🔍Digital Forensics

The collection, analysis, and preservation of digital evidence. It is used in cybercrime investigations and corporate inquiries. Tools include EnCase, FTK, and Autopsy. Chain of custody ensures the legal integrity of evidence.

Article body and graph labels may still appear in Russian where English translations have not been added yet.
📖3 min read📊Level 6🗺️5 subtopics📅April 16, 2026

Loading map...

Следователь в цифровом пространстве

Цифровая форензика (computer forensics, DFIR — Digital Forensics and Incident Response) — применение методов криминалистики к цифровым устройствам и данным. Цель: найти, сохранить и проанализировать цифровые улики для восстановления картины инцидента или для суда.

Это не просто «посмотреть логи». Цифровая форензика — строгий процесс с сохранением целостности улик, документированием каждого шага и пониманием того, что суд примет как доказательство.

Основные принципы

Неизменность оригинала: работа ведётся только с копиями носителей данных. Оригинал сохраняется нетронутым. Создаётся побитовая копия диска (forensic image), хэш которой подтверждает идентичность оригиналу.

Цепочка хранения улик (chain of custody): каждое действие с уликой документируется. Кто, когда, что сделал. Нарушение цепочки делает улику недопустимой в суде.

Анализ диска

Анализ жёсткого диска или SSD: файловая система, удалённые файлы (они часто восстановимы), метаданные (время создания, изменения), артефакты браузера, история запущенных программ, временные файлы.

Инструменты: Autopsy, FTK (Forensic Toolkit), dd (создание образов).

Анализ памяти и сети

Memory forensics — анализ дампа оперативной памяти. Там можно найти: запущенные процессы, расшифрованные данные (пароли, ключи шифрования), следы руткитов, которые прячутся от обычного антивируса. Инструмент: Volatility.

Сетевая форензика — анализ перехваченного трафика (pcap-файлы), логов файрволов, DNS-запросов. Восстановление хронологии атаки.

Часто задаваемые вопросы

Чтобы не изменить оригинальные улики: любое действие с диском меняет метаданные. Хэш копии подтверждает её идентичность.