Analiza programelor malițioase și a virușilor informatici

Articol postat de:

566554

Datorită naturii fraudelor, care implică folosirea programelor malițioase sau a virușilor informatici, investigarea acestora este foarte dificil de realizat.

În acest sens, este necesară formarea unei imagini complete asupra incidentului, în primul rând, prin audierea victimei, cu privire la următoarele aspecte:

  • ce se cunoaște despre originea software-ului malițios sau a virusului – cum a ajuns acesta în sistemul infectat – de pe e-mail, dischete, internet etc.;
  • ce program malițios (ce variantă a acestuia) este implicat în alterarea sistemului victimă – cal troian, virus, viermi etc.;
  • modul de realizare a infectării și producerii replicării programului malițios / virusului – prin fișiere .EXE, COMBAT, comenzilor MACRO etc.;
  • modul de manifestare a programului malițios / virusului – apariția unor erori ale tastaturii, modificări ale display-ului, afișarea unor instrucțiuni, schimbarea datelor sistemului, schimbarea dimensiunilor unor fișiere etc.;
  • programul malițios / virusul a afectat mediile de memorare ale sistemului – sistemul operează mult mai încet sau are probleme de încărcare a fișierelor de boot;
  • cum s-a declanșat programul malițios / virusul – care a fost evenimentul care a generat inițializarea;
  • ce pierderi / distrugeri s-au cauzat sistemului;
  • cum a fost detectat programul malițios / virusul, dacă s-a luat vreo măsură de prevenire a infectării sistemului sau de reparare a pagubelor produse.

Cea mai bună probă, în cazul acestor fraude, va fi realizarea unei copii a sistemului infectat („image copy”) și a dischetelor sau a altor medii de stocare virusate.

Atunci când se fac aceste copii, trebuie respectată o serie de reguli de bază:

  • se vor întocmi procese-verbale cu toate activitățile desfășurate, în care se vor consemna, în mod detaliat, datele legate de tipul sistemului, locația calculatorului infectat, procedurile folosite pentru obținerea probelor etc.;
  • se vor folosi dischete noi, formatate, folosindu-se calculatoare neinfectate, pentru a se realiza copii ale fișierelor infectate;
  • în funcție de situație, se vor copia (în cazul sistemelor IBM sau compatibile) și fișierele .COM, .EXE, laolaltă cu fișierele de sistem COMMAND.COM, AUTOEXEC.BAT și CONFIG.SYS;
  • dischetele respective vor fi protejate împotriva scrierii și inscripționate cu informații referitoare la virusul sau programul malițios identificat, data la care s-au făcut copiile etc.;
  • în toate situațiile, se vor efectua copii duble (probă și contraprobă).

Pe baza informațiilor obținute din studierea probelor prelevate și din analizarea fișierelor jurnal ale sistemului se poate trece la efectuarea altor activități, în vederea identificării sursei infectării.

Sursa foto: www.dewei-chang.com
Sursa articolului: Asociația Criminaliștilor din România, „Investigarea criminalistică a infracțiunilor din domeniul crimei organizate”, 2010, ISBN 978-973-0-08274-6



Add Comment Register



Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *


*

Poți folosi aceste etichete HTML și atribute: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>