Разработка методики выявления следов пользовательской активности в приложениях удалённого доступа на базе ОС Windows

Содержание

Введение

1⠄Теоретические основы исследования следов пользовательской активности в системах удалённого доступа
1⠄1⠄Понятие и классификация приложений удалённого доступа на базе ОС Windows
1⠄2⠄Типы следов пользовательской активности: логи, артефакты реестра, временные файлы, сетевые соединения
1⠄3⠄Методологические подходы к выявлению и анализу цифровых следов в компьютерной криминалистике

2⠄Анализ современных методов и средств выявления следов активности в приложениях удалённого доступа
2⠄1⠄Обзор популярных приложений удалённого доступа (RDP, TeamViewer, AnyDesk, VNC) и их особенностей $$$$$$$$$$$$ следов
2⠄2⠄$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ и $$$$$$$ $$$$$$$$$$$ следов активности
2⠄$⠄$$$$$$$$$ $$$$$$$$$$$ и $$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$ $ $$$$$$$$ следов

$⠄$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$
$⠄$⠄$$$$$$$$$$$$$$ $$$$$$$$$ $ $$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$
$⠄$⠄$$$$$$$$$$ $$$$$$$$ $$ $$$$ $$ $$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$
$⠄$⠄$$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $ $$$$$$ $$ $$$$$$$$$$$$$ $$ $$$$$$$$ $$$$$$$$$

$$$$$$$$$$

$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$

Введение

Стремительное развитие информационных технологий и повсеместное внедрение систем удалённого доступа в корпоративную и частную инфраструктуру создали не только новые возможности для повышения эффективности труда, но и породили серьёзные угрозы информационной безопасности. В условиях, когда удалённая работа стала нормой, а злоумышленники активно используют приложения удалённого доступа для несанкционированного проникновения в системы, вопрос выявления и документирования следов пользовательской активности приобретает критическую важность. Отсутствие унифицированных и верифицированных методик обнаружения таких следов существенно затрудняет проведение компьютерно-технических экспертиз и расследований инцидентов, что и обусловливает актуальность настоящего исследования.

Проблематика работы заключается в противоречии между широким распространением приложений удалённого доступа (RDP, TeamViewer, AnyDesk, VNC) и недостаточной разработанностью систематизированных подходов к выявлению цифровых следов, оставляемых этими приложениями в операционной системе Windows. Существующие инструменты и методы зачастую ориентированы на поиск отдельных артефактов, но не предлагают комплексной методики, учитывающей специфику различных программных продуктов и позволяющей восстанавливать полную картину действий пользователя.

Объектом исследования являются процессы функционирования приложений удалённого доступа в среде операционной системы Windows. Предметом исследования выступают следы пользовательской активности, формируемые данными приложениями, а также методы и средства их выявления.

Целью дипломной работы является разработка методики выявления следов пользовательской активности в приложениях удалённого доступа на $$$$ $$ $$$$$$$, $$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$-$$$$$$$$$$$ $$$$$$$$$$.

$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$: $$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$ $$$$$$$; $$$$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$; $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$ $$$$$$$$$ $$$$$$, $$$$$$$ $$ $$$$$$$$$$$; $$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$ $$$$$$$$$ $$$$$$$$; $$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$ $$$$$$$$ $$$$$$$$$ $ $$$$$$$ $$ $$$$$$$$$$$$$.

$$$$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$, $$$$$$$ $$$$$$ $ $$$$$$, $$$$$$$$$ $ $$$$$$$$$, $$$$$$$$$ $$$$$$, $ $$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$: $$$$$ $$$$$$$ $$$$$$$$ $$$$$$, $$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$, $$$$$ $$$$$$$ $$$$$$$$ $$$$$$$ $ $$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$. $$$ $$$$$$$$$ $$$$$$ $$ $$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$$$$$$$$$$ $$$$$$$.

$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$ $$$$$$ $$$$$$$$$ $$$$$$$ $$$$$ $ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$, $ $$$ $$$$$ $$$$$$ $$$$$ $$$$$$$, $$$ $. $$$$$$$, $. $$$$$$, $ $$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$ «$$$$$$$ $$$$$$$$$$$$$$$$$», «$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$» $ $$$$$$. $$$$$ $$$$, $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$, $$$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$-$$$$$$$$$$$ $$$$$$$$$.

Понятие и классификация приложений удалённого доступа на базе ОС Windows

Развитие информационных технологий и цифровая трансформация бизнес-процессов привели к широкому распространению систем удалённого доступа, которые позволяют пользователям подключаться к удалённым компьютерам и серверам для выполнения различных задач. В контексте операционной системы Windows такие приложения занимают особое место, поскольку данная ОС является одной из наиболее распространённых в корпоративном и частном секторах. Понимание сущности и классификации приложений удалённого доступа представляет собой фундаментальную основу для разработки методик выявления следов пользовательской активности.

Под приложениями удалённого доступа понимаются программные средства, обеспечивающие возможность управления компьютерной системой или отдельными её ресурсами с другого устройства через сетевые соединения. Как отмечает А.В. Костин в своей работе, посвящённой анализу угроз информационной безопасности, системы удалённого доступа можно рассматривать как двусторонний инструмент: с одной стороны, они повышают эффективность работы и мобильность сотрудников, с другой — создают дополнительные векторы атак для злоумышленников [12]. Данное обстоятельство обусловливает необходимость тщательного изучения механизмов функционирования таких приложений и особенностей оставляемых ими следов.

В научной литературе последних лет предлагаются различные подходы к классификации приложений удалённого доступа. По мнению И.С. Петрова и Д.В. Соколова, наиболее существенным критерием является способ организации соединения, в соответствии с которым выделяют две основные категории: приложения, использующие прямое соединение (peer-to-peer), и приложения, работающие через промежуточный сервер (client-server architecture) [13]. К первой категории относятся, например, встроенный протокол удалённого рабочего стола Windows (RDP) и протокол VNC, которые устанавливают непосредственное соединение между клиентом и сервером. Вторая категория представлена такими популярными решениями, как TeamViewer и AnyDesk, которые используют облачные серверы для организации подключения, что упрощает преодоление сетевых барьеров, но порождает дополнительные вопросы с точки зрения безопасности и конфиденциальности данных.

Другим важным критерием классификации является степень интеграции с операционной системой. Встроенные средства удалённого доступа, такие как RDP, являются неотъемлемой частью Windows и используют системные механизмы аутентификации и протоколирования. Сторонние приложения, напротив, реализуют собственные алгоритмы шифрования, хранения данных и ведения журналов, что существенно влияет на характер и локализацию оставляемых следов. Исследования Е.А. Морозова показывают, что различия в архитектуре приложений приводят $ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$$$$ в $$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$, $$$$$$$ Windows, $ $$$$$ в $$$$$$$ $$$$$$$ [$$].

$ $$$$$$$$$$$$$$ $$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$$$ $$ $$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$, $$$$$$$$ $$$$$$$$ $$$$$$, $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$$$ $$$$$$$. $$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$, $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$, $$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$, $$$$$$ $ $$$$$$$ $ $$$$$$$$$ $$$$$$$$$ $$$$$$$$. $$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$, $$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$$ $$$$$ $$$$$$.

$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$ $$$$$$$ $$$$$$$$$ $ $$$$$$$$$$ $ $$$$$$$. $$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $ $$$$$$, $$$$$$ $$$$$ $$$$$$$$ $ $$$$$$$$$$$ $$$$$$ $$$ $$$$$$$$$$$. $$$$$$$$ $ $$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$ $$ $$$$$$$$ $$$$$$$$$ $$$$$$: $$$$$$$$$$$$$ $$$$$$$$$$, $$$ $$$$$$$, $$$$$$$$$ $$$$$$ $ $$$$$$$, $$$$$$$ $$$$$$$$ $ $$$$$$$ $$$$$ $ $$$$$$$, $$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$ $$$$$. $$$$$$$$$$$ $$$$$$ $$$$$ $$ $$$$$$$$$ $$$$$ $$$$$ $$$$$$, $$$$$$ $$ $$$$$$$$$$ $$$ $$$$$ $$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$$$.

$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$, $$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$$$, $$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$ $$$$$$$$$$$$$$. $$$, $ $$$$ $$$$$$$, $$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$ $$ $$$$$$$$$$$$$, $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$. $$$ $$ $$$$$, $$$ $$$$$$$$$$$$ $$$$$$ $$$$$$, $$$$$$ $$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$$ $ $$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$, $$$$$$$ $$$$$$$ $$$$$$$$$$, $$$$$$ $$$$$$$$$ $ $$$$$$$$$ $ $$$$$$$$ $$$$$$$.

$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$, $$$$$$$$$$$$$ $$ $$$$$$$$$$$, $$$$$$$$$$$$$$$$, $$$$$$$ $$$$$$$$$$ $ $$ $ $$$$$$$$ $$$$$$$$$. $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$ $$$$, $$$$$ $$$$$$ $$$$$ $$$$$ $$$$ $$$$$$$$$ $ $$$$$$$ $ $$$ $$ $$$$$$$ $$$$$$. $$$$$$ $$$$$$ $$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$, $$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$.

Важным аспектом, требующим детального рассмотрения, является классификация приложений удалённого доступа по типу используемого протокола передачи данных. Протоколы удалённого доступа определяют не только способ кодирования и передачи графической информации, но и механизмы аутентификации, шифрования и управления сеансами. В операционной системе Windows наиболее распространённым является протокол RDP (Remote Desktop Protocol), разработанный корпорацией Microsoft. Данный протокол обеспечивает высокую степень интеграции с системой, поддерживает передачу звука, принтеров, буфера обмена и других периферийных устройств. Как отмечает в своём исследовании С.В. Кузнецов, RDP использует собственные механизмы шифрования на основе протокола TLS и поддерживает сетевую аутентификацию на уровне домена, что делает его одним из наиболее защищённых встроенных решений [27]. Однако, несмотря на встроенные механизмы защиты, RDP остаётся одной из наиболее часто атакуемых служб, что подтверждается статистикой инцидентов информационной безопасности за последние годы.

Среди сторонних приложений удалённого доступа особое место занимают TeamViewer и AnyDesk, которые используют проприетарные протоколы, основанные на технологии VNC, но с существенными модификациями. Протокол TeamViewer, как показывают работы А.Д. Фёдорова, базируется на гибридной архитектуре, сочетающей прямое соединение и использование промежуточных серверов для установления связи. Данная архитектура позволяет эффективно преодолевать NAT и файрволы, но одновременно создаёт дополнительные сложности для анализа трафика, поскольку данные передаются в зашифрованном виде с использованием динамически генерируемых ключей. AnyDesk, в свою очередь, использует протокол DeskRT, который ориентирован на минимальную задержку и высокую производительность при передаче изображения. Особенностью данного протокола является адаптивное сжатие данных в зависимости от доступной пропускной способности канала связи, что может влиять на характер сетевого трафика и, соответственно, на возможность его анализа.

С точки зрения компьютерной криминалистики, принципиальное значение имеет классификация приложений удалённого доступа по способу хранения учётных данных и истории подключений. Встроенные средства Windows, такие как RDP, сохраняют историю подключений в файлах Default.rdp в профиле пользователя, а также в реестре Windows по пути HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client. Данные записи содержат информацию об IP-адресах или DNS-именах удалённых хостов, а также могут включать настройки разрешения экрана, параметры звука и другие конфигурационные данные. Сторонние приложения, как правило, сохраняют историю подключений в собственных базах данных или файлах конфигурации, расположенных в каталогах AppData или ProgramData. Например, TeamViewer хранит историю подключений в файле Connections.txt, а AnyDesk — в файле system.conf, которые могут быть зашифрованы с использованием мастер-пароля.

Ещё одним важным критерием классификации является способ аутентификации пользователей. Приложения удалённого доступа могут использовать как встроенные механизмы Windows (учётные записи домена или локальные учётные записи), так и собственные системы аутентификации, включая одноразовые пароли, токены и биометрические данные. Различия в способах аутентификации существенно влияют на перечень следов, которые могут быть обнаружены в системе. В случае использования встроенной аутентификации Windows, события входа и выхода фиксируются в системных журналах безопасности (Event ID 4624, 4634, 4647), что предоставляет эксперту надёжный источник информации о времени и продолжительности сеансов удалённого доступа. При использовании собственных механизмов аутентификации сторонних приложений, системные журналы могут не содержать прямой информации о факте подключения, однако активность будет отражена в журналах самого приложения, если они ведутся.

Анализ современных научных публикаций показывает, что в последние годы наблюдается тенденция к $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ ($$$). $$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$. $$$$$$, $ $$$$$ $$$$$$ $$$$$$$$$ $$$$$$, $$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$, $$$$$$$$$ $$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$ $$$$$$$$$ $$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$, $ $$ $$ $$$$$$$$$ $$$$$$$$$$. $$$ $$$$$$$$ в $$$$$ $$$$$$$$$$$ $.$. $$$$$$, $$$$$$ к $$$$$ $$$$$$ $$$$$ $$$$ $$$$$$$$$ $$$ $$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$$$$$$$$, что $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$-$$$$$$$$$$$ $$$$$$$$$$ [$].

$$$$$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$ $$$$$$ $$$$$$: $$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $$$$$$$$$, $ $$$$$$$$$$$ ($$$$$$$$) $$$$$$, $$ $$$$$$$$$$$ $$$$$$$ $ $$$$$$$ $ $$ $$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$ $$$$$$. $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$$, $$$$$$$$$ $$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$ $ $$$$$$$$ $$$$$$$ $$$$$$$, $$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$ $$$$$. $$$ $$ $$$$$, $$$ $$$$$$$$$$ $$$$$$$$$$$$, $$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$ $ $$$$ $$$$$$$ $ $$$$$$$$-$$$$$$, $$$$$$$$ $$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$ $$$$$$$, $$$$$ $$$ $$$$$$$$ $ $$$$$$$$.

$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$ $$$$$$ $$$$$$$$$$, $$$$$$$$$$$ $$$ $$ $$$$$$. $$$$$$$$$ $$$$$$$$$$, $$$$$ $$$ $$$, $$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$ $ $$$$$ $$$$$$$$$$$$$$ $$$$$$ $$$ $$$$$$$ $$$$$$$$$$$$$$$ $$$$ $$$$$$$. $$$$$$, $$$$$$$$, $$$$$$$$$$ $ $$$$$$$, $$$$$ $$$$ $$$$$$$$$$$ $ $$$$$$$$ $$$$$$$ $$$$$$$$$$$$$, $$$ $$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$$. $$$$$$$$ $ $$$$$$ $$$$$$$$$$ $$$$$$ $$ $$$$$$$$$$$ $$$ $$$ $$$$ $$$$$$$$$ $$$$$$$$ $, $$$$$$$$$$$$$$, $$ $$$$$$$$ $$$$$$$$$$$ $$$$$$. $$$$$$$$$$, $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$$$, $$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$$$, $$$$$$$ $ $$$$$$$$$$ $$$$$$$$$, $$$ $$$$$$$$$ $$ $$$$$$$$$ $$$$$ $$$$$$$$ $$$$$ $ $$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$ $$$$$ $ $$$, $$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$ $$$$ $$ $$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$, $$$$$$$$$$$$$ $$ $$$$$$$$$$$, $$$$$$$$$$, $$$$$$$$ $$$$$$$$$$$$$$, $$$$$$$$ $$$$$$ $ $$$$$$ $$$$$$$$$$. $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$. $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$, $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$ $$ $$$$$$$$$$$, $ $$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$ $$ $$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$ $$$$$$, $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $ $$$$$$$$$$ $$$$$$$$$$$$$$$$$$$$ $$$$$$$ $ $$ $$$$$$$$$.

Типы следов пользовательской активности: логи, артефакты реестра, временные файлы, сетевые соединения

Выявление следов пользовательской активности в приложениях удалённого доступа требует глубокого понимания природы и локализации различных типов цифровых артефактов, которые формируются в процессе функционирования операционной системы Windows. Каждое действие пользователя, будь то установка соединения, передача файлов или изменение настроек, оставляет специфические следы, которые могут быть обнаружены и проанализированы с использованием соответствующих методов компьютерной криминалистики. Систематизация данных следов по типам позволяет разработать эффективную методику их выявления и интерпретации.

Одним из наиболее информативных источников следов являются системные и прикладные логи. В операционной системе Windows ведение журналов событий реализовано через службу Event Log, которая фиксирует события в трёх основных категориях: приложение, система и безопасность. Как отмечает в своём исследовании П.А. Громов, журнал безопасности содержит записи о событиях входа и выхода пользователей, включая удалённые подключения по протоколу RDP, которые регистрируются с идентификаторами Event ID 4624 (успешный вход) и 4634 (выход) [6]. Данные записи включают информацию об учётной записи пользователя, IP-адресе источника подключения, времени начала и окончания сеанса, что делает их незаменимым источником для восстановления хронологии событий. Кроме того, в журнале системы фиксируются события, связанные с запуском и остановкой служб, установкой драйверов и другими системными изменениями, которые могут быть вызваны работой приложений удалённого доступа.

Прикладные логи сторонних приложений, таких как TeamViewer и AnyDesk, представляют собой отдельную категорию артефактов, которые часто содержат более детальную информацию о сеансах удалённого доступа. Например, TeamViewer ведёт журнал подключений в файле Connections.txt, который содержит дату и время каждого сеанса, идентификатор удалённого устройства, способ подключения и продолжительность сеанса. AnyDesk сохраняет аналогичную информацию в файлах журнала, расположенных в каталоге AppData. Однако, как подчёркивает Д.В. Соколов, доступ к данным журналам может быть затруднён, если приложение настроено на автоматическое удаление истории или если пользователь использует портативную версию без сохранения логов [21]. В таких случаях эксперту приходится полагаться на системные журналы и другие источники информации.

Артефакты реестра Windows представляют собой второй по значимости тип следов пользовательской активности. Реестр является централизованной базой данных конфигурации операционной системы, в которой хранятся настройки приложений, информация об установленном программном обеспечении, данные об автозагрузке и многие другие параметры. Приложения удалённого доступа активно используют реестр для хранения своих настроек и истории подключений. Например, RDP сохраняет историю подключений в ветке HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client, где для каждого подключённого хоста создаётся отдельная запись, содержащая имя сервера, порт и параметры сеанса. Ветка HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server содержит глобальные настройки службы терминалов, включая информацию о включении или отключении удалённого доступа, а также о политиках безопасности.

Сторонние приложения также оставляют многочисленные записи в реестре. TeamViewer создаёт ключи в ветке HKEY_CURRENT_USER\Software\TeamViewer, где хранятся настройки приложения, идентификатор компьютера и история подключений. AnyDesk использует аналогичную ветку HKEY_CURRENT_USER\Software\AnyDesk для хранения конфигурационных данных. Кроме того, в реестре могут сохраняться записи о времени первого запуска приложения, дате последнего обновления и других событиях, которые позволяют восстановить историю использования приложения. Особый $$$$$$$ $$$$$$$$$$$$ ключи $$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$, $$$$$$$$$ $$$$$$ приложения $$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$ в $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$, $$$ $$$$$ $$$$$$$$$$$$$$$$$ о $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$.

$$$$$$$ $$$$$$ $$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$ $$$$$$. $$$$$$$$$$$$ $$$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$ $$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$, $$$$, $$$$$$ $$$$$$ $ $$$$$$ $$$$$$$$$$. $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$ $ $$$$$$$$$ $$$$$$$$$, $$$$$$$ %$$$$%, %$$$$$$$% $ %$$$$$$$$$$$$%. $$$$$$$$, $$$ $$$$$$$$ $$$$$$ $$$$$ $$$ $$$$$$$$$ $$$$$ $$$$$ $$$$$$$$$$$ $ $$$$$$$$ %$$$$% $$ $$$$$$$$$$ $$$$$$$$. $$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$ $$$ $$$$$$$$ $$$$$$$$$$, $$$$$$$$ $$$$$$$ $ $$$$ $$$$$$$$$$$. $$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$ $$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$.

$$$$$$ $$$$$$$$ $$$$$ $$$$$ $$$$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$ $$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$$$$$. $$$$$$ $$$, $$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$, $$$$$$$ $$$$$$$ $$$$ $$$$$$$$ $ $$$$$$$$$$$ .$$, $$$$$$$$$$ $$$$$$$$$$ $ $$$$ $ $$$$$$$$$$$$ $$$$$, $$$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$$, $ $$$$$ $$$$$$$$$$ $$$$$$$$. $$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$, $$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$ $$$$$$$$$$, $ $ $$$$$ $$$$$$$$$$$$$$. $$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$, $$$$$$$ $$ $$$$$$$$$ $$$$$$$ $ $$$$$$$, $$ $$$ $$$$$ $$$$$$$$$$$ $$$$$ $$$$$$$$$$$ $$$$.

$$$$$$$$$ $$$$$ $$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$ $$$$$$$$$$$. $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$ $$$$$$, $ $$$$$$$$$$ $$ $$$$ $$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$. $$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$ $$$$$$ $$$$$$$ $$$$$$$$$$, $$$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$$ $ $$$$$$$$$$ $$$-$$$$$$$$$$, $ $$$$$ $ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$. $$$$$$ $ $$$$$$$ $$$$$$$$$$$ $$$$$ $$$$ $$$$$$$$ $$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$ ($$$$$ $$ $$$$, $$$$), $ $$$$$ $$ $$$$$$$ $$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $$$$$ $$$$$$$ $$$$$$$. $$$$$ $$$$, $$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$, $ $$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$, $$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$$$$.

$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$ $$ $$$$$$ $$$$$$$$$$ $$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$ $ $$$$$$$$$$ $$-$$$$$$ $$$$$$$$$ $$$$$$, $$$$$, $$$$$$$$$$$$ $$$ $$$$$$$$$$, $ $$$$$ $$$$$$$$$$ $$$$$$. $ $$$$$$$$$ $$$$$$$, $$$ $$$$$$$$$$ $$$$$$$$$$ $$$ $$$ $$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$, $$$$$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$, $$$ $$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$. $$$$$$, $$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$, $$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$.

$$$$$ $$$$$$$, $$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$: $$$$, $$$$$$$$$ $$$$$$$, $$$$$$$$$ $$$$$ $ $$$$$$ $ $$$$$$$ $$$$$$$$$$$. $$$$$$ $$ $$$$ $$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$$$, $$$$$$$$$$$$$$ $ $$$$$$$$$$$$$ $ $$$$$ $$$$$$ $$$$$$$$$ $ $$$$$$$. $$$$$$$$$$$ $$$$$$$$$$$$$ $$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$$$$$$$$$$$$$$ $$$$$$$ $ $$$$$ $ $$$$$$$ $$$$$$ $$$$$$, $ $$$$$ $$ $$$$$$$$ $$$$$$$$, $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$ $$ $$$$$$$$$$$$$.

Помимо перечисленных основных типов следов, существуют дополнительные категории артефактов, которые могут быть использованы для выявления пользовательской активности в приложениях удалённого доступа. Одной из таких категорий являются артефакты файловой системы, связанные с изменением метаданных файлов и каталогов. Операционная система Windows ведёт журнал изменений файловой системы $UsnJrnl (Update Sequence Number Journal), который фиксирует все операции создания, удаления, переименования и модификации файлов на томе NTFS. Анализ данного журнала позволяет восстановить последовательность действий пользователя при работе с файлами через приложения удалённого доступа, включая копирование, перемещение и удаление файлов. Как отмечает в своей работе Е.А. Морозов, журнал $UsnJrnl является одним из наиболее надёжных источников информации, поскольку он не может быть легко очищен или изменён пользователем [14].

Другим важным источником следов являются артефакты, связанные с использованием буфера обмена. Приложения удалённого доступа, как правило, поддерживают синхронизацию буфера обмена между локальным и удалённым компьютерами, что позволяет пользователю копировать текст, изображения и другие данные между системами. Операционная система Windows сохраняет историю буфера обмена в файле %LocalAppData%\Microsoft\Windows\Clipboard\clipboard.dat, а также в оперативной памяти. Анализ данных артефактов может предоставить информацию о содержимом, которое передавалось между системами, включая фрагменты текста, URL-адреса, изображения и другие данные. Особый интерес представляет анализ буфера обмена при передаче учётных данных, что может свидетельствовать о несанкционированном доступе.

Следует также обратить внимание на артефакты, связанные с использованием планировщика задач Windows. Многие приложения удалённого доступа используют планировщик задач для автоматического запуска, обновления или выполнения периодических операций. Записи в планировщике задач могут содержать информацию о времени запуска приложения, его расположении на диске и параметрах командной строки. Анализ данных записей позволяет определить, было ли приложение настроено на автоматический запуск при загрузке системы или при входе пользователя, что может свидетельствовать о намерении обеспечить постоянный удалённый доступ к системе [30].

Значительный объём информации может быть получен из анализа артефактов браузера, если приложение удалённого доступа использовалось через веб-интерфейс. Некоторые приложения, такие как Chrome Remote Desktop или веб-версии TeamViewer, работают через браузер и оставляют следы в виде истории посещений, кэша и файлов cookie. Анализ данных артефактов позволяет определить, когда и с какого устройства осуществлялся доступ к веб-интерфейсу приложения, а также какие действия выполнялись в процессе сеанса.

Важным дополнением к перечисленным типам следов являются артефакты, связанные с использованием съёмных носителей и внешних устройств. При передаче файлов через приложения удалённого доступа пользователь может использовать внешние накопители, которые подключаются к локальному или удалённому компьютеру. Операционная система Windows фиксирует подключение и отключение устройств в журнале событий и в реестре, что позволяет установить факт использования внешних носителей в контексте сеанса удалённого доступа. Данная информация может быть полезна для определения способа передачи конфиденциальных данных.

Необходимо также учитывать артефакты, связанные с использованием виртуальных машин и контейнеров. В некоторых случаях пользователи могут запускать приложения удалённого доступа внутри виртуальной машины для обеспечения дополнительного уровня анонимности или для $$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$. В $$$$$ случаях $$$$$ $$$$$$$$$$ могут $$$$ $$$$$$$$$$$$ $$$$$ $$$$-$$$$$$$$ и $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$, $$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$ и $$$$$$$ $$$$$$.

$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$ $$$ $$$$$ $$$$$$$$ $$$$$$$$$ $$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$$$$. $$$$$$, $$$ $$$$$$$$ $$$$$$$$$$$$$, $$$$$$$$$ $$$$$ $$$$$ $$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$ $$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$, $$$$$$$$ $$ $$$$$$ $$$$$ $$$ $$$$$$ $$$$$$$$. $$$$$$$ $$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$ [$].

$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$ $$$$$$$$$ $$$$$$$. $$$$$$$$$ $$$$$$$$$$, $$$$$ $$$ $$$, $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$, $$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$$$$$. $$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$ $ $$$$ $$$$$$$ $ $$$$$$$ $ $$$$$$$$ $$$$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$$$$.

$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$ $$$$$$ $$$$$$, $$$$$$$$$ $ $$$$$$$$$ $$$$$$ $$$ $$$$$$$$$$ $$$$$. $$$$$$$$$$$$, $$$$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$, $$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$ $$$$$$$ $$$$$$$$, $$$$$$$$ $$$$$$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$$ $ $$$$$$$. $$$$$$, $$$ $$$$$$$$$$ $$$$$$$$, $$$$$$ $$$$$$$$$$$ $$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$, $$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$, $$$$$$$ $$$$ $$ $$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$ $$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$ $$$$ $$ $$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$ $ $$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$. $$$$, $$$$$$$$$ $$$$$$$, $$$$$$$$$ $$$$$ $ $$$$$$ $ $$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$, $$ $$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$. $$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$, $$$$$$ $$$$$$, $$$$$$$$$$$$ $$$$$, $$$$$$$$ $ $$$$$$$ $$$$$$$$$, $$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$$$. $$$$$$$$$$$ $$$$$$ $ $$$$$ $ $$$$$$$ $$$$ $$$$$$$$$ $$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$$, $$$$$$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$$$$ $$$$$ $$$$$$ $ $$$$$$ $$$$$$$$, $$$$$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$ $$ $$$$$$$$$$$$$.

Методологические подходы к выявлению и анализу цифровых следов в компьютерной криминалистике

Разработка эффективной методики выявления следов пользовательской активности в приложениях удалённого доступа невозможна без опоры на фундаментальные методологические принципы компьютерной криминалистики. Данная область знаний представляет собой совокупность научных методов и практических приёмов, направленных на обнаружение, фиксацию, извлечение и анализ цифровых доказательств с целью восстановления событий, имевших место в информационной системе. Методологические подходы, сложившиеся в компьютерной криминалистике за последние десятилетия, обеспечивают научную обоснованность и юридическую значимость результатов экспертизы.

Одним из основополагающих принципов компьютерной криминалистики является принцип неизменности доказательств, который требует, чтобы все действия по сбору и анализу цифровых следов не вносили изменений в исходные данные. Данный принцип реализуется через использование специализированных аппаратных и программных средств, позволяющих создавать точные побитовые копии носителей информации и работать исключительно с копиями, не затрагивая оригиналы. Как отмечает в своей работе А.В. Костин, соблюдение данного принципа является критически важным для обеспечения допустимости цифровых доказательств в судебном разбирательстве [5]. В контексте выявления следов приложений удалённого доступа это означает необходимость использования методов криминалистического копирования перед началом любого анализа.

Вторым важным методологическим подходом является системный подход к анализу цифровых следов, который предполагает рассмотрение информационной системы как единого целого, где каждый элемент взаимосвязан с другими. Данный подход требует от эксперта учёта всех возможных источников информации, включая операционную систему, файловую систему, реестр, журналы событий, сетевые соединения и прикладное программное обеспечение. Только комплексный анализ всех компонентов системы позволяет восстановить полную и достоверную картину событий. Исследования И.С. Петрова показывают, что применение системного подхода существенно повышает вероятность обнаружения скрытых или замаскированных следов, которые могут быть упущены при фрагментарном анализе [19].

Методологический подход, основанный на временном анализе, занимает центральное место в компьютерной криминалистике. Временные метки, присваиваемые операционной системой каждому событию, позволяют построить хронологическую последовательность действий пользователя и восстановить динамику развития событий. В операционной системе Windows временные метки фиксируются в различных источниках: файловые системы NTFS хранят времена создания, модификации и доступа к файлам; журналы событий содержат точное время каждого зарегистрированного события; реестр Windows фиксирует время последнего изменения ключей. Анализ и сопоставление временных меток из разных источников позволяет выявить аномалии и несоответствия, которые могут свидетельствовать о попытках фальсификации или уничтожения следов [26].

Важным методологическим подходом является использование метода цепочки доказательств (chain of custody), который обеспечивает документальное подтверждение того, что цифровые доказательства не были изменены или скомпрометированы в процессе сбора, хранения и анализа. Данный метод предполагает ведение подробной документации всех действий, совершённых с доказательствами, включая информацию о том, кто, когда и с какой целью осуществлял доступ к данным. Соблюдение цепочки доказательств является обязательным требованием для признания результатов компьютерно-технической экспертизы в качестве доказательств в судебном процессе.

В контексте выявления следов приложений удалённого доступа особое значение приобретает методологический подход, основанный на анализе артефактов (artifact-based analysis). Данный подход предполагает идентификацию и изучение специфических артефактов, характерных для каждого конкретного $$$$$$$$$$. $$$ $$$$$$$$$$ $$$$$$$$$$$$ $.В. $$$$$$$$, $$$$$$$$$ $$$$$$$$$$ удалённого доступа $$$$$$$$$ $$$$$$$$$$ $$$$$$ следов, $$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$$$$$$ и $$$$$$$$$$$$ для $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ [$$]. $$$$$$$$, $$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$.$$$ и $$$$$$$$$$*.$$$, $ $$$$$ $$$$$$$ $ $$$$$$$ $$ $$$$ $$$$$$$$$$$$$$$$$\$$$$$$$$\$$$$$$$$$$. $$$$$$$, $ $$$$ $$$$$$$, $$$$$$$$$ $$$$$ $ $$$$ $$$$$$ $$$$$$.$$$$ и $$$$$.$$$, $ $$$$$ $$$$$$$ $ $$$$$$$ $$ $$$$ $$$$$$$$$$$$$$$$$\$$$$$$$$\$$$$$$$. $$$$$$$$$$$$$$ $$$$$$ артефактов $$$$$$$$$ $$$$$$$ $$$$ $$$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ для $$$$$$$$$$$$$ $$$$$$$$ выявления следов.

$$$$$$$$$$$$$$$$ $$$$$$, $$$$$$$$$$ $$ $$$$$$$ $$$$$$$$ $$$$$$$ ($$$$$$$ $$$$$$$$$), $$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$ $$$$$$$$. $$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$, $$$$$$ $ $$$$$$ $$$$$$$ $$$$$$$, $$$$$$$$$$$$ $$$$$ $$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$. $$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$ $$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$$ $$-$$$$$$ $$$$$$$$$$, $$$$$$$$$$$$ $$$$$ $ $$$$$$$$$, $ $$$$$, $ $$$$$$$$$ $$$$$$$, $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$. $$$$$$, $$$ $$$$$$$$ $.$. $$$$$$$, $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$ [$$].

$$$$$$$$$$$$$$$$ $$$$$$, $$$$$$$$$$ $$ $$$$$$$ $$$$$$$$$$$ $$$$$$ ($$$$ $$$$$$$$$), $$$$$$$$$$$ $$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$, $$$$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$. $$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$ $ $$$$$$$$ $$$$, $$$$$ $$$$$$$$$$ $ $$$$$$$$$$ $$$$$$ $$$$$$. $$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$, $ $$$$$ $$$$$$$$$$ $$$$$$ $$$ $$$$$$$$$$$$$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$ $$$$$$.

$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$, $$$$$$$$$$ $$ $$$$$$$ $$$$$$$$$ ($$$$$$$$$$ $$$$$$$$), $$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$$$$$ $$ $$$$$$$$$$$ $$$$$$$$$. $$$$$$ $$$$$$ $$$$$ $$$$ $$$$$$$$$$ $$$ $$ $$$$$$ $$$$$$$$$$$$ $$$$$$$, $$$ $ $$ $$$$$$ $$$$, $ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$, $$$$$$$ $$$$$ $$$$$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$. $$$$$$$$, $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$ $$$, $$$$$$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$, $$$$$ $$$$$$$$$ $$ $$$$$ $$$$$$$ $$$$$$$$ $$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$ $ $$$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$, $$$$$$$ $ $$$$$$$, $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$. $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$, $$$$$$$$$ $$$$$$, $$$$$$$$$ $$$$$$, $$$$$ $$$$$$$ $$$$$$$$$$$$$, $$$$$$ $$$$$$$$$$, $$$$$$ $$$$$$$$ $$$$$$$, $$$$$$ $$$$$$$$$$$ $$$$$$ $ $$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$. $$$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$ $$ $$$$$$$$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$ $ $$$$$$ $$$$$$$$$$ $$$$$$$$, $$$$$$$$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$.

Продолжая рассмотрение методологических подходов, необходимо остановиться на методах криминалистического анализа файловых систем, которые составляют основу большинства экспертных исследований. Файловая система NTFS, используемая в современных версиях Windows, обладает рядом особенностей, которые делают её особенно ценной с точки зрения компьютерной криминалистики. Одной из таких особенностей является ведение журнала изменений $UsnJrnl, который фиксирует все операции, связанные с изменением файлов и каталогов на томе. Данный журнал является практически неограниченным по размеру и хранит записи о событиях в течение длительного времени, что позволяет восстанавливать историю работы с файлами даже после удаления самих файлов. Кроме того, файловая система NTFS поддерживает механизм теневого копирования (Volume Shadow Copy), который создаёт резервные копии файлов в определённые моменты времени, что может быть использовано для восстановления удалённых или изменённых данных.

Метод криминалистического анализа метаданных файлов также имеет важное значение для выявления следов приложений удалённого доступа. Каждый файл в системе NTFS содержит расширенный набор атрибутов, включая время создания, время последней модификации, время последнего доступа и время изменения метаданных. Анализ данных временных меток позволяет определить, когда файл был создан, изменён или открыт, что может быть сопоставлено с временем сеансов удалённого доступа. Особый интерес представляют файлы, которые были созданы или изменены в период, когда было установлено удалённое соединение, поскольку это может свидетельствовать о передаче данных или выполнении других операций.

В контексте анализа следов приложений удалённого доступа важное значение приобретает метод криминалистического анализа реестра Windows. Реестр представляет собой иерархическую базу данных, содержащую настройки операционной системы и приложений. Анализ реестра позволяет получить информацию об установленных приложениях, их конфигурации, истории использования, а также о настройках безопасности системы. Для выявления следов приложений удалённого доступа особый интерес представляют ветки реестра, связанные с автозагрузкой, сетевыми настройками и историей подключений. Как отмечает в своём исследовании П.А. Громов, анализ реестра может быть проведён как в офлайн-режиме, путём анализа сохранённых кустов реестра, так и в онлайн-режиме, при условии, что система не выключена [1]. Каждый из этих подходов имеет свои преимущества и ограничения, которые необходимо учитывать при выборе метода анализа.

Метод криминалистического анализа журналов событий Windows является одним из наиболее информативных источников информации о действиях пользователя. Журналы событий содержат записи о событиях безопасности, системных событиях и событиях приложений, которые могут быть использованы для восстановления хронологии действий пользователя. Для выявления следов приложений удалённого доступа особый интерес представляют события с идентификаторами 4624 (успешный вход), 4634 (выход), 4647 (инициация выхода), 4778 (переподключение к сеансу), 4779 (отключение от сеанса), а также события, связанные с запуском и остановкой служб. Анализ данных событий позволяет определить точное время начала и окончания сеансов удалённого доступа, а также учётные записи, используемые для подключения.

Метод криминалистического анализа сетевых соединений основан на изучении информации о сетевых подключениях, которая может быть получена из различных источников. Операционная система Windows ведёт таблицу открытых соединений, которая может быть просмотрена с помощью команды netstat или получена из системных структур данных. Кроме того, информация о сетевых соединениях может быть получена из журналов файрвола Windows, журналов DHCP и DNS, а также из данных, собранных средствами мониторинга сети. Анализ сетевых соединений позволяет определить IP-адреса и порты удалённых хостов, к которым осуществлялось подключение, а также время начала и окончания соединений [24].

Важным методологическим подходом является использование методов статистического анализа для выявления аномалий в поведении приложений удалённого доступа. Данный подход предполагает сбор статистических данных о нормальном функционировании системы и последующее выявление отклонений, которые могут $$$$$$$$$$$$$$$$$ о $$$$$$$$$$$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$$. $$$$$$$$, $$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$, $$$$$$$$$$$$$ $$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$$ $ $$$$$$$$$ $$-$$$$$$$ могут $$$$$$$$ $$$$$$$$$$$$ $$$$$. $$$$$$$$$$$$$$ $$$$$$ могут $$$$ $$$$$$$$$$$ $$$ $$ $$$$$$ $$$$$$$$$$$$ системы, $$$ и $$ $$$$$$ $$$$, и $$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$ выявления $$$$$$$$$$$$$$ $$$$$$$$$$.

$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$ ($$$$$$$$ $$$$$$$$) $$$$$$$$ $$$$$ $$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$. $$$$$$ $$$$$ $$$$$$$$$$$$ $$$$ $$$$ $$$$$$$$$ $$$$$ $$ $$$$$$$$$ $$$$$$$$$$ ($$$$$$$$ $$$$$$$, $$$$$$, $$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$$) $ $$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$, $$ $$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$$$$ $$$$$$$. $$$$$$ $$$$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$-$$$$$$$$$$$$ $$$$$ $$$$$ $$$$$$$$$, $$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$ $$$$$$$$, $$$$$$$ $$$$$ $$$$$$$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$. $$$$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$.

$ $$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$ $$$$$$$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$ $$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$ $$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$. $$$$$$$$, $$$$$$$$$$$ $$$$$$ $ $$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$ $$$$$ $ $$$$$$$$$$$$ $$-$$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $ $$$$$$$ $$ $$$$$$$ $$$$$$$$ $ $$$$$$$ $$$$$$$$$$ $ $$$ $$ $$-$$$$$$$, $ $$$$$ $ $$$$$$$$ $ $$$$$$$ $$ $$$$$$$ $$$$$$$$$$$ $$$. $$$$$$$$$$ $$$$$$ $$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$.

$$$$$$$$$$ $$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$, $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$ $$$$ $$$$$$$$$ $$$$$$ $$$ $$$$$$$ $$$$$$$$$$$$$. $$$$$$ $$$$$ $$$$$$$$ $ $$$$ $$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$, $$$$$$ $$$$$ $$$$$$$$, $$$$$$ $$$$$$$ $$$$$, $ $$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$. $ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$ $$$$$$$$, $$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$, $$$$$$$$$$$$$$ $ $$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$ $$$$$$ $ $$$$$$$$$$ $$$$$$ $$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$ $ $$$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$ $ $$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$ $ $$$$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$$$ $$$ $$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$ $$$$ $$ $$$$$$$. $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$, $$$$$$$$$ $$$$$$, $$$$$$$$$ $$$$$$, $$$$$$ $$$$$$$$$$, $$$$$$ $$$$$$$$ $$$$$$$, $$$$$$ $$$$$$$$$$$ $$$$$$, $$$$$$ $$$$$$$$ $$$$$$, $$$$$$ $$$$$$$, $$$$$$ $$$$$$$$ $$$$$$$, $$$$$$$$$$$$$$ $$$$$$, $$$$$$$$$$ $$$$$$$$$ $$$$, $$$$$$$$$$$$$$ $$$$$$ $ $$$$$$ $$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$, $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$. $$$$$ $$$$$$$$$$ $$$$$$$ $ $$ $$$$$$$$$$ $$$$$$$ $$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$, $$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $ $$$$$ $$$$$$$$$$$$. $$$$$$$$$$ $$$$$$ $$$$$$ $$$$ $$$$$$$$$$ $$ $$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$ $$$$$$ $$$$$$$$, $$$$$$$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$.

Обзор популярных приложений удалённого доступа (RDP, TeamViewer, AnyDesk, VNC) и их особенностей формирования следов

Для разработки эффективной методики выявления следов пользовательской активности необходимо детальное изучение конкретных приложений удалённого доступа, их архитектуры, механизмов функционирования и особенностей формирования цифровых артефактов. Наиболее распространёнными на рынке решениями являются встроенный протокол RDP (Remote Desktop Protocol) от Microsoft, а также сторонние приложения TeamViewer, AnyDesk и решения на основе протокола VNC (Virtual Network Computing). Каждое из данных приложений обладает уникальными характеристиками, которые определяют специфику оставляемых следов.

Протокол RDP является встроенным компонентом операционной системы Windows, начиная с версии Windows XP, и обеспечивает возможность удалённого управления компьютером через графический интерфейс. Одной из ключевых особенностей RDP является его глубокая интеграция с системными механизмами аутентификации и протоколирования Windows. Как отмечает в своём исследовании С.В. Кузнецов, RDP использует единую систему учётных записей Windows, что означает, что все события входа и выхода через RDP фиксируются в журнале безопасности с соответствующими идентификаторами событий [16]. Данная особенность делает RDP одним из наиболее прозрачных приложений с точки зрения компьютерной криминалистики, поскольку эксперту доступен полный перечень системных журналов, содержащих информацию о каждом сеансе подключения.

С точки зрения формирования следов, RDP оставляет множество артефактов в различных областях системы. История подключений сохраняется в файле Default.rdp, расположенном в профиле пользователя, а также в реестре Windows по пути HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client. Данные записи содержат информацию об IP-адресах или DNS-именах удалённых хостов, а также о настройках сеанса, таких как разрешение экрана, параметры звука и перенаправление устройств. Кроме того, RDP создаёт временные файлы в каталоге %TEMP%, которые могут содержать кэшированную графическую информацию и другие данные, связанные с сеансом. Важно отметить, что RDP поддерживает функцию переподключения к существующему сеансу, что также фиксируется в системных журналах.

Приложение TeamViewer является одним из наиболее популярных сторонних решений для удалённого доступа, особенно в среде малого и среднего бизнеса. Архитектура TeamViewer основана на гибридной модели, сочетающей прямое соединение между клиентом и сервером с использованием промежуточных серверов для установления связи. Данная архитектура обеспечивает высокую надёжность соединения, но одновременно создаёт сложности для анализа трафика, поскольку данные передаются в зашифрованном виде. TeamViewer использует проприетарный протокол шифрования, основанный на алгоритме RSA с длиной ключа 2048 бит, что делает анализ содержимого трафика практически невозможным без использования специализированных методов [2].

С точки зрения формирования следов, TeamViewer оставляет значительное количество артефактов в файловой системе и реестре Windows. Основные файлы конфигурации и журналы расположены в каталоге %APPDATA%\TeamViewer и включают файлы Connections.txt (история подключений), TeamViewer.log (журналы работы приложения) и TeamViewer.conf (файлы конфигурации). В реестре Windows TeamViewer создаёт ключи в ветке HKEY_CURRENT_USER\Software\TeamViewer, $$$ $$$$$$$$ $$$$$$$$$ приложения, $$$$$$$$$$$$$ $$$$$$$$$$ и история подключений. $$$$$ $$$$, TeamViewer $$$$$ $$$$$$$$$ $$$$$$ в $$$$$$$$$$$$ $$$$$ $$$ $$$$$$$$$$$$$$$ $$$$$$$ и $$$$$$$$$$, $ $$$$$ $$$$$$ в $$$$$$$$$$$$ $$$$$$$.

$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$ $$$$$$ $$$$$$$$$$ $ $$$$$$$$ $$ $$$$$$$ $$$$$$$$$$$$$$$$$$ $ $$$$$$ $$$$$$$$. $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$, $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$ $ $$$$$$$$$$$ $$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$. $$$ $ $$$$$$$$$$, $$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$ $$$$$$$$$$ $$$$$$ $$$$$$$ $$$$$$. $$$$$$, $ $$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$$$$$, $$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$ [$$].

$$$$$$$ $$$$$$$$$ $$$$$ $ $$$$$$$$ $$$$$$$ $ $$$$$$$$ %$$$$$$$%\$$$$$$$, $$$ $$$$$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$.$$$$, $$$$$$$ $$$$$$ $$$$$.$$$ $ $$$$$, $$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$. $ $$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$ $$$$$ $ $$$$$ $$$$$$$$$$$$$$$$$\$$$$$$$$\$$$$$$$, $$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$. $$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$ $$$$$$ $$$ $$$$$$$$$, $$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$, $$ $$ $$$$$$$$$ $$ $$$$$$$$$, $$$$$$$$$ $$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$ $$$$$ $ $$$$$$ $ $$$$$$$$ $$$$$$$ $$$$$$$.

$$$$$$$ $$ $$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$$$ $$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$, $$$$$ $$$ $$$$$$$$, $$$$$$$$ $ $$$$$$$. $$$$$$$$ $$$ $$$$$$$$$$ $$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$ $$$$$$$$$$$ $$$$$$$$$$, $$$ $$$$$$$, $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$, $$$$$ $$$ $$$ $$$ $$$-$$$$$$$$$$$$$$. $ $$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$, $$$-$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$, $$$$$$$$$ $$$ $$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$ $ $$$$$ $$$$ $$$$$ $$$$$$$$ $$ $$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$.

$$$$$, $$$$$$$$$$$ $$$-$$$$$$$$$$$$, $$$$$$$ $$ $$$$$$$$$$ $$$$$$$$$$, $$ $ $$$$$ $$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$$$ $ $$$$$$$$ %$$$$$$$% $$$$$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$ $ $$$$$$$ $$$$$$$, $ $$$$$ $$$$$$ $ $$$$$$$ $$$$$$$$$$$. $$$$$ $$$$$$$$, $$$ $$$-$$$$$$$ $$$$$ $$$$$$$$ $$$ $$$$$$ $$$$$$$, $$$ $$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$ $$$$$$$. $$$$$ $$$$, $$$$$$ $$$-$$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$, $$$ $$$$$$ $$ $$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$, $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$ $$$$$$. $$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$ $ $$$$$$$$$$$$$ $ $$$$$ $$$$$$ $$$$$$$$$$$$$$, $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$, $ $$$-$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$$$$. $$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$, $$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$ $$ $$$$$$$$$$$$$ $$$$$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$ $$ $$$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$$$, $ $$$$$$$$$$ $$$$$$$$$$ $$ $$$$$$$$$$$.

Помимо рассмотренных приложений, необходимо уделить внимание менее распространённым, но всё же значимым решениям удалённого доступа, которые могут быть использованы злоумышленниками или в корпоративной среде. К числу таких решений относятся приложения Ammyy Admin, LiteManager, Radmin и Chrome Remote Desktop. Каждое из данных приложений имеет свои особенности формирования следов, которые необходимо учитывать при разработке комплексной методики выявления.

Приложение Ammyy Admin отличается минималистичным дизайном и возможностью работы без установки, что делает его привлекательным для злоумышленников, стремящихся оставить минимальное количество следов. Ammyy Admin использует собственный протокол шифрования и сохраняет историю подключений в файле ammyy.ini, расположенном в каталоге приложения. Важной особенностью Ammyy Admin является то, что он может работать в портативном режиме, не оставляя записей в реестре Windows, однако его активность всё равно фиксируется в системных журналах событий и файлах Prefetch. Как отмечает в своём исследовании О.И. Белова, выявление следов Ammyy Admin требует особого внимания к анализу временных файлов и сетевых соединений, поскольку стандартные методы поиска записей в реестре могут оказаться неэффективными [22].

Приложение LiteManager является российской разработкой и широко используется в корпоративной среде для администрирования компьютеров. LiteManager состоит из серверной и клиентской частей, которые могут быть установлены как с правами администратора, так и в пользовательском режиме. С точки зрения формирования следов, LiteManager оставляет записи в реестре Windows по пути HKEY_LOCAL_MACHINE\SOFTWARE\LiteManager, а также создаёт файлы конфигурации и журналы в каталоге Program Files. Особенностью LiteManager является возможность ведения подробных журналов всех действий пользователя, включая нажатия клавиш и движения мыши, что может быть использовано для восстановления полной картины сеанса удалённого доступа.

Приложение Radmin, также являющееся российской разработкой, ориентировано на профессиональное использование и предоставляет широкие возможности для удалённого администрирования. Radmin использует собственный протокол шифрования и поддерживает различные методы аутентификации, включая аутентификацию Windows и собственную систему учётных записей. Следы Radmin включают записи в реестре Windows, файлы конфигурации в каталоге Program Files, а также журналы подключений, которые могут быть настроены на сохранение подробной информации о каждом сеансе. Важной особенностью Radmin является возможность работы в режиме скрытого сервера, который не отображается в системном трее и не создаёт видимых признаков своей активности, что существенно усложняет его обнаружение.

Chrome Remote Desktop является бесплатным расширением для браузера Google Chrome, которое позволяет осуществлять удалённый доступ к компьютеру через веб-интерфейс. Данное приложение отличается простотой использования и не требует установки дополнительного программного обеспечения, кроме браузера. С точки зрения формирования следов, Chrome Remote Desktop оставляет артефакты в виде записей в истории браузера, файлов cookie и кэша, а также создаёт собственные файлы конфигурации в каталоге профиля пользователя Chrome. Особенностью Chrome Remote Desktop является использование учётной записи Google для аутентификации, что означает, что $$$$$$$$$$ $ $$$$$$$ $$$$$ $$$$$$$$$ $$ $$$$$$$$ Google и $$$$ $$$$$$$$$$$ для $$$$$$$$$$ $$$$$$$ [$$].

$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$ $ $$$$$$$$ $$$$$$$$$ $ $$$$$$$$, $$$$$$$ $$$$$$ $$ $$$$$$$$ $$$$$$$$$$$ $$$$$$. $$$$$$$$$$, $$$$$$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$$$, $$$ $$$$$$$, $$$$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$$, $$$$$$$$$$$$$ $$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$$ $ $$$$$$$ $$$$$. $$$$$$$$$$, $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$, $$ $$$$$$$$$ $$$$$$$ $ $$$$$$$, $$ $$$$$$$ $$$$$$$$$ $$$$$ $ $$$$$ $$$$ $$$$$$$$$$ $$$$$ $$$$$$ $$$$$$ $$$$$$$$ $ $$$$$$$$ $$$$$$$. $$$$$$$$$ $$$$$$$$$$, $$$$$ $$$ $$$$$$$$$$ $ $$$$$$$, $$$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$, $$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$$, $$$ $$$$$$$$$$ $$$$$$$$$ $$$ $$$$$$ $$$$$$$ $$$$$$ $$$$$$.

$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$ $$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$. $$$, $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$ $$$$$$$, $$$$$$$$$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$. $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$, $$ $$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$ $$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$. $$$-$$$$$$$, $ $$$$$$$$$$$ $$ $$$$$$$$$$, $$$$$ $$$ $$$$$ $$$$$$$$$ $$$$$$$, $$$ $ $$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$. $$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$, $$$$$$$$$ $$$ $$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$ $ $$$$$ $ $$$$$$$ $$$$$$.

$ $$$$$ $$$$$$ $$$$$$$$$$$$, $$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$ $$$$$$$ $$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$$$$. $$$ $$$$$$$$$$ $$$$$$$$$$ $$ $$$$$$ $$$, $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$, $ $$$-$$$$$$$ $$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$, $$$ $ $$$$$$$$$$$$$$ $$$$$$$$$, $$$$$ $$$ $$$-$$$$$$$$$$$$$$. $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$, $$$$$$ $$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$, $$$$$ $$$ $$-$$$$$$, $$$$$ $ $$$$$ $$$$$$$$$$$$ $$$$$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$ $$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$ $$$$$$$. $$$, $$$$$$$$$$, $$$$$$$, $$$-$$$$$$$, $$$$$ $$$$$, $$$$$$$$$$$, $$$$$$ $ $$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$ $$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$, $$$$$$ $$ $$$$$$$ $$$$$ $$$$ $$$$$$$$$$ $$$$$$$$$$$$$$, $$$$$$$$ $$ $$$$$$$$$$$ $ $$$$$ $$$$$$$$$$$ $$$$$$. $$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$, $$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$ $$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$ $$$$$ $$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$ $$ $$$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$.

Сравнительный анализ существующих инструментов и методик обнаружения следов активности

Разработка авторской методики выявления следов пользовательской активности в приложениях удалённого доступа требует тщательного изучения и критической оценки существующих инструментов и методик, применяемых в практике компьютерной криминалистики. Современный рынок программного обеспечения для криминалистического анализа предлагает широкий спектр решений, различающихся по функциональности, стоимости, поддерживаемым источникам данных и методологии анализа. Систематизация и сравнительный анализ данных инструментов позволяют выявить их сильные и слабые стороны, а также определить направления для совершенствования.

Одним из наиболее известных и широко используемых инструментов является комплекс Autopsy/The Sleuth Kit, который представляет собой открытую платформу для криминалистического анализа цифровых данных. Autopsy поддерживает анализ файловых систем NTFS, FAT, EXT и других, позволяет восстанавливать удалённые файлы, анализировать метаданные и журналы событий. Как отмечает в своём исследовании А.Д. Фёдоров, Autopsy обладает модульной архитектурой, которая позволяет расширять его функциональность за счёт подключения дополнительных модулей, в том числе модулей для анализа реестра Windows и журналов событий [4]. Однако, применительно к задаче выявления следов приложений удалённого доступа, Autopsy имеет существенное ограничение: он не предоставляет специализированных инструментов для автоматического поиска артефактов, характерных для конкретных приложений, что требует от эксперта глубоких знаний о локализации и структуре таких артефактов.

Другим популярным инструментом является EnCase Forensic, разработанный компанией Guidance Software. EnCase представляет собой коммерческое решение, обладающее широкими возможностями для сбора, анализа и документирования цифровых доказательств. Инструмент поддерживает анализ реестра Windows, журналов событий, файловых систем и сетевых соединений, а также предоставляет встроенные скрипты для автоматизации поиска типовых артефактов. Преимуществом EnCase является наличие обширной базы знаний о сигнатурах файлов и артефактах популярных приложений, включая некоторые приложения удалённого доступа. Однако, как показывают исследования Д.В. Соколова, база знаний EnCase обновляется нерегулярно и может не содержать информации о последних версиях приложений, что снижает эффективность его использования для выявления следов новых или малораспространённых решений [25].

Инструмент FTK (Forensic Toolkit) от компании AccessData также занимает значительное место на рынке криминалистического программного обеспечения. FTK предоставляет возможности для анализа файловых систем, реестра, журналов событий и электронной почты, а также включает инструменты для восстановления удалённых файлов и анализа оперативной памяти. Особенностью FTK является наличие встроенного модуля для анализа артефактов Windows, который автоматически извлекает и систематизирует информацию из реестра, журналов событий и других источников. Однако, как отмечает П.А. Громов, модули FTK для анализа приложений удалённого доступа ограничены поддержкой только наиболее распространённых решений, таких как RDP, и не обеспечивают полного покрытия для TeamViewer, AnyDesk и других сторонних приложений [4].

Среди российских разработок следует отметить инструмент «Мобильный криминалист» (Mobile Forensic), который, несмотря на название, включает модули для анализа не только мобильных устройств, но и персональных компьютеров. Данный инструмент ориентирован на российский рынок и учитывает особенности отечественного законодательства в области компьютерно-технической экспертизы. «Мобильный криминалист» поддерживает анализ файловых систем Windows, реестра и журналов событий, а также предоставляет инструменты для построения временных шкал и корреляционного анализа данных. Однако, как показывает практика, функциональность данного инструмента в части анализа приложений удалённого доступа ограничена и требует доработки.

Помимо комплексных криминалистических платформ, существуют специализированные инструменты, ориентированные на анализ конкретных типов артефактов. Например, инструмент RegRipper предназначен для автоматизированного анализа $$$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$ $$ $$$$$$, $$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$. RegRipper $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$, $$$ $$$$$$ $$$$$$ $$$$$$$$ $$ анализ $$$$$$$$$$$$$ $$$$$$ $$$$$$ $$$$$$$. $$$$$$$$$$ $$$$$$ для анализа $$$$$$ $$$, $$$$$$$$$$ $ $$$$$$ $$$$$$$$$$, $$$$$$ $$ $$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$$. $$$$$$$$$$$ $$$$$$$, инструмент $$$$$$$$$ $$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$ $ $$$$$$$$$ $$ $$$ $$$$$$$$$$ $ $$$$$$$$, $$$$$$$$$ $ $$$$$$$$$ $$$$$$$$.

$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$. $ $$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$. $$$$$ $$ $$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$, $$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$$$ $$$$ ($$$$$$$$ $$$$$$$$), $$$$$$$ $$$$$$$$$$$$ $$$$ $$$$ $$$$$$$$$ $$$$$ $$ $$$$$$$$$ $$$$$$$$$$ $ $$ $$$$$$$$$$$$ $ $$$$ $$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$. $$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$, $$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$ $$ $$$$ $ $$$$$$$$$ $$$$$$.

$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$ $$ $$$$$$$ $$$$$$$$ ($$$$$$$$$-$$$$$ $$$$$$$$), $$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$ $$$$$ $$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$. $$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$ $ $$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$$$, $$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$ $$ $$$$$$$ $ $$$$$$$$$$$$ $$$$ $$$$$$$$. $$$ $$$$$$$$ $.$. $$$$$$$, $$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$ $$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$, $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$ [$$].

$$$$$$$$, $$$$$$$$$$ $$ $$$$$$$ $$$$$$$$$ ($$$$$$$$$$ $$$$$$$$), $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $ $$$$$$ $$$$$$$, $$$$$$$ $$$$$ $$$$$$$$$$$$$$$$$ $$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$ $$$$$$ $$$$$ $$$$ $$$$$$$$$$ $$$ $$ $$$$$$ $$$$$$$$$$$$ $$$$$$$, $$$ $ $$ $$$$$$ $$$$, $ $$$$$$$$$ $$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$$$$$$ $$$$$. $$$$$$, $$$ $$$$$$$$$$ $$$$$$$$, $$$$$$ $$$$$ $$$$$$$ $$$$$$$$$ $ $$$$$$$$ $$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$, $$$ $$$$$ $$$$ $$$$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$ $$$$$$$$$$ $$$$$$$$$$.

$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$, $$$ $$$$$$$$$$$ $$ $$$ $$$$$$$$$$$$$ $$ $$$$$$$ $$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$ $ $$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$$$$$$$ $$$$$$$$$$$, $$$$ $ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$ $$$$$$, $$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$, $$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$. $$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$, $$$$$$$ $$$$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$ $$$$ $$ $$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$ $ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$$$$$$$$$ $$$$$$ $$$$$$$. $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$, $$$$$ $$$ $$$$$$$, $$$$$$ $ $$$, $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$ $$$$$$, $$ $$ $$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$, $$$$$ $$$ $$$$$$$$$ $ $$$$$$$$$, $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$$$$, $$ $$$$$$$ $$$$$$$$$$ $ $$$$$$ $$$$$$$$. $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$, $$$$$$ $$$$$$$$ $ $$$$$$ $$$$$$$$$, $$$$$ $$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$, $$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$ $$ $$$$$$ $$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$, $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$.

Продолжая сравнительный анализ, необходимо более детально рассмотреть возможности и ограничения инструментов, ориентированных на анализ оперативной памяти, поскольку данный подход приобретает всё большее значение в контексте выявления следов приложений удалённого доступа. Инструменты для анализа оперативной памяти, такие как Volatility и Rekall, позволяют извлекать из дампа памяти информацию о запущенных процессах, открытых сетевых соединениях, загруженных драйверах и других объектах, которые могут свидетельствовать об активности приложений удалённого доступа. Volatility, являющийся одним из наиболее популярных инструментов в данной области, поддерживает анализ памяти операционных систем Windows, Linux и macOS, и предоставляет широкий набор модулей для извлечения различных типов данных.

С точки зрения выявления следов приложений удалённого доступа, Volatility позволяет обнаружить запущенные процессы, соответствующие данным приложениям, определить их идентификаторы, пути к исполняемым файлам и аргументы командной строки. Кроме того, с помощью модулей Volatility можно извлечь из памяти информацию о сетевых соединениях, включая IP-адреса и порты удалённых хостов, что позволяет установить факт удалённого подключения даже в том случае, если приложение не оставило следов в файловой системе. Как отмечает в своём исследовании И.С. Петров, анализ оперативной памяти особенно эффективен для выявления следов портативных версий приложений, которые не создают записей в реестре и не сохраняют файлы конфигурации на диске [13]. Однако, данный метод имеет существенное ограничение: он требует, чтобы система была включена на момент проведения экспертизы, и чтобы дамп памяти был получен до завершения работы приложения.

Инструменты для анализа сетевого трафика, такие как Wireshark и tcpdump, также занимают важное место в арсенале криминалиста. Данные инструменты позволяют перехватывать и анализировать сетевые пакеты, передаваемые между компьютером и удалёнными хостами. Анализ сетевого трафика может предоставить информацию о факте установления соединения, используемых протоколах, IP-адресах и портах, а также, в некоторых случаях, о содержимом передаваемых данных. Однако, как показывает практика, большинство современных приложений удалённого доступа используют шифрование трафика, что делает невозможным анализ содержимого пакетов без использования методов криптоанализа или получения ключей шифрования. Тем не менее, даже анализ метаданных сетевых соединений может предоставить ценную информацию для расследования.

Сравнительный анализ инструментов для анализа файловой системы показывает, что наиболее эффективными являются инструменты, поддерживающие анализ журнала изменений NTFS ($UsnJrnl) и теневых копий томов (Volume Shadow Copy). Инструменты, такие как NTFS Log Tracker и Shadow Explorer, позволяют извлекать из данных источников информацию о создании, изменении и удалении файлов, что может быть использовано для восстановления последовательности действий пользователя при работе с приложениями удалённого доступа. Особый интерес представляет анализ теневых копий, которые могут содержать версии файлов, существовавшие на момент создания копии, что позволяет восстановить удалённые или изменённые данные [28].

Важным аспектом сравнительного анализа является оценка удобства использования и временных затрат, связанных с применением каждого инструмента. Комплексные криминалистические платформы, такие как EnCase и FTK, предоставляют графический интерфейс и автоматизируют многие процессы, что существенно сокращает время анализа. Однако, данные инструменты являются коммерческими и требуют значительных финансовых затрат на приобретение и обновление. Инструменты с открытым исходным кодом, такие как Autopsy и Volatility, являются бесплатными, но требуют от эксперта более глубоких технических знаний и навыков работы с командной строкой. Выбор конкретного инструмента зависит от доступных ресурсов, квалификации эксперта и специфики расследуемого инцидента.

Сравнительный анализ методик, используемых в практике компьютерной криминалистики, показывает, что наиболее эффективные результаты достигаются при комбинировании различных подходов. Методика, основанная на построении временных шкал, позволяет выявить хронологическую последовательность событий, методика анализа сигнатур обеспечивает автоматизированный поиск известных артефактов, $ методика анализа $$$$$$$$$ позволяет выявить $$$$$$$$, $$$$$$$ $$$$$ $$$$$$$$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$. $$$$$$$$$$$$$$ $$$$$$ подходов в $$$$$$ $$$$$$ $$$$$$$$ позволяет $$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$ анализа, $ $$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$$$.

$ $$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$, $$$$$$$$$$ $$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$ $$ $$$$$$$$$ $$$$$$$$$$. $$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$$ $$ $$$$$$$$ $$$$$$$, $$$$$$$, $$$$$$$$ $$$$$$$ $ $$$$$$$$ $$$$$$$, $ $$$$$ $$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$. $$$$$$$$, $$$$$$$$$$$ $$$$$$ $ $$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$ $$$$$ $ $$$$$$$$$$$$ $$-$$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $ $$$$$$$ $$ $$$$$$$ $$ $$$$$$$ $$$$$$$$$$$ $$$, $ $$$$$ $ $$$$$$$ $$ $$$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$, $$$$$$$$$ $ $$$$$$ $$$$$$. $$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$ $$ $$$$$$ $$$$$$$$$$$ $$$$ $$$$$$$$$$ $$$$$$$, $$ $ $$$$$$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$$$.

$$$$$$$$$$ $$$$$ $$$$$$$$ $$$$$$$$, $$$$$$$$$$ $$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$. $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$ $$$$$$$$$$$$$$ $$$$$$ $$$ $$$$$$$$ $$$$$$$ $$$ $$$ $$$$$ $$$$$$$$$$$$, $$$ $$$$$$$$$ $$$$$ $ $$$$$$$ $$$$$$$ ($$$$$ $$$, $$$$$$$) $ $ $$$$$$$$$$$$ $$$$$. $$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$, $$$$ $$ $$$$$$$$$$ $$$$$$$$$ $$ $$$$$$$$$$ $$$$$$, $$$ $$$$$ $$$$$$$$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$ $ $$$$$$$. $$$$$ $$$$, $$$$$$ $ $$$$$$$$$$$$ $$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$ $$$$$$$$$$ $ $$$ $$$$$$$$$$$$ $$ $$$$$ [$].

$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$, $$$ $$ $$$$$$$$$$$ $$$$ $$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$, $$$$$$$ $$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$ $$$$$$$$$$ $$$$$ $$$$ $$$$$$$ $ $$$$$$ $$$$$$$, $ $$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$ $$$$$$$ $$$$$$$$$$$$$ $$$$$ $$$$$. $$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$, $$$$$$$ $$$$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$, $ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$ $$$$ $$ $$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$. $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$, $$$$$ $$$ $$$$$$$, $$$$$$ $ $$$, $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$ $$$$$$, $$ $$ $$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$, $$$$$ $$$ $$$$$$$$$, $$$$$$$$$, $$$$$$$$$$ $ $$$$$$$$$, $$$$$ $$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$$$$, $$ $$$$$$$ $$$$$$$$$$ $ $$$$$$ $$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$. $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$, $$$$$$ $$$$$$$$, $$$$$$ $$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$, $$$$$ $$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$, $$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$. $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$, $$$ $$$$$$$$$ $$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$, $$$$$$$$$$$$$ $$$$$$ $$$$$$$$ $ $$$$$$$$$$$$$$ $$$ $$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$ $$$$ $$ $$$$$$$.

Выявление ограничений и проблемных зон текущих подходов к детекции следов

Критический анализ существующих подходов к выявлению следов пользовательской активности в приложениях удалённого доступа позволяет выявить ряд существенных ограничений и проблемных зон, которые снижают эффективность современных методик и инструментов. Понимание данных ограничений является необходимым условием для разработки усовершенствованной методики, способной преодолеть существующие недостатки и обеспечить более полное и достоверное выявление цифровых артефактов.

Одним из наиболее значимых ограничений существующих подходов является их фрагментарность и отсутствие системного подхода к анализу. Большинство современных методик ориентировано на поиск отдельных типов артефактов, таких как записи в реестре или журналы событий, без учёта взаимосвязей между различными источниками информации. Как отмечает в своём исследовании А.В. Костин, фрагментарный анализ приводит к тому, что значительная часть следов остаётся необнаруженной, а полученные результаты могут быть неполными или противоречивыми [15]. Отсутствие единой методологии, интегрирующей анализ всех возможных источников информации, существенно снижает эффективность работы эксперта и увеличивает риск пропуска важных доказательств.

Другим важным ограничением является недостаточная актуальность баз знаний и сигнатур, используемых в существующих инструментах. Разработчики приложений удалённого доступа постоянно совершенствуют свои продукты, изменяя форматы хранения данных, протоколы шифрования и механизмы журналирования. Коммерческие криминалистические платформы, такие как EnCase и FTK, обновляют свои базы сигнатур с определённой периодичностью, однако этот процесс часто отстаёт от выхода новых версий приложений. Инструменты с открытым исходным кодом, такие как Autopsy и Volatility, зависят от активности сообщества разработчиков, что также не гарантирует своевременного обновления. В результате, эксперты могут столкнуться с ситуацией, когда их инструменты не распознают артефакты, созданные последними версиями приложений удалённого доступа.

Проблема шифрования данных представляет собой одно из наиболее серьёзных ограничений для современных методик выявления следов. Большинство приложений удалённого доступа, включая TeamViewer, AnyDesk и современные версии RDP, используют надёжное шифрование трафика, что делает невозможным анализ содержимого передаваемых данных без использования методов криптоанализа или получения ключей шифрования. Как подчёркивает в своей работе Д.В. Соколов, шифрование существенно ограничивает возможности анализа сетевого трафика и восстановления содержимого сеансов удалённого доступа [17]. Эксперт может установить факт соединения и определить его параметры, но не может восстановить, какие именно данные передавались или какие действия выполнялись пользователем.

Ограничения, связанные с анализом оперативной памяти, также требуют внимания. Хотя анализ дампа памяти позволяет получить доступ к информации, недоступной при анализе файловой системы, данный метод имеет ряд существенных недостатков. Во-первых, для получения дампа памяти система должна быть включена, что не всегда возможно в условиях реального расследования. Во-вторых, процесс получения дампа памяти может изменить содержимое памяти и повлиять на целостность доказательств. В-третьих, объём оперативной памяти $$$$$$$$$$$ $$$$$$$$$$$ может $$$$$$$$$ $$$$$$$$ $$$$$$$$, что $$$$$$ анализ дампа памяти $$$$$$$$$$ и $$$$$$$$$$$$$$ $$$$$$$$$.

$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$, $$$$$$$$ $$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$. $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$$ $$$$$$$$$$$ $$$$$$, $$$$$$$ $$$$$$$$$ $$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$ $$$$$ $$$$$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$. $$$$$$$$$$$ $$$$$$$, $$$$$$ $ $$$$$$$$ $$$$$$$ $$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$. $$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$, $$$ $$ $$$$$$ $$$$$$$$ $$ $$$$$$$$.

$$$$$$$$$$$, $$$$$$$$$ $ $$$$$$$ $$$$$$$, $$$$$ $$$$$$$ $$$$$$$$$$ $$$$ $$$ $$$$$$$$$$$$ $$$$$$$. $$$ $$$$$$$ $ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$, $$$$$ $$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$, $$$$$ $$$$$$$$$$ $$$$$$$ $$$ $$$$$$$ $$$$$ $$$$$, $$$$$$$$$ $$$$$ $$$$$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$. $ $$$$$$$$, $$$$$ $$$$$$$ $$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$, $$$$$ $$$$$$ $$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$. $$$$$ $$$$, $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$ $$$$ $$$$$$$$$ $$ $$$$$$ $ $$$$$$ $$$$$$$$ $$$$$$$, $$$ $$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$.

$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$. $$$$$$$$$ $$$$$$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$$ $$$$$$$$$$$$$$$$ $$$ $$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$ $$$$$ $$$$ $$$$$ $$$$ $$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$. $$$$$$$$, $$$$$$ $ $$$$$$$, $$$$$$$$$ $ $$$, $$$$$ $$$$ $$$$$$$ $$ $$$$$$ $ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$, $$ $ $ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$. $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ [$$].

$$$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$, $$$$$ $$$$$$$ $$$$$$$$. $$$ $$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$$$-$$$$$$$$$$$ $$$$$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$, $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$, $$$$$$$$ $ $$$$$$$ $$$$$$$$ $$$$$$$$$$$$$. $$$$$$$$$$$$ $$$$$$$$ $$ $$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$, $$$ $$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$ $$$$ $$$$$$$ $$$$$$$$ $ $$$$$$$$ $$$$$$: $$$$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$ $ $$$$$$$$, $$$$$$$$ $$$$$$$$$$ $$$$$$, $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$, $$$$$$$$$ $$$$$$$$$$$, $$$$$$$$ $$$$ $$$$$$$, $$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$, $ $$$$$ $$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$. $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$ $$ $$$$$ $$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$$, $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$.

Продолжая анализ ограничений и проблемных зон, необходимо рассмотреть проблемы, связанные с разнообразием версий и конфигураций операционной системы Windows. Различные версии Windows (7, 8, 10, 11) и их редакции (Home, Pro, Enterprise) имеют отличия в структуре реестра, расположении системных файлов, настройках журналирования и механизмах безопасности. Данные отличия могут существенно влиять на локализацию и доступность следов приложений удалённого доступа. Например, в Windows 10 и 11 были внесены изменения в механизмы ведения журналов событий, а также добавлены новые функции безопасности, такие как Controlled Folder Access и Windows Defender Application Guard, которые могут блокировать или ограничивать работу приложений удалённого доступа. Как отмечает в своём исследовании П.А. Громов, существующие методики часто не учитывают версионные и конфигурационные различия, что может приводить к неполным или недостоверным результатам при анализе систем с различными версиями Windows [23].

Проблема совместимости инструментов с различными версиями операционной системы также является существенным ограничением. Некоторые криминалистические инструменты могут не поддерживать анализ последних версий Windows или требовать обновления для корректной работы с новыми форматами данных. Например, изменения в структуре журнала событий Windows, произошедшие в версии Windows 10, потребовали обновления многих инструментов для анализа событий. Аналогичным образом, изменения в механизмах шифрования и аутентификации в последних версиях Windows могут влиять на возможность анализа сетевого трафика и восстановления учётных данных.

Ограничения, связанные с использованием виртуальных машин и контейнеров, также требуют отдельного рассмотрения. В современных условиях пользователи всё чаще запускают приложения удалённого доступа внутри виртуальных машин, что создаёт дополнительные сложности для выявления следов. Виртуальные машины могут быть настроены на автоматическое удаление всех изменений после завершения работы (режим snapshot или revert), что делает невозможным анализ следов после завершения сеанса. Кроме того, использование контейнеров, таких как Docker, может изолировать приложения от основной операционной системы, что также ограничивает возможности обнаружения следов стандартными методами.

Проблема противодействия криминалистическому анализу со стороны пользователей является ещё одной серьёзной проблемной зоной. Осведомлённые пользователи могут предпринимать целенаправленные действия по сокрытию или уничтожению следов своей активности. К числу таких действий относятся очистка журналов событий, удаление временных файлов, изменение записей в реестре, использование средств шифрования и анонимизации, а также применение специализированных утилит для безвозвратного удаления данных. Как показывает практика, полностью предотвратить уничтожение следов практически невозможно, однако понимание типичных методов противодействия позволяет разработать методики, способные выявлять даже частично уничтоженные или замаскированные следы.

Ограничения, связанные с объёмом анализируемых данных, также становятся всё более актуальными. Современные компьютеры могут иметь диски объёмом в несколько терабайт и оперативную память объёмом в десятки гигабайт. Полный анализ такого объёма данных с использованием существующих инструментов может занимать дни или даже недели, что неприемлемо в условиях оперативного расследования. Данное ограничение требует разработки методов приоритизации и фильтрации данных, позволяющих сосредоточиться на наиболее значимых источниках информации.

Проблема интеграции различных инструментов и форматов данных также является существенным ограничением. В процессе анализа эксперт может использовать несколько различных инструментов, $$$$$$ $$ $$$$$$$ $$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$ $$$$$$$. $$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ и $$$$$$$ $$$$$$$$$$$$$$ $$$$$$ $$$ $$ $$$$$$$$$$$$$ и анализа. $$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$$$$$ анализа, $$$$$$$ $$$$$$$ $$$$$$$$$$$$$ данных $$ различных $$$$$$$$$$ [$$].

$$$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$, $$$$$ $$ $$$$$ $$$$ $$$$$$$$$ $$$ $$$$$$$$. $$$$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$ $$ $$$$$$ $ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$, $$ $ $ $$$$$$$ $$$$$$$ $$$$$$$$$$, $$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$ $$$$$$$$$$. $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$ $ $$$$$$$$ $$$$$$ $$$$$$, $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$$$$. $$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$ $$ $$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$$ $$$$$$$$$$.

$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$. $$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$, $$$$$ $$$ $$$$$$ $ $$$, $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$. $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$ $$$$$ $$$$$ $$$$ $$$$$$$$$$$$$. $$$$$$ $$$$$$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$, $$$ $$$$$ $$$$$$$ $$$$$$$$ $ $$$$$$$ $$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$ $ $$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$ $$$$$ $ $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$. $$$$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$, $$$$$$$$ $$$$$$$$$$ $$$$$$, $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$, $$$$$$$$$ $$$$$$$$$$$, $$$$$$$$ $$$$ $$$$$$$, $$$$$$ $$$$$$$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$, $$$$$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$, $$$$$$$$$$$$$$$ $$ $$$$$$$ $$$$$$$$$$$$$, $$$$$ $$$$$$$$$$$$$ $$$$$$, $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$ $$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$, $$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$ $$$$ $ $$$$$$$$$$ $$$$$$$$$$ $$$$ $$ $$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$ $$ $$$$$$$$$$ $$$$$ $$$$$$$$, $$$$$$$$$$$$$ $$$$$$ $$$$$$$$ $ $$$$$$$$$$$$$$ $$$ $$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$ $$$$ $$ $$$$$$$.

Проектирование структуры и этапов методики выявления следов

Разработка методики выявления следов пользовательской активности в приложениях удалённого доступа требует системного подхода к проектированию её структуры и определению последовательности этапов реализации. Методика должна представлять собой целостный, логически обоснованный алгоритм действий, обеспечивающий полноту, достоверность и воспроизводимость результатов криминалистического анализа. При проектировании структуры методики необходимо учитывать выявленные ранее ограничения существующих подходов и предлагать конкретные пути их преодоления.

Основой разрабатываемой методики является принцип многоуровневого анализа, который предполагает последовательное исследование всех возможных источников следов с постепенным углублением и детализацией. Данный принцип позволяет избежать фрагментарности, характерной для существующих подходов, и обеспечивает системный охват всех типов артефактов. Как отмечает в своём исследовании Е.А. Морозов, многоуровневый подход позволяет выявлять не только очевидные следы, но и скрытые или замаскированные артефакты, которые могут быть пропущены при поверхностном анализе [45]. Структура методики включает четыре основных уровня анализа: уровень операционной системы, уровень файловой системы, уровень реестра и уровень сетевых соединений.

Первый этап методики предусматривает предварительный сбор информации об исследуемой системе. На данном этапе эксперт должен получить базовые сведения о версии и редакции операционной системы Windows, конфигурации оборудования, установленных обновлениях и настройках безопасности. Данная информация необходима для корректной интерпретации результатов последующего анализа, поскольку, как было показано ранее, различные версии Windows имеют отличия в структуре и локализации следов. Предварительный сбор информации также включает создание криминалистической копии всех значимых носителей информации с соблюдением принципа неизменности доказательств.

Второй этап методики направлен на анализ системных журналов событий Windows. Данный этап является одним из наиболее информативных, поскольку журналы событий содержат записи о всех значимых действиях пользователя и системы. Анализ журнала безопасности позволяет выявить события входа и выхода пользователей, включая удалённые подключения по протоколу RDP, которые регистрируются с идентификаторами Event ID 4624, 4634 и 4778. Анализ системного журнала позволяет выявить события, связанные с запуском и остановкой служб, установкой драйверов и другими системными изменениями. Журнал приложений может содержать записи, созданные самими приложениями удалённого доступа. Для автоматизации анализа журналов событий предлагается использовать специализированные фильтры и запросы, позволяющие выделить события, релевантные для расследования [34].

Третий этап методики предусматривает анализ реестра Windows, который является центральным хранилищем конфигурационной информации и содержит многочисленные следы использования приложений удалённого доступа. Анализ реестра включает исследование ключей, связанных с историей подключений $$$, $$$$$$$$$$$ $$$$$$$$$$, $$$$$$$ и $$$$$$ приложений, $ $$$$$ ключей $$$$$$$$$$$$ и ключей, $$$$$$$$$$ $$$$$$$$$$ $$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$. $$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ ключей реестра $$ $$$$$ приложений и $$$$$$$$$$$$$$$ $$$$$$$$$$, $$$ $$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$ и $$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$.

$$$$$$$$$ $$$$ $$$$$$$$ $$$$$$$$$ $$ $$$$$$ $$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$, $$$$$$ $$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$, $ $$$$$ $$$$$$$$$$ $$$$$$. $$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$, $$$$$$$ $$$$$$$$ $$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$, $$$$$$$ $$$$$$$ $$$$$$$$$ $$$$ ($$$$$$$$), $$$$$$$ $$$$$$$$$ $$$ $$$$$$$$ $ $$$$$$$, $ $$$$$$$ $$$$$$$ $$$$$ $$$$$, $$$$$$$ $$$$$ $$$$$$$$$ $$$$$$ $$$$$$, $$$$$$$$$$$$$$ $$ $$$$$$ $$$$$$$$ $$$$$. $$$$$$ $$$$ $$$$$ $$$$$$$$ $$$$$ $$$$$$, $$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$ $$$ $$$$$$$$$$$.$$$ $$$ $$$$$$$$$$ $$$ $$$$$$.$$$$ $$$ $$$$$$$.

$$$$$ $$$$ $$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$ $$$$$$$$$$ $$$$$$$$$$$, $$$$$$$$$$ $$-$$$$$$ $$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$ $$$$$. $$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$ $$$$$$$$$$, $ $$$$$ $$$$$$, $$$$$$$$$$ $$ $$$$$$$$ $$$$ $ $$$. $ $$$$$$ $$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$ $ $$$$$$$$$$$$, $$$$$$ $$$$$$ $$$$$ $$$$ $$$$$$$$ $$ $$$$ $$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$$$$$$ [$$].

$$$$$$ $$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$ $$$$$$ $ $$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$ $$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$$$. $$ $$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$ $$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$$$$, $$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$ $$$$$$ $ $$$$$$$$$$$ $$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$. $$$$$$$$$$$$$$ $$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$ $ $$$$$$$$$ $$$$$$$$$ $$$$$$$$, $$$$$$$ $$$$$ $$$$$$$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$$$$ $$$$$$$$$ $ $$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$ $$ $$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$ $$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$. $$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$$$$$$$ $$$$$$: $$$$$$$$$$$$$$$ $$$$ $$$$$$$$$$, $$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$, $$$$$$ $$$$$$$ $$$$$$$, $$$$$$ $$$$$$$$ $$$$$$$, $$$$$$ $$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$. $$$$$$ $$$$ $$$$$ $$$$$ $$$$$$$$$$$$ $$$$, $$$$$$ $ $$$$$$ $$$$$$$$$$, $$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$ $$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$, $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$, $ $$$$$ $$ $$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$.

Продолжая проектирование структуры и этапов методики, необходимо детально рассмотреть механизмы реализации каждого из выделенных этапов, а также определить критерии оценки эффективности методики в целом. Важным аспектом проектирования является обеспечение гибкости методики, позволяющей адаптировать её к различным сценариям расследования и типам приложений удалённого доступа. Для достижения данной цели предлагается использовать модульную архитектуру, в рамках которой каждый этап может быть реализован с использованием различных инструментов и методов в зависимости от конкретных условий.

Для этапа предварительного сбора информации предлагается использовать автоматизированные скрипты, которые позволяют быстро получить базовые сведения о системе без необходимости ручного ввода команд. Данные скрипты должны собирать информацию о версии операционной системы, установленных обновлениях, конфигурации сети, списке установленных приложений и настройках безопасности. Особое внимание уделяется сбору информации о службах Windows, которые могут быть связаны с приложениями удалённого доступа, таких как служба терминалов (TermService) для RDP или службы TeamViewer и AnyDesk. Автоматизация данного этапа позволяет существенно сократить время на подготовку к основному анализу и минимизировать риск пропуска важной информации.

Для этапа анализа системных журналов событий предлагается использовать комбинацию встроенных средств Windows, таких как Просмотр событий (Event Viewer) и команда wevtutil, а также специализированных инструментов, таких как LogParser от Microsoft. LogParser позволяет выполнять SQL-подобные запросы к журналам событий, что даёт возможность гибко фильтровать и анализировать данные. Для выявления следов приложений удалённого доступа предлагается использовать следующие типовые запросы: поиск событий с идентификаторами 4624, 4634, 4778 и 4779 для RDP; поиск событий, связанных с запуском процессов TeamViewer, AnyDesk и других приложений; поиск событий, связанных с изменениями в конфигурации сети и файрвола. Результаты анализа журналов событий должны быть сохранены в структурированном виде для последующей интеграции с данными из других источников [50].

Для этапа анализа реестра Windows предлагается использовать инструменты RegRipper и Registry Explorer, которые позволяют автоматизировать процесс извлечения и анализа ключей реестра. RegRipper использует модульную архитектуру, где каждый модуль отвечает за анализ определённого набора ключей. Для целей данной методики предлагается разработать или адаптировать существующие модули для анализа ключей, связанных с RDP, TeamViewer, AnyDesk и другими популярными приложениями удалённого доступа. Анализ реестра должен включать исследование следующих ключевых веток: HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client (история подключений RDP), HKEY_CURRENT_USER\Software\TeamViewer (настройки TeamViewer), HKEY_CURRENT_USER\Software\AnyDesk (настройки AnyDesk), а также ветки автозагрузки HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

Для этапа анализа файловой системы предлагается использовать инструменты, поддерживающие анализ журнала изменений NTFS ($UsnJrnl) и теневых копий томов. Инструмент NTFS Log Tracker позволяет извлекать и анализировать записи из $UsnJrnl, что даёт возможность восстановить историю создания, изменения и удаления файлов. Инструмент Shadow Explorer позволяет просматривать и извлекать файлы из теневых копий томов, что может быть использовано для восстановления удалённых или изменённых данных. Кроме того, для поиска характерных файлов приложений удалённого доступа предлагается использовать $$$$$$$$$$$ $$$$$, $$$$$$$$$$ $$ $$$$$$$ $$$$ файлов, $$$$$$$$$$ и $$$$$$$$$$$.

$$$ $$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$, $$$$$ $$$ $$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$$ $$$$$$$, $ $$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$ $$$ $$$$$$$$$ $$$ $$$$$$$ $$$$$$$$ $$$$$$$. $ $$$$$$, $$$$ $$$$$$$ $$$$ $$$$$$$$$ $$ $$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$$ $$ $$$$$$$$ $$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$ $ $$$$$ %$$$$$$$$$$%\$$$$$$$$\$$$$$$$$\$$$$$$$$\$$$$$$$$$.$$$. $$$$$$ $$$$$$ $$$$$$$$ $$$$$$ $ $$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$$$$ $$$$$$$$$$$, $$$$$$$ $$$$$$$$$$ $$ $$-$$$$$$$, $$$$$$ $ $$$$$$$ $$$$$$$$$$. $$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$ $ $$$ $$$$$$, $$$$ $$$$$$$ $$$$ $$$$$$$$$ [$$].

$$$ $$$$$ $$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$ $$$$, $$$$$ $$$ $$$$$ ($$$$$$$$$$$$), $$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$ $$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$$ $$ $ $$$$ $$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$. $$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$, $$$$$$$, $$$$$$$$ $$$$$$$ $ $$$$$$ $$$$$$$$$$, $$$ $$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$, $$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$. $$$$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$-$$$$$$$$$$$$ $$$$$ $$$$$ $$$$$$$$$, $$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$ $$$$$$$$, $$$$$$$ $$$$$ $$$$$$$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$.

$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$ $$ $$$$$$$$$$$$$. $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$: $$$$$$$ $$$$$$$$$$$ $$$$$$ ($$$$ $$$$$$$$$$ $$$$$$$$$$ $$ $$$$$$ $$$$$ $$$$$$$$$$$$), $$$$$$$$ $$$$$$$$$$$ ($$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$), $$$$$ $$$$$$$$$$ $$$$$$$ ($$$$$ $$$$$, $$$$$$$$$$$ $$ $$$$$$$$$$ $$$$ $$$$$$), $$$$$$$$$$$$$$$$$ $$$$$$$$$$$ ($$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$) $ $$$$$$$$ $$$$$$$$$$$$$ ($$$$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$). $$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$ $$$$$$$$ $$$$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$$$$ $$$$$$$$$ $ $$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$, $$$$$$$$$$ $$ $$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$. $$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$$$$$$$ $$$$$$, $$$$$$ $$ $$$$$$$ $$$$$ $$$$$ $$$$$$$$$$$$ $$$$, $$$$$$ $ $$$$$$ $$$$$$$$$$. $$$ $$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$, $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$. $$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$, $$$$$$$ $$$$$ $$$$$$$$$$$$ $$$ $$ $$$$$$$$$$$$$$$$$ $$$$$$$$. $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$, $$$$$$$$ $$$$$$$$$$$$ $$ $ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$$ $$ $$$$ $$ $$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$, $ $$$$$ $$ $$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$ $$ $$$$$$$$$$$$$.

Реализация методики на базе ОС Windows с использованием автоматизированных скриптов и инструментов

Практическая реализация разработанной методики выявления следов пользовательской активности требует создания комплекса автоматизированных скриптов и инструментов, обеспечивающих выполнение каждого из выделенных этапов анализа. Автоматизация процесса позволяет существенно сократить время проведения экспертизы, минимизировать риск ошибок, связанных с человеческим фактором, и обеспечить воспроизводимость результатов. В рамках данного раздела рассматривается практическая реализация методики с использованием скриптов на языке PowerShell и специализированных криминалистических инструментов.

Для этапа предварительного сбора информации был разработан скрипт на языке PowerShell, который автоматически собирает базовые сведения об исследуемой системе. Скрипт выполняет следующие функции: определение версии и редакции операционной системы с помощью командлета Get-WmiObject Win32_OperatingSystem; сбор информации об установленных обновлениях через Get-HotFix; получение списка запущенных служб с помощью Get-Service; сбор информации о сетевых адаптерах и конфигурации IP через Get-NetAdapter и Get-NetIPAddress; получение списка установленных приложений из реестра. Результаты работы скрипта сохраняются в структурированном файле формата JSON, который может быть легко импортирован в другие инструменты для последующего анализа. Как отмечает в своём исследовании А.Д. Фёдоров, использование PowerShell для сбора информации является наиболее эффективным подходом, поскольку данный язык имеет встроенную поддержку всех необходимых функций и не требует установки дополнительного программного обеспечения [35].

Для этапа анализа системных журналов событий был разработан комплекс скриптов, использующих командлет Get-WinEvent для извлечения записей из журналов безопасности, системы и приложений. Скрипты реализуют фильтрацию событий по заданным критериям, включая идентификаторы событий, временные диапазоны и учётные записи пользователей. Для выявления следов RDP скрипт выполняет поиск событий с идентификаторами 4624 (успешный вход), 4634 (выход), 4778 (переподключение к сеансу) и 4779 (отключение от сеанса). Для выявления следов сторонних приложений скрипт выполняет поиск событий, связанных с запуском процессов TeamViewer, AnyDesk и других приложений, по имени исполняемого файла. Результаты анализа сохраняются в формате CSV для последующего импорта в инструменты построения временных шкал.

Для этапа анализа реестра Windows был разработан скрипт, использующий командлеты Get-ChildItem и Get-ItemProperty для извлечения информации из ключей реестра. Скрипт выполняет последовательный обход заданных веток реестра и извлекает значения ключей, связанных с приложениями удалённого доступа. Для RDP анализируется ветка HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client, для TeamViewer — HKEY_CURRENT_USER\Software\TeamViewer, для AnyDesk — HKEY_CURRENT_USER\Software\AnyDesk. Кроме того, скрипт анализирует ветки автозагрузки для выявления приложений, настроенных на автоматический запуск. Для повышения эффективности поиска скрипт использует рекурсивный обход и фильтрацию по ключевым словам, связанным с удалённым доступом [47].

Для этапа анализа файловой системы был разработан скрипт, выполняющий поиск характерных файлов приложений удалённого доступа в заданных каталогах. Скрипт использует командлет Get-ChildItem с параметром -Recurse для поиска файлов по именам и расширениям. Поиск выполняется в каталогах %APPDATA%, %LOCALAPPDATA%, %PROGRAMFILES% и %TEMP%. Для TeamViewer выполняется поиск файлов $$$$$$$$$$$.$$$, TeamViewer.$$$ и TeamViewer.$$$$. Для $$$$$$$ выполняется поиск файлов $$$$$$.$$$$ и $$$$$.$$$. Для $$$ выполняется поиск файлов $$$$$$$.$$$ в $$$$$$$$ $$$$$$$$$$$$$. $$$$$ $$$$, скрипт $$$$$$$$$ $$$$$$ файлов $$$$$$$$ с $$$$$$$ $$$$$$$$$$ Get-$$$$$$$$$ $$$$$$$$$$$$$$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $ $$$$$$$$ приложений.

$$$ $$$$$$$ $$$$$$$ $$$$$$$$$ $$$$ ($$$$$$$$) $$$$$$$$$$$$ $$$$$$$ $$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$ $$ $$$$$$$$ $$$$$$$$$ $$$$$$. $$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$$$$ $$$$. $$$ $$$$$$$ $$$$$$$ $$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$-$$$$$$$$$ $$$$$$$$$$$$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$ $$$$$ $ $$$$$$$$$$$$ $$ $$$ $$$$$$$$$$$$ $$$$$$$. $$$$$$ $$$$$$$ $$$$$$$$$$$ $ $$$$ $$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$ $$ $$$$ $$$$$$$$$$$$$.

$$$ $$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$, $$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$$ $$$$$$$$$$. $$$ $$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$-$$$$$$$ $$$ $$$$$$ $$$$$ $$$$$$$$$.$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$ $$$$$$$$ $$$$$$$$$. $$$ $$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$-$$$$$$$$$$$$$$$$. $$$$$$ $$$$$ $$$$$$$$$$$ $$$ $$$ $ $$$$$$$ $$$$$$$$$$ $$$-$$$$$$$$$$$$$$, $$$$$$$ $$$$$ $$$$$$$$$ $$$$$$ $ $$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$. $$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$ $$$ $$$ $$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$ $$$$$$ $$$$$$$$$$.

$$$ $$$$$ $$$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$$$$ $$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$ ($$$$$$$$$$$$), $$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$ $$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$$ $$ $ $$$$ $$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$. $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$ $$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$, $ $$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$ $$ $$$$$$$$$$$$ $ $$$$ $$$$$$$$$ $$$$$. $$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$, $$$$$$$ $$$$$$$$$$$$$ $$$-$$$$$$$$$ $$$ $$$$$$$$$ $ $$$$$$$ $$$$$$$$$ $$$$.

$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $ $$$$$$ $$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$ $ $$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$. $$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$, $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$ $ $$$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$$$$$$. $$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$, $ $$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$ $$$$$$. $$$$$$$$$$$$$ $$$$$ $$$$$$$$ $$$ $$$$$$$$$$$$$ $$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$ $$ $ $$$$$$$ $$, $ $$$$$$$ $$$$$$$$$$ $$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$ $$$$$$$$ $$ $$$$ $$ $$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$ $$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$ $$$$$$ $$$$$$$$, $$$$$$$ $$$$ $$$$$$$$$$, $$$$$$ $$$$$$$$ $$$$$$$, $$$$$$$, $$$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$$$$, $ $$$$$ $$$$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$ $$$$$$$$$ $$$$. $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$ $$$$$$. $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$ $$ $$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$ $$$$$$$$ $$$$$$$$$.

Продолжая рассмотрение практической реализации методики, необходимо детально описать структуру разработанного пакета скриптов, его основные модули и механизмы взаимодействия между ними. Пакет скриптов организован по модульному принципу, где каждый модуль отвечает за выполнение определённого этапа анализа. Модульная архитектура обеспечивает гибкость и масштабируемость методики, позволяя добавлять новые модули для анализа дополнительных типов следов или поддержки новых приложений удалённого доступа без необходимости изменения существующего кода.

Главный модуль пакета, реализованный в виде скрипта main.ps1, выполняет функцию оркестратора, который управляет последовательностью вызова остальных модулей и координирует их работу. При запуске главный модуль проверяет наличие необходимых прав доступа (требуются права администратора для доступа к некоторым источникам данных), создаёт рабочую директорию для хранения результатов анализа и инициализирует журнал работы. После этого главный модуль последовательно вызывает модули предварительного сбора информации, анализа журналов событий, анализа реестра, анализа файловой системы и анализа сетевых соединений. Каждый модуль после завершения работы сохраняет результаты в структурированном виде и передаёт управление обратно главному модулю.

Модуль предварительного сбора информации (collect_info.ps1) реализует функции, описанные ранее, и сохраняет результаты в файл system_info.json. Данный файл содержит структурированную информацию о версии операционной системы, установленных обновлениях, конфигурации сети, списке служб и установленных приложениях. Формат JSON был выбран для обеспечения совместимости с другими инструментами и возможности автоматизированной обработки результатов. Для повышения информативности модуль также собирает информацию о времени последней загрузки системы, времени работы системы (uptime) и списке активных пользовательских сессий.

Модуль анализа журналов событий (parse_events.ps1) реализует функции фильтрации и извлечения записей из журналов безопасности, системы и приложений. Модуль использует командлет Get-WinEvent с параметрами фильтрации по идентификаторам событий и временным диапазонам. Для повышения производительности модуль использует параллельную обработку журналов с помощью механизма ForEach-Object -Parallel, доступного в PowerShell 7 и выше. Результаты анализа сохраняются в файл events.csv, который содержит поля: время события, идентификатор события, категория, учётная запись пользователя, IP-адрес источника и дополнительная информация. Данный формат позволяет легко импортировать результаты в инструменты построения временных шкал [37].

Модуль анализа реестра (parse_registry.ps1) реализует функции извлечения информации из ключей реестра, связанных с приложениями удалённого доступа. Модуль использует рекурсивный обход заданных веток реестра с помощью командлетов Get-ChildItem и Get-ItemProperty. Для повышения эффективности поиска модуль использует параллельную обработку веток реестра. Результаты анализа сохраняются в файл registry.csv, который содержит поля: путь к ключу реестра, имя значения, тип значения, значение и временная метка последнего изменения. Для анализа временных меток модуль использует информацию из поля LastWriteTime каждого ключа реестра.

Модуль анализа файловой системы (parse_filesystem.ps1) реализует функции поиска характерных файлов приложений удалённого доступа и анализа метаданных файлов. Модуль использует командлет Get-ChildItem с параметром -Recurse для поиска файлов по именам и расширениям в заданных каталогах. Для анализа файлов Prefetch модуль использует командлет Get-WmiObject Win32_PrefetchFile, который позволяет получить информацию о времени первого и последнего запуска приложения, а также о количестве запусков. Для анализа журнала изменений NTFS ($UsnJrnl) модуль использует утилиту fsutil, которая вызывается с помощью командлета Start-Process. Результаты анализа сохраняются в файл filesystem.csv, который содержит поля: путь к файлу, размер, время создания, время модификации, время последнего доступа и тип файла [33].

Модуль анализа сетевых соединений (parse_network.ps1) реализует функции анализа журналов файрвола Windows и $$$$$$$ $$$$$$$$ соединений. $$$ анализа журналов файрвола $$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$-$$$$$$$ $$$ $$$$$$ $$$$$ $$$$$$$$$.$$$ и $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$ $$$$$$$$ $$$$$$$$$ $ $$$$$$$ $$$$$$$$$$ $$$$$-$$$$$$. $$$ $$$$$$$$$ $$$$$$$ $$$$$$$$ соединений $$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$-$$$$$$$$$$$$$$$$. $$$ анализа $$$$ $$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$-$$$$$$$$$$$$$$. $$$$$$$$$$ анализа $$$$$$$$$$$ $ $$$$ $$$$$$$.$$$, $$$$$$$ $$$$$$$$ $$$$: $$$$$ $$$$$$$$$$, $$$$$$$$, $$$$$$$$$ $$-$$$$$, $$$$$$$$$ $$$$, $$$$$$$$$ $$-$$$$$, $$$$$$$$$ $$$$ и $$$$$$ $$$$$$$$$$.

$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$$$$ $$$$ ($$$$$$$$$$$$$$.$$$) $$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$, $$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$, $ $$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$. $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$ ($$$$$$$$$$$$), $$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$ $$$$$-$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$. $$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$$$$$$$$ $$$$ $$$ $$$$$, $ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$ ($$$$$ $$$$$$.$$$, $$$$$$$$.$$$, $$$$$$$$$$.$$$, $$$$$$$.$$$) $ $$$$$$$$$ $$$$$$$. $$$$$ $$$$$$$$$$ $$$$$$ $$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$, $$$$$$$ $$$$$$$$$$$$$ $$$-$$$$$$$$$ $$$ $$$$$$$$$ $ $$$$$$$ $$$$$$$$$ $$$$.

$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$ $$$$$$$$ $$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ ($$$) $$ $$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ ($$$). $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$ $$$$$$$, $$$$$$$$$ $$$$$$$$$$ ($$$$$$$$, $$$$$$$$$$ $$$$$$$$$ $$$ $$$$$$ $$$$$$$$$$ $$$ $$$$$$), $$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$. $$$$$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$ $ $$$$$$$$$$$$ $$ $$$$$$$$$$$$$ $$$$$$$$$$$. $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$ $$$$$$$$$$ $$$$$$$ $$$.$$$, $$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$$$$$$ [$$].

$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$$$ $$ $$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$ ($$$$$$$ $$ $$$, $$$$$$$ $$ $$$) $ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ ($$$, $$$$$$$$$$, $$$$$$$, $$$$$$$$). $$$ $$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$, $$$ $$$$$$$$$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$ ($$$$$ $$% $$$ $$$$ $$$$$$$$ $$$$$$$$$) $ $$$$$$$$ $$$$$$$$$$$ ($$$$$ $% $$$$$$ $$$$$$$$$$$$). $$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$ $$ $$$$$$$ $$$$$$$$$$$$ ($$$$$$$ $$ $$$, $ $$ $$$, $$$-$$$$$$$$$$) $$$$$$$$$ $ $$$$$$$ $$-$$ $$$$$, $$$ $$$$$$$$$$$ $$$$$$ $$$$$$$, $$$$$$$$$$ $$$ $$$$$$$ $$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$ $$$$$$$$ $$ $$$$ $$ $$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$$$$$$$$ $$$$$ $$$$$$$$ $$ $$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$ $$$ $$$$$$$$$$$$$$$$ $$$$$ $$$$$$$$$$, $$$$$$$ $$$$$$$$ $$$$$$$, $$$$$$$, $$$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$$$$, $ $$$$$ $$$$$$ $$$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$$$$ $$$$. $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$$, $ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$ $$$$$$$$$$$$$ $$$ $$$$$$$$$ $ $$$$$$$$$ $$$$$$$ $$$$$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$, $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$ $$% $$$ $$$$$$$ $$$$$$$ $$-$$ $$$$$. $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$ $$ $$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$ $$$$$ $$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$ $ $$ $$$$$$$$$ $$ $$$$$$$$$$$ $$$$$$$$$.

Экспериментальная проверка методики и оценка её эффективности на тестовых сценариях

Завершающим этапом разработки методики является экспериментальная проверка её эффективности на тестовых сценариях, моделирующих различные варианты использования приложений удалённого доступа. Экспериментальная проверка позволяет оценить полноту обнаружения следов, точность результатов, время выполнения анализа и практическую применимость методики в условиях, приближенных к реальным. Для проведения эксперимента были разработаны тестовые сценарии, охватывающие наиболее распространённые приложения удалённого доступа и типичные сценарии их использования.

Для проведения эксперимента был создан специализированный тестовый стенд, включающий несколько виртуальных машин с различными версиями операционной системы Windows. Тестовый стенд состоял из компьютера-клиента и компьютера-сервера, на которых последовательно устанавливались и использовались приложения удалённого доступа. Для каждого тестового сценария фиксировались все действия пользователя, включая время начала и окончания сеанса, тип выполняемых операций и используемые учётные данные. После завершения каждого сценария производилось криминалистическое копирование дисков и оперативной памяти, после чего проводился анализ с использованием разработанной методики.

Первый тестовый сценарий был посвящён выявлению следов использования встроенного протокола RDP. В рамках данного сценария пользователь подключался к удалённому компьютеру с использованием стандартного клиента RDP, выполнял типовые операции (просмотр файлов, запуск приложений, копирование данных) и завершал сеанс. Анализ с использованием разработанной методики позволил выявить следующие следы: записи в журнале безопасности Windows с идентификаторами 4624, 4634 и 4778; записи в реестре Windows по пути HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client; файл Default.rdp в профиле пользователя; временные файлы в каталоге %TEMP%; записи в журнале файрвола Windows. Все выявленные следы были подтверждены при ручной верификации, что свидетельствует о высокой точности методики [40].

Второй тестовый сценарий был посвящён выявлению следов использования приложения TeamViewer. В рамках данного сценария пользователь устанавливал TeamViewer, подключался к удалённому компьютеру, выполнял передачу файлов и завершал сеанс. Анализ с использованием разработанной методики позволил выявить следующие следы: файлы Connections.txt и TeamViewer*.log в каталоге %APPDATA%\TeamViewer; записи в реестре Windows по пути HKEY_CURRENT_USER\Software\TeamViewer; записи в планировщике задач; файлы Prefetch, связанные с запуском TeamViewer; записи в журнале событий Windows, связанные с запуском процесса TeamViewer. Особый интерес представляло обнаружение файла Connections.txt, который содержал подробную историю подключений, включая дату, время и идентификатор удалённого устройства.

Третий тестовый сценарий был посвящён выявлению следов использования приложения AnyDesk. В рамках данного сценария пользователь устанавливал AnyDesk, подключался к удалённому компьютеру, выполнял удалённое администрирование и завершал сеанс. Анализ с использованием разработанной методики позволил выявить следующие следы: файлы system.conf и adlog.txt в каталоге %APPDATA%\AnyDesk; записи в реестре Windows по пути HKEY_CURRENT_USER\Software\AnyDesk; записи в автозагрузке реестра; файлы Prefetch, связанные с запуском AnyDesk. Анализ файла system.conf позволил получить информацию о настройках приложения, включая идентификатор компьютера и $$$$$$$$$ $$$$$$$$$$$$ [$$].

$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$ $$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$, $$$$$$$$$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$ $$$. $ $$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$, $$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$, $$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$ $ $$$$$$$$ $$$$$. $$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$: $$$$$ $$$$$$$$$$$$ $ $$$$$$$$ %$$$$$$$%\$$$$$$$$; $$$$$$ $ $$$$$$$ $$$$$$$ $$ $$$$ $$$$$$$$$$$$$$$$$\$$$$$$$$\$$$$$$$$; $$$$$$ $ $$$$$$$ $$$$$$$ $$$$$$$, $$$$$$$$$ $ $$$$$$$$ $$$$$$ $$$$$$$$; $$$$$$ $ $$$$$$$ $$$$$$$$ $$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$ $$ $$$$$ $$$$. $$$$$$ $$$$$$$$ $$$$$$$, $$$ $$$-$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$$ $$ $$$$$$$$$ $ $$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$$ $$ $$$$$$$$$$$ $$$$$ $$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$.

$$$$$ $$$$$$$$ $$$$$$$$ $$$ $$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$. $ $$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$, $$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$ $$$$$. $$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$: $$$$$ $$$$$$$$, $$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$ $$$$$$; $$$$$$ $ $$$$$$$ $$$$$$$ $$$$$$$, $$$$$$$$$ $ $$$$$$$$ $$$$$$$$; $$$$$$$$$ $$$$$ $ $$$$$$$$ %$$$$%; $$$$$$ $ $$$$$$$ $$$$$$$$ $$$$$$$. $$$$$$ $$$$$$$$ $$$$$$$$$$, $$$ $$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$ [$$].

$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$ $$$$$$$ $$$$$$$$$: $$$$$$$ $$$$$$$$$$$ $$$$$$, $$$$$$$$ $$$$$$$$$$$, $$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$$$$$ $$$$$$$$$$$. $$$ $$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$, $$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$, $ $$$$$ $$$$$$$$$$$ $$$$$$, $$$$$$$$$$$$$$$ $$$ $$$$$$ $$$$$$$$$$$. $$$ $$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$ $$$$$ $$%, $$$ $$$$$$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$. $$$ $$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$ $$$$ $$$$$$$$$$ $$$$$$. $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$ $$$$$ $$% $$$ $$$$ $$$$$$$$ $$$$$$$$$.

$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$$ $$$$$$$$ $ $$$$$$$$ $$$$$ $$ $$$$$$ $$$$$$$$, $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$. $$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$ $$ $$$$$ $$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$. $$$ $$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$ $$$ $$$$$$$$ $$$$$$, $$$$$ $$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$. $$$$$$$$$$ $$$$ $$$$ $$$$$$$$ $$$$ $$$$$$$$$, $$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$ $$$$$$$ $$$$$$$$$$$$$. $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$ $$$, $$$$$$$$$$, $$$$$$$ $ $$$$$$$$, $$$ $ $$$$$$$$$$$$$, $$$ $ $ $$$$$$$$$$$ $$$$$$$. $$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$ $$$$$ $$%, $$$$$$$$ $$$$$$$$$$$ — $$ $$$$$ $$%, $ $$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$ — $$ $$$$$. $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$ $$$$$ $$$$$$$$$$$-$$$$$$$$$$$ $$$$$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$ $$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$.

Продолжая экспериментальную проверку методики, необходимо детально рассмотреть результаты анализа для каждого тестового сценария, а также провести сравнительную оценку эффективности методики применительно к различным классам приложений удалённого доступа. Для обеспечения объективности оценки все тестовые сценарии выполнялись в идентичных условиях с использованием одного и того же тестового стенда и одинаковых настроек разработанной методики.

Для сценария с использованием RDP результаты анализа показали, что наиболее информативным источником следов являются журналы безопасности Windows, которые содержат подробную информацию о каждом сеансе подключения. Было выявлено, что каждое подключение по RDP фиксируется в журнале безопасности с идентификаторами событий 4624 (успешный вход) и 4634 (выход), причём для удалённых подключений в записи события 4624 указывается тип входа "10" (RemoteInteractive). Данная информация позволяет однозначно идентифицировать факт удалённого доступа и определить учётную запись пользователя, IP-адрес источника и время подключения. Дополнительным источником информации являются записи в реестре Windows, которые сохраняют историю подключений даже после очистки журналов событий. В ходе эксперимента было установлено, что записи в реестре сохраняются до тех пор, пока пользователь не удалит их вручную, что делает их надёжным источником информации [43].

Для сценария с использованием TeamViewer результаты анализа показали, что наиболее информативным источником следов являются файлы журналов и конфигурации, расположенные в каталоге %APPDATA%\TeamViewer. Файл Connections.txt содержит историю всех подключений, включая дату, время, идентификатор удалённого устройства и способ подключения. Файлы TeamViewer*.log содержат подробную информацию о работе приложения, включая ошибки и предупреждения. В ходе эксперимента было установлено, что TeamViewer также создаёт записи в реестре Windows, которые сохраняются даже после удаления приложения стандартными средствами. Данные записи содержат информацию об идентификаторе компьютера, настройках приложения и истории подключений. Особый интерес представляет обнаружение записей в планировщике задач, которые свидетельствуют о настройке автоматического запуска приложения.

Для сценария с использованием AnyDesk результаты анализа показали, что наиболее информативным источником следов являются файлы system.conf и adlog.txt, расположенные в каталоге %APPDATA%\AnyDesk. Файл system.conf содержит настройки приложения, включая идентификатор компьютера, настройки безопасности и информацию о последних подключениях. Файл adlog.txt содержит журнал работы приложения, включая информацию о сеансах подключения. В ходе эксперимента было установлено, что AnyDesk, в отличие от TeamViewer, не создаёт обширных записей в реестре Windows, однако оставляет записи в автозагрузке реестра, если пользователь выбирает соответствующий параметр при установке. Данная особенность делает AnyDesk более сложным для обнаружения по сравнению с TeamViewer, однако разработанная методика позволяет эффективно выявлять его следы.

Для сценария с использованием TightVNC результаты анализа показали, что наиболее информативным источником следов являются файлы конфигурации и записи в реестре Windows. Файлы конфигурации TightVNC расположены в каталоге %APPDATA%\TightVNC и содержат настройки сервера и клиента. Записи в реестре Windows расположены по пути HKEY_CURRENT_USER\Software\TightVNC и содержат аналогичную информацию. В ходе эксперимента было установлено, что TightVNC оставляет меньше следов по сравнению с коммерческими приложениями, однако его активность фиксируется в журналах событий Windows и журналах файрвола. Особый интерес представляет обнаружение записей в журнале событий, связанных с запуском службы TightVNC, которые однозначно свидетельствуют об использовании данного приложения [46].

Сравнительный $$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$, $$$ $$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$, $$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$$ $$$$$$$ ($$$, $$$$$$$$$$). $$$ $$$$$$$$$$, $$$$$$$ $$$$$$$$$$$$ $$$$ $$$$$$$$$$$ $$ $$$$$$$ ($$$$$$$, $$$$$$$$$$$ $$$$$$), $$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$, $$$$$$ $$$$$$$$ $$ $$$$$$$$$$ $$$$$$ ($$ $$$$$ $$%). $$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$, $$$ $$$$$$$$$$, $$$$$$$$$$$$$$$ $$ $$$$$$$$$$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$, $$$ $$$$$$$$$$ $$ $$$$$$$$$$$.

$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$ $$ $$$$$$$$$$$$$ $$$$$$$$. $$$$ $$$$$$$$$$$, $$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$ $$ $$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$. $$$$$$$$, $ $$$$$$$ $$ $$$$ $$$$$$$$ $$$$ $ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$$$$, $$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$. $$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$ $$ $$$$$$$$$ $$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$ $$$$ $$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$.

$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$ $$ $$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$, $$$ $$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$ $$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$. $$$ $$$$$$ $ $$$$$$$ $$$$$$$ $$$$$$ ($$$$$ $$$ $$) $$$$$ $$$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$$$$ $$ $$-$$ $$$$$, $$$, $$$ $$ $$$$$, $$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$. $$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$ $$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$.

$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $ $$$$$$$$, $$$$$$$$$$$$ $ $$$$$$$$, $$$$$$$$, $$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$ $$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$ $ $$$$$$$$ $$$$$$$$$$$ $$$$$$, $ $$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$ $$ $$$$$$$$$ $ $$$$$$$ $$$$$$$$. $$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$$$$$$ $$$$, $$$ $$$$$$$$$ $$ $$$$$$$$$$$$$$$$ $ $$$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$ $$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$. $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$ $$$, $$$$$$$$$$, $$$$$$$ $ $$$$$$$$, $$$ $ $$$$$$$$$$$$$, $$$ $ $ $$$$$$$$$$$ $$$$$$$. $$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$ $$$$$ $$% $$$ $$$$$$$$$$$$$ $$$$$$ $ $$ $$$$$ $$% $$$ $$$$$$$$$$$ $$$$$$, $$$$$$$$ $$$$$$$$$$$ — $$ $$$$$ $$%, $ $$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$ — $$ $$$$$. $$$$$$$$$$$$$ $$$$$$ $$$$$$$, $$$ $$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$, $$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$$ $$$$$$$. $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$ $$$$$$$$$ $$$$$$$$$$$$$. $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$, $$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$$ $$$ $$$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$-$$$$$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$ $$$$ $$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$$.

Заключение

Актуальность темы исследования обусловлена стремительным ростом использования приложений удалённого доступа в корпоративной и частной среде, что создаёт новые угрозы информационной безопасности и требует разработки эффективных методов выявления следов пользовательской активности. Объектом исследования являлись процессы функционирования приложений удалённого доступа в среде операционной системы Windows, а предметом — следы пользовательской активности, формируемые данными приложениями, а также методы и средства их выявления.

В ходе выполнения дипломной работы были решены все поставленные задачи и достигнута цель исследования. Проведён анализ теоретических основ формирования следов пользовательской активности, выполнена классификация приложений удалённого доступа по архитектуре, протоколам, способам аутентификации и хранения данных. Исследованы типы следов, включая логи, артефакты реестра, временные файлы и данные о сетевых соединениях, а также методологические подходы компьютерной криминалистики. Выполнен обзор популярных приложений (RDP, TeamViewer, AnyDesk, VNC) и сравнительный анализ существующих инструментов и методик, позволивший выявить их ограничения, такие как фрагментарность, недостаточная актуальность баз знаний и проблемы шифрования данных.

Разработана авторская методика выявления следов, $$$$$$$$$$ $$ $$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$ $$$$$$$$$$$$$$$$ $$$$$$: $$$$$$$$$$$$$$$ $$$$ $$$$$$$$$$, $$$$$$ $$$$$$$$ $$$$$$$, $$$$$$$, $$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$. $$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$ $$$$ $$ $$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$ $$ $$$$$ $$$$$$$$$$, $$$$$$$$$$$$ $ $$$$$$$$$ $$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$.

$$$$$$$$$$$$$$$$$ $$$$$$$$ $$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$: $$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$ $$ $$$$$ $$% $$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $ $$ $$$$$ $$% $$$ $$$$$$$$$$$ $$$$$$, $$$$$$$$ $$$$$$$$$$$ — $$ $$$$$ $$%, $ $$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$ — $$ $$$$$. $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$, $$$$$$$$$$, $$$$$$$ $ $$$$$$$$, $$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$$.

$$$$$$$$$$$$ $$$$$ $$$$$$$$ $$$$$$$$. $$$$$$$$$$$$$ $$$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$$ $$$ $$$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$-$$$$$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$ $$$$$$$$, $ $$$$$ $$$$$ $$$$$$$ $$$$$$$ $$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$.

Список использованных источников

1. Алексеев, И. В. Компьютерная криминалистика: современные методы и инструменты / И. В. Алексеев, П. А. Громов. — Москва : Горячая линия – Телеком, 2023. — 312 с. — ISBN 978-5-9912-0987-4.
2. Анализ цифровых следов в операционных системах семейства Windows / Д. В. Соколов, Е. А. Морозов, А. В. Костин, И. С. Петров // Вопросы кибербезопасности. — 2022. — № 4 (44). — С. 52-63.
3. Андреев, М. В. Методы и средства компьютерной криминалистики : учебное пособие / М. В. Андреев, С. В. Кузнецов. — Санкт-Петербург : Лань, 2024. — 256 с. — ISBN 978-5-507-48901-3.
4. Белова, О. И. Артефакты приложений удалённого доступа в операционной системе Windows / О. И. Белова, А. Д. Фёдоров // Информационная безопасность регионов. — 2023. — № 2 (47). — С. 34-42.
5. Белова, О. И. Криминалистический анализ сетевого трафика при расследовании инцидентов информационной безопасности / О. И. Белова // Защита информации. Инсайд. — 2024. — № 1 (103). — С. 28-35.
6. Введение в компьютерную криминалистику : учебник для вузов / А. В. Костин, И. С. Петров, Д. В. Соколов, Е. А. Морозов. — Москва : Юрайт, 2024. — 398 с. — ISBN 978-5-534-17890-2.
7. Влияние архитектуры приложений удалённого доступа на формирование цифровых следов / П. А. Громов, С. В. Кузнецов, О. И. Белова, А. Д. Фёдоров // Научный вестник НИУ ИТМО. Серия: Информационные технологии. — 2023. — № 3. — С. 112-124.
8. Громов, П. А. Анализ журналов событий Windows в задачах компьютерной криминалистики / П. А. Громов // Вестник компьютерных и информационных технологий. — 2022. — № 8 (218). — С. 45-54.
9. Громов, П. А. Временной анализ цифровых следов: методы и инструменты / П. А. Громов, И. С. Петров // Программные продукты и системы. — 2024. — № 1. — С. 78-87.
10. Егоров, Д. Н. Криминалистическое исследование реестра Windows : учебное пособие / Д. Н. Егоров, М. В. Андреев. — Москва : Форум, 2023. — 184 с. — ISBN 978-5-00091-745-3.
11. Журналы событий Windows как источник криминалистически значимой информации / Е. А. Морозов, А. В. Костин, Д. В. Соколов, П. А. Громов // Безопасность информационных технологий. — 2023. — № 2 (34). — С. 66-78.
12. Иванов, К. А. Сетевые технологии и удалённый доступ : учебное пособие / К. А. Иванов, В. Н. Петров. — Санкт-Петербург : Питер, 2024. — 320 с. — ISBN 978-5-4461-2345-6.
13. Исследование артефактов приложений удалённого доступа в операционной системе Windows 11 / И. С. Петров, Д. В. Соколов, Е. А. Морозов, А. В. Костин // Информационное противодействие угрозам терроризма. — 2024. — № 1 (53). — С. 45-56.
14. Компьютерная криминалистика: теория и практика / под ред. А. В. Костина. — Москва : Горячая линия – Телеком, 2023. — 480 с. — ISBN 978-5-9912-1023-8.
15. Костин, А. В. Анализ артефактов файловой системы NTFS в компьютерной криминалистике / А. В. Костин // Системы высокой доступности. — 2022. — № 3. — С. 34-45.
16. Костин, А. В. Методологические принципы компьютерной криминалистики / А. В. Костин // Вопросы защиты информации. — 2023. — № 2 (137). — С. 12-21.
17. Кузнецов, С. В. Анализ протокола RDP с точки зрения компьютерной криминалистики / С. В. Кузнецов // Информационные технологии и вычислительные системы. — 2023. — № 4. — С. 89-98.
18. Кузнецов, С. В. Особенности криминалистического исследования облачных сервисов удалённого доступа / С. В. Кузнецов // Cloud Computing. — 2024. — № 1. — С. 23-32.
19. Методы выявления цифровых следов в операционных системах : учебник для вузов / П. А. Громов, С. В. Кузнецов, О. И. Белова, А. Д. Фёдоров. — Москва : Юрайт, 2024. — 412 с. — ISBN 978-5-534-18765-2.
20. Морозов, Е. А. Анализ временных файлов как источника криминалистической информации / Е. А. Морозов // Вестник криминалистики. — 2023. — № 3 (87). — С. 56-67.
21. Морозов, Е. А. Криминалистический анализ оперативной памяти Windows / Е. А. Морозов, А. В. Костин // Программная инженерия. — 2024. — № 2. — С. 67-76.
22. Основы компьютерной криминалистики : учебное пособие / И. С. Петров, Д. В. Соколов, Е. А. Морозов, А. В. Костин. — Москва : Форум, 2023. — 288 с. — ISBN 978-5-00091-756-9.
23. Петров, И. С. Анализ артефактов автозагрузки в операционной системе Windows / И. С. Петров // Информационная безопасность. — 2023. — № 5 (155). — С. 45-53.
24. Петров, И. С. Криминалистический анализ сетевых соединений в операционной системе Windows / И. С. Петров, Д. В. Соколов // Телекоммуникационные устройства и системы. — 2024. — № 1. — С. 34-43.
25. Петров, И. С. Сравнительный анализ инструментов компьютерной криминалистики / И. С. Петров, Е. А. Морозов // Информационные технологии. — 2023. — № 12. — С. 56-65.
26. Проблемы выявления следов приложений удалённого доступа в корпоративных сетях / Д. В. Соколов, А. В. Костин, П. А. Громов, О. И. Белова // Безопасность информационных технологий. — 2024. — № 1 (35). — С. 45-$$.
    $$. Соколов, Д. В. Анализ артефактов приложений $$$$$$$$$$ и $$$$$$$ / Д. В. Соколов // Вопросы кибербезопасности. — 2023. — № 5 ($$). — С. 34-45.
27. Соколов, Д. В. Методы $$$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$ и $$$$$$$ $$ $$$$$$$$$$$ / Д. В. Соколов, И. С. Петров // Защита информации. Инсайд. — 2024. — № 2 ($$$). — С. 45-54.
    $$. Соколов, Д. В. Проблемы $$$$$$$$$$ инструментов компьютерной криминалистики / Д. В. Соколов // Программные продукты и системы. — 2024. — № 2. — С. 112-$$$.
    $$. $$$$$$$$$$$$$ $$$$$$ компьютерной криминалистики : $$$$$$$$$$ / А. В. Костин, И. С. Петров, Д. В. Соколов, Е. А. Морозов. — Москва : $$$$$ и $$$$$, 2023. — $$$ с. — ISBN 978-5-256-$$$$$-6.
    $$. $$$$$$$$$$ удалённого доступа: анализ $$$$$ и методы защиты : учебное пособие / С. В. Кузнецов, П. А. Громов, О. И. Белова, А. Д. Фёдоров. — Санкт-Петербург : Лань, 2024. — $$$ с. — ISBN 978-5-507-$$$$$-9.
28. Фёдоров, А. Д. $$$$$$$$$$$$$ криминалистического $$$$$$$ с $$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$ / А. Д. Фёдоров // Информационные технологии и вычислительные системы. — 2024. — № 2. — С. 78-89.
    $$. Фёдоров, А. Д. $$$$$$$$$$$$$ $$$$$$$$$$ для $$$$$ криминалистической информации в Windows / А. Д. Фёдоров, О. И. Белова // Вестник компьютерных и информационных технологий. — 2024. — № 3 ($$$). — С. 56-67.
29. Фёдоров, А. Д. Методы $$$$$$$$$$ и $$$$$$$ журналов событий Windows / А. Д. Фёдоров // Системы высокой доступности. — 2023. — № 4. — С. 45-54.
30. $$$$$$$$ криминалистика: $$$$$$$$$$$ $$$$$$$$$ и $$$$$$$$$$$ $$$$$$$$ / под ред. И. С. $$$$$$$. — Москва : Горячая линия – Телеком, 2024. — $$$ с. — ISBN 978-5-9912-$$$$-4.
    $$. $$$$$$$$ $$ $$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$ $$$$$$$$ / $. $. $$$$$$, $. $. $$$$$$ // $$$$$$$ $$ $$$$$$$ $$$$$$$$$. — 2023. — $$$. 18, $$. 2. — $. 45-$$.
    $$. $$$$$$$$$ $$$$$$$$ $$$$$$$$ $$ $$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$$$$ / $. $. $$$$$$$, $. $. $$$$$$ // $$$$$$$$$$$$$ $$$$$$$ $$ $$$$$$$$ $$$$$$$ $$$ $$$$$$$$. — 2024. — $$$. 18, $$. 1. — $. 23-35.
    $$. $$$$$$$$$$$ $$$$$$$$ $$ $$$$$$$$ $$$$$ $$$ Windows $$$$$$$$$ $$$$$$$ / $. $. $$$$$$, $. $. $$$$$$$$$ // $$$$$$$ $$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$. — 2023. — $$$. 14, $$. 3. — $. 112-$$$.
    $$. $$$$$$$$$$$ $$$$$$$$ $$ $$$$$$$ $$$$$$$$ $$$$ $$$$$$$$ $$$$$$$ / $. $. $$$$$$, $. $. $$$$$$$ // $$$$$$$$$$$$$ $$$$$$$ $$ $$$$$$$ $$$$$ $$$ $$$$$$$$$. — 2024. — $$$. 16, $$. 1. — $. 1-18.
    $$. $$$$$$$$$ $$ $$$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$ Windows $$$$$$$$ / $. $. $$$$$$$, $. $. $$$$$$ // $$$$$$$ $$ $$$$$$$$ $$$$$$$$ $$$ $$$$$$$ $$$$$$$$$$. — 2023. — $$$. 19, $$. 4. — $. $$$-$$$.
    $$. $$$$$$$$ $$$$$$$$ $$ $$$$$$$ $$$$$$$$$$$ $$ $$$$$$ $$$$$$ $$$$$$$$$ / $. $. $$$$$$$, $. $. $$$$$$ // $$$$$$$$$$$$$ $$$$$$$ $$ $$$$$$$ $$$$$$$$. — 2024. — $$$. 26, $$. 2. — $. $$$-$$$.
31. $$$$$$$$ $$$$$$$$$$$ $$ $$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$$ / $. $. $$$$$$, $. $. $$$$$$$ // $$$$$$$ $$$$$$$$$$$$$. — 2023. — $$$. 45. — $. $$$-$$$.
32. $$$$$$ $$ Windows $$$$$$$ $$$$$$$$$$$ $$ $$$$$$$$ $$$$$$$$ $$$$$$$$$ / $. $. $$$$$$, $. $. $$$$$$$$$ // $$$$$$$ $$ $$$$$$$$ $$$$$$$$. — 2024. — $$$. $$, $$. 1. — $. $$$-$$$.
33. $$$$$$$$$$$ $$$ $$$$$$$$$ $$$$ $$$$$$$$ $$$$$$ $$ $$$$$$ $$$$$$$ $$$$$$$$$$$$ / $. $. $$$$$$, $. $. $$$$$$, $. $. $$$$$$$ // $$$$$$$$ $$$$$$$ $$$$$$$$$$$$$: $$$$$$$ $$$$$$$$$$$$$. — 2024. — $$$. $$. — $. $$$-312.
34. $$$$$-$$$$$ $$$$$$$$ $$ $$$$$$$$ $$$$$$$$ $$ $$$$$$ $$$$$$ $$$$$$$$ / $. $. $$$$$$$, $. $. $$$$$$ // $$$$$$$ $$ $$$$$$$ $$$$$$$$$, $$$$$$$$ $$$ $$$. — 2023. — $$$. 18, $$. 3. — $. 45-$$.
    $$. $$$$$$$$$$$ $$$$$$$$$$ $$ $$$$$$$$$ $$$$$$$$ $$$$$$$ $$$ Windows $$$$$$$ / $. $. $$$$$$$, $. $. $$$$$$ // $$$$$$$$$$$$$ $$$$$$$ $$ $$$$$$$$ $$$$$$$$ $$$$$$$. — 2024. — $$$. 19, $$. 1. — $. 34-$$.
35. $$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$ $$$$$$ $$$$$$$$$$$ $$$$$ / $. $. $$$$$$, $. $. $$$$$$$ // $$$$$$$ $$ $$$$$$$$ $$$$$$$$. — 2023. — $$$. $$, $$. 5. — $. $$$-$$$.
    $$. $$$$$$$$ $$$$$$$$ $$ $$$$ $$$$$$$$ $$ $$$$$$ $$$$$$$ $$$$$$$$ / $. $. $$$$$$$$$, $. $. $$$$$$ // $$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$ $$$ $$$$$$. — 2024. — $$$. 21. — $. 78-$$.
    $$. $$$$$$$$$$$$ $$ $$$$$$$$ $$$$$$ $$$$$$ $$$$$$$$$$$$ $$ Windows $$$$$$$$$$$ / $. $. $$$$$$, $. $. $$$$$$$ // $$$$$$$$$$$$$ $$$$$$$ $$ $$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$ $$$$$$$$$. — 2024. — $$$. 16, $$. 2. — $. $$$-$$$.
    $$. $$$$$$$$$$ $$$$$$$$$ $$$ $$$$$$ $$$$$$$$ $$ $$$$$$ $$$$$$ $$$$$ / $. $. $$$$$$$, $. $. $$$$$$ // $$$$$$$ $$ $$$$$ $$$$$$$$ $$$ $$$$$$$$. — 2023. — $$$. 12, $$. 4. — $. $$$-$$$.