Безопасность информационных технологий

Статья посвящена поиску случайных данных в файловой системе, что является важным этапом при проведении компьютерных экспертиз при поиске зашифрованных данных. Шифрование сегодня используется повсеместно, в том числе и злоумышленниками для сокрытия данных, а значит зашифрованные сведения могут быть спрятаны в файловой системе. Существуют средства обнаружения зашифрованных файлов, которые имеют существенные ограничения, в том числе статистические тесты, выполнение которых является ресурсо и время затратным. Поэтому в статье предлагается новый критерий поиска случайных данных, основанный на оценке равномерности данных на плоскости, которая строится для каждого файла, с возможностью локализации неоднородности, и сводящий ошибку первого рода к нулю.

1. Giordano J., Maciag C. Cyber Forensics: A Military Operations Perspective // International Journal of Digital Evidence. 2002. V. 1. I. 2. P. 1-13.
2. Jozwiak I., Kedziora M., Melinska A. Theoretical and Practical Aspects of Encrypted Containers Detection — Digital Forensics Approach // Dependable Computer Systems. 2011. P. 75—85.
3. Weston P., Wolthusen S. Forensic Entropy Analysis of Microsoft Windows Storage Volume // Information Security for South Africa. 2013. P. 1—7.
4. Digital Forensics File Carving Advances [Электронный ресурс]: KoreLogic DFRWS-2006 Project. 2006. URL: http://www. korelogic.com/Resources/Projects/dfrws_challenge_2006/DFRWS_2006_File_Carving_Challenge.pdf.