При извлечении данных из персональных компьютеров, ноутбуков, внешних подключенных дисков, образов жестких дисков и логических образов в программе «Мобильный Криминалист» специалист может столкнуться с файлами, которые невозможно корректно обнаружить стандартным поиском, так как их расширения могут быть изменены или удалены. В результате значимые данные окажутся вне поля зрения. Для решения этой задачи в программе «Мобильный Криминалист» реализован сигнатурный поиск, позволяющий определять типы файлов на основе их содержимого, который делает процесс исследования более эффективным при попытках маскировки данных.
Принцип сигнатурного поиска
Сигнатурный поиск основан на анализе внутренней структуры файла. Сигнатура может рассматриваться как уникальный идентификатор. В отличие от расширения, эта структура формируется самим форматом и сохраняется даже при переименовании файла. Проще говоря, она позволяет определить, что находится внутри файла, независимо от того, как он назван.
В программе «Мобильный Криминалист» сигнатурный поиск реализован в модуле «МК Скаут» и предполагает два сценария. В первом используется определение типа файла по содержимому. При активации соответствующего чекбокса на вкладке «Общее» любой поиск по файлам автоматически дополняется информацией о реальных типах данных. В результатах отображаются файлы с некорректными или отсутствующими расширениями, что позволяет выявить потенциально замаскированные файлы.
Во втором сценарии выполняется поиск файлов по заданным параметрам на вкладке «Файлы». В этом случае анализ ограничивается объектами, соответствующими выбранной сигнатуре. Такой подход удобен при целенаправленном поиске определенных форматов и позволяет сократить объем получаемых данных и длительность извлечения.
Поддерживаемые форматы и контейнеры
Сигнатурный поиск в «МК Скаут» поддерживает широкий набор форматов. Следует отметить поддержку архивов ZIP, которые часто используются в качестве контейнеров для других типов данных. Особое внимание уделено документам. Поддерживается поиск как классических форматов Microsoft Office DOC и XLS, так и множества других, включая DOCX, DOTX, DOCM, DOTM, XLSX, XLTX, XLSM, XLTM, XLAM, XLSB, XPS, PPTX, POTX, PPSX, PPAM, PPTM, POTM, PPSM, THMX и VSDX. Помимо этого, сигнатурный поиск охватывает документы открытых форматов, таких как ODT, ODS, ODP, ODG, ODF, ODB, OTT, OTS, OTP и OTG, а также файлы PDF. Для анализа программных компонентов предусмотрена поддержка пакетов приложений JAR и APK. В части графических данных реализован поиск изображений формата JPEG. Дополнительно «МК Скаут» позволяет выполнять сигнатурный поиск текстовых файлов различных типов, включая простой текстовый файл, форматы INI, YAML, JSON, RTF и XML. Также реализована поддержка сигнатурного поиска системных файлов, таких как LNK и Prefetch.
Представление результатов
Результаты сигнатурного поиска в модуле «МК Скаут» отображаются на вкладке «Результаты поиска» → «Файлы». Для каждого найденного объекта в отдельной колонке отображается иконка, сигнализирующая о том, соответствует ли расширение фактическому содержимому файла (зеленая галочка — да, красный восклицательный знак — нет). В колонке «Тип файла» доступна фильтрация по фактическому расширению файла.
Таким образом, сигнатурный анализ в программе «Мобильный Криминалист» позволяет выявлять документы, изображения, контейнеры и текстовые файлы независимо от их внешних атрибутов. Например, документ без расширения может быть корректно идентифицирован как файл DOC или XLS. Контейнер на основе ZIP может оказаться офисным документом, а переименованное изображение JPEG или файл PDF будут распознаны по своему содержимому. Использование этого механизма в модуле «МК Скаут» снижает риск того, что значимые цифровые следы будут пропущены в процессе расследования.
