← Порядок летучести: что соби…Создание криминалистическог… →

Живая система против выключенной

Этот урок сравнивает два режима работы: анализ живой системы и анализ выключенной (post-mortem).

Live-форензика — сбор данных с работающей системы; post-mortem — анализ выключенной машины по её носителю. У каждого режима свои возможности и риски.

Один из первых вопросов на месте инцидента: оставить машину включённой или выключить? Ответ не универсален и зависит от того, что важнее в конкретном случае — летучие данные или абсолютная неизменность диска. Это решение часто необратимо: выключив машину, вы навсегда теряете память; продолжая работать на ней, вы вносите изменения. Поэтому выбор делают осознанно и фиксируют в журнале вместе с обоснованием.

Стоит подчеркнуть: оба режима применяют к системам, к которым у вас есть законный доступ — своим или корпоративным, по поручению владельца, либо к учебным образам. Live-форензика особенно чувствительна, потому что вы работаете с «живой» средой пользователей и сервисов; здесь важно не выйти за рамки задачи (например, не читать чужую личную переписку без оснований) и помнить про требования к защите персональных данных по 152-ФЗ и нормы 137/138 УК РФ о неприкосновенности частной жизни и тайне переписки.

Живая система: возможности и риск

На включённой машине доступно то, что исчезнет при выключении: процессы, открытые сетевые соединения, расшифрованные данные, ключи в памяти, смонтированные шифрованные тома. Это бесценно при fileless-атаках и шифровальщиках.

Чтобы оценить ценность живого сбора, представьте типичный инцидент с шифровальщиком, который как раз сейчас перебирает файлы. На живой машине вы видите процесс-шифратор, его сетевые соединения с командным сервером, иногда ключ шифрования прямо в памяти, открытые дескрипторы файлов и записку о выкупе ещё до того, как она легла на диск. Стоит выключить машину — и большая часть этой картины исчезает: остаётся лишь результат (зашифрованные файлы) без живого контекста, который объяснял бы, как именно атака разворачивалась.

Особенно показателен случай шифрования диска. Если том BitLocker/LUKS смонтирован и расшифрован, в памяти живой машины находится ключ или сами данные в открытом виде. Выключите машину — и вы получите чистый, но зашифрованный образ, который без ключа бесполезен. Поэтому при подозрении на полнодисковое шифрование живой сбор памяти превращается из опции в необходимость. То же с fileless-вредоносами, которые существуют только в RAM и не оставляют файлов на диске: для них post-mortem-анализ просто слеп.

Плата за это — каждое ваше действие меняет систему: запуск утилиты создаёт процесс, пишет в логи, обновляет время доступа. Полной неизменности добиться нельзя, поэтому действия минимизируют и тщательно документируют. По возможности используют заранее подготовленные доверенные инструменты с переносного носителя, чтобы не полагаться на возможно скомпрометированные бинарники системы.

Выключенная система: чистота и потери

Post-mortem-анализ начинается со снятия образа диска выключенной машины через write-blocker. Плюс — диск не меняется, доказательство максимально «чистое». Минус — всё летучее уже потеряно: память, активные соединения, расшифрованные данные.

Зато выключенная система даёт повторяемость и устойчивость доказательства. С неизменным образом можно работать сколько угодно раз, проверять хешем, что ничего не поменялось, передавать копию другому эксперту для независимой проверки. Это сильная позиция: результат анализа можно воспроизвести, а не «поверить на слово». Post-mortem удобен и тогда, когда между инцидентом и расследованием прошло время: машину уже всё равно выключили, и спор о летучих данных не стоит.

Отдельный нюанс — как выключать. Корректное завершение работы пишет в логи и может запустить очистку; жёсткое обесточивание сохраняет состояние диска «как было», но может оставить файловую систему в несогласованном виде. Выбор фиксируют в заметках.

Как работает под капотом

            Живая система          Выключенная
----------  -------------------   --------------------
Память      доступна              потеряна
Соединения  видны                 нет
Ключи/деш.  иногда в RAM          обычно нет
Диск        меняется при работе   неизменен (image)
Риск        изменение системы     потеря летучего
Когда       fileless, шифрование  диск — главное

На практике часто комбинируют: сначала снимают память и сетевое состояние с живой системы (по порядку летучести), затем корректно фиксируют и снимают образ диска. Так получают и летучие данные, и чистый образ.

Этот гибридный сценарий и есть стандарт зрелого DFIR: не выбирать между двумя режимами, а выстраивать их во времени. Сначала — короткое окно live-сбора, где приоритет отдан самому летучему и каждое действие записано; затем — аккуратное снятие образа для воспроизводимого анализа. Память анализируют отдельными инструментами (например, фреймворком Volatility), а диск — дисковыми; результаты сопоставляют, чтобы построить цельный таймлайн событий.

Как решают, что выбрать

На практике выбор режима опирается на несколько вопросов. Есть ли признаки полнодискового шифрования или активной fileless-угрозы? Если да — живой сбор памяти почти обязателен, иначе данные потеряются навсегда. Активен ли злоумышленник прямо сейчас и распространяется ли по сети? Тогда сетевую изоляцию и снятие летучего совмещают как можно быстрее. Прошло ли уже много времени с инцидента, машина давно перезагружалась? Тогда летучего всё равно нет, и разумнее аккуратный post-mortem. Этот разбор фиксируют в журнале: важно не только что вы сделали, но и почему именно так, — чтобы решение можно было обосновать задним числом.

Частые ошибки

  • Бездумно выключить. Потеря памяти и ключей может сделать расследование невозможным.
  • Долго «жить» на системе. Чем дольше работаете на живой машине, тем больше изменений вносите.
  • Доверять системным бинарникам. На скомпрометированной машине утилиты могут быть подменены; используют свои.
  • Не зафиксировать способ выключения. Корректное завершение и обесточивание дают разное состояние диска — это надо записать.
  • Игнорировать правовые рамки. Доступ к чужим личным данным без оснований нарушает 137/138 УК и 152-ФЗ.

Итоги

  • Живая система даёт летучие данные (память, соединения, ключи), но любое действие её меняет.
  • Выключенная даёт чистый неизменный образ диска, но без летучего.
  • Часто комбинируют: сначала память и сеть, потом образ диска; всё документируют и держатся в рамках законного доступа.
Проверьте себя
1. Главное преимущество анализа живой системы?
AДиск не меняется
BДоступны летучие данные: память, соединения, ключи
CНе нужно ничего документировать
DЭто всегда быстрее
2. В чём главный риск работы на живой системе?
AДиск переполнится
BКаждое действие изменяет систему
CПамять увеличится
DЛоги зашифруются
3. Почему на скомпрометированной машине лучше использовать свои доверенные инструменты?
AОни быстрее
BСистемные бинарники могут быть подменены злоумышленником
CТак требует закон
DСвои инструменты не пишут в логи