näiteks, kui kasutaja kasutab dokumentide trükifailide töötlemiseks pilditöötlustarkvara, hiljem eemaldab tarkvara ja failid arvutist ning väidab, et ei tea pilditöötlusest midagi. Sellisel juhul annab Recent kataloogist leitav pilditöötlustarkvarale spetsiifilise dokumendifaili linkfail viite, et arvutis on kunagi edukalt avatud pilditöötluse tööfaili tüüpi fail, mis annab omakorda põhjuse keskenduda vastava tarkvara ja failide kohta viidete otsimisele. Kataloog Favorites sisaldab peamiselt veebibrauseri MS Internet Explorer kasutaja poolt salvestatud URL-laiendiga linkfaile internetilehtedele. Internet Explorer'i ja Windows'i süsteemse failibrauseri Windows Explorer'i integreerituse tõttu on mõlemas programmis eelistuste (ingl. k favorites) menüü ja seega võimalus sinna lisaks URL-linkidele tekitada linke ka LNK-failidena. Kasutajale on salvestatud eelistused nähtavad veel Start-menüüs Eelistused valiku all. Kõik need kolm menüüd loevad oma sisu kataloogist Favorites, kuhu saab lisaks linkfailidele kopeerida suvalisi faile, mis muutuvad seejärel Eelistuste menüüdest nähtavateks. Internetibrauser Mozilla Firefox hoiab oma eelistused ehk järjehoidjad (ingl. k bookmarks) Application Data kataloogis bookmarks.html failis. 26
  27. 27. Kataloog Send To sisaldab tavaliselt vaid otseteid pakkimis- ja meilitarkvarale, töölauale ja kasutaja dokumendikataloogi. Kasutaja saab Send To kataloogi lisada otseteid kataloogidele, partitsioonidele ja tarkvaradele. Saada-menüü kaudu (töölaual rippmenüüst käsk "Send To") faili avamiseks kindla tarkvaraga piisab, kui eelnevalt kopeerida Send To kataloogi tarkvara linkfail või programm ise. Windows kasutajale tuttava Start menüü (ingl. k start menu) objektid paiknevad kataloogis Start Menu. Kataloogi omapäraks on, et kasutaja kataloogis paiknev Start Menu sisaldab sarnaselt kasutaja Desktop kataloogile vaid konkreetsele kasutajale spetsiifilisi objekte. Paigaldatud tarkvarade otseteed, mis on tehtud kättesaadavaks kõigile kasutajatele, paiknevad kataloogi Documents and Settings üldiste kasutajaseadete kataloogis All UsersStart Menu. Reeglina paigaldatakse tarkvara kõigile arvutis registreeritud kasutajatele, kuid mitme kasutajaga süsteemides lubatakse tarkvara paigaldada ka ainult paigaldajale. Sellisel juhul luuakse linkfailid vaid paigaldaja kasutaja Start-menüü ja töölaua süsteemikataloogidesse. Start menüüsse on võimalik igasuguseid otseteid tekitada ning lisaks otseteefailidele on Start menüü kasutajale nähtavad kõik kataloogi kopeeritud failid. Reeglina on Start menüüs siiski paigaldatud tarkvarade lingid ning tarkvarade eemaldamisel eemaldatakse automaatselt ka vastavad linkfailid. Eemaldamata jäävad hiljem kasutamise käigus Start Menu kataloogi alamkataloogiidest ümber tõstetud või eraldi töölauale kopeeritud linkfailid, mille leidmine annab viite arvutis eksisteerinud rakendustele ja failidele. 2.1.2.5 Teadlikkus failide ja tarkvarade olemasolust Kuna otseteefailid on tavalised failid, mis sisaldavad endas suunamisfunktsiooni, on neil failiatribuudid nagu teistelgi failidel, seal hulgas failisüsteemis loomise, viimati muutmise ja viimati avamise ajad. Otseteefailide viimati muutmise failiaeg tavakasutuse käigus ei muutu, kuid selle kaudu dokumendi või programmifaili avamisel muudetakse järjest otseteefaili ja sihtfaili viimati vaatamise kuupäevad. Sihtfaili muutmisel ja ülesalvestamisel muudetakse ära vaid sihtfaili viimati muutmise aja atribuut, kuid otseteefaili oma ei muudeta, sest seda faili ei muudeta. Otseteefaili failiajad annavad meile viite otseteefaili loomise aja kohta, mis võib viidata näiteks rakenduse paigaldamise ajale või siis ajahetkele, millal otsustati mingit faili või programmi aktiivsemalt kasutama hakata ning loodi sellele otsetee töölauale. Kuigi tarkvarade vaikeseadetega paigaldamisel luuakse otseteefailid töölauale tihtipeale automaatselt, annab selle paiknemine kasutaja töölaual siiski viite kasutaja teadlikkusest vastava faili või rakenduse kohta uuritavas arvutis, sest otseteefaili ikoon töölaual on küllalt silmatorkav. Linkfaili ja sihtfaili failiaegade erinevus viitab aga teadlikule otsetee loomisele. Sellise uuringu korral on siiski soovitatav vastava tarkvaraga läbi viia katse, et kontrollida, 27
  28. 28. kas vastava tarkvara paigaldamisel luuakse otseteefail töölauale automaatselt. Veelgi parem viide kasutaja teadlikkusele mingist tarkvarast või failist on, kui kasutaja on otseteeikoonid kopeerinud või tõstnud näiteks Start-menüüst või tekitanud Program Files kaustast. Üldiselt pakuvad tarkvarad paigaldamisel, et programm paigaldatakse ainult vastavale kasutajale või kõigile kasutajatele. Viimasel juhul tekitatakse Start-menüü ja töölaua lingid ainult vastavatesse All Users kataloogidesse. Nüüd, kui administraatoriõigustes kasutaja otsustab otsetee optimeerimiseks tõsta Start-menüü programmide alt programmile viitava lingi otse töölauale, kaob see reeglina menüüst. Selline toiming mõjutab kõiki kasutajaid, sest otseteefail eemaldatakse All Users kataloogist ning tõstetakse juba konkreetsesse kasutaja Desktop kataloogi. 2.1.2.6 Teadlikkus kettapartitsiooni olemasolust Nagu eespool mainitud, kasutatakse otseteefaile ka kettapartitsioonidele viitamiseks. Kuna otseteefailid paiknevad enamasti süsteemiketta süsteemikataloogides, siis on võimalik, et nii mõnigi link viitab failile ja kettale, mida uuritavas arvutis hetkel olemas ei ole. Nimelt sisaldavad otseteefailid enda andmealas sihtfaili nime ning täispikka kataloogiteed. Linkfailid, mis viitavad partitsioonile või kataloogile, sisaldavad vastava partitsiooni ja kataloogi asukohta kataloogiteena. Füüsilise ketta puudumisel annab see viite, et arvutiga on kunagi ühendatud eemaldatav ketas, ning näiteks tühja ketta korral vihjab see, et sihtfail võis paikneda puhastatud kettal. Kuigi sellisel juhul ei leia uuringu läbiviija näiteks otsitavaid andmefaile, võib ta leida viited nende failide nimedele ja kataloogikirjetele ning failide loomise, muutmise ja viimati kasutamise ehk LMA aegadele, mis omakorda viitavad, et uuritavas arvutis on kasutatud failide käitlemiseks välist andmekandjat. 2.1.2.7 Linkfailide tehnilised omadused Otseteefailide huvitav omadus on, et nende loomisel salvestatakse otseteefaili andmealale sihtfaili atribuutidele vastavad loomise, viimati muutmise ja viimati vaatamise ajamärgid (LMA). Ajamärgid jäävad andmealal fikseerituks ning hilisema kasutuse käigus need muutu, mis tähendab, et koos sihtfaili asukohaga kataloogipuus jäädvustatakse otseteefaili ka selle faili ajatemplid. Otseteefaili loomise aja saame aga faili enda atribuutidest. Otseteefaili andmealal olevad ajamärgid asuvad 8-baidiste kirjetena vastavalt otseteefailis bait-ofsetil 28, 36 ja 44, moodustades selliselt 24-baidise kirje. Otseteefaili andmealal paiknevate ajamärkide järjekord erineb failiatribuutides esitatust ning need tähistavad vastavalt sihtfaili loomise, viimati avamise ja viimati muutmise aega (LAM). [3] Mõnikord võib tekkida vajadus otsida viiteid failide kasutamisele, näiteks dokumendifailide 28
  29. 29. avamisele. Sellisel juhul on esimene võimalus pärast kustutatud kataloogikirjete taastamist LNK-laiendi järgi failinimede sorteerimine. Selleks, et tuvastada võimalikke kustutatud ning hävinud failitunnustega otseteefailide andmealasid, tuleb läbi viia otsing failide poolt hõivamata alalt ning soovtavalt ka virtuaalmälufailist pagefile.sys. Otseteefailide andmevälja otsingu teeb suhteliselt mugavaks faili päise üldkuju. Otseteefaili esimesed 7 baiti on fikseeritud ning moodustavad 16-süsteemis signatuuri (4C 00 00 00 01 14 02) [3]. Otseteefaili andmeala suurus ei ületa reeglina kahte sektorit, mis annab võimaluse leitud andmeala järgi otseteefaili taastamiseks. Järgnevalt on ära toodud otseteefailide sisu täpsem kirjeldus. FO Suurus Kirjeldus 0 Dword Alati 4C 00 00 00 ehk ‘L’ 4h 16 baiti Otseteefaili GUID 20 Dword Lipud 24 Dword Faili atribuudid 28 Qword Time 1 36 Qword Time 2 44 Qword Time 3 52 Dword Faili pikkus 56 Dword Ikooni number 60 Dword ShowWnd väärtus 64 Dword „Hotkey“ 68 Qword Reserveeritud, alati nullväärtustega Joonis 2: Otseteefaili kirjed [11][12] Järgnevalt on toodud otseteefaili kasutamisel failide kataloogikirjes olevate failiaegade (LMA) ja otseteefaili andmealal paiknevate aegade käitumine erinevatel toimingutel: Sihtfailile otseteefaili loomine: •Otseteefaili LMA'le omistatakse ajad vastavalt süsteemikella näidule otseteefaili loomise hetkel ning kõik kolm aega saavad sama väärtuse •Otseteefaili kataloogikirje muutmise aeg saab sama väärtuse 29
  30. 30. •Otseteefaili andmealale kantakse sihtfaili LMA aegadele täpselt vastavad ajamärgid järjestuses LAM •Otseteefaili loomise muutub käigus sihtfaili viimati vaatamise aeg vastavalt süsteemikella näidule loomise toimepaneku hetkel, mis on mõned sekundid varasem aeg, kui otseteefaili LMA ajad. Kusjuures sihtfaili kirje muutmise aeg sellest ei muutu. Otseteefaili kataloogipuus ümber tõstmine: •Otseteefaili andmeala ajad ei muutu •Otseteefaili LMA loomise ja viimati muutmise aeg ei muutu •Otseteefaili LMA viimati avamise aeg muutub vastavalt süsteemikella näidule tõstmise hetkel. Mõnel katsel võib see ka mitte juhtuda. •Otseteefaili kataloogikirje muutmise aeg muutub vastavalt süsteemikella näidule kirje muutmise hetkel ning võib olla mõned sekundit hilisem tõstmise hetkest Sihtfaili avamine otseteefaili kaudu: •Otseteefaili LMA ei muutu •Otseteefaili andmeala ajad ei muutu •Sihtfaili LMA ei muutu! Avatud sihtfaili muutmine ning salvestamine: •Sihtfaili LMA's loomise aeg ei muutu •Sihtfaili LMA's viimati muutmise ja viimati avamise ajad muutuvad vastavalt süsteemikellale ning saavad ühesuguse väärtuse Kõik eespool nimetatud viited omavad vaid abistavat rolli edasiste viidete otsimisel, sest ajamärke ei saa kunagi kindla tõendina kasutada, juba seetõttu, et kõik arvuti kasutamise käigus loodavad ajamärgid sõltuvad süsteemikella õigsusest ajamärgi loomise hetkel. Isegi juhul, kui saame olla kindlad süsteemikella täpsuses, on failiaegade ajamärkide loomisel alati võimalus vastuoludeks, mis tulenevad erinevate tarkvarade kasutamisest. Lisaks on failiatribuute suhteliselt lihtne muuta, näiteks Windows Explorer'ga konkureeriv tarkvara Total Commander võimaldab korraga muuta terve kataloogitäie failide viimati muutmise aega, muutes sellega ka viimati vaatamise ning atribuudi viimati muutmise ajamärgid. 30
  31. 31. 2.1.2.8 Kasutaja prügikast Ekspertiise tutvustavas peatükis mainisime, et failide kustutamine tähendab failide ülekirjutamiseks vabaks märkimist ning faili prügikasti tõstmisel tekitatakse sellesse faili taastamiseks eraldi kirje. Kõigil Windows operatsioonisüsteemi kasutajatel on töölaual prügikasti (ingl. k Recycle Bin) ikoon. Prügikast on peidetud süsteemikataloog, millesse luuakse faili kustutamise käigus koopia kustutatavast failist. Faili tavapärasel kustutamisel kaob fail enda algsest kohast ning tekib taas prügikasti, kuid faile saab kustutada ka otse, ilma prügikasti vahenduseta Shift-Del klahvikombinatsiooniga. Sellisel juhul märgitakse fail kustutatuks ning prügikasti selle koopiat ei tekitata. Iga NTFS partitsiooni juurkataloogis paikneb süsteemikataloog Recycler ja vastavalt FAT partitsioonil Recycled. Kataloogi Recycler omapära on, et seal luuakse igale sisseloginud kasutajale kustutatud failide jaoks eraldi kataloog ehk kasutaja isiklik prügikast. Igas sellises kataloogis on eraldi peidetud INFO2 süsteemifail prügikasti haldamiseks ning desktop.ini fail mille sisu määrab, et tegu on prügikastiga. Kataloog luuakse esimesel kustutamisel ja nimetatakse kasutaja SID-numbri järgi ning õigused selle lugemiseks on vaid kasutajal või administraatoril. Selleks, et arvuti uuringu käigus teada, millisele arvutis registreeritud kasutajale mingi prügikast kuulub, tuleb SID-numbrid kasutajanimeks teisendada. Seda protsessi käsitletakse käesoleva töö Windows Registri peatükis. Kuna igal arvuti kasutajal on Recycler kataloogis eraldi SID-numbri järgi nimetatud kataloog, siis üks kasutaja töölaua prügikastis teise kasutaja kustutatud faile ei näe. Seda omadust saab ära kasutada andmete lihtsaks peitmiseks kataloogi, tavakasutuse käigus kunagi ära ei kustutata. Kui Recycler kataloogis olev kasutaja SID-kataloog ümber nimetada, siis töölaua prügikastis neid enam näha ei ole. Siiski on need alles ümber nimetatud kataloogis ning neid faile ei sa kustutada töölaua prügikasti tühjendamise käsuga. Sama moodi võib prügikasti erinevatesse süsteemikataloogidesse otse faile kopeerida. Need pole küll nähtavad ühegi kasutaja töölaua prügikastis, kuid neid ei mõjuta prügikasti tühjendamise protsess. Kui kasutaja prügikasti kataloog ümber nimetada või otse Shift-Del käsuga kustutada, luuakse järgmisel faili kustutamisel Recycler kataloogi uus kasutaja SID-numbri järgi nimetatud kataloog ning prügikast toimib edasi. Selle omaduse järgi saab tühja Recycled kataloogi järgi viite, et kasutaja pole ühtegi faili veel kustutanud või on faile kustutanud otse ning jälgi jätmata. 2.1.2.9 Prügikasti toimimine Faili prügikasti abil kustutamise protsess on järgmine. Kui kasutaja tõstab faili prügikasti, kustutatakse MFT'st vastava faili kirje ning luuakse uus kirje selle sama faili uue nimega. 31
  32. 32. Süsteemifaili INFO2 lisatakse kustutatud faili kohta kirje, mis sisaldab faili kustutamise kellaaja ja kuupäeva ning algse kataloogitee. Kustutamisel salvestatakse faili järjekorranumber ehk indeks Recycler kataloogis, mille loendamine algab pärast iga prügikasti tühjendamist uuesti nullist ning kustutatud fail saab MFT kirjes uue nime. Nime vorming on järgmine: D[partitsioon][indeks].[faililaiend]. Näiteks, kui Recycler tühjendatakse ja seejärel kustutatakse fail Thumbs.db, mis paikneb kataloogis F:PildidMinupildid, siis nimetatakse see fail ümber nimega DF0.db. Faili algne nimi, asukoht kataloogipuus, kustutamise aeg ja järjekorranumber lisatakse 800 baidise kirjena INFO2 faili [7]. Kustutamine ja prügikasti tõstmine ei toimi eemaldatavate ketaste (ingl. k Removable Disk) ning võrguketaste puhul, siis märgitakse fail otse kustutatuks ning INFO2 kirjet ei looda. Kohaliku kettana (ingl. k local disk) süsteemis olevale välisele kettale luuakse prügikasti kataloog vastavalt failisüsteemile FAT'i korral Recycled ja NTFS puhul kataloog Recycler ning selles paiknevad kustutatud failid on näha kohaliku töölaua prügikastis. Välise ketta eemaldamisel kaovad prügikastist ka selle vastavad kustutatud failid, mis on taas ühendamisel uuesti nähtavad. Kui kasutaja tühjendab prügikasti, kustutab Windows kõigi süsteemi ühendatud kohalike ketaste INFO2 failis registreeritud kustutatud failid ning märgib INFO2 failid väiksemaks. Seetõttu jäävad faililõpualasse eelmise INFO2 faili kirjed alles. 2.1.2.10 Teadlikkus failide olemasolust kustutamisel Järgnevalt kirjeldatud viidete kontroll on vajalik peamiselt lapspornoga seotud uuringutes, kus on oluline kindlaks teha, kas ja kuidas kollektsiooni omanik faile käitles. Selliseid uuringuid tehakse siis, kui on juba tõsised tõendid, et kahtlustatav tegeles süstemaatiliselt materjalide kollektsioneerimise, tootmise või levitamisega. INFO2 kirje viitab, et kasutaja võis kustutada faili teadlikult ning seega olla teadlik faili olemasolust. Failid, mis kustutatakse operatsioonisüsteemi poolt, ei jäta kirjeid INFO2 faili. Kui kasutaja väidab, et uuritav fail on tahtmatult internetist alla laetud, saab faili algse asukoha kirje järgi INFO2 failist väite tõepärasust kontrollida. Kui fail asus enne kustutamist veebibrauseris seadistatud allalaadimiste kataloogis või brauseri ajutiste failide kataloogis, on väite õigsus tõenäolisem kui juhul, kus fail paiknes kasutaja dokumendikausta suvalises alamkataloogis. Kustutamise kuupäeva järgi saab kontrollida kasutaja väiteid failide kasutamise ja kustutamise kohta. Näiteks saab kontrollida kasutaja väidet, et ta küll nägi arvutis keelatud faile, kuid kustutas need ammu, kohe pärast nägemist. 32
  33. 33. 2.1.2.11 Prügikasti taastamine Kuna prügikasti tühjendamine on tavaline toiming, ei saa piirduda vaid Recycler kataloogi INFO2 failide analüüsiga ning viiteid failide kustutamise kohta tuleb otsida failide poolt hõivamata alalt. Kirjete otsimisel on kolm keerukuse astet: kui INFO2 fail on osaliselt üle kirjutatud, kui INFO2 faili failitunnused on hävinud ja kui INFO2 faili andmeala signatuur on hävinud. Esimesel juhul näeme ketast madaltasemel vaadeldes, et INFO2 faili algus on eksisteeriva faili andmeala, kuid sealt edasi jätkuvad kirjed faililõpualal (ingl. k slack space) oleval eelmise kustutatud faili andmealal. Teisel juhul, kui kustutatud INFO2 fail ise on kustutatud ning hävinud on ka selle MFT kirje, tuleb otsida INFO2 faili algustunnust, mille leidmisel saab jätkata juba faili kirjete analüüsimisega. Kolmandal juhul, kui on hävinud ka INFO2 faili andmeala algustunnus, jääb üle vaid katse- eksituse teel otsida failide poolt hõivamata ala oletatava sisu järgi, näiteks kataloogitee või failinime järgi. NT-süsteemides on INFO2 faili kirje pikkus on 800 baiti, Windows 95/98 operatsioonisüsteemis 280 baiti. Windows XP INFO2 faili 12 baidi pikkune algustunnus on 16'nd süsteemis (05 00 00 00 00 00 00 00 00 00 00 00). Seejärel tuleb FO:12 LE:8 märge kirjete pikkuse kohta, mis on 16'nd süsteemis esitatud 32-bitine Little-endian täisarv (20 03 00 00 00 00 00 00) ehk 800 baiti. Kirje ise algab täispika kataloogiteega, mis sisaldab kustutatud faili algset failinime. Kirje algusest lugedes 261. baidil asub 4 baidi pikkune kustutatud faili kustutamise järjekorranumber ehk indeks ning sealt edasi 265. baidil asub 4 baidi pikkune faili päritolupartitsiooni kood, mis C: ketta puhul on vastavalt 02. 269. baidist algab 8 baidi pikkune kirje kustutamise kuupäeva ja kellaaja kohta. Siis tuleb 4 baidine Int32, mis näitab faili füüsilist suurust ehk siis faili loogilise suuruse ja faililõpuala summat. Näiteks, kui faili suurus on 10 baiti, siis on kirjes märgitud suuruseks klastri suurus ehk 4096 baiti. Ülejäänud osas on kataloogitee ära toodud unikood formaadis. [3] 33
  34. 34. 2.2 NT-põhise Windows'i register Windows operatsioonisüsteemi register on väga keeruline erinevatest failidest koosnev kataloog, mis sisaldab operatsioonisüsteemi seadeid ning paigaldatud tarkvarade, riistvara ja kasutajate seadistusi ning valikuid. Lisaks sisaldab register ajatsooni infot, mis on vajalik failiaegade analüüsimisel. Nagu eespool mainitud, on registris määratud kasutajate SID- koodid ning pääsuõigused ressurssidele. Registrifailid ise on omapärased sisemist failistruktuuri sisaldavad failid ning nende lugemiseks läheb vaja spetsiaalset tarkvara, mille erinevaid variante võib leida internetist. Windows’i registril on kaks olekut: töötav register (ingl. k online registry) ja ootel register (ingl. k offline registry). Töötava registri sisu saadaval vaid süsteem töötamisel ning süsteemi väljalülitamisel läheb register ooteseisundisse. Viimane olek on ühtlasi register, mida arvuti uuringu käigus vaadelda tuleb. 2.2.1.1 Töötav register Töötavat registrit saab sisselülitatud arvutis otse vaadelda ja ümber seadistada regedit.exe abil, mis ei ole soovitatav, kuna vale seadistus võib rikkuda terve süsteemi. Ekspertiisi seisukohalt on aga igasugune töötava arvuti uurimine lubamatu juhul kui see pole vältimatu ainuvõimalik lahendus arvuti uurimisel. Windows 2000 ja XP register on jagatud nelja sektsiooni: võtmed, nimed, tüüp, ja andmed (vastavalt ingl. k: key, name, type, data). Kasutajatele näidatakse võtmeid kataloogidena, mis sisaldavad registriväärtusi, millel omakorda on nimi, tüüp ja andmeosa. Andmeosa jaguneb esituse tüübi järgi üldiselt kolmeks stringitüübiks (tavaline, multistring ja laiendatav string), binaarkujul esitatud andmeosaks ning numbriliselt esitatud andmeosaks, mida saab samuti kahendsüsteemis esitada. 2.2.1.2 Ootel register Ootel olekus registri vaatlemiseks tuleb välja lülitatud arvuti andmekandjalt üles otsida registrifailid, mis asuvad operatsioonisüsteemi juurkataloogi alamkataloogis system32config. Nagu operatsioonisüsteemi tuvastamise peatükis nimetatud, on NT ja 2000 juurkataloogiks Winnt ja XP'l Windows. Üles leiab need ka faili andmeala signatuuri regf järgi, mis 16-nd süsteemis esitatuna on (72 65 67 66). Registrifailid on ilma faililaienditeta ning neile vastad järgmised registrikogumid: Sam – HKEY_LOCAL_MACHINESAM Security – HKEY_LOCAL_MACHINESECURITY 34
  35. 35. Software – HKEY_LOCAL_MACHINESOFTWARE System – HKEY_LOCAL_MACHINESYSTEM Default – HKEY_USERS.DEFAULT Userdiff – ei ole seotud ühegi registrikogumiga, kasutatakse vaid operatsioonisüsteemi uuendamisel Lisaks paiknevad kasutajate juurkataloogides registrifailid: Ntuser.dat – HKEY_USERS<kasutaja-SID> (lingitud registrikogumiga HKEY_CURRENT_USER) Local SettingsApplication DataMicrosoftWindowsUsrClass.dat – HKEY_USERS<kasutaja- SID>_Classes (lingitud registrikogumiga HKEY_CURRENT_USERSoftwareClasses) [3] [13] 2.2.2 Registri kirjed Registrifailide analüüsimiseks on erinevaid tasuta tarkvarasid ning ekspertiisitarkvara poolt pakutavaid otsinguskripte. Automaatse registriinfo tõlgendamise järel tuleks siiski tulemused alati käsitsi üle kontrollida. Järgnevas peatükis on ära toodud loetelu registrialadest, mis sisaldavad uurimisel kasulikku informatsiooni. 2.2.2.1 Turvainfo Operatsioonisüsteemi turvainfot hallatakse kahes registrikogumis: SAM ja SECURITY. Uurimisel tuleb vahet teha, kas vaadeldakse kasutaja seadeid serveris või kohalikus masinas. Kohaliku masina SAM fail sisaldab ainult lokaalse NT-süsteemi kasutajate ja kasutajagruppide andmeid, mitte domeeni loginud kasutajaid. Operatsioonisüsteemi paigaldamisel luuakse kohalikus masinas kaks vaikimisi kontot: kohaliku administraatori konto ja külalise konto. Need on lokaalsed kontod, mis ei ole seotud arvutivõrgu domeeni kasutajatega. Kõik ülejäänud lokaalsed kontod registreeritakse samuti SAM registrifailis. Tavaliselt on kohalikud kontod kasutusel koduarvutites. Arvuti, mida kasutatakse arvutivõrgu domeeni kasutajaga tarvitsebki sisaldada vaid kaht lokaalset vaikimisi kontot. Kui arvutit kasutatakse domeeni logimiseks, toimub kasutaja autentimine domeeniserveris selle õnnestumisel annab server kohalikule masinale loa sisselogimisega jätkamiseks. Kuna domeenikontosid hoitakse domeeniserveri SAM failis, siis arvutivõrkudest arvutite 35
  36. 36. kaasa võtmisel tuleks hinnata, kas on vajalik eraldi ligipääs domeenikontrollerile sellest SAM faili kättesaamiseks. Nimelt peab kasutajate, kasutajakontode, viimaste logimiskuupäevade, kodukataloogide kohta info saamiseks hankima SAM faili serverist. Lokaalses tööjaamas on palju informatsiooni, mille kasutajaõigustele viidatakse vaid kasutaja SID-numbriga ning SID kasutajanimeks lahendamine on võimalik ainult autentimisserverist saadud SAM faili abil. Kasutajakontod paiknevad registrikogumis HKEY_LOCAL_MACHINESAM võtme all SAMDomainsAccountUsersNames. Võtme Names kohal on kataloogid nimedega, mis on esitatud sarnaselt: 1F4. Kataloogid on otseses seoses kasutajanimedega, mis on võtme Names all olevas nimekirjas. Iga nime tüübi (ingl. k type) välja identifitseerimisega luuakse link katalooginime ja loetava kasutajanimega. [3] Kataloogi nimi on kasutaja ID ehk UID (ingl. k user ID). Näites toodud UID on tegelikult 32- bitine number Big-endian formaadis ehk siis 16-nd süsteemi arv (00 00 01 F4), mis teisendub kümnendsüsteemis arvuks 500, mis omakorda esitab vaikimisi administraatori konto UID'd. [3] UID'd sisaldava võtme leiab võtme Names all olevate võtmete nimestikust. Võti sisaldab kaht faili, milles on enamus infost talletatud binaarkujul: „v“ fail sisaldab konto andmeid: kasutajanime SID'd, kodukataloogi, paroole jne „f“ fail sisaldab kontoga seonduvaid kuupäevi. Kasulik informatsioonikild „v“ failis on SID number, mida kasutatakse kasutaja identifitseerimiseks arvutivõrgus ja mis eristab, milline server autendib kasutaja. Näiteks: S-1-5-21-1911861664-3925631421-1273205461-3056. SID number on lahendatav väiksemateks elementideks: S – tegu turvaidentifikaatoriga (ingl. k security identifier) 1 – SID struktuuri versiooninumber. NT-põhistes süsteemides on alati 1. 5 – SID volituste taset. 1 viitab kõigile (ingl. k everyone), 5 viitab kindlale kasutajale. 21 - 1911861664-3925631421-1273205461 - unikaalne domeeni või arvuti identifikaator. 3056 – suhteline identifikaator RID (ingl. k relative identifier). Kasutaja või grupi ID. Ülaltoodud näites vastab sellele vaikimisi administraatori UID 500. Kõik arvutisse ise loodud kontode ID'd esitatakse alates numbrist 1000. [3] 36
  37. 37. 2.2.2.2 SID numbrite kokkuviimine kasutajanimedega Eelnevalt mainisin, et Recycler kataloogi kasutajakataloogide nimede järgi saab tuvastada kataloogi omaniku kasutajanime. SID numbrite domeeni kasutajanimedega kokkuviimine toimub registrivõtme abil, mis paikneb ($$$PROTO.HIV) registrikogumis HKEY_LOCAL_MACHINESOFTWARE võtme all MicrosoftWindows NTCurrentVersionProfileList. Võti ProfileList salvestab NT töömasinasse loginud kasutajatega seotud andmete asukoha kataloogipuus ning omakorda kasutaja SID-numbrite järgi nimetatud alamvõtmeid. Iga alamvõti sisaldab EXPAND_SZ (laiendatav string) tüüpi registriväärtust nimega ProfileImagePath, mis näitab kasutaja kataloogi kohalikus süsteemis. Kuna kasutaja juurkataloog on tavaliselt seotud kasutajanimega, saab selle järgi kindlaks teha, kasutajanimedele vastavad SID'd NT 4.0 või Active Directory domeenis. Register sisaldab täiendavat infot arvuti olemasolu kohta arvutivõrgus. Registrikogumi HKEY_LOCAL_MACHINESECURITY võti PolicyPolAcDmNDefault sisaldab lokaalse masina võrgunime. Võti PolicyPolAcDmSDefault sisaldab lokaalse masina võrgu-SID. Võti PolicyPolPrDmNDefault sisaldab arvuti peadomeeni nime, millega kohalik masin ühendub ja läbi mille ta ennast vaikimisi võrgus autendib. [3] Juhul, kui domeenis autentiv tööjaam peaks kaotama võrguühenduse, kasutab tööjaam kasutaja autentimiseks logimise vahemälu. NT-põhised Windows'id salvestavad vaikimisi seadistusena vahemällu viimased kümme sisselogimist. Alates Windows 2000'st salvestatakse need logimised krüpteeritult. Krüpteerimata jäetakse logimise aeg ning UID. Vahemällu salvestatud logimiskirjed leiab registrikogumi HKEY_LOCAL_MACHINESECURITY võtme alt CacheNL$n, kus n tähistab vahemällu salvestatud logimise numbrit nullist üheksani. [3] Järgnevalt on toodud logimistega seonduvad täpsustused registris võtme alt: SoftwareMicrosoftWindowsNTCurrentVersionWinLogon CachedLogonsCount – vahemällu puhverdatud sisselogimiste summa unikoodis. DefaultDomainName – domeeni nimi unikoodis, mille logimisi puhverdatakse. DefaultUserName – viimati sisseloginud kasutaja nimi, seda näidatakse vaikimisi järgmisel sisselogimisel. Samas sektsioonis on järgnevalt veel kasulikku informatsioonikilde: LegalNoticeCaption - märkuse pealkiri aknale, mis näidatakse korraks pärast 37
  38. 38. sisselogimist LegalNoticeText – näidatava teate tekst. ShutdownWithoutLogon – sulgemise valik sisselogimisaknas (1 lubab väljalülituse, 0 eemaldab valiku). PasswordExpiryWarning – kasutajate hoiatamise päevade arv enne parooli kehtivuse lõppemist. Salvestatakse binaarkujul 32-bitise integerina. Vaikimisi 14 päeva. [3] 2.2.2.3 Käivitatava süsteemi seaded Register System sisaldab kontrollsätete võtmeid ControlSet, mis sisaldavad täielikku süsteemi laadimiseks vajalikku informatsiooni. Vaikimisi on neid kaks: ControlSet001 ja ControlSet002. Süsteemi laadimisel tehakse ühest neist koopia ning laetakse see töötava registrina. Uurimise seisukohalt on olulisim kontrollsätete informatsioon ajaseaded. Windows süsteemis salvestatakse ajaseaded reeglina binaarkujul universaalajas GMT. See tähendab, et arvuti uurimisel on oluline teadvustada, millised on parasjagu uuritava arvuti ajatsooni seadistused. Lahendus on uurimiseks kasutatav laboriarvuti seadistada uuritava süsteem ajaseadete järgi, milleks omakorda peab teadma, milline ControlSet uuritavas arvutis viimati kasutusel oli. Vastavat infot sisaldavad registrikogumi HKEY_LOCAL_MACHINESYSTEM võtmed: Select – sisaldab vaikimisi ControlSet kontrollsätete seadistuste kogu. SelectCurrent - töötavas arvutis viimati kasutatud ControlSet kontrollsätte number. SelectFailed - viimase alglaadimisel rikke põhjustanud ControlSet kontrollsäte number. Kui riket pole olnud, on selle väärtus 0. SelectLastKnownGood – teada olevalt töökorras oleva ControlSet kontrollsätte number, mida kasutatakse, kui arvuti alglaadimisel hangub. [3] 2.2.2.4 Ajatsooni seaded Kuupäevad ja kellaajad salvestatakse Windows süsteemis meediale universaalajana GMT (Greenwich Mean Time) ajatsoonis mida nimetatakse ka UTC (Coordinated Universal Time). Ajakirje salvestamisel kontrollib Windows registrist ajatsooni seadeid ehk arvuti ajanihet (ingl. k bias ofset) GMT suhtes ning uuesti kirje lugemisel teisendab Windows või EnCase ekspertiisitarkvara loetud GMT aja esitatavaks ajaks vastavalt kohaliku aja seadetele töötavas masinas. Arvutiuuringu probleemiks on, et meedia võib pärineda erinevast ajatsoonist või seadistatud valesse tsooni. Seetõttu peab alati kontrollima registrist ajatsooni ja aktiivset 38
  39. 39. ajanihet GMT suhtes ning seadma labori arvuti süsteemikella samasse aktiivsesse ajatsooni. Kui viimati kasutuses olnud kontrollsätete number on kindlaks tehtud, tavaliselt 1 ehk vastavalt registrivõti ControlSet001, leiab ajaseadete võtmed registrikogumist HKEY_LOCAL_MACHINESYSTEM, kus need paiknevad väärtustena ControlSet001ControlTimeZoneInformation võtme all: ActiveTimeBias – nihe minutites GMT suhtes, hetkel kasutusel oleva ajaseade, millele on juba liidetud DayLightBias väärtus. 32-bitine täisarv. Bias – nihe minutites GMT suhtes ajatsooni seade jaoks. 32-bitine täisarv.. DaylightBias – minutite arv Bias väärtuse suhtes talve- ja suveaja seadistuse jaoks. Tavaliselt FF FF FF 4C ehk –60 minutit DaylightName – ajatsooni talve- ja suveaja seadete nimi unikoodis. DaylightStart – vaata allpool DisableAutoDaylightTimeSet – registriväärtus, mis näitab, kas talve- ja suveaja automaatne seade on deaktiveeritud (1 – deaktiveeritud, 0 - aktiveeritud) StandardBias – minutite arv Bias väärtuse suhtes standardse aja jaoks. Tavaliselt 0. StandardName – standardse ajatsooni seadistuse nimi unikoodis. StandardStart – vaata allpool [3] ActiveTimeBias näitab hetkel aktiivset ajanihet GMT suhtes. Näiteks, kui ActiveBias kirje madaltasemel esitatuna on Big-endian formaadis ehk 16-nd süsteemis (4C FF FF FF), mis töötavas registris esitatakse 32-bitise Little-endian täisarvuna (FF FF FF 4C) ehk –180. Järelikult on aktiivne nihe GMT suhtes –180 minutit ehk 3 tundi, mis tähistab suveaega Eestis. Vastavalt tähendab (00 00 01 68), et nihe GMT suhtes on 360 minutit ehk –6 tundi, mis on suveaeg Arizonas. Oluline on jälgida, kas süsteemis on aktiveeritud suveaeg, sest talveajal on vastavad nihkeväärtused (FF FF FF 88) ehk +2 ja (00 00 01 A4) ehk –7. Peale selle peab kindlaks tegema veel väärtused StandardStart ja DaylightStart, mille üldkuju esitatakse little-endian formaadis: päev, kuu, nädal, tund: Päev – nädalapäev, kuna nädal algab pühapäevaga ning see on ka kellakeeramise päev, siis on selle 16-bitise täisarvu väärtus 0. Kuu – kuu esitus 16-bitise täisarvuna 1-12, vastavalt on märtsi väärtus 3. Nädal – nädala number kuus, 16-bitise täisarv, mis algab väärtusega 1. 39
  40. 40. Tund – 24-tunnise päeva kellakeeramise tund. [3] Näiteks 2008. aastal keerati kell 30. märtsi öösel kell 3:00 suveajale minekuks ühe tunni võrra edasi. Vastav DaylightStart väärtus registris on (00 00 03 00 05 00 03 00) ehk pühapäev, kolmas kuu, viies nädal, kolmas tund. 2.2.2.5 Veel olulisi registriseadeid Võtmed registrikogumist HKEY_LOCAL_MACHINESOFTWARE: MicrosoftWindowsCurrentVersionUninstall – nimekiri paigaldatud rakendustest MicrosoftWindowsCurrentVersionAppPaths - nimekiri paigaldatud rakendustest ja kataloogiteed rakenduste programmifailidele MicrosoftWindowsCurrentVersionRun – alglaadimisel käivitatavad failid. MicrosoftWindowsCurrentVersionRunOnce – järgmisel arvutisse sisselogimisel ühekordselt käivitatavad failid. MicrosoftWindowsCurrentVersionRunOnceEx – rakenduste paigaldamisel või seadistamisel ühekordselt käivitatavad failid. MicrosoftWindowsCurrentVersionSetup – sisaldab süsteemi alglaadimise kataloogi, tavaliselt C: ja teisi süsteemi seadistuse väärtusi MicrosoftWindowsNTCurrentVersion – süsteemi paigaldamise info. Sisaldab registreeritud kasutaja andmeid, paigaldamise kuupäeva, süsteemi versiooni jne. MicrosoftWindowsNTCurrentVersionNetwork Cards – paigaldatud võrgukaardid MicrosoftWindowsNTCurrentVersionProfile List – viimati laetud profiilid.[3] Võtmed registrikogumist HKEY_LOCAL_MACHINESYSTEM: Current:ControlSet001ControlComputerName – lokaalse arvuti nimi Current:ControlSet001ControlWindowsShutDownTime – viimane registreeritud arvuti väljalülitamise aeg. Ekspertiisi läbiviimisel on oluline kontrollida, millal võetud arvuti välja lülitati. Kui aegade võrdlemine viitab sündmuskohal väljalülitamisele, võib oletada, et arvutit vaadeldi juba kohapeal ning ekspertiisi läbiviimisel tuleks konsulteerida vaatlejaga arvutiga läbiviidud toimingute osas. Current:ControlSet001ENUMIDE – IDE ketta informatsioon. ENUM võtme all on lisaks info erinevate paigaldatud seadmete kohta. Current:ControlSet001ServiceslanmanserverShares – teistele kasutajatele välja 40
  41. 41. jagatud kataloogid ja partitsioonid. NTUSER.DAT failist registrikogumi HKEY_CURRENT_USER võtmed: • SoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs – hiljuti avatud failid grupeerituna failitüüpide kaupa. • SoftwareMicrosoftWindowsCurrentVersionExplorerMap Network Drive MRU – kasutaja poolt arvutivõrgust külge võetud võrguketaste nimi.[3] Peatükis kirjeldatud registriseaded moodustavad suhteliselt väikese osa kogu NT-põhiste Windows operatsioonisüsteemide registrist. Kõiki registri lugemise reegleid ei olegi võimalik ette anda, sest igal paigaldatud tarkvaral oma viis andmete salvestamiseks registris. Windows registris vabalt orienteerumine ning registriseadete uurimine ja tõlgendamine on pidevat süvenemist ja aega nõudev töö. 41
  42. 42. 2.3 NT-põhise Windows'i logimissüsteem Järgnev peatükk käsitleb NT-põhiste Windows operatsioonisüsteemide kaht erinevat logimissüsteemi. Esimene neist, süsteemi sündmuste logimine toimub operatsioonisüsteemi tasandil, teine aga on seotud NTFS failisüsteemi toimimisega. 2.3.1 Sündmuste logimine Sündmuste logimine (ingl. k event log) võeti kasutusele esimese Windows NT’ga. See on süsteem, kus tarkvarad ja operatsioonisüsteemi komponendid saavad kasutada tsentraliseeritud logimisteenust, et raporteerida sündmustest, mis on aset leidnud, nagu näiteks rikked, komponendi käivitamine või tegevuse lõpetamine. NT-põhised Windows operatsioonisüsteemid tekitavad kolme tüüpi sündmuste logisid: 1. süsteemi logi (ingl. k system log) 2. rakenduste logi (ingl. k application log) 3. turvalogi (ingl. k security log) Süsteemi logi sisaldab operatsioonisüsteemi sündmuste kirjeid, näiteks vigade kohta süsteemikomponentide käivitamisel. Rakenduste logi sisaldab kirjeid rakenduste operatsioonide kohta. Süsteemi- ja rakenduste logides salvestatud sündmused jagunevad tüübi järgi: veaks, hoiatuseks ja infoks. Veasündmused on tõsised rikked, hoiatavad sündmused teavitavad võimalikest probleemidest ning infosündmused on lihtsalt märkused. Turvalogi sisaldab operatsioonisüsteemi sisse- ja väljalogimiste kirjeid, logimiste ebaõnnestunud katseid, ligipääsuõiguste muudatusi ning süsteemi käivitamist ja väljalülitamist. Turvalogi saab täita vaid lokaalse süsteemi volitatud teenus lsass.exe. Turvalogi kasutab kahte sündmuse tulemuse hindamistüüpi: õnnestumine (ingl. k success) ja ebaõnnestumine (ingl. k failure). Millegipärast on Windows NT/2000 süsteemides turvalogimine vaikimisi sisse lülitatud vaid operatsioonisüsteemi serveriversioonis kõigil ülejäänud versioonidel on turvalogi aktiivne. 2.3.1.1 Logide lugemine Logide lugemiseks on NT-põhises Windows süsteemis programm Event Viewer. Sündmuste logifailid on Evt-laiendiga ning paiknevad vaikimisi operatsioonisüsteemi juurkataloogi alamkataloogis System32Config: SecEvent.Evt, AppEvent.Evt ja SysEvent.Evt. Laborimasinas vaatlemiseks saab failid välja kopeerida ning avada Event Viewer rakendusega eventvwr.exe. Järgnevalt on toodud turvalogi informatsioon vaadelduna programmiga Event Viewer: 42
  43. 43. • Type –sündmuse hindamise tüüp • Date, Time – sündmuse toimumise aeg • Source – sündmuse loginud protsess või rakendus • Category – sündmuse kategooria või toiming • Event – sündmuse numbriline ID unikaalsete sündmuste identifitseerimiseks. • User – kasutaja SID • Computer – sündmusi logiva arvuti nimi Logifailide vaatlemisel Event Viewer programmiga on oluline, et lokaalse arvuti regiooni- ja ajaseaded vastaksid süsteemi seadetele, millest logi pärineb. Töötava arvuti turvalogi vaatlemiseks peab kasutaja olema sisseloginud administraatorina. Teisest arvutist kopeeritud turvalogi vaatlemise saab teha tavalise kasutajaga. Sündmuste logid avatakse logimisteenuse käivitamisel operatsioonisüsteemi laadimisega. Logifailide avamisel teeb teenuste kontrollhaldur (ingl. k service control manager) faili päises turvamärke, mille tulemusena annab avatud logifaili kopeerimise ja Event Viewer’ga avamise katse teate vigase faili kohta. Ekspert saab Event Viewer’it kasutada töötavast või voolukatkestusega välja lülitatud arvutist kopeeritud failide vaatlemiseks alles pärast faili päise modifitseerimist. 2.3.2 $LogFile Järgnevalt uurime madaltasemel logimissüsteemi, mis on seotud vaid NTFS failisüsteemi toimimisega. NTFS on tehingutepõhine failisüsteem, kus iga failisüsteemi toiming logitakse failis $LogFile. See on kasutajale nähtamatu NTFS'i kolmas süsteemifail partitsiooni juurkataloogis, mis luuakse NTFS failisüsteemi loomisel. Selle loogiline ja füüsiline suurus on võrdsed. $LogFile failiajad on tekitatakse süsteemi paigaldamisel ning edaspidise kasutuse käigus need ei muutu, mis võimaldab kontrollida partitsiooni NTFS failisüsteemiks vormindamise aja. $LogFile sisaldab failisüsteemi muudatuste logi, et tagada metaandmete terviklikkus ning sellega süsteemi taastamisvõime. $LogFile's salvestatakse kindlad tegevused vastavalt nende esinemisele süsteemis selliselt, et tegevusi saaks korrata või tagasi võtta. [3] Logimise tsükkel koosneb järjestikustest sündmustest. Näiteks faili loomine koosneb kolmest 43
  44. 44. sündmusest: NTFS tekitab loodava faili jaoks vastava MFT kirje, märgib faili andmeala kaardistamiseks vastavad bitid $BitMap faili ja lõpuks teeb sissekande indeks-kirjetesse, millega luuakse faili kataloogikirje. Iga tsükkel märgitakse lõpetatuks alles siis, kui kõik tsükli sammud lõpetatakse. Kui tekib viga ja näiteks viimane sündmus jääb lõpetamata, märgitakse terve toimingutsükkel mittelõpetatuks. [3] $LogFile salvestab iga toimingutsükli sammud, et neid vajadusel korrata või tagasi pöörata. Lisaks peetakse failis arvet süsteemi järjestikuste toimingutsüklite kohta, et vea korral teada, kui kaugele tagasi tuleb terviklik failisüsteemi taastamiseks minna. Süsteemivea taastamisel otsustatakse $LogFile järgi, toimingutsüklite kordamine ja tagasivõtmine vastavalt sellele, kas tsükkel on lõpetatud või mittelõpetatud. Lõpetatud tsükli korral korratakse logitud samme ning mittelõpetatud tsükli sammud võetakse tagasi:  Tekkis süsteemiviga  Toiming lõpetamata – tsükkel võetakse tagasi  Toiming lõpetatud – tsükkel korratakse  Toiming lõpetatud – tsükkel korratakse  Toiming lõpetatud – tsükkel korratakse  Toiming lõpetamata – tsükkel võetakse tagasi  Toiming lõpetatud – tsükkel korratakse  Viimane süsteemi terviklik olek 2.3.2.1 $LogFile lugemine $LogFile esimesed kaks kirjet on signatuuriga RSTR, ülejäänud kirjed algavad signatuuriga RCRD. Ühe kirje pikkus on 4096 baiti ehk vaikimisi klastri suurus NTFS failisüsteemis. Faili kirjed $LogFile's ei muutu prügikasti tõstmisel ega ka prügikasti tühjendamisel. Need kirjutatakse üle alles süsteemi vajadusel. Võimalusel saab $LogFile'st taastada faili MFT kirjed (mis MFT's endas on juba üle kirjutatud), indeks-puhvri ja seonduvad linkfailid. MFT kirjed leiab signatuuriga FILE0 ehk (46 49 4C 45 30). Windows NT/2000 süsteemis vastavalt signatuuriga (46 49 4C 45 2A). Indeks-puhvrid leiab signatuuriga INDX ehk (49 4E 44 58). 44
  45. 45. 2.4 Failisüsteem NTFS NTFS on väga huvitav failisüsteem, mille tunnuslauseks on: kõik andmed on failid ja kõik failid on atribuutide kogum. See on disainilt keerukas ja võimaldab tugevaid turvatingimusi ning on võimeline iseseisvaks veaparanduseks. Võrreldes FAT failisüsteemiga, mis on lihtne, erilise turvalisuseta ning väga puuduliku veaparandusvõimalustega, ületab NTFS seda pea kõiges. Siiski on NTFS'il üks miinus FAT'i ees. Kuna tegu on väga keerulise ja failisüsteemiga, mille dokumentatsioon on suletud, ei ole seda võimalik usaldusväärselt kasutada väljaspool NT-põhiste Windows operatsioonisüsteeme. Tänu entusiastide uurimistööle on suudetud Linux operatsioonisüsteemides luua toimiv failisüsteemi lugemise ja sellele kirjutamise funktsionaalsus, kuid täiesti usaldusväärseks seda pidada ei soovitata. Sama moodi on NTFS suletud ka kohtuekspertidele. Veel 3 aastat tagasi toetasid ekspertiisitarkvarad NTFS'i vähesel määral ning taastamisfunktsioonid sellelt failisüsteemilt olid piiratud. Nagu eespool mainitud, võib ekspert rutiinse töö vältimiseks automatiseeritud vahendeid, kuid peab olema võimalikult teadlik, kuidas automatiseerimine ja info tõlgendamine toimib. Käesolevas peatükis käsitletakse NTFS'i toimimise uuringut möödudes analüüsitarkvara abistavast kihist. 2.4.1.1 Ülevaade FAT failisüsteemist Selleks, et mõista NTFS'i toimimist tuleks eelnevalt üle vaadata, kuidas toimib FAT failisüsteem. FAT on lihtne failisüsteem, mille funktsionaalsus on tuntud juba aastaid ning on muutunud mõningal määral failisüsteemide alustaladeks. FAT kasutusala operatsioonisüsteemide failisüsteemina on alla jäämas NTFS failisüsteemi levikule, kuid tänu oma lihtsusele on sellel rakendus portatiivsetel andekandjate ning erinevate seadmete failisüsteemina. Failisüsteemi kirjeldamisel on oluline, et kõik failisüsteemid peavad täitma vähemalt nelja ülesannet: 1.Faili nimi ja kellaaja/kuupäeva templid peavad kuhugi salvestatud saama 2.Faili alguspunkt peab kuhugi salvestatama 3.Faili fragmenteerumise info peab kuhugi salvestatama 4.Faili poolt kasutatavad klastrid peab kuhugi salvestatama Näiteks FAT süsteem salvestab faili nime kataloogistruktuuri koos algusklastriga. FAT 45
  46. 46. failihõive süsteemi nimetataksegi tema organiseerimise meetodi järgi failihõive tabeliks, mis paikneb partitsiooni alguses. Failihõivetabel salvestab fragmenteerumise informatsiooni ja identifitseerib selleks kasutatud klastrid. Partitsiooni loogilise ketta kaitsmiseks hoitakse tabelist kaht koopiat juhuks, kui üks neist peaks viga saama. Lisaks paiknevad failihõive tabelid fikseeritud asukohas selliselt, et failid, mida vajatakse süsteemi käivitamisel, leitakse alati üles. Failihõivetabel sisaldab loogilise ketta iga klastri kohta järgnevat tüüpi võimalikku infot (näide FAT16 kohta). •Hõivamata klaster (00 00) •Faili poolt hõivatud klaster •Riknenud klaster (FF F7) •Faili viimane klaster (FF F8 kuni FF FF) FAT'i kataloogisüsteemis puudub organiseeritus ning kõigile failidele antakse loogilisel kettal esimene vaba asukoht. Algusklastri number on aadressiks esimesele klastrile, mis on kasutusel faili poolt ning iga faili poolt hõivatud klaster sisaldab viita faili järgmisele klastrile failis või siis märget (FFFF), mis tähistab faili lõpuklastrit. Järgnevas näites on ära toodud need viidad ja lõpumarker: Joonis 3: Failid FAT failisüsteemis [8] Joonisel on näha kolm faili. File1.txt on fail, mis hõivab kolm klastrit. Teine fail, File2.txt on fragmenteerunud fail ning hõivab samuti kolm klastrit. Kolmas fail mahub ära ühte klastrisse. Kõigil juhtudel viitab kataloogistruktuur faili esimesele klastrile. [8] Järgnevalt vaatleme eespool nimetatud nelja failisüsteemi põhiomadust NTFS süsteemi puhul koos täpsema failisüsteemi kirjeldusega. 2.4.1.2 Ülevaade NFTS failisüsteemist NTFS on uus failisüsteem, mis arendati spetsiaalselt Windows NT jaoks ja mida kasutatakse kõigi NT-põhiste operatsioonisüsteemide vaikimisi failisüsteemina. NTFS kasutab 64-bitist 46
  47. 47. kettaadresseerimist ning võimaldab teoreetiliselt tekitada kuni 264 -baidiseid partitsioone. Siiski Windows XP piirab selle 232 baidise uuruseni. [9] Failinimed on NTFS'is piiratud 255 märgi pikkuseks ja täispikad kataloogiteed 32767 märgi pikkusega [9]. Failinimed on unikoodis, mis võimaldab kasutada erimärgilisi tähestikke. NTFS toetab tõusutundlikke nimesid, st Hei ja hei on kaks erinevat failinime. Kahjuks ei toeta seda täielikult Win32 API, mistõttu on see omadus tänu Windows 95/98 toele ka Windows XP's kadunud. NTFS'i fail ei ole lihtsalt lineaarne baidijada nagu FAT32 fail vaid keerukas atribuutide kogum ning siinkohal erineb atribuudi mõiste täielikult FAT failisüsteemis kasutusel olevast failiatribuudi mõistest. 2.4.1.3 Partitsioon ja alglaadesektor NTFS failisüsteemi paigaldamisele eelneb partitsiooni loomine andmekandjale. Partitsiooni loomine toimub universaalse fdisk-programmiga, mille tulemusena luuakse partitsioonitabel. Tabelis määratakse vaid algussektori aadress ja sektorite arv partitsioonis nii, et selle saab vormindada suvaliseks failisüsteemiks: FAT16, FAT32, NTFS, EXT2 jne. Partititsiooni loomisega luuakse andmekandja esimesele sektorile alglaadesektor MBR, mis sisaldab partititsioonitabelit ofsetil 446. Partitsioonitabelis saab olla maksimaalselt neli kirjet, igaüks pikkusega 16 baiti. Alglaadesektor koosneb ühest sektorist, mis on 512 baiti ning on ülesehitatud järgnevalt: PS:0 SO:0 LE:446 baiti - alglaadimiskood PS:0 SO:446 LE:16 baiti - esimene partitsioonikirje PS:0 SO:462 LE:16 baiti - teine partitsioonikirje PS:0 SO:478 LE:16 baiti - kolmas partitsioonikirje PS:0 SO:494 LE:16 baiti - neljas partitsioonikirje PS:0 SO:510 LE: 2 baiti - alglaadekirje signatuur (hex 55 AA) Partitsioonikirje kirjeldus (PO: partitsioonikirje ofset): PO:0 LE:1 bait - praegune olek: 80h alglaadiv, 00h ei alglae PO:1 LE:1 bait - partitsiooni algus (lugemispea algus) PO:2 LE:2 baiti - silindri/sektori algus PO:4 LE:1 bait - partitsiooni tüübi/failisüsteemi indikaator 47

×