Данные для судебных экспертиз

Вирусы, вредоносные программы и программы-вымогатели могут выполнять вредоносные операции (например, кражу и изменение данных). Возможно, такие операции необходимо будет расследовать, но это можно сделать только при наличии электронного доказательства. Однако элементы электронных доказательств, такие как файлы и журналы действий, могут быть удалены, а машина, на которой выполнялись вредоносные операции, может стать недоступной.

Резервные копии данных для судебных экспертиз позволяют лицам, проводящим расследование, анализировать разделы диска, которые обычно не включаются в обычную резервную копию диска. Параметр резервного копирования Данные для судебных экспертиз позволяет собирать следующие элементы электронных доказательств, которые можно использовать при проведении расследований: моментальные снимки неиспользуемого места на диске, дампы памяти и моментальные снимки запущенных процессов.

Резервные копии с данными для судебных экспертиз автоматически нотаризуются.

Параметр Данные для судебных экспертиз доступен только для полных резервных копий машин Windows со следующими версиями ОС:

  • Windows 8.1, Windows 10
  • Windows Server 2012 R2 – Windows Server 2019

Резервные копии с данными для судебных экспертиз недоступны для следующих машин:

  • машины, которые подключены к вашей сети через VPN и не имеют прямого доступа к Интернету;
  • машины с дисками, зашифрованными BitLocker.

Настройки данных для судебных экспертиз невозможно изменить после применения к машине плана защиты с модулем Резервное копирование. Чтобы использовать другие настройки данных для судебных экспертиз, создайте новый план защиты.

Резервные копии с данными для судебных экспертиз можно сохранить в следующие расположения:

  • Облачное хранилище данных

  • Локальная папка

    Локальная папка поддерживается только для внешних жестких дисков, подключенных через USB.

    Локальные динамические диски не поддерживаются для хранения резервных копий с данными для судебных экспертиз.

  • Сетевая папка

Процесс создания резервной копии для судебных экспертиз

В процессе создания резервной копии для судебных экспертиз система выполняет следующие действия:

  1. Создает необработанный дамп памяти и список запущенных процессов.
  2. Автоматически перезагружает машину в загрузочный носитель.
  3. Создает резервную копию с распределенным и нераспределенным пространством.
  4. Нотаризует резервные копии дисков.
  5. Выполняет перезагрузку в работающую операционную систему и продолжает выполнять план (например, репликация, хранение, проверка и т. д.).

Порядок настройки сбора данных для судебных экспертиз

  1. На консоли службы последовательно выберите пункты Устройства> Все устройства. Как вариант, план защиты можно создать на вкладе Планы.
  2. Выберите устройство и щелкните Защитить.
  3. В плане защиты включите модуль Резервное копирование.
  4. В области Элементы для резервного копирования выберите вариант Вся машина.
  5. В разделе Параметры резервного копирования щелкните Изменить.
  6. Найдите параметр Данные для судебных экспертиз.

  7. Включите Сбор данных для судебных экспертиз. Система автоматически создаст дамп памяти и создаст моментальный снимок запущенного процесса.

    Полный дамп памяти может содержать конфиденциальные данные, например пароли.

  8. Укажите расположение.
  9. Щелкните Запустить сейчас, чтобы выполнить резервное копирование данных для судебных экспертиз прямо сейчас, или подождите, пока резервная копия будет создана в соответствии с расписанием.
  10. Откройте Панель мониторинга> Действия и проверьте, что резервная копия с данными для судебных экспертиз была успешно создана.

Поэтому резервные копии будут включать в себя данные для судебных экспертиз, которые вы сможете получить для анализа. Резервные копии с данными для судебных экспертиз помечаются соответствующим образом, и их можно отфильтровать среди других резервных копий в разделе Хранилище резервных копий > Хранилища. Для этого используйте параметр Только с данными для судебных экспертиз.

Получение данных для судебных экспертиз из резервной копии

  1. На консоли службы откройте раздел Хранилище резервных копий и выберите хранилище с резервными копиями с данными для судебных экспертиз.
  2. Выберите резервную копию с данными для судебных экспертиз и щелкните Показать резервные копии.

  3. Щелкните Восстановить для резервной копии с данными для судебных экспертиз.

    • Чтобы получить только данные для судебных экспертиз, щелкните Данные для судебных экспертиз.

      В системе отобразится папка с данными для судебных экспертиз. Выберите файл дампа памяти или любой другой файл данных для судебных экспертиз и щелкните Скачать.

    • Чтобы восстановить полную резервную копию данных для судебных экспертиз, щелкните Вся машина. Система выполнит восстановление с резервной копии без режима загрузки. Поэтому можно будет проверить отсутствие изменений диска.

Предоставленный дамп памяти можно использовать с некоторыми сторонними программами для судебного анализа данных. Например, можно использовать Volatility Framework по ссылке https://www.volatilityfoundation.org/ для дальнейшего анализа памяти.