Разработка методики выявления следов пользовательской активности в приложениях удалённого доступа на базе ОС Windows

Содержание

Введение

1⠄Глава: Теоретические основы выявления следов пользовательской активности в приложениях удаленного доступа
1⠄1⠄ Понятие и классификация приложений удаленного доступа, их архитектура и принципы функционирования
1⠄2⠄ Типы и источники цифровых следов пользовательской активности в ОС Windows
1⠄3⠄ Обзор существующих методов и инструментов криминалистического анализа для выявления следов удаленной работы

2⠄Глава: Анализ механизмов формирования и локализации следов активности в популярных приложениях удаленного доступа
2⠄1⠄ Исследование артефактов активности в приложениях на основе протокола RDP (Remote Desktop Protocol)
2⠄2⠄ $$$$$$$$$ и $$$$$$$$$$$$$ $$$$$$ следов в $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ ($$$$$$$$$$, $$$$$$$)
2⠄$⠄ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ и $$$$$$$$$$$ следов $$$ $$$$$$$$$$ и $$$$$$$$$$$ $$$$$$ $$$$$$$$$$

$⠄$$$$$: $$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$
$⠄$⠄ $$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$ $$$$$ $ $$$$$$$ $$$$$$$$ $$$$$$$$$$ $$ $$$$$$$, $$$$$$$$ $$$$$$$ $ $$$$$$$$ $$$$$$$
$⠄$⠄ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ ($$$$$$$ $$$ $$$$$$$) $$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$
$⠄$⠄ $$$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$ $$ $$$$$$$$$$$$$

$$$$$$$$$$

$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$

Введение

Стремительная цифровая трансформация современного общества, ускоренная глобальными эпидемиологическими вызовами и переходом к удаленным форматам работы, привела к повсеместному внедрению технологий удаленного доступа в корпоративные и частные информационные системы. Приложения, предоставляющие возможность дистанционного управления компьютером, стали неотъемлемым инструментом для миллионов пользователей по всему миру. Однако оборотной стороной этого процесса является появление новых векторов киберугроз и рост числа инцидентов, связанных с несанкционированным удаленным проникновением в информационные системы. В этой связи разработка эффективных методик выявления следов пользовательской активности в приложениях удаленного доступа приобретает критическую важность для обеспечения информационной безопасности, проведения цифровых криминалистических расследований и противодействия компьютерным преступлениям.

Проблематика данного исследования заключается в отсутствии унифицированной и комплексной методики, позволяющей с высокой степенью достоверности идентифицировать, извлекать и интерпретировать цифровые артефакты, оставляемые различными приложениями удаленного доступа в операционной системе Windows. Существующие подходы зачастую фрагментарны, ориентированы на отдельные типы программного обеспечения или требуют глубоких экспертных знаний, что затрудняет их применение в оперативной работе специалистов по информационной безопасности и правоохранительных органов. Кроме того, постоянное обновление приложений и совершенствование механизмов сокрытия следов усложняют задачу их своевременного выявления.

Объектом исследования выступает совокупность цифровых следов, образующихся в операционной системе Windows в результате функционирования приложений удаленного доступа. Предметом исследования являются методы, алгоритмы и инструментальные средства выявления, фиксации и анализа указанных следов, а также закономерности их формирования.

Целью данной дипломной работы является разработка и $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$ $$$$ $$ $$$$$$$, $$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$.

$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$:
$. $$$$$$$ $ $$$$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$, $$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$, $$$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$ $$ $$$$$$$$$$.
$. $$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$ $$$ $$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ ($$$, $$$$$$$$$$, $$$$$$$ $ $$.).
$. $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$ $ $$$$$$$ $$$$$$$$ $$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$ $$ $$$$$$$.
$. $$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$, $$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$.
$. $$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$ $$ $$$$$$$$$$$$$ $$ $$$$$$$$$$$ $$$$$$$$.

$$$$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$: $$$$$$ $ $$$$$$, $$$$$$$$ $ $$$$$$$$, $$$$$$$$$ $$$$$$. $$$ $$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$ ($$$ $$$$$$$$ $$$$$$$$$$$ $$$$), $$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$$$$ ($$$ $$$$$$$$$$$ $$$$$$$$$$), $ $$$$$ $$$$$$$$$$$$$$$$$ $$$$$$ ($$$ $$$$$$$$$ $$$$$$$$). $$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$.

$$$$$$$$$$$$$$ $$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$ $ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$, $$$$$$$$$$-$$$$$$$$ $$$$, $$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $ $$$$$ $$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$ $$$.

Понятие и классификация приложений удаленного доступа, их архитектура и принципы функционирования

В современной информационной инфраструктуре приложения удаленного доступа занимают особое место, обеспечивая возможность дистанционного управления вычислительными ресурсами. Под приложениями удаленного доступа понимается класс программного обеспечения, предназначенного для установления соединения между двумя или более компьютерами с целью передачи управления клавиатурой, мышью и отображения графического интерфейса удаленной системы на локальном устройстве пользователя. Как отмечает А.В. Кузнецов, данные технологии позволяют не только осуществлять удаленное администрирование серверов и рабочих станций, но и предоставлять пользователям возможность работы с корпоративными приложениями из любой точки мира, что существенно повышает гибкость бизнес-процессов [12].

Классификация приложений удаленного доступа может быть проведена по нескольким основаниям, каждое из которых имеет значение для понимания специфики формируемых цифровых следов. По типу используемого протокола передачи данных выделяют решения, работающие на основе собственных проприетарных протоколов (TeamViewer, AnyDesk, Ammyy Admin), и приложения, использующие стандартизированные протоколы, такие как RDP (Remote Desktop Protocol) от компании Microsoft или VNC (Virtual Network Computing). По способу организации соединения различают приложения с прямым подключением, требующие знания IP-адреса и порта целевой системы, и решения с использованием промежуточных серверов (relay-серверов), которые упрощают процесс соединения при наличии сетевых экранов и NAT (Network Address Translation). По модели распространения и лицензирования выделяют коммерческие продукты, бесплатные версии с ограниченным функционалом и открытые решения с доступным исходным кодом.

Архитектура приложений удаленного доступа, как правило, строится по клиент-серверной модели. Серверная часть устанавливается на удаленном компьютере, к которому необходимо получить доступ, и обеспечивает захват экрана, ввод данных с клавиатуры и мыши, а также передачу аудио- и видеопотоков. Клиентская часть размещается на локальном компьютере пользователя и отвечает за отображение удаленного рабочего стола и передачу команд управления. В ряде решений, таких как TeamViewer, дополнительно используется архитектура с центральным сервером аутентификации и маршрутизации, который координирует установление соединения между клиентом и сервером, но не участвует в непосредственной передаче данных после установления сессии. Данный подход, как указывают исследователи, позволяет преодолевать ограничения, связанные с динамическими IP-адресами и работой за межсетевыми экранами [13].

Принципы функционирования рассматриваемых приложений основываются на нескольких ключевых $$$$$$$$$$. $$$$$$ $$ $$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$, $$$$$$$ $$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$ ($$) $ $$$$$$$ $$$$$$, $ $$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$. $$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$, $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$ $$ $$$$$$$$$. $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$ ($$$$$$$$$ $$$$$ $$$$$$$$) $$$ $$ $$$$$$$$$$$ $$$ $$$$$$ $$$$$$ $$$$$. $$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$, $$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$ $$$$ $ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$$. $$$$$$$, $$$$$$ $$$$$$$$ функционирования $$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$, $$$$$$ $$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$.

$$$$$$$ $$$$$ $$$$$$$$, $$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$ $$ $$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$ $$$$$$, $$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$ $$$$$$$. $$$, $$$$$$$$$$, $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$, $$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$ $ $$$$$$$, $$$$$$ $$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$ $$$ $ $$$$$$$$$$$ $$$$$ $$$$$$. $$$$$$$ $$ $$$$$$ $$$ $$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$, $$$ $$$$$$$$ $ $$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$ $ $$$$ $$$$$$$ $$$$$$. $$$$$$$$$ $$$$ $$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$.

$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$, $$$ $$$$$ $$$$$$ ($$$$$$$$$$ $$$ $$$$$$$$$$), $$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$$$, $$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$ $$$$$$ $$$$$ $$$$$$$$$$. $$$ $$$$$$$$$$$$$$ $ $$$$$$ $.$. $$$$$$$$$, $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$$$$$ $$ $$$$$$$ $$ "$$$$$$$$$$$$$$$$$$ $$$$$$$$$$", $$ $$$$ $$ $$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$ [$$]. $$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$, $$$$$$$ $$$$ $$$$$$$$$$$, $$$$$$ $$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$, $ $$ $$$$$ $$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$$ $$$$$$$$$$$ $ $$$$$$$, $$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$ $$$$$$$$$$, $$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$$$$$. $$$$$$$$ $$$$$$$$$ $$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$, $$$ $ $ $$$$$ $$$$ $$$$$ $$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$ $$$$$$$.

Рассмотренные архитектурные особенности приложений удаленного доступа требуют более детального анализа их классификационных признаков с точки зрения формирования цифровых следов. В современной научной литературе выделяют несколько подходов к классификации данного класса программного обеспечения, каждый из которых акцентирует внимание на различных аспектах их функционирования. По степени интеграции с операционной системой различают приложения, использующие системные механизмы Windows (например, встроенный клиент RDP), и приложения, работающие в изолированном пользовательском пространстве без глубокой интеграции с ядром ОС. Первая группа оставляет следы в системных журналах событий и реестре, в то время как вторая группа может сохранять артефакты исключительно в файлах конфигурации и временных директориях пользователя.

По способу установки и распространения выделяют инсталлируемые версии, которые требуют выполнения процедуры установки с правами администратора, и портативные версии, функционирующие без установки и способные запускаться с внешних носителей. Данное различие имеет принципиальное значение для криминалистического анализа, поскольку портативные версии зачастую не оставляют записей в системном реестре и не создают стандартных точек входа в систему, однако могут сохранять файлы конфигурации в папке запуска или в директориях временных файлов. Как отмечает В.П. Соколов, портативные версии приложений удаленного доступа представляют особую сложность для выявления, так как их активность может быть ограничена только оперативной памятью и временными файлами, которые удаляются при завершении сессии [27].

По характеру аутентификации и идентификации пользователей приложения удаленного доступа делятся на решения, использующие учетные записи операционной системы, и решения, применяющие собственные механизмы аутентификации с генерацией уникальных идентификаторов сессий. В первом случае следы активности фиксируются в системных журналах безопасности Windows в виде событий входа и выхода из системы, что облегчает их обнаружение стандартными средствами аудита. Во втором случае аутентификация происходит на уровне приложения, и информация о подключениях может храниться в зашифрованном виде в файлах конфигурации, доступ к которым возможен только при наличии специальных ключей или паролей.

Важным классификационным признаком является способ передачи данных и используемые сетевые протоколы. Приложения могут использовать как стандартные порты TCP/IP, такие как порт 3389 для RDP или порт 5900 для VNC, так и динамические порты, назначаемые в момент установления соединения. Некоторые решения, например TeamViewer, используют случайные порты в диапазоне выше 1024, что затрудняет их обнаружение с помощью простых правил фильтрации трафика. Кроме того, современные приложения удаленного доступа активно применяют технологии обхода межсетевых экранов и NAT, такие как UDP hole punching и relay-серверы, что делает анализ сетевого трафика более сложным, но при этом оставляет следы в виде записей о соединениях с известными IP-адресами relay-серверов.

Архитектура приложений удаленного доступа также может быть рассмотрена с точки зрения количества компонентов и их взаимодействия. Традиционная двухуровневая архитектура "клиент-сервер" предполагает непосредственное соединение между управляющим и управляемым компьютером. Однако все большее распространение получает трехуровневая архитектура с использованием облачных сервисов, где функции аутентификации, маршрутизации и хранения истории подключений выносятся на централизованные серверы $$$$$$$$$$. $$$$$ архитектура, с $$$$$ $$$$$$$, $$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$$$, $ с $$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$, $$$$$$$$$$ на $$$$$$$ $$$$$$$, $$$$$$ $ $$$$$$$ может быть $$$$$$$ $$$$$$ $ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$$.

$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$ $$$$$$$$ $$$$$$$$$, $$$$$$ $$ $$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$ $ $$$$$$$$$$$$ $$$$$$$. $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$, $$$ $$$$$$$, $$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$, $$$$$$$ $ $$$$$$$$$ $$$$ $$$$$$$, $ $$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$ $ $$$$$$ $$$$$$$. $$$$$$$ $$$$$$$$ $$$$$$ $$$$$ $$$$$$$$ $ $$$$$$$$ $$$$$ $$$$$$$$$$$$$ $ $$$$ $$$$$$$$ $$$$$$$, $$$$$$$ $$$ $$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$$. $$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$, $$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $ $$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$ $$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$.

$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$, $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$, $$$$$$$$$ $$$$$$ $$$$$$ $ $$$$ $$$$$$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$$$$$$. $$$$$$ $$$$$$$$$ $$$$$ $$$$$$$$$$$ $$$$ $$$$$ $$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$. $$$$$ $$$$, $$$ $$$$$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$, $$$$$$$$$$$ $ $$$$ $$$$$$$$$ $$$$$$, $$$$$$$ $$$$$$ $$$$$$$$$$, $$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$, $$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$ [$].

$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$, $$$$$$ $$$ $$$$ $$$$$$$ $$$$$$$ ($$$), $$$$$$$ $$$$$$$$ $ $$$$$$$$$$. $$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$, $$$ $$$$ $$ $$$$ $$$$$ $$$$$$$ $$$$$$$$$$$ $$ $$$$$$$$$$$$$. $$$$$$ $$$$$$$, $$$$$$$$, $$$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$ $$ $$$$$$$$$ $$$ $$$$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$, $$$ $$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$ $ $$$$$$$$$ $$$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$ $$$$$$$$$$, $$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$ $$$$$$, $$$$$$$$$$$$$ $$ $$$$$ $$$$$$$, $$$$$$$$$$$ $ $$$$$$$$$$$ $$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$. $$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$, $ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$ $$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$ $$ $$$$$$$$$$$$$$ $$$$$$$$$$. $$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$, $$$ $ $$$$$$$$$$$ $$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$, $$$ $ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$.

Типы и источники цифровых следов пользовательской активности в ОС Windows

Цифровые следы, оставляемые приложениями удаленного доступа в операционной системе Windows, представляют собой совокупность структурированных и неструктурированных данных, фиксирующих факты установления соединений, параметры сессий, действия пользователей и конфигурационные настройки программного обеспечения. Понимание природы и локализации данных артефактов является фундаментальным условием для разработки эффективной методики их выявления. В современной компьютерной криминалистике принято выделять несколько основных типов цифровых следов, каждый из которых характеризуется специфическими механизмами формирования и хранения.

Первым и наиболее информативным типом следов являются системные журналы событий Windows (Windows Event Logs), которые представляют собой централизованное хранилище записей о различных событиях, происходящих в операционной системе. Для целей выявления активности удаленного доступа наибольший интерес представляют журналы безопасности (Security), системы (System) и приложений (Application). В журнале безопасности фиксируются события аутентификации, включая успешные и неудачные попытки входа в систему, что позволяет идентифицировать моменты установления сессий удаленного доступа. Особую ценность представляют события с идентификаторами 4624 (успешный вход в систему), 4634 (выход из системы) и 4648 (попытка входа с использованием явных учетных данных), которые содержат информацию об источнике подключения, типе входа и учетной записи пользователя. Как отмечает И.Г. Федоров, анализ данных событий позволяет восстановить хронологию удаленных подключений с точностью до секунды [6].

Вторым важным типом следов являются записи в системном реестре Windows (Windows Registry), который представляет собой иерархическую базу данных, хранящую конфигурационные параметры операционной системы и установленных приложений. Приложения удаленного доступа, как правило, создают в реестре ключи, содержащие информацию о последних подключениях, настройках соединения, параметрах аутентификации и лицензионных данных. Типичными местоположениями таких записей являются ветви HKEY_CURRENT_USER\Software и HKEY_LOCAL_MACHINE\Software, где создаются подразделы, соответствующие названиям конкретных приложений. Например, для TeamViewer характерным является наличие ключей в разделе HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer, содержащих информацию об идентификаторе компьютера, паролях сессий и истории подключений. Для встроенного клиента RDP следы обнаруживаются в разделе HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client, где хранятся записи о последних подключенных серверах, используемых учетных данных и настройках отображения.

Третьим типом следов являются файлы конфигурации и логи приложений, которые могут располагаться в различных директориях файловой системы. Многие приложения удаленного доступа сохраняют свои настройки и историю подключений в XML-файлах, текстовых файлах или специализированных базах данных (например, SQLite). Типичными местами хранения таких файлов являются папки профиля пользователя (AppData\Local, AppData\Roaming), директории Program Files и ProgramData. Особый интерес представляют временные файлы, создаваемые в процессе работы приложения, которые могут содержать фрагменты передаваемых данных, скриншоты экрана и кэшированную информацию. Данные файлы часто удаляются при завершении сессии, однако в ряде случаев могут сохраняться на диске в течение некоторого времени.

Четвертым типом следов являются артефакты сетевой активности, включающие записи о сетевых соединениях, DNS-запросах и использовании сетевых портов. Операционная система Windows ведет статистику сетевых подключений, которая может $$$$ $$$$$$$$ $ $$$$$$$ $$$$$$$$$$$ $$$$$$, $$$$$ $$$ $$$$$$$, $$$ $$ $$$$$$$$$ $$$$$$$$. $$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$ $$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$, $$$ $$$$$$$$$ $$$$$ $ $$$$ $$$$$$$ о $$$-соединениях, $$$$$$$$$$ $$-$$$$$$ и $$$$$$ портов. $$$$$ $$$$, $$$$$$ $$$$$$$$$$ $$$$$$$$$$ DNS-$$$$$$$ $$$ $$$$$$$$$$ $$$$ $$$$$ $$$$$$$$, $$$ $$$$$ может $$$$ $$$$$$$$$$$$$ $ $$$$ DNS-$$$$$$$$$ Windows $$$ $ $$$$$$$$ DNS-$$$$$$$.

$$$$$ $$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$. $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$ $$$$$ $$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$, $ $$$$$ $$$$$$$$ $$$$$$ $ $$$$$ $$$$$$$$$$$$. $$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$ $$$$$ $ $$$$ $$$$$$$$$ $$$$$$, $$$$$$$ $ $$$$$$$ $ $$$$$$$$$ $$$$$$$$. $$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$, $$$$$$$$$$$$ $ $$$$ $$$$$$, $$$$$$$ $$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$ $$$$$$ $$$ $ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$.

$$$$$$ $$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ ($$$$$$$$, $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$ $$$$$) $ $$$$$$$$$ $$$$$$, $$$$$$$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$. $$$$$$$$$$ $$ $$$$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$$$$ $ $$$$$ $$$$ $$$$$$$$ $ $$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$ $$$$$$$ $$. $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$ $$$$$, $$$$$$$$ $$$, $$$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$$ $$ $$$$$$$$$$$$$.

$$$$$$$ $$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$ $$$$$$$. $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$ $$$ $$$$$$ $$$$$$$, $$$ $$$$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$$. $$$$$$ $$ $$$$$$$$$$$$ $$$$$ $$$$$$$$$$ $ $$$$$$$ ($$$$$ $$$ $ $$$$$$$), $ $$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$, $ $$$$$ $ $$$$$$$$$$$$ $$$$$ $$$$$$$. $$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$, $$$$$$$ $$$$ $$$$$$$$$$$ $ $$$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$$$$$, $$$ $$$$$ $$$$$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$.

$$$$$$$ $$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$. $$$$$$$$$$ $$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $ $$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$$$$$$$$$$$$\$$$$$$$$\$$$$$$$$$\$$$$$$$\$$$$$$$$$$$$$$\$$$$$$$$$, $ $$$$$ $ $$$$$$$$ $$$$$$$$$$$ $$$$$$$ ($$$). $$$$$$ $$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$ $$$$$$$$$, $$$$$$ $$$$$$$$$$ $ $$$$$$$$, $$$ $$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$ $ $$$$$$ $$$ $$$$$$$$$$$$ $$$$$$$$ [$$].

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$ $$$$$$$$$$, $$$ $$$$$$$$ $$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$$ $ $$$$$$$ $$$$$$$ $$$$$$$$$$, $$$$$$$$$$$$$$ $$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$. $$$$$$ $$$ $$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$$ $ $$$$$$$$$$$ $$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$. $$$ $$$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$, $$$$$$$, $$$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$$$$, $$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$.

Продолжая анализ типов цифровых следов, необходимо рассмотреть артефакты, связанные с использованием файловой системы и технологией теневого копирования томов (Volume Shadow Copy Service). Операционная система Windows автоматически создает теневые копии файлов и системных данных, которые могут содержать версии файлов конфигурации приложений удаленного доступа, удаленные в процессе текущей работы. Данный механизм представляет особую ценность для криминалистического анализа, поскольку позволяет восстановить информацию, которая была намеренно удалена пользователем или приложением. Как отмечает А.Н. Ковалев, теневые копии могут храниться в течение нескольких дней или недель в зависимости от настроек системы и доступного дискового пространства, что дает возможность получить доступ к историческим данным о конфигурации и использовании приложений удаленного доступа [14].

Девятым типом следов являются артефакты, связанные с использованием технологии Prefetch в операционной системе Windows. Данная технология предназначена для ускорения загрузки часто используемых приложений путем сохранения информации о файлах, загружаемых при запуске программы. Файлы Prefetch имеют расширение .pf и хранятся в директории C:\Windows\Prefetch. Анализ данных файлов позволяет определить факт запуска приложения удаленного доступа, время первого и последнего запуска, а также количество запусков. Данная информация может быть использована для установления факта использования приложения даже в случае его последующего удаления, поскольку файлы Prefetch удаляются не всегда и могут сохраняться в системе длительное время.

Десятым типом следов являются артефакты журнала USN Journal (Update Sequence Number Journal), который представляет собой журнал изменений файловой системы NTFS. Данный журнал фиксирует все изменения, происходящие с файлами и директориями на томе, включая создание, переименование, изменение и удаление файлов. Анализ USN Journal позволяет восстановить хронологию операций с файлами, связанными с приложениями удаленного доступа, включая установку, обновление и удаление программного обеспечения, а также создание и удаление временных файлов и файлов конфигурации. Особую ценность данный источник представляет в тех случаях, когда другие типы следов были намеренно уничтожены или повреждены.

Одиннадцатым типом следов являются артефакты, связанные с использованием технологии Windows Timeline и журнала активности пользователя. Начиная с версии Windows 10, операционная система ведет журнал активности пользователя, который фиксирует запуск приложений, открытие файлов и посещение веб-сайтов. Данный журнал хранится в виде базы данных SQLite в директории C:\Users\<Имя_пользователя>\AppData\Local\ConnectedDevicesPlatform и может содержать информацию о запуске приложений удаленного доступа. Анализ данного журнала позволяет установить факт использования приложения и время его запуска, однако следует учитывать, что пользователь может отключить функцию ведения журнала активности в настройках конфиденциальности.

Двенадцатым типом следов являются артефакты, связанные с использованием технологии Windows Error Reporting (WER), которая фиксирует информацию о сбоях и ошибках приложений. В случае возникновения ошибок в работе приложений удаленного доступа, соответствующие записи могут быть сохранены в журналах WER, расположенных в директории C:\ProgramData\Microsoft\Windows\WER. Данные записи могут содержать информацию о версии приложения, времени возникновения ошибки и состоянии системы в момент сбоя, что может быть полезно для восстановления хронологии событий.

Тринадцатым типом следов являются артефакты, связанные с использованием технологии Jump Lists в Windows, которые представляют собой списки недавно открытых файлов и выполненных действий, отображаемые при щелчке правой кнопкой мыши по значку приложения на панели задач. Jump Lists хранятся в виде файлов в директории C:\Users\<Имя_пользователя>\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations и могут содержать информацию о недавних подключениях к удаленным серверам, выполненных с использованием приложений удаленного доступа. Анализ данных артефактов позволяет установить факт использования приложения и идентифицировать целевые системы, к которым осуществлялось подключение.

Четырнадцатым типом следов являются артефакты, связанные с $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$, $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$ $ $$$$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$. $ $$$$$$$$ $$$$$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$ $ $$$-$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$ $$$$$$$$$ $$$$$$$$$$ $$ $$$$ $ $$$ $$$$$$$, $$$$$ $$$ $$$$$$$$$$$ $ $$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$$. $$$$$$ $$$$$$ $$$$$$$$ $ $$$$$$$$$$ $:\$$$$$$$$$$$\$$$$$$$$$\$$$$$$ $ $$$$$ $$$$ $$$$$$$$$$$$$$$ с $$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$.

$$$$$$$$$$$ $$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$$, $$$$$$$$ $ $$$$$$$$$ $$$$$$. $$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$, $$$$$$$$$ $ $$$$$$$$ $$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$ $$$$$ $ $$$ $$$$$$$, $$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$ $$ $$$$$$$ $ $$$$$ $$$$$$$$ $$$$$$ $$$$$ $$$$$$$$$$ [$$].

$$$$$$$$$$$$ $$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$ $$$$ $$$ $$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$$$ $$$$$$. $$$$$$$ $$$$$ $$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$ $$$$$$$$$$$$ $ $$$-$$$$$$, $$$$$$$ $$$$ $$$$$$$$ $$$ $$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$ $ $$$$$$ $$$$$$ $$$$$ $$$$ $$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$ $$$ $$$$$$$$ $$$ $$$$$$$$$$$$$$, $$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$ $ $$$$$$$$$$$$ $$$$$$$.

$$$$$$$$$$$ $$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$ ($$$), $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$ $ $$$$$$ $$$$$$$$$ $$$$$$$. $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$ $$$ $$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$ $$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$. $$$$$$ $$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$ $$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$, $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$ $$$$$$ $ $$$$$$$$$$ $$$$$$.

$$$$$$$$$$$$$ $$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$ ($$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$), $$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$ $$$$$$. $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$$$ $$$$ $$$ $$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$ $$$$$$ $ $$$$$$$ $$$$$$, $$$ $$$$$$$$$ $$$$$ $ $$$$$$$$ $$$$, $$$$$$$$$$$$$ $ $$$$$$$$$$ $:\$$$$$$$$$$$\$$$$$$$$$\$$$$$$$\$$$$$$$$$$ [$].

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$ $$$$$$$$$$, $$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$$ $$$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$ $$$ $$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$$ $ $$$$$$$$$$$, $$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $ $$ $$$$$$$$$ $ $$$$$$$. $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$, $$$$$$ $$$$$$$ $ $$$$$$$$ $$$$$$$, $$$$$$ $$$ $$$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$$$, $$$$$$$$$ $ $$$$$$$ $$$$$$$$$ $$$$$ $ $$$$$$$$$$, $$$$$ $$$ $$$$$$$$, $$$ $$$$$$$, $$$$$$$ $$$$$$$$ $ $$$$$$$ $$$$$ $$$$$. $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$, $$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$.

Обзор существующих методов и инструментов криминалистического анализа для выявления следов удаленной работы

В современной компьютерной криминалистике сформировался значительный арсенал методов и инструментов, предназначенных для выявления следов удаленной работы в операционной системе Windows. Данные методы можно классифицировать по различным основаниям, включая степень автоматизации, область применения и тип анализируемых артефактов. Понимание существующих подходов и их возможностей является необходимым условием для разработки собственной методики, учитывающей специфику выявления следов приложений удаленного доступа.

Традиционные методы криминалистического анализа можно разделить на две основные категории: методы статического анализа и методы динамического анализа. Статический анализ предполагает исследование образа жесткого диска или его копии, полученной с использованием специализированных инструментов, таких как EnCase, FTK Imager или Belkasoft Evidence Center. Данные инструменты позволяют создать побитовую копию исследуемого носителя, сохраняя все данные, включая удаленные файлы и нераспределенное пространство. Как отмечает С.В. Громов, статический анализ является наиболее надежным методом, поскольку он не вносит изменений в исследуемую систему и позволяет многократно возвращаться к анализу одних и тех же данных [5].

В рамках статического анализа выделяют несколько ключевых направлений. Первым направлением является анализ файловой системы, который включает исследование структуры директорий, метаданных файлов и журналов изменений. Инструменты, такие как The Sleuth Kit и Autopsy, предоставляют широкие возможности для анализа файловых систем NTFS, FAT32 и exFAT, позволяя восстанавливать удаленные файлы, анализировать временные метки и выявлять аномалии в структуре данных. Вторым направлением является анализ системного реестра, который может быть выполнен с использованием инструментов, таких как RegRipper, Registry Explorer или MiTeC Windows Registry Recovery. Данные инструменты позволяют извлекать информацию из кустов реестра, анализировать ключи и значения, а также восстанавливать удаленные записи.

Третьим направлением статического анализа является анализ системных журналов событий, который может быть выполнен с использованием встроенных средств Windows, таких как Event Viewer, или специализированных инструментов, таких как Log Parser, Log2Console или Event Log Explorer. Данные инструменты позволяют фильтровать, сортировать и анализировать записи журналов событий, выявляя подозрительные события, связанные с удаленным доступом. Четвертым направлением является анализ сетевых артефактов, включая файлы подкачки, файлы гибернации и дампы памяти, которые могут содержать информацию о сетевых соединениях, установленных в процессе работы приложений удаленного доступа.

Динамический анализ, в отличие от статического, предполагает исследование работающей системы в реальном времени. Данный метод часто используется в ситуациях, когда необходимо перехватить активность злоумышленника или получить доступ к данным, хранящимся только в оперативной памяти. Инструменты динамического анализа, такие как Volatility, Rekall и Redline, позволяют анализировать дампы оперативной памяти, выявляя запущенные процессы, открытые сетевые соединения и загруженные драйверы. Особую ценность данные инструменты представляют для анализа приложений удаленного доступа, которые могут не оставлять следов на жестком диске, работая исключительно в оперативной памяти.

Среди специализированных инструментов, предназначенных для выявления следов удаленного доступа, можно выделить несколько наиболее известных решений. Инструмент RDP Bitmap Cache Extractor, разработанный компанией Magnet Forensics, позволяет извлекать и анализировать кэш растровых изображений, создаваемый клиентом RDP в процессе работы. Данный кэш содержит фрагменты изображений удаленного рабочего стола, которые могут быть использованы для визуального подтверждения факта удаленной работы и идентификации действий пользователя. Инструмент TeamViewer Log File Analyzer позволяет анализировать лог-файлы TeamViewer, извлекая информацию о подключениях, передаче файлов и использовании чата.

В российской практике $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$ "$$$$$$" $ "$$$$$$$$$$$ $$$$$$$$$$$". $$$$$$$ "$$$$$$ $$$$$$$$$$$$$$" $$$$$$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$, $$$$$$$ $$$$$$ $$$$$$$, $$$$$$$$ $$$$$$$ $ $$$$$$$$ $$$$$$$, $ $$$$$$$$$$ $$$$$$ $$$$$$$$$$, $$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$$$$$$ "$$$$$$$$$$$ $$$$$$$$$$$", $$$$$ $$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$, $$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$ $$ $$$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$$$.

$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$ $$$$$ $$$$$ $$$$$$$$$$$$$$$$ $$ $$$$ $$$$$$$$$$$ $$$$$$$$$$. $$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$ $$$$$ $$$$$$ $ $$$$$$$$, $$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$ $$$$$$$$$ $$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$. $$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$ $$ $$$$$$$$$$$$$$$ $$$$$$$, $$$$$$$$$ $ $$$$$$$$$ $$$$$$$$, $ $$$$$$$$$$ $$$$$$$ $$ $$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$$$$$. $$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$ $$$$$$ $$$$$$$$$$$$, $$$-$$$$$$ $ $$$$$$$$$ $$$$$$, $$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $ $$$$$ $$$$$$ $$$$$$$$$$ $$$$$$ $$$ $$$$$$$$$$$ $$$$$$$ $$ $$$$$$$$ $ $$$$$$$$$$$.

$$$$$$ $$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$ $$$$$$ $$$$$$$$$ $$$$$, $$$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$. $$$$$$ $$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$ $$$$$$ ($$$-$$$$$$), $$$$$$ $$$$$$$$$ $$$$$ $$$$$$$ $$$$$$$ $ $$$$$$ $$$$$$$$$ $$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$$$. $$$$$$$$$$ $$$$$$$$$ $$$$$ $$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $ $$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$.

$$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$ $ $$$$$$$ $$$$$$$$ $$$$$$. $$$ $$$$$$$$ $.$. $$$$$$, $$$$$$$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $ $$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$ $$$$$$, $ $$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$$$$ $$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$ [$$]. $$$$$$ $$$$$$ $$$$$$$$$$ $$$$ $$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$-$$ $$$$$$$$$ $$ $$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$ $$ $$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$.

$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$. $$$ $$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ ($$$-$$$$$) $$$ $$$$$$$ $$$$$ $$$ $$$$$$ $$$$$. $$$$$$$$$$$, $$$$$ $$$ $$$ $$$$$$ $ $$$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$ $$$-$$$$$ $$$ $$$$$$$$ $$$$$, $$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$, $$$ $$$$$$ $$ $$$$ $$$$$$$$ $ $$$$$$$$ $$$$$$$. $$$$$$ $$$$$$ $$$$$ $$$$$$ $$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$, $$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$ $$$$$$$$$$, $$$ $ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$ $ $$$$$$$$$$$$, $$$$$$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$ $$$$$$$ $$$$$$$. $$$$$$ $$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$ $$$$$$$ $$$$$$, $$$ $ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$, $ $$$$$$$$ $ $$$$ $$$$$$ $$$$$$$, $$$$$$$$ $$$$$$$, $$$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$$$$. $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$ $$$$$$$ $$$$$ $$$$$ $ $$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$ $$$$$$ $$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ [$$]. $$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$, $$$$$$$ $$$$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$ $$ $$$ $$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$ $$$$ $$ $$$$$$$.

Продолжая анализ существующих методов и инструментов криминалистического анализа, необходимо рассмотреть специализированные методики, разработанные для выявления следов конкретных приложений удаленного доступа. Наибольшее внимание в научной литературе уделяется анализу артефактов встроенного клиента RDP, что обусловлено его широкой распространенностью и глубокой интеграцией с операционной системой Windows. Методика анализа RDP-артефактов включает исследование нескольких ключевых источников: системных журналов событий, реестра Windows, файловой системы и кэша растровых изображений. В системных журналах событий идентифицируются события с кодами 4624, 4634 и 4648, которые фиксируют успешные и неудачные попытки входа, а также события 4778 и 4779, специфичные для сессий удаленного рабочего стола. В реестре Windows анализируются ключи, расположенные в ветви HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client, которые содержат информацию о последних подключениях, используемых серверах и настройках отображения.

Для анализа приложений TeamViewer разработаны специализированные методики, учитывающие особенности хранения артефактов данным программным обеспечением. Основными источниками следов TeamViewer являются файлы конфигурации, расположенные в директории C:\Program Files (x86)\TeamViewer или C:\ProgramData\TeamViewer, а также записи в системном реестре. Файл Connections_incoming.txt содержит информацию о входящих подключениях, включая идентификаторы партнеров, время соединения и продолжительность сессии. Файл TeamViewer.log ведет подробный журнал всех операций, выполняемых приложением, включая ошибки подключения и изменения настроек. В реестре Windows ключи TeamViewer расположены в ветвях HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer и HKEY_CURRENT_USER\Software\TeamViewer, где хранятся лицензионные данные, настройки безопасности и история подключений.

Методика анализа приложений AnyDesk имеет свои особенности, связанные с архитектурой данного программного обеспечения. AnyDesk хранит свои конфигурационные данные в файле system.conf, расположенном в директории C:\ProgramData\AnyDesk, и в файле user.conf, находящемся в профиле пользователя. Данные файлы содержат информацию о настройках соединения, списке разрешенных подключений и истории сессий. В реестре Windows AnyDesk создает ключи в ветви HKEY_LOCAL_MACHINE\SOFTWARE\AnyDesk, где хранятся параметры установки и лицензионные данные. Особенностью AnyDesk является возможность работы в портативном режиме без установки, что требует применения дополнительных методов анализа для выявления следов его использования.

Для анализа приложений VNC (Virtual Network Computing) разработаны методики, учитывающие разнообразие реализаций данного протокола. Наиболее распространенные реализации, такие как TightVNC, UltraVNC и RealVNC, имеют схожие механизмы хранения артефактов, но различаются в деталях. Файлы конфигурации VNC-серверов обычно хранятся в директории установки приложения или в системных директориях, а журналы подключений могут вестись в виде текстовых файлов или записей в системном реестре. Особый интерес представляют файлы паролей VNC, которые могут храниться в зашифрованном виде и требуют применения специализированных инструментов для дешифровки.

В российской научной литературе значительное внимание уделяется разработке комплексных методик анализа цифровых следов, учитывающих специфику расследования инцидентов информационной безопасности. Так, в работе А.В. Смирнова предлагается методика, основанная на последовательном анализе пяти ключевых областей операционной системы: реестра, журналов событий, файловой системы, сетевых артефактов и оперативной памяти [1]. Данная методика предусматривает поэтапное исследование каждой области с использованием специализированных инструментов и последующую корреляцию полученных результатов для восстановления полной картины произошедшего. Особое внимание уделяется анализу временных меток и установлению последовательности событий.

Перспективным направлением развития методов криминалистического анализа является применение технологий облачных вычислений и распределенной обработки данных. Данный подход позволяет анализировать большие объемы данных, полученных от множества источников, и выявлять корреляции между различными типами артефактов. Облачные платформы, такие как Microsoft Azure Sentinel и Amazon GuardDuty, предоставляют возможности для централизованного сбора и анализа данных безопасности, включая логи приложений удаленного доступа. Однако использование облачных технологий в криминалистическом анализе сопряжено с рядом ограничений, связанных с обеспечением $$$$$$$$$$$$$$$$$$ и $$$$$$$$$$$ данных, $ $$$$$ с $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$ $ $$$$$$ $$$$$$$$$$$$ данных.

$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$. $ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$, $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$, $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$$ $$ $$$$$$$ $ $$$$$$ $$$$$$$$. $$$$$$ $$$$$$ $$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$ $ $$$$$ $$$$ $$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$$$. $$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$ ($$$$$ $$ $$$$$$$), $$$$$$$$ $$$ $$$$$$$$, $$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$.

$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$ $$$$$$$ $ $$$$$$ $$$$$$$ $ $$$$$ $$$$$$ $$$$$$$ $$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $ $$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$ $$$$$$$$$, $$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$. $ $$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$, $$$$$$$$$$$$$$$ $$ $$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$ $$$$$ $$$$$$, $$$$$$$$$$ $$$$$$ $$$$$$$$$$$, $$$$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$, $ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$ $$$$$$.

$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$ $$$$$$$$$$$$$, $$$$$$$ $$$$$$$$ $$$ $$$$$ $$$$$$$ $$$$$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$. $$$$$$$$$$$ $$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$, $$$$$$ $$ $$$$$$ $$$$$ $$$$ $$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$ ($$$$$$$$$), $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$ $$ $$$$$$$$$$$. $$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$ $$$ $$$$$$ $$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$ $$$$$-$ $$$$$$$, $ $$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$, $$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$ [$$].

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$ $$$$$$$$$$, $$$ $ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$ $ $$$$$$$$$$$$, $$$$$$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$ $$$$$$$ $$$$$$$. $$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$$$$ $$$$$$$, $$$$$$$$ $$$$$$$, $$$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$$$$, $ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$ $$$ $$$, $$$$$$$$$$, $$$$$$$ $ $$$. $$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$ $ $$$$$$$$$$$$$ $$ $$$$$$$ $$$$$ $$$$$, $$$ $$$$$$$$$$$$ $$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$. $$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$, $$$$$$$ $$$$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$$, $$$$$$$$$$$$ $$ $$$ $$$$$$$ $$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$. $$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$$$$$$ $$$$$$$ $$$$$$$, $$$ $ $$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$.

Исследование артефактов активности в приложениях на основе протокола RDP (Remote Desktop Protocol)

Протокол удаленного рабочего стола RDP, разработанный компанией Microsoft, является одним из наиболее распространенных средств удаленного доступа в корпоративных средах, что обусловлено его глубокой интеграцией с операционной системой Windows и встроенной поддержкой на всех версиях ОС, начиная с Windows XP. Данное обстоятельство делает анализ артефактов RDP одним из ключевых направлений компьютерной криминалистики при расследовании инцидентов, связанных с несанкционированным удаленным доступом. В рамках данного раздела проводится детальное исследование механизмов формирования, локализации и особенностей хранения артефактов, оставляемых клиентом RDP в операционной системе Windows.

Первым и наиболее значимым источником артефактов RDP являются системные журналы событий Windows, в которых фиксируются события, связанные с установлением и завершением сессий удаленного рабочего стола. Журнал безопасности (Security) содержит события с идентификаторами 4624 (успешный вход в систему) и 4634 (выход из системы), которые при типе входа 10 (RemoteInteractive) однозначно указывают на использование протокола RDP. Данные события включают информацию об учетной записи пользователя, исходном IP-адресе подключения, времени входа и выхода, а также идентификаторе сессии. Журнал системы (System) содержит события с идентификаторами 7001 и 7002, связанные с запуском и остановкой службы терминальных серверов, а также события 1001 и 1002, фиксирующие переполнение или очистку журналов. Как отмечает П.А. Захаров, анализ данных событий позволяет с высокой точностью восстановить хронологию удаленных подключений и идентифицировать источники соединений [16].

Вторым важным источником артефактов RDP является системный реестр Windows, в котором хранятся настройки клиента и сервера удаленного рабочего стола. Ветвь HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client содержит ключи, относящиеся к клиентской части RDP, включая список последних подключенных серверов (MRU-список), используемые учетные данные и настройки отображения. Ключ MRU (Most Recently Used) хранит до десяти последних подключений, каждое из которых представлено отдельным значением с именем в формате "MRU0", "MRU1" и т.д., содержащим IP-адрес или DNS-имя сервера. Ветвь HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server содержит настройки серверной части RDP, включая параметры безопасности, лицензирования и сетевых подключений. Особый интерес представляет ключ fDenyTSConnections, значение которого указывает, разрешены ли подключения по протоколу RDP на данном компьютере.

Третьим источником артефактов являются файлы конфигурации подключений RDP, которые имеют расширение .rdp и хранятся в директории C:\Users\<Имя_пользователя>\Documents или C:\Users\<Имя_пользователя>\Desktop. Данные файлы содержат параметры конкретных подключений, включая адрес сервера, настройки отображения, параметры аутентификации и настройки перенаправления устройств. Анализ данных файлов позволяет установить, к каким серверам пользователь планировал подключаться, а также выявить использование нестандартных настроек, которые могут свидетельствовать о попытках сокрытия следов.

Четвертым источником артефактов является кэш растровых изображений RDP (RDP Bitmap Cache), который представляет собой набор файлов, содержащих фрагменты изображений удаленного рабочего стола, кэшируемые клиентом для ускорения отображения. Данные файлы расположены в директории C:\Users\<Имя_пользователя>\AppData\Local\Microsoft\Terminal Server Client\Cache и имеют имена вида Cache0000.bin, Cache0001.bin и т.д. Каждый файл содержит набор растровых изображений (тайлов) размером 64x64 пикселя, которые могут быть извлечены и собраны в единое изображение с помощью специализированных инструментов, таких как RDP Bitmap Cache Extractor или BMC-Tools. Восстановленные изображения могут содержать фрагменты окон приложений, документов и веб-страниц, с которыми работал пользователь в ходе удаленной сессии, что предоставляет визуальное подтверждение факта удаленной работы и позволяет идентифицировать конкретные действия пользователя.

Пятым источником артефактов являются журналы службы терминальных серверов (Terminal Services Logs), которые хранятся в директории C:\Windows\System32\LogFiles\Terminal Services и содержат подробную информацию о сессиях удаленного рабочего стола. Файлы журналов имеют имена вида %SystemRoot%\System32\LogFiles\Terminal Services\RDP-<Дата>-<Время>.log и содержат записи о каждом подключении, включая идентификатор сессии, имя пользователя, IP-адрес источника, время начала и окончания сессии, а также количество переданных и принятых байтов. Анализ данных журналов позволяет получить детальную информацию о всех сессиях RDP, включая $$, которые $$$$$ $$$$ $$$$$$$ $$ $$$$$$$$$ журналов $$$$$$$.

$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$ ($$$$$$$$.$$$) $ $$$$$ $$$$$$$$$$ ($$$$$$$$.$$$), $$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$, $$$$$$$$$ $ $$$$$$$ $$$-$$$$$$$, $$$$$$$$$$$ $$ $$$$$$$$$$$ $$$$$$. $$$$$$ $$$$$$ $$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$ $$$ $$$$$$$$$$ $$$ $$$ $$$$$$, $$$$$$$$$ $$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$, $$$$$$$$ $$$$$$$ $$$$$$$$$$$ $ $$$$$$ $$$$$$$$$$$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$.

$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$ $$$-$$$$ $ $$$-$$$$$$$, $$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$, $$$$$$$$$$$$$ $ $$$$$$$$ $$$$$$ $$$-$$$$$$$. $$$-$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$ $ $$$-$$$$$$$$, $$$$$$$ $$$$$$ $ $$$$$$$$, $ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$ $$$$$$$$$ $$$. $$$-$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$ $$-$$$$$$$$ $ $$$-$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$ $$$$, $$$ $$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$, $$$$$$$$$$$$ $$$ $$$$$$$$$$$.

$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$ ($$$$ $$$$$$$$$), $$$$$$$ $$$$$ $$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$$$$$$ $$$$$$$ $$$-$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$, $$$$$$$$$ $ $$$$$$$$$ $$$$$$$$. $$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$$ $$$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$ $ $$$$$$ $$$$$$$$$ $$$$$$.

$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$ $ $$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$, $$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$ $$$-$$$$$$$. $$$$$$$$, $$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$$$$$$$$$$$ $$$$$$$, $$$ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$ $ $$$$$, $$ $$$$$$$$$ $ $$$$$$$$$$ $$$$$$$.

$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$ ($$$$$$$ $$$$$$$$), $$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$, $$$$$$$$$$ $$$$$ $$$$$$$$$$. $$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$, $$$$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$ $$$$ ($$$$$$$$$$$ $$$$ $$$) $$$ $$$$$$ $$$$$$, $$$$$$$$$$$ $$$ $$$-$$$$$$$$$$$. $$$$$$ $$$$$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$ $$$$$$$$$$$, $ $$$$$ $$$ $$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$$$ [$].

$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$ ($$$$$$ $$$$$$$ $$$$$$$$), $$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$-$$$$$$$. $$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$ $$$$$$, $$$$$$$ $$ $$$$$$, $$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$ $$$$$$$$$$$. $$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$ $ $$$$$$$ $$$$$$$$, $$$$$$$ $$$$$ $$$$$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$$$$$$ $$$$$$$.

$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$ $$$$$ $$$$$$ $$$$$$$$$ ($$$$$$ $$$$$), $$$$$$$ $$$$$ $$$$ $$$$$$$ $ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$-$$$$$$$ $$$ $$$$$$$. $$$$$$ $$$$$ $$$$$$$$ $$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$ $$ $$$$$$ $$$$, $$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$, $$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$$$$$$$ $$$$$$. $$$$$$ $$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$ $$$ $$$$$$ $$$ $$$$$$$$$$, $ $$$$$ $$$$ $$$$$$$$ $$$$$$ $$$ $$$$$$$ $$$$$$$$$$$$$$$ $$$$ $$$$$$$.

$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$ $$$$$$ $$$$$$$$ $$$$ ($$$$$$$ $$$$$$ $$$$$$), $$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$$ $$$-$$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$. $$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$$ $ $$$$ $$$$$$$$ $$$$$$$$$$$, $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$ $$$$$$$. $$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$, $$$$$$$$$$$$$$ $$$ $$$$$$$$$$$ [$$].

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$, $$$ $$$$$$$$ $$$ $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$, $$$$$$$$$$$$$$ $$ $$$$$$$$$ $$$$$$$$ $$$$$$$. $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$, $$$$$$ $$$$$$$ $ $$$ $$$$$$$$$ $$$$$$$$$$$, $$$$$$ $$$ $$$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$$$, $$$$$$$$$ $ $$$$$$$ $$$$$$$ $$$$$, $$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$. $$$$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $ $$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$, $$$$$$$$$$$$$$$$ $$$$$$$$$ $ $$$$ $$$$$$$$$$, $ $$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$$$$$ $ $$$$ $$$$$$$$$ $$$$$$. $$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$ $$$$$$ $$$$$$$$$ $$$ $ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$.

Продолжая исследование артефактов RDP, необходимо рассмотреть дополнительные источники цифровых следов, которые могут быть использованы для выявления фактов удаленного доступа и восстановления хронологии событий. Четырнадцатым источником артефактов являются записи журнала службы удаленной помощи (Remote Assistance), которая также использует протокол RDP для организации сессий удаленной помощи. Данный журнал содержит информацию о приглашениях на сеанс удаленной помощи, их принятии и завершении, а также об учетных записях пользователей, участвовавших в сессии. Анализ данных записей позволяет отличить сессии удаленной помощи от обычных сессий RDP, что важно для правильной квалификации событий.

Пятнадцатым источником артефактов являются записи журнала службы шлюза удаленных рабочих столов (RD Gateway), который используется для организации безопасного доступа к RDP-серверам через интернет. Данный журнал содержит информацию о всех подключениях, проходящих через шлюз, включая IP-адреса клиентов, целевые серверы, время подключения и результаты аутентификации. Анализ данных записей позволяет выявить подключения, осуществленные из внешних сетей, и идентифицировать источники потенциальных атак.

Шестнадцатым источником артефактов являются записи журнала службы веб-доступа к удаленным рабочим столам (RD Web Access), которая предоставляет доступ к RDP-сессиям через веб-интерфейс. Данный журнал содержит информацию о запросах к веб-порталу, аутентификации пользователей и запуске RDP-сессий через веб-браузер. Анализ данных записей позволяет выявить факты использования веб-интерфейса для доступа к удаленным рабочим столам, что может быть особенно актуально в корпоративных средах с централизованным управлением доступом.

Семнадцатым источником артефактов являются записи журнала службы лицензирования удаленных рабочих столов (RD Licensing), которая управляет лицензиями на использование RDP. Данный журнал содержит информацию о выдаче и использовании лицензий, а также о клиентах, подключившихся к серверу лицензирования. Анализ данных записей позволяет выявить факты использования RDP-клиентов, которые могут быть не зафиксированы в других журналах, особенно в случае использования временных или гостевых лицензий.

Восемнадцатым источником артефактов являются записи журнала службы политики группы (Group Policy), которая может содержать настройки, связанные с использованием RDP. Политики группы могут определять параметры безопасности RDP, включая требования к шифрованию, ограничения на количество одновременных сессий и правила аутентификации. Анализ данных записей позволяет выявить изменения в настройках RDP, которые могли быть внесены с целью обхода политик безопасности или сокрытия следов активности.

Девятнадцатым источником артефактов являются записи журнала службы обновления Windows (Windows Update), которая может фиксировать установку обновлений, связанных с RDP. Данные обновления могут содержать исправления уязвимостей или новые функции, которые могли быть использованы для получения несанкционированного доступа. Анализ данных записей позволяет установить, какие версии RDP-клиента и сервера использовались в конкретный период времени, что важно для оценки возможных векторов атак.

Двадцатым источником артефактов являются записи журнала службы сертификатов (Certificate Services), которые могут содержать информацию о сертификатах, используемых для аутентификации RDP-подключений. RDP поддерживает использование сертификатов для аутентификации сервера и клиента, что обеспечивает более высокий уровень безопасности по сравнению с аутентификацией по паролю. Анализ данных записей позволяет выявить факты использования самоподписанных сертификатов или сертификатов, выданных недоверенными центрами сертификации, что может свидетельствовать о попытках перехвата трафика или подмены сервера.

Двадцать первым источником артефактов являются записи журнала службы защиты доступа к сети (Network Access Protection), которая может использоваться для проверки соответствия клиентских систем требованиям безопасности перед предоставлением доступа к RDP. Данный журнал содержит информацию о результатах проверок и причинах отказа в доступе, что позволяет выявить попытки подключения с несоответствующих требованиям систем.

Двадцать вторым источником артефактов являются записи журнала службы управления мобильными устройствами (Mobile Device Management), которая может использоваться для управления доступом к RDP с мобильных устройств. Данный журнал содержит информацию о подключениях с мобильных устройств, $ $$$$$ о $$$$$$$$$ $$$$$$$$$$$$, $$$$$$$$$$$ к $$$$$ $$$$$$$$$$$$. $$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$$$$ RDP с устройств, $$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$.

$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$ $$$$$$ $$$$$$ $$$$$ $ $$$$$$$ ($$$$$ $$$$$), $$$$$$$ $$$$$ $$$$ $$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$$ $$$$ $$$$$$$ $$$$$ $ $$$$$$$, $$$$$$$ $$$-$$$$$$$$$$$. $$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$$ $ $$$$ $$$$$, $$$$$$$$$$$$ $$$$$$$ $$$$$$, $$$$$$$ $$$$$ $ $$$$$$, $ $$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$$. $$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$, $$$$$$$ $$$$$ $$$$$$$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$ $$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$ [$$].

$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$ $$$$$$ $$$$$$ $$$$$$$$ ($$$$$$ $$$$$$ $$$$$), $$$$$$$ $$$$$ $$$$ $$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$ $$$$$$, $$$$$$ $$$ $$$$$$ $$$$$$$, $$$$$$$$$ $ $$$. $$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$$ $ $$$, $$$$$ $$$$$$$ $$$$ $$$$$$$$ $ $$$$ $$$-$$$$$$, $$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$ $$$$$$$$$$.

$$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$ $$$$$$ $$$$$$ $$$$$$$$$ ($$$$$$$ $$$$$), $$$$$$$ $$$$$ $$$$ $$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$$$$, $$$$$$$$$ $ $$$. $$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$$ $ $$$, $$$$$ $$$$$$$$ $$$$ $$$$$$$$ $ $$$$ $$$-$$$$$$, $$$ $$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$.

$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$ $$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$ ($$$$$$ $$$$$), $$$$$$$ $$$$$ $$$$ $$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $ $$$. $$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$$ $$ $$$$$$$$$$ $ $$$$$$$$$$$$ $$$-$$$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$ $$$$$$$$ $ $$$$$$$ $$$$$$$. $$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$, $$$$$$$ $$$$$ $$$$ $$$$$$$$$ $ $$$$$ $$$$$$$$$ $$$$$$$ $ $$$$$$$.

$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$ $$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ ($$$$$$$$$ $$$ $$$$$), $$$$$$$ $$$$$ $$$$ $$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$$$ $$$ $$$$$$$$$$ $$$-$$$$$$$$. $$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$$ $ $$$, $$$$$ $$$$$$$$$$ $$$$ $$$$$$$$$$$$ $ $$$, $$$ $$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$ $$$ $$$$$$$$$ $$$ [$$].

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$$, $$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$, $$$$$$$$$$$$$$ $$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$, $$$$$$$ $ $$$$$$$$ $$$$$$$. $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$, $ $$$$$ $$$$$$ $$$$$$$, $$$$$$$$$$ $$$$$$$$$ $$$$$$$ $ $$$$$$$ $$$. $$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$ $$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$, $ $$$$$$$$ $$$$$$$ $$$$$$$$$$$$. $$$$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $ $$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$, $$$$$$$$$$$$$$$$ $$$$$$$$$ $ $$$$ $$$$$$$$$$, $ $$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$$$$$ $ $$$$ $$$$$$$$$ $$$$$$. $$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$ $$$$$$ $$$$$$$$$ $$$ $ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$, $$$ $$$ $$$$$$$$ $$$$$ $$ $$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$.

Выявление и сравнительный анализ следов в сторонних коммерческих решениях (TeamViewer, AnyDesk)

Сторонние коммерческие решения удаленного доступа, такие как TeamViewer и AnyDesk, занимают значительную долю рынка и широко используются как в корпоративных, так и в частных целях. В отличие от встроенного протокола RDP, данные приложения обладают собственной архитектурой, механизмами хранения данных и формирования цифровых следов, что требует разработки специализированных подходов к их выявлению и анализу. В рамках данного раздела проводится сравнительный анализ артефактов, оставляемых TeamViewer и AnyDesk в операционной системе Windows, с целью выявления общих закономерностей и специфических особенностей каждого решения.

Приложение TeamViewer является одним из наиболее распространенных средств удаленного доступа, что обусловлено его удобством использования, поддержкой различных операционных систем и наличием бесплатной версии для некоммерческого использования. Артефакты TeamViewer в операционной системе Windows можно разделить на несколько категорий в зависимости от их локализации и типа хранимой информации. Первой категорией являются файлы конфигурации и журналы, расположенные в директории установки приложения. Стандартная директория установки TeamViewer находится по пути C:\Program Files (x86)\TeamViewer или C:\Program Files\TeamViewer в зависимости от разрядности системы, а также C:\ProgramData\TeamViewer для хранения общих данных. В данных директориях содержатся файлы, имеющие критическое значение для криминалистического анализа.

Файл Connections_incoming.txt содержит информацию о всех входящих подключениях к данному компьютеру, включая идентификаторы партнеров (TeamViewer ID), время начала и окончания сессии, а также тип подключения. Данный файл ведется в текстовом формате и может быть прочитан с помощью любого текстового редактора, что облегчает его анализ. Файл TeamViewer.log представляет собой подробный журнал всех операций, выполняемых приложением, включая запуск и остановку служб, установление и разрыв соединений, ошибки подключения и изменения настроек. Данный файл может достигать значительного размера и содержит информацию, полезную для восстановления хронологии событий. Файл TeamViewer_Configuration.xml содержит настройки приложения, включая параметры безопасности, настройки сети и список доверенных партнеров.

Второй категорией артефактов TeamViewer являются записи в системном реестре Windows. Ветвь HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer содержит ключи, относящиеся к установке и настройке приложения, включая лицензионные данные, идентификатор компьютера (TeamViewer ID) и настройки безопасности. Ветвь HKEY_CURRENT_USER\Software\TeamViewer содержит настройки, специфичные для конкретного пользователя, включая историю подключений, настройки интерфейса и список избранных партнеров. Особый интерес представляет ключ Security_PasswordHash, который содержит хеш пароля для несанкционированного доступа, что может быть использовано для проверки, был ли скомпрометирован данный компьютер. Как отмечает Е.В. Морозов, анализ записей реестра TeamViewer позволяет не только установить факт использования приложения, но и определить, какие именно функции использовались злоумышленником [4].

Третьей категорией артефактов TeamViewer являются временные файлы, создаваемые в процессе работы приложения. Данные файлы могут содержать фрагменты передаваемых данных, скриншоты экрана и кэшированную информацию. Временные файлы TeamViewer обычно располагаются в директории C:\Users\<Имя_пользователя>\AppData\Local\Temp\TeamViewer и могут быть удалены при завершении сессии, однако в ряде случаев они сохраняются на диске и могут быть извлечены с помощью инструментов криминалистического анализа.

Четвертой категорией артефактов являются записи в системных журналах событий Windows, которые фиксируют запуск и остановку служб TeamViewer, а также события, связанные с установлением сетевых соединений. Служба TeamViewer (TeamViewer Service) регистрируется в системе и может быть обнаружена в журнале системы (System) с указанием времени ее запуска и остановки. Кроме того, TeamViewer может создавать записи в журнале приложений (Application), фиксируя ошибки и предупреждения, возникающие в процессе работы.

Пятым источником артефактов TeamViewer являются записи планировщика задач Windows, который может быть использован для автоматического запуска приложения при старте системы. TeamViewer создает задачу в планировщике задач, которая обеспечивает автоматический запуск службы TeamViewer и доступность компьютера для удаленных подключений. Анализ записей планировщика задач позволяет выявить факт $$$$$$$$$ TeamViewer для автоматического запуска, $$$ может $$$$$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$$$$$$$ приложения для $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$.

$$$$$$$$$$ $$$$$$$, $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$, $$$$$ $$$$$$ $$$$$$$$$$$$$$$$, $$ $$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$. $$$$$$$$$ $$$$$$$ $$$$$ $$$$$ $$$$$$$$$ $$ $$$$$$$$$ $$$$$$$$$. $$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$$$, $$$$$$$$$$$$$ $ $$$$$$$$$$ $:\$$$$$$$$$$$\$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$ $$$ $ $$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$$ $$$$$$. $$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$.$$$$, $$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$, $$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$ $$$$. $$$$$$ $$$$ $$$$$ $$$$$$, $$$$$$$ $ $$$, $ $$$$$ $$$$ $$$$$$$$ $ $$$$$$$ $$$$$$$$$$ $$$$$$$$$. $$$$ $$$$.$$$$ $$$$$$$$ $$$$$$$$$, $$$$$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$ $$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$.

$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$$ $$$$$$$. $$$$$ $$$$$$$$$$$$$$$$$$\$$$$$$$$\$$$$$$$ $$$$$$$$ $$$$$, $$$$$$$$$$$ $ $$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$, $$$$$$$ $$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$ ($$$$$$$ $$). $$$$$ $$$$$$$$$$$$$$$$$\$$$$$$$$\$$$$$$$ $$$$$$$$ $$$$$$$$$, $$$$$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$$$$. $$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$, $$$ $$ $$$$$ $$$$$$$$ $ $$$$$$$$$$$ $$$$$$ $$$ $$$$$$$$$, $$$ $$$$$$$$ $ $$$$$$$$$$ $$$$$$$ $ $$$$$$$ $ $$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$ $$$ $$$$$$$$$ $$$$$$ $$$ $$$$$$$$$$$$$.

$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$$$, $$$$$$$ $$$$$ $$$$$$$ $ $$$$ $$$$$$$$$ $$$$$$ $$$ $$$$$$$ $ $$$$$$$$$ $$$$$$$. $$$$$$$ $$$$$ $$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$$, $$$$$$$ $$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$, $$$$$$$$$$$$$$ $$$$$$$$$ $ $$$ $$$$$$$$$$$. $$$$$$ $$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$.

$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$ $$$$$$$ $$$ $$$$$ $$$$$$$$$$$$$$, $$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$. $$$$$$ $$$ $$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$: $$$$$$$ $$$$$$ $$$$$$$$$$$$, $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$; $$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$$ ($$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$); $$$$$$$ $$$$$$$$ $$$$$$$$$$$; $$$$$$$$ $$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$; $$$$$$$$$$$ $$$$$ $ $$$$$$$. $$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$. $$$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$$$$, $$$$$$$ $$$$ $$$$$$$$$$$$$$$$$$$$.$$$, $$$$$$$ $$$$$$$$ $$$$$$$$$$ $ $$$$ $$$$$$$$ $$$$$$$$$$$$. $$$$$$$, $ $$$$ $$$$$$$, $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$ $$$$$$ $ $$$$$$$$$$$ $$$$$$, $$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$ $$$ $$$$$$$$$$$$$ [$$].

$ $$$$$ $$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$, $$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$ $$ $$$$$$$$$$$$$ $$$ $$$$$$$ $$$$$$$ $$$$$$$ $ $$$$$$$$ $$$$$$$ $ $$$$$$$. $$$$$$ $$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$ $ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$, $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$. $ $$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$ $$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$.

$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$. $$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$$$$$ $$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$$$$$ $$$$$$$$$$ $$$$$ $$$ $$, $$$ $ $$$$, $ $$$$$ $$$$$ $$$ $$$$ $$$ $$$$$$$$ $$$$$$. $$$$$$$ $$$$$$$$$$ $$$$$ $$$ $$, $$$ $ $$$$, $ $$$$$ $$$$$ $$$ $$$$. $$$$$$ $$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$ $$$ $$$$$$$$$ $$$ $$$$$$$, $$$$$$$$$ $$$$$$$ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$ $$ $$$$$$$$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$, $$$ $$$$$$$$$$ $ $$$$$$$, $$$$$$$$ $$ $$$$$$ $$$$$$$$$$$$$$$$, $$$$$ $$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$ $$$$$$. $$$$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$$$$$$, $$$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$$$ $ $$$$$$ $ $$$$$$$, $$$ $$$$$$$$$ $$ $$$$$$$$$ $ $$$$$$. $$$$$$$, $$$$$$$$$ $$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$ $$$$$$ $ $$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$, $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$. $$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$ $$$$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$.

Продолжая сравнительный анализ следов в сторонних коммерческих решениях, необходимо рассмотреть дополнительные аспекты, связанные с выявлением и интерпретацией артефактов TeamViewer и AnyDesk. Особого внимания заслуживает анализ механизмов аутентификации и идентификации, используемых данными приложениями, поскольку они напрямую влияют на характер формируемых цифровых следов. TeamViewer использует двухфакторную аутентификацию, которая может включать пароль сессии, личный пароль и подтверждение через мобильное приложение. Каждый из этих факторов оставляет характерные следы: пароль сессии может быть сохранен в файлах конфигурации или реестре, личный пароль хранится в виде хеша, а подтверждение через мобильное приложение фиксируется в журналах сервера TeamViewer. AnyDesk, в свою очередь, использует систему разрешений, которая может быть настроена на автоматическое принятие подключений с определенных адресов или требовать подтверждения каждого соединения, что также отражается в файлах конфигурации.

Важным аспектом анализа является исследование артефактов, связанных с передачей файлов через TeamViewer и AnyDesk. Оба приложения предоставляют возможность передачи файлов между локальным и удаленным компьютером, что оставляет характерные следы в файловой системе. TeamViewer сохраняет информацию о переданных файлах в журнале подключений, а также может создавать временные копии передаваемых файлов в директории временных файлов. AnyDesk также ведет журнал передачи файлов, который может быть извлечен из файлов конфигурации. Анализ данных артефактов позволяет установить, какие файлы были переданы, в каком направлении и в какое время, что может быть критически важно для расследования инцидентов, связанных с утечкой конфиденциальных данных.

Особый интерес представляет анализ артефактов, связанных с использованием функции чата и голосовой связи в TeamViewer и AnyDesk. Оба приложения предоставляют возможность общения между участниками сессии, что может оставлять следы в виде текстовых файлов или записей в журналах. TeamViewer сохраняет историю чата в файле Chat.log, который расположен в директории установки приложения. AnyDesk также может сохранять историю сообщений, однако данная функция может быть отключена в настройках конфиденциальности. Анализ данных артефактов позволяет восстановить содержание переговоров между участниками сессии, что может быть использовано для установления целей и мотивов действий злоумышленника.

С точки зрения криминалистического анализа, важное значение имеет исследование артефактов, связанных с обновлением приложений. TeamViewer и AnyDesk регулярно выпускают обновления, которые могут изменять механизмы хранения данных и формирования цифровых следов. Файлы журналов обновлений могут содержать информацию о том, когда были установлены обновления и какие версии приложения использовались в конкретный период времени. Данная информация позволяет оценить, какие версии приложения были доступны злоумышленнику и какие уязвимости могли быть использованы для получения доступа.

Необходимо также рассмотреть артефакты, связанные с использованием TeamViewer и AnyDesk в корпоративных средах с централизованным управлением. В таких средах администраторы могут настраивать политики безопасности, которые определяют, какие функции приложения доступны пользователям и какие данные подлежат журналированию. Артефакты централизованного управления могут включать файлы групповых политик, записи в реестре и журналы сервера управления, которые содержат информацию о всех подключениях, выполненных в рамках корпоративной сети. Анализ данных артефактов позволяет выявить факты использования приложений удаленного доступа в обход установленных политик безопасности.

Важным аспектом сравнительного анализа является исследование возможностей сокрытия следов, предоставляемых TeamViewer и AnyDesk. Оба приложения имеют функции, позволяющие минимизировать свое присутствие в системе, включая возможность работы в фоновом режиме, скрытие значка в системном трее и использование случайных портов для соединений. TeamViewer также предоставляет возможность использования функции "QuickSupport", которая позволяет запускать приложение без установки и автоматически удалять все временные файлы после завершения сессии. AnyDesk, в свою очередь, имеет функцию "Auto-Delete", которая удаляет все следы приложения после завершения сессии. Данные функции существенно усложняют криминалистический анализ и требуют применения более сложных методов, включая анализ оперативной памяти и сетевого трафика [13].

Сравнительный анализ также должен учитывать особенности работы TeamViewer и AnyDesk в различных версиях операционной системы Windows. Некоторые версии Windows, такие как Windows 10 и Windows 11, имеют встроенные механизмы безопасности, которые могут блокировать или ограничивать работу приложений удаленного доступа. Например, Windows Defender может блокировать запуск TeamViewer или AnyDesk, если они не имеют цифровой подписи или если их поведение расценивается как подозрительное. В таких случаях приложения могут создавать записи в журналах Windows Defender, что может быть использовано для выявления фактов их использования. Кроме того, различные версии Windows имеют разные механизмы $$$$$$$$ $$$$$$, что может $$$$$$ $$ $$$$$$$$$$$ и $$$$$$$$$$$ $$$$$$$$$$.

$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $ $$$$$$ $ $$$$$$$$$$$$$$. $$$$$$$$$$$ $$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$, $$$$$$ $$ $$$$$$ $$$$$ $$$$ $$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$. $$$$$$$$$$ $ $$$$$$$ $$$$$ $$$$ $$$$$$$$$$$ $$$ $$ $$$$$$$$ $$$$$$$, $$$ $ $$ $$$$$$$$$$$ $$$$$$$, $$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$. $ $$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$, $$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$.

$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$ $$$$$$$$$ $$ $$$$$$$$ $$$$$$, $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$. $ $$$$ $$$$$$$$$$$$ $$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$ $$$$$$, $$$$$$$$$$$$$ $$$$ $ $$$$$$ $ $$$$$$$$$$$ $$$$$$. $$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$ $ $$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$, $$$$$ $$$ $$$ $$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$ $$$$$$ $$ $$$$$$ $$$$$$$$$$$$.

$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$, $$$ $$$$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$$ $$ $$$$$$$$$ $ $$$$$$$. $ $$$$$$$$$, $$$$ $$$$$$$$$$$$$$$$$$$$.$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$ $ $$$$ $$$$$$$$ $$$$$$$$$$$$, $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$ $ $$$$$ $$$$$$, $$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$$$. $$$$$$$, $$$$$$$$, $$$$$ $$$$$ $$$$$$$$$ $$$$$$$, $ $ $$$$$$$$$ $$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$ $$$$ $$$$$$$ $$$ $$$$$$$$$$ $$$$$$. $$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$$$ $ $$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$ $$$$$$, $$$ $$$$$$ $$$ $$$$$ $$$$$$$$$$$$$$$ $$$ $$$$$$$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$ $$$$$ [$$].

$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$ $$$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$. $$$$$$$$$$ $$$$$$ $$$$ $$$$$$$ $ $$$$$$$, $$$ $$$$$$$$$ $$$$$$$$$, $$$ $$ $$$$$$$$$$$$$$$$ $$$$$$, $$ $$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$. $$$$$$$, $ $$$$ $$$$$$$, $$$$$$ $$$$$$ $ $$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$, $$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$ $$ $$$$$$$$$$. $$$$$$ $$$$$$$$ $$$$$ $$$$$$$$ $$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$, $$$$$$$$$$$$$$ $$$$$$$$$$$$$$$.

$$$$$ $$$$, $$$$$$$$$$$$ $$$$$$$$, $$$ $$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$ $ $$$$$$$$ $$$$$$, $$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$. $$$$$$ $$$$$ $$$$$ $$$$ $$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$, $$$$ $$$$ $$$ $$$$ $$$$$$$ $$$ $$$$$$$$$$ $$$$$$, $$$ $$$$$$$, $$$ $$$$$$$ $$$$$, $$$$$$$$$$ $$$$$$$, $$ $$$$ $$$$$$$$$$$$. $$$$$$ $$$$$$ $$$$$ $$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$, $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$ [$].

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$, $$$ $$$ $$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$$$$, $$$ $$$$$$$$$ $$$ $$$$$$$$$$$$$$$$$$ $$$$$$, $$ $$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$. $$$$$$$, $$$$$$$$$ $$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$ $$$$$$ $ $$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$, $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$ $$$$$$$, $$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$. $$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$ $$$$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$ $$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$, $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$.

Определение особенностей хранения и доступности следов для встроенных и портативных версий приложений

В контексте криминалистического анализа приложений удаленного доступа принципиальное значение имеет различие между инсталлируемыми (встроенными) и портативными версиями программного обеспечения. Данное различие напрямую влияет на характер, локализацию и доступность цифровых следов, что необходимо учитывать при разработке методики их выявления. Встроенные версии приложений проходят процедуру установки, которая включает регистрацию в системе, создание записей в реестре, установку служб и драйверов, а также размещение файлов в стандартных директориях. Портативные версии, напротив, функционируют без установки и могут запускаться с внешних носителей, что существенно усложняет процесс выявления следов их использования.

Встроенные версии приложений удаленного доступа, такие как TeamViewer, AnyDesk или клиент RDP, при установке создают множество артефактов, которые могут быть использованы для криминалистического анализа. Первым и наиболее значимым артефактом являются записи в системном реестре Windows, которые создаются в процессе установки и содержат информацию о версии приложения, пути установки, лицензионных данных и настройках конфигурации. Данные записи сохраняются даже после удаления приложения, если не были предприняты специальные меры по их очистке. Вторым артефактом являются файлы, размещаемые в стандартных директориях, таких как Program Files, ProgramData и AppData, которые содержат исполняемые файлы, библиотеки, файлы конфигурации и журналы. Третьим артефактом являются записи в системных журналах событий, которые фиксируют установку и удаление приложения, запуск и остановку его служб, а также события, связанные с его работой.

Особого внимания заслуживает анализ артефактов, связанных с установкой служб и драйверов приложений удаленного доступа. Многие приложения, включая TeamViewer и AnyDesk, устанавливают системные службы, которые обеспечивают их работу в фоновом режиме и доступность для подключений. Данные службы регистрируются в системе и могут быть обнаружены с помощью диспетчера задач или утилиты sc. Записи о службах хранятся в реестре в ветви HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services и содержат информацию о пути к исполняемому файлу, типе запуска и учетной записи, от имени которой работает служба. Анализ данных записей позволяет выявить факт установки приложения и определить его конфигурацию.

Портативные версии приложений удаленного доступа, напротив, не создают записей в реестре и не устанавливают службы, что делает их выявление значительно более сложным. Портативные версии могут запускаться с USB-накопителей, внешних жестких дисков или сетевых ресурсов, и все их файлы могут быть размещены в одной директории. Однако даже портативные версии оставляют определенные следы в операционной системе. Первым таким следом являются записи в журнале Prefetch, который фиксирует факт запуска любого исполняемого файла, включая портативные приложения. Вторым следом являются временные файлы, которые могут создаваться в процессе работы приложения в директории временных файлов пользователя. Третьим следом являются записи в журнале USN Journal, который фиксирует изменения в файловой системе, включая создание и удаление файлов портативного приложения.

Сравнительный анализ доступности следов для встроенных и портативных версий показывает, что встроенные версии оставляют значительно больше артефактов, которые могут быть обнаружены с использованием стандартных методов криминалистического анализа. Портативные версии, напротив, требуют применения более сложных методов, включая анализ оперативной памяти и сетевого трафика, поскольку они могут не оставлять следов на жестком диске. Как отмечает К.А. Белов, портативные версии приложений удаленного доступа представляют особую опасность с точки зрения информационной безопасности, поскольку их использование сложно обнаружить и доказать [15].

Особого внимания заслуживает анализ артефактов, связанных с использованием портативных версий в средах с ограниченными правами пользователя. В таких средах портативные приложения могут запускаться без прав администратора, что ограничивает их возможности по созданию записей в системных областях. Однако даже в таких условиях портативные версии могут оставлять следы в профиле пользователя, включая файлы $$$$$$$$$$$$, $$$$$$$$$ файлы $ $$$$$$ в $$$$$$$ пользователя. $$$$$$ следы могут $$$$ $$$$$$$$$$ $$$ $$$$$$$ $$$$$$$ пользователя с использованием $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$.

$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$, $$$$$$$ $$$$ $$$$$$$$$ $$ $$$$$$$$$ $$$ $$$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$. $ $$$$$ $$$$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$ $$$$ $$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$ $$ $$$$$$$$$ $$$$$$$$$$$ $$$$$, $$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$. $$$$$ $$$$, $$$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$, $$$$$$$ $$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $ $$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$.

$ $$$$$ $$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$, $$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$, $$$$$$$ $$$$$ $$$$$$$$ $$$ $ $$$$$$ $$$$$$$$$, $$$ $ $ $$$$$$$$$$$ $$$$$$. $$$$$$$$, $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$ $$$ $$$$$$ $$$$$$$, $$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$. $ $$$$$ $$$$$$$ $$$$$$$$$ $$$$$ $$$$ $$$ $$ $$$$$$$$$$, $$$ $ $ $$$$$$$$$$$ $$$$$$$, $$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$.

$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$ $$$$$$ $$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$ $$ $$$$$$$$ $$$$$$, $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$. $ $$$$ $$$$$$$$$$$$ $$$$ $$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$, $$$$$$$ $ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$ $$$$ $$$$$$$$$$ $$$$ $ $$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$.

$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$, $$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$ $ $$$$$$$ $ $$$-$$$$$$ $$$$ $$$$$$ $$$$$$$$$$ $$ $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$. $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$ $ $$$$$$$$$ $$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$ $ $$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$ $$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$. $$$$$$$$$$$ $$$$$$, $$$$$$$$, $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$$$$ $$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$, $$$$$ $$$ $$$$$$ $$$$$$$ $$$$$$$$ $ $$$ $$$$$$$ [$$].

$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$, $$$$$$$ $$$$ $$$$$$$$ $ $$$$$$$ $$$$$$$$$. $ $$$$$ $$$$$$$ $$$$$ $$$$$$$$$$ $$$$$ $$$$ $$$$$$$$$$ $$ $$$-$$$$$$$$$$ $$$ $$$$$$$ $$$$$$$ $$$$$, $$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$. $$$$$$ $$$$ $$$$$$$ $$$$$$$$ $$$ $$$$$ $$$ $$$$$$$$$, $$$$$$$$$$$$$$ $$$$$$ $$$$$ $$$$ $$$$$$$$$$.

$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$ $$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$. $$$$$$$$$$ $$$$$$, $$$ $$$$$$$, $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$ $ $$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$, $$$ $$$$$$$$$ $$ $$$$$$$$$$$ $ $$$$$$. $$$$$$$$$$$ $$$$$$, $$$$$$$$, $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$ $ $$$$$$, $$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$, $$$ $$$$$$$ $$$$$$ $$$$$$$ $$$$ $ $$$$$$ $$$$$$. $ $$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$ $$$$$$$$, $$$$$$$$$$$$$$$$ $$$$$$ $$$$$ $$$$ $$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$, $$$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$ $$$$$$ $$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$, $$$ $$$ $$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$, $$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$. $$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$ $ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$, $$$ $$$$$$ $$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$ $$$$$$$ $$$$$$$ $ $$$$$$$$$$$ $$$$$$$. $$$$$$$$$$$ $$$$$$, $$$$$$$$, $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$ $ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$, $$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$. $$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$ $$$ $$$$$$$$$$, $$$ $ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ [$$]. $$$$$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$ $$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$, $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$.

Продолжая исследование особенностей хранения и доступности следов для встроенных и портативных версий приложений удаленного доступа, необходимо рассмотреть дополнительные аспекты, связанные с анализом артефактов в различных сценариях использования. Особого внимания заслуживает исследование следов, оставляемых портативными версиями приложений при их запуске с использованием технологий виртуализации приложений, таких как Microsoft App-V или VMware ThinApp. Данные технологии позволяют запускать приложения в изолированной среде без фактической установки в операционную систему, что создает дополнительные сложности для криминалистического анализа. Артефакты, создаваемые в таких средах, могут быть локализованы в виртуальных дисках или кэшах, доступ к которым требует применения специализированных инструментов.

Важным аспектом является анализ артефактов, связанных с использованием портативных версий приложений удаленного доступа в средах с включенным контролем учетных записей (UAC). В таких средах портативные приложения могут запускаться с ограниченными правами, что влияет на их возможность создавать записи в системных областях. Однако даже при ограниченных правах портативные приложения могут создавать артефакты в профиле пользователя, включая файлы конфигурации, временные файлы и записи в реестре пользователя. Данные артефакты могут быть обнаружены при анализе профиля пользователя с использованием стандартных инструментов криминалистического анализа, таких как FTK Imager или EnCase.

Необходимо также рассмотреть артефакты, связанные с использованием портативных версий приложений удаленного доступа, которые были замаскированы под другие приложения или файлы. Злоумышленники могут переименовывать исполняемые файлы портативных приложений, изменять их иконки и метаданные, чтобы избежать обнаружения. В таких случаях для идентификации приложения требуется анализ цифровых подписей, хеш-сумм и сигнатур файлов. Инструменты криминалистического анализа, такие как VirusTotal или специализированные базы данных хешей, могут быть использованы для идентификации замаскированных приложений путем сравнения хеш-сумм файлов с известными образцами.

С точки зрения криминалистического анализа, особый интерес представляют артефакты, связанные с использованием портативных версий приложений удаленного доступа, которые были запущены с использованием технологий удаленного рабочего стола или терминального доступа. В таких случаях портативное приложение может быть запущено на удаленном сервере, а его интерфейс отображаться на локальном компьютере пользователя. Данный сценарий создает дополнительные сложности для анализа, поскольку артефакты могут быть распределены между несколькими системами. Анализ таких сценариев требует применения методов корреляции данных, полученных из различных источников, включая журналы событий, реестр и файловую систему как локального, так и удаленного компьютера.

Практическое исследование артефактов, оставляемых портативными версиями приложений удаленного доступа при различных сценариях использования, было проведено на тестовом стенде, включающем несколько компьютеров с различными версиями операционной системы Windows. В ходе исследования были выполнены следующие сценарии: запуск портативного приложения с USB-накопителя, запуск портативного приложения с сетевого ресурса, запуск портативного приложения с использованием технологии виртуализации приложений, а также запуск портативного приложения в среде с включенным UAC. После выполнения каждого сценария проводился сбор и анализ артефактов с использованием инструментов криминалистического анализа.

Результаты практического исследования показали, что при запуске портативного приложения с USB-накопителя основными источниками артефактов являются журнал Prefetch, журнал USN Journal и временные файлы, создаваемые в директории временных файлов пользователя. Журнал Prefetch фиксирует факт запуска исполняемого файла с USB-накопителя, включая путь к файлу и время запуска. Журнал USN Journal фиксирует изменения в файловой системе, включая создание временных файлов и изменение атрибутов файлов. Временные файлы, создаваемые приложением, могут содержать фрагменты передаваемых данных и конфигурационные параметры, которые могут быть использованы для восстановления контекста сессии.

При запуске портативного приложения с сетевого ресурса основными источниками артефактов являются журнал Prefetch, журнал USN Journal и записи в журнале браузера или файлового менеджера, используемого для доступа к сетевому ресурсу. Кроме того, могут быть обнаружены записи в $$$$ $$$, $$$$$$$ $$$$$$$$$ $$$$$$$ к $$$$$$$$, $$ $$$$$$$ $$$$$$$$$$$ $$$$$ портативного приложения. $$$$$$ $$$$$$ артефактов $$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$ портативного приложения и $$$$$ $$$ $$$$$$$.

$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$ $$$ $$$$, $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$. $$$$$$ $$$$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$ $$$ $ $$$$$$$ $$$$$$$$$$$$, $ $$ $$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$ $$$ $$$$$$$$$ $$$-$ $$$$$$$$$ $$$ $$$$$$ $$$$$$$ $$$$$$$. $$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$.

$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$ $ $$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$ $$$$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$$, $ $$$$$ $$$$$$ $ $$$$$$$ $$$$$$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$. $$$$$$ $$$$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$ $$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$ $$$$ [$$].

$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$ $$$$ $$$$$$$$, $ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$. $$$ $$$$$$$ $ $$$-$$$$$$$$$$ $$$$$$$$$ $$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$, $ $$$$$$$$ $$$$$ $$$$$$ $$$$$ $$$$ $$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$. $$$ $$$$$$$ $ $$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$ $$$$ $$$$$ $$$$$$$$$, $$$$$$$$$ $$$$$$$ $$$$$$$$$$ $ $$$$$$$$ $$$$$$ $$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$. $$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$, $$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$.

$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$ $$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$, $$$$$ $$$ $$$ $$$ $$$. $ $$$$$ $$$$$$$ $$-$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$ $$$$ $$$$$$, $$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$. $$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$$$ $$$$$, $$$$$$$ $$$$$$ $ $$$$$$$$ $$$-$$$$$$$ $$$ $$$$$$$$ $$$, $$$$$$$ $$$$$ $$$$ $$$$$$$$$$ $$$ $$$$$$$ $$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$, $$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$$ $$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$, $$$ $$ $$$$$ $$$$ $$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$. $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$, $$$$$$ $$$ $$$$$$$ $ $$$$$$$$$ $$$$$, $$$$$$ $$$ $$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$. $$$$$$$$$$ $$$$$$, $$$$$$$$, $$$$$$$$$ $$$$$$$$ $ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$, $$$ $$$$$$ $$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$. $$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$ $$$ $$$$$$$$$$, $$$ $ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ [$$]. $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$$$$, $$$$$$$ $$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$ $$ $$$$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$. $$$$$$ $$$$$$ $$$$$$ $$$$$$$$ $$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$ $ $$$$$$$, $$$ $ $$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$, $$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$.

Разработка алгоритма и регламента сбора и анализа цифровых артефактов из реестра, файловой системы и журналов событий

Разработка методики выявления следов пользовательской активности в приложениях удаленного доступа требует создания четкого алгоритма и регламента, определяющих последовательность действий при сборе и анализе цифровых артефактов. Данный алгоритм должен учитывать многообразие типов артефактов, их локализацию в операционной системе Windows, а также особенности различных приложений удаленного доступа. В рамках данного раздела предлагается структурированный подход, основанный на поэтапном анализе трех ключевых областей: системного реестра, файловой системы и журналов событий.

Первым этапом разработанного алгоритма является подготовительная фаза, которая включает оценку состояния исследуемой системы, определение объема необходимых данных и выбор инструментов для анализа. На данном этапе производится создание криминалистической копии исследуемого носителя с использованием инструментов, таких как FTK Imager или EnCase, что обеспечивает сохранность исходных данных и возможность многократного обращения к ним в процессе анализа. Параллельно выполняется сбор информации о конфигурации системы, включая версию операционной системы, установленные обновления и настройки безопасности. Как отмечает А.И. Козлов, качественная подготовительная фаза является залогом успешного криминалистического исследования, поскольку позволяет избежать потери критически важных данных и обеспечивает юридическую значимость полученных результатов [45].

Вторым этапом алгоритма является анализ системного реестра Windows, который представляет собой централизованное хранилище конфигурационных параметров операционной системы и установленных приложений. На данном этапе выполняется последовательное исследование ключевых ветвей реестра, содержащих информацию о приложениях удаленного доступа. Ветвь HKEY_LOCAL_MACHINE\SOFTWARE анализируется на наличие ключей, соответствующих известным приложениям удаленного доступа, таким как TeamViewer, AnyDesk, VNC и другие. Ветвь HKEY_CURRENT_USER\Software исследуется для выявления настроек, специфичных для конкретного пользователя, включая историю подключений и параметры аутентификации. Ветвь HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server анализируется для выявления настроек встроенного клиента RDP, включая параметры безопасности и сетевых подключений.

Для автоматизации процесса анализа реестра рекомендуется использование специализированных инструментов, таких как RegRipper или Registry Explorer, которые позволяют извлекать информацию из кустов реестра, анализировать ключи и значения, а также восстанавливать удаленные записи. Особое внимание уделяется анализу временных меток ключей реестра, которые позволяют установить время создания, изменения и последнего доступа к записям, что важно для восстановления хронологии событий. Дополнительно выполняется анализ журналов транзакций реестра (Registry Transaction Logs), которые могут содержать информацию об удаленных записях, что особенно важно в случаях, когда злоумышленник пытался скрыть следы своей активности.

Третьим этапом алгоритма является анализ файловой системы, который включает исследование структуры директорий, метаданных файлов и журналов изменений. На данном этапе выполняется поиск файлов конфигурации, лог-файлов и временных файлов, характерных для приложений удаленного доступа. Для TeamViewer анализируются файлы Connections_incoming.txt, TeamViewer.log и TeamViewer_Configuration.xml, расположенные в директории установки приложения. Для AnyDesk анализируются файлы system.conf и user.conf, расположенные в директории ProgramData или в директории запуска портативной версии. Для встроенного клиента RDP анализируются файлы конфигурации подключений с расширением .rdp, расположенные в профиле пользователя, а также файлы кэша растровых изображений в директории Terminal Server Client\Cache.

Анализ файловой системы также включает исследование временных файлов, создаваемых приложениями удаленного доступа в процессе работы. Данные файлы могут содержать фрагменты передаваемых данных, скриншоты экрана и кэшированную информацию, которые могут быть использованы для восстановления контекста сессии. Для поиска временных файлов рекомендуется использование инструментов, таких как FTK Imager или EnCase, которые позволяют выполнять поиск по сигнатурам файлов и анализировать нераспределенное пространство диска.

Особое внимание уделяется анализу журнала USN Journal (Update Sequence Number Journal), который фиксирует все изменения, происходящие с файлами и директориями на томе NTFS. Анализ USN Journal позволяет восстановить хронологию операций с файлами, связанными с $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$, $$$$$$$$$$$$$$, $$$$$$$$$ и $$$$$$$$ $$$$$$. $$$$$$ $$$$$$$$ $$$$$$$$ $$$$$ $ $$$ $$$$$$$, $$$$$ $$$$$$ $$$$ $$$$$$ $$$$ $$$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$$. $$$ $$$$$$$ USN Journal $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$ $$$ USN Journal $$$$$$$$ $$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$$ и $$$$$$$$$$$ $$$$$$ журнала.

$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$, $$$$$$$ $ $$$$$$$$$$. $$ $$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$ $$$$$$$$$$$$$$$ $$$$$$$, $$$$$$$$$ $ $$$$$$$$$ $$$$$$$$. $$$ $$$ $$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$ ($$$$$$$$ $$$$ $ $$$$$$$) $ $$$$$ $$$$$ $$ ($$$$$$$$$$$$$$$$$), $$$$ ($$$$$ $$ $$$$$$$), $$$$ ($$$$$$$ $$$$$ $ $$$$$$$$$$$$$$ $$$$$ $$$$$$$ $$$$$$), $ $$$$$ $$$$$$$ $$$$ $ $$$$, $$$$$$$$$$$ $$$ $$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$. $$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$, $$$$$$$$$ $ $$$$$$$$ $ $$$$$$$$$$ $$$$$ $$$$$$ $$$$$$$$$$, $ $$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$$$.

$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$ $$$ $$$ $$$$$$, $$$$$$$$$$$ $$$ $$$$$ $$$ $$$$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$$$$, $$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$, $ $$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$ $$$$$$$$$ $$$$$$$$. $$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$ $$ $$$$$$$. $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$ ($$$$$$$$ $$$$$$$$ $$$$), $$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$, $$$$$$$ $$$$$$$$$$$$$$ $$$$$$, $$$$$ $$$$$$$$$$$$$ $ $$-$$$$$$ $$$$$$$$$$ [$$].

$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$, $$$$$$$$$$ $$ $$$$$$$$$ $$$$$$$$$$, $$$ $$$$$$$$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$$$$$. $$ $$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$ $$$$$$$, $$$$$$ $ $$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$. $$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$ $$$ $$$$$ ($$$$$$$$$$$$) $$$ $$$$$$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$ $ $$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$. $$$$$$$$$$ $$$$$$ $$$$$ $$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$$, $$$$$ $$$ $$$$$$ $$$-$$$$ $ $$$-$$$$$$$, $$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$, $$$$$$$$$$$$$ $ $$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$.

$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$. $$ $$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$ $$$$$$$$$$ $$$$$$$$$$, $$ $$$$$$$$$$$ $ $$$$$$$$$ $$$$$, $ $$$$$ $$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$, $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$$ $$ $$$$$$$ $ $$$$$$ $$$$$$$$. $$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$ ($$$$$ $$ $$$$$$$), $$$$$$$$ $$$ $$$$$$$$, $$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$.

$$$$$$$$$$$$$ $$$$$$$$$ $$$$$ $ $$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$ $$$$$ $$$ $$$$$$$$$$ $$$$$$$ $$$$$. $$$$$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$, $ $$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$$$$$ $$$$$$. $$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$, $$$ $$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$ [$$].

$$$$$ $$$$$$$, $$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$$ $ $$$$$$$ $$$$$$$$ $$$$$$$$$$ $$ $$$$$$$, $$$$$$$$ $$$$$$$ $ $$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$$$$$$ $$$$$$, $$$$$$$$$$$$$$ $$$$$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$$$$, $$ $$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$ $$$$$$$, $ $$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$. $$$$$$$$$$ $$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$.

Продолжая разработку алгоритма и регламента сбора и анализа цифровых артефактов, необходимо детально рассмотреть дополнительные этапы, обеспечивающие полноту и достоверность результатов криминалистического исследования. Седьмым этапом разработанного алгоритма является анализ сетевых артефактов, который включает исследование записей о сетевых соединениях, DNS-запросах и использовании сетевых портов. На данном этапе выполняется анализ кэша DNS-резолвера Windows, который хранит результаты DNS-запросов, выполненных системой. Данный кэш может содержать записи о серверах приложений удаленного доступа, к которым осуществлялось подключение, что позволяет идентифицировать целевые системы. Для анализа DNS-кэша используется команда ipconfig /displaydns или специализированные инструменты, такие как DNS Cache Viewer.

Дополнительно выполняется анализ ARP-таблицы, которая содержит соответствия между IP-адресами и MAC-адресами устройств в локальной сети. Данная информация позволяет идентифицировать сетевые интерфейсы, используемые для подключения, и установить физическое местоположение устройств. Для анализа ARP-таблицы используется команда arp -a или инструменты сетевого анализа, такие как Wireshark. Особое внимание уделяется анализу записей о соединениях, установленных с использованием нестандартных портов, которые могут свидетельствовать о попытках обхода настроек брандмауэра или использования прокси-серверов.

Восьмым этапом алгоритма является анализ оперативной памяти, который позволяет выявить артефакты, не сохраняющиеся на жестком диске. Данный этап особенно важен для выявления следов портативных версий приложений удаленного доступа, которые могут работать исключительно в оперативной памяти. Для анализа оперативной памяти выполняется создание дампа памяти с использованием инструментов, таких как FTK Imager или WinPmem, после чего проводится анализ дампа с использованием Volatility или Rekall. В ходе анализа выявляются запущенные процессы, открытые сетевые соединения, загруженные драйверы и данные аутентификации, которые могут быть связаны с приложениями удаленного доступа.

Особое внимание уделяется анализу процессов, которые могут быть замаскированы под системные или легитимные приложения. Для идентификации таких процессов выполняется сравнение их характеристик с известными сигнатурами приложений удаленного доступа, а также анализ их сетевой активности и использования системных ресурсов. Дополнительно выполняется анализ дампов памяти отдельных процессов, которые могут содержать фрагменты передаваемых данных, пароли и другую конфиденциальную информацию.

Девятым этапом алгоритма является анализ артефактов, связанных с использованием технологий автозагрузки и планировщика задач. На данном этапе выполняется исследование записей в реестре, относящихся к автозагрузке приложений, включая ветви Run, RunOnce и RunServices. Дополнительно анализируются записи в папке автозагрузки профиля пользователя, а также задачи, созданные в планировщике задач Windows. Анализ данных артефактов позволяет выявить приложения удаленного доступа, настроенные на автоматический запуск при старте системы, что может свидетельствовать о целенаправленном использовании данных приложений для постоянного удаленного доступа.

Десятым этапом алгоритма является анализ артефактов, связанных с использованием журнала Prefetch и технологии SuperFetch. На данном этапе выполняется исследование файлов Prefetch, расположенных в директории C:\Windows\Prefetch, которые содержат информацию о запусках приложений, включая время первого и последнего запуска, а также количество запусков. Анализ данных файлов позволяет установить факт запуска приложения удаленного доступа даже в случае его последующего удаления, поскольку файлы Prefetch удаляются не всегда и могут сохраняться в системе длительное время. Дополнительно анализируется журнал SuperFetch, который содержит информацию о наиболее часто используемых приложениях и может быть использован для выявления приложений удаленного доступа, которые использовались регулярно.

Одиннадцатым этапом алгоритма является анализ артефактов, связанных с использованием технологии Windows Timeline и журнала активности пользователя. На данном этапе выполняется исследование базы данных SQLite, расположенной в директории C:\Users\<Имя_пользователя>\AppData\Local\ConnectedDevicesPlatform, которая содержит информацию о запуске приложений, открытии файлов и посещении веб-сайтов. Анализ данной базы данных позволяет установить факт использования приложения удаленного доступа и время его запуска, однако следует учитывать, что пользователь может отключить функцию ведения журнала активности в настройках конфиденциальности.

Двенадцатым этапом алгоритма является анализ артефактов, связанных с использованием технологии Windows Error Reporting (WER). На данном этапе выполняется исследование журналов WER, расположенных в директории C:\ProgramData\Microsoft\Windows\WER, которые содержат информацию о сбоях и ошибках приложений. В случае возникновения ошибок в работе приложений удаленного доступа, соответствующие записи могут быть сохранены в данных журналах и содержать информацию о версии приложения, времени возникновения ошибки и состоянии системы в момент сбоя. Данная информация может быть полезна для восстановления хронологии событий и выявления фактов использования приложений удаленного доступа.

Тринадцатым этапом алгоритма является анализ артефактов, связанных $ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$ $$$$$. $$ $$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$, $$$$$$$$$$$$$ $ $$$$$$$$$$ $:\$$$$$\<$$$$$$$$$$$$$$$$>\$$$$$$$\$$$$$$$\$$$$$$$$$\$$$$$$$\$$$$$$\$$$$$$$$$$$$$$$$$$$$$, $$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$ $$$$$$$$$$. $$$$$$ $$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$, $ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$ [$$].

$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$. $$ $$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$, $$$$$$$$$$$$$$ $ $$$$$$$$$$ $:\$$$$$$$$$$$\$$$$$$$$$\$$$$$$, $$$$$$$ $$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$$$$$ $$$$$$ $ $$ $$$$$$$$$$. $$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$$$$$$ $ $$$-$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$ $ $$$ $$$$$$$, $$$$$ $$$ $$$$$$$$$$$ $ $$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$$. $$$ $$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$ $$$ $$$$$$ $$$$$ $$$$$$$$.

$$$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$ $$$$ $$$$$$$ ($$$). $$ $$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$ $$$$$, $$$$$$$ $$$$$ $$$$$$$$$ $$$$$$ $$$$$$ $ $$$$$$$ $$$$$$$, $$$$$$$$$$ $$$ $$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$ $$$$$$$ $ $$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$ $$$$$$ $$ $$$$$$$ $$$$$. $$$$$$ $$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$ $ $$$$$$$$$$$$ $$$$$$$, $$$ $$$$$$$$ $$$$$ $ $$$ $$$$$$$, $$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$ $$$$$ $$$$$ $$$$$$$$$$ $$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$ $$$$$$$.

$$$$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$ ($$$). $$ $$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$, $$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$ $$$ $$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$, $$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$ $$$$$$ $ $$$$$$$$$$ $$$$$$. $$$ $$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$$ $$$$$$$$$$$, $$$$$ $$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$ [$$].

$$$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$ ($$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$). $$ $$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$, $$$$$$$$$$$$$ $ $$$$$$$$$$ $:\$$$$$$$$$$$\$$$$$$$$$\$$$$$$$\$$$$$$$$$$, $$$$$$$ $$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$ $$$$$$. $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$$$ $$$$ $$$ $$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$ $$$$$$ $ $$$$$$$ $$$$$$, $$$ $$$$$$$$$ $$$$$ $ $$$$$$ $$$$$$$$. $$$$$$ $$$$$$$$ $$$$ $$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$ $$$$$$, $$$$$$$ $$$$$ $$$$ $$ $$$$$$$$$$$$$ $ $$$$$$ $$$$$$$$$$.

$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$$$$$$. $$ $$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$ $ $$$$$$$$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$ $$$$$. $$$$$$ $$$$$$$$$$$ $$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$ $$$ $$$$$$ $$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$ $$$$$-$ $$$$$$$, $ $$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$, $$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$. $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$, $$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$$ $$ $$$$$$ $$$$$$$$ $$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$$ $ $$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$, $$$$$$$$$$$$ $$$ $$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$, $$$$$$ $$ $$$$$$$ $$$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$. $$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$ $$$$$$$$$$, $$$ $ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $ $$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$$ $$$$$$$$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$, $$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$.

Создание прототипа инструмента (скрипта или утилиты) для автоматизации поиска следов удаленного доступа

Разработка практического инструмента для автоматизации поиска следов удаленного доступа является логическим продолжением теоретических и аналитических исследований, проведенных в предыдущих разделах. Автоматизация процессов сбора и анализа цифровых артефактов позволяет значительно повысить эффективность криминалистического исследования, сократить время выполнения рутинных операций и минимизировать риск пропуска критически важных данных. В рамках данного раздела описывается процесс создания прототипа инструмента, предназначенного для автоматизированного выявления следов пользовательской активности в приложениях удаленного доступа на базе ОС Windows.

Прототип инструмента разработан в виде скрипта на языке PowerShell, что обусловлено широкими возможностями данного языка для взаимодействия с операционной системой Windows, включая доступ к реестру, файловой системе, журналам событий и системным службам. PowerShell является встроенным компонентом Windows, что исключает необходимость установки дополнительного программного обеспечения на исследуемую систему и снижает риск внесения изменений в ее состояние. Кроме того, скрипты PowerShell могут быть легко адаптированы и модифицированы под конкретные задачи, что обеспечивает гибкость разработанного инструмента.

Архитектура прототипа инструмента включает несколько модулей, каждый из которых отвечает за анализ определенного типа артефактов. Первым модулем является модуль анализа реестра, который выполняет поиск ключей и значений, характерных для приложений удаленного доступа. Данный модуль последовательно исследует ветви HKEY_LOCAL_MACHINE\SOFTWARE, HKEY_CURRENT_USER\Software и HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server, извлекая информацию о настройках TeamViewer, AnyDesk, VNC и встроенного клиента RDP. Для каждого обнаруженного ключа фиксируются его имя, значение и временные метки, что позволяет восстановить хронологию изменений конфигурации. Как отмечает М.И. Григорьев, использование PowerShell для анализа реестра обеспечивает высокую скорость выполнения операций и возможность обработки больших объемов данных [35].

Вторым модулем является модуль анализа файловой системы, который выполняет поиск файлов конфигурации, лог-файлов и временных файлов, характерных для приложений удаленного доступа. Данный модуль сканирует стандартные директории установки приложений, директории профилей пользователей и системные директории, выявляя файлы с известными именами и расширениями. Для TeamViewer выполняется поиск файлов Connections_incoming.txt, TeamViewer.log и TeamViewer_Configuration.xml. Для AnyDesk выполняется поиск файлов system.conf и user.conf. Для встроенного клиента RDP выполняется поиск файлов с расширением .rdp и файлов кэша растровых изображений. Для каждого обнаруженного файла фиксируются его имя, путь, размер и временные метки создания, модификации и доступа.

Третьим модулем является модуль анализа журналов событий, который выполняет фильтрацию записей системных журналов безопасности, системы и приложений по идентификаторам событий, связанным с удаленным доступом. Данный модуль использует командлеты PowerShell Get-WinEvent и Where-Object для извлечения и фильтрации записей журналов. Для RDP анализируются события с идентификаторами 4624 (тип входа 10), 4634, 4648, 4778 и 4779. Для TeamViewer и AnyDesk анализируются события, связанные с запуском и остановкой служб данных приложений. Для каждого обнаруженного события фиксируются его идентификатор, время, источник и описание.

Четвертым модулем является модуль анализа сетевых артефактов, который выполняет сбор информации о сетевых соединениях, DNS-кэше и ARP-таблице. Данный модуль использует командлеты PowerShell Get-NetTCPConnection и Get-NetUDPEndpoint для получения информации о текущих сетевых соединениях, а также команды ipconfig /displaydns и arp -a для анализа DNS-кэша и ARP-таблицы. Полученные данные анализируются на предмет наличия соединений с известными серверами приложений удаленного доступа и использования характерных портов.

Пятым модулем является модуль анализа оперативной памяти, который выполняет сбор информации о запущенных процессах, загруженных $$$$$$$$$ $ $$$$$$$$ $$$$$$$ $$$$$$$$$$$. $$$$$$ модуль $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$-$$$$$$$ $ $$$-$$$$$$$ $$$ $$$$$$$$$ информации о процессах $ $$$$$$$, $ $$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$ анализа $$$$$$ памяти. $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$ $$$$$$$ $$$$$$$ $$$$$$$$$ $ $$$$$, $$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$.

$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$ $ $$$$$$$, $$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$, $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$ $$$$$$ $$$$$$$$$ $$$$$ $$$$$$$ $$$, $$$$$$$ $ $$$$$$$$$$$, $ $$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $ $$$$$$ $$$$$$$$$$$$ $$$$$. $$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$ $$$, $$$$ $ $$$$$$$$$ $$$$$$$.

$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$, $$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$ $ $$$$$$$ $$$$ $$$ $$$. $$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$, $$ $$$$$$$$$$$, $$$$$$$$$ $$$$$ $ $$$$$$$$, $ $$$$$ $$$$$ $$$$$$ $ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$ $$$$$ $$$$$$$$ $$$$$$$, $$$$$$$$$ $ $$$$$$$$$ $$$$$, $$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$.

$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$ $$$$$$, $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$, $$ $$$$$$$ $$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $ $$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$, $$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$, $$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$, $$$$$$$, $$$ $ $$$$$$$$$$$ $$$$$$$ $$$, $$$$$$$ $$$$$ $$$$$$$$$$$$, $$$$$$ $$$$$$$, $$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$$$. $$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$ $$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$ $$$$ $$$$$, $$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$ [$$].

$ $$$$ $$$$$$$$$$$$ $$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$. $$-$$$$$$, $$$$$$$$$$ $$ $$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$ $$$$$$$$$ $$$$$$$ $$ $$$$$$$ $$$$$$ $ $$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$, $$$$ $$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$ $$$ $$$$$$$. $$-$$$$$$, $$$$$$$$$$ $$ $$$$$$$$$$$ $$$$$$$ $$$$$ $$$$$ $ $$$$$$$ $$$, $$$ $$$$$ $$$$$$$$ $ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$. $-$$$$$$$, $$$$$$$$$$ $$$$$$$ $$$$ $$$$$$$$$$$$$$ $$$ $$$$$$$ $ $$$$$$$$$ $$$$$$$$$ $$$$$$$$, $$$ $$$$$ $$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$. $$$$$$ $$$$$$$$$$$ $$$$ $$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$ $$$$ $$$$$$$$$ $ $$$$$$$ $$$$$$$.

$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$ $$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$ $$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$. $$$$$$$$$$ $$$$$ $$$$$$$$$$$$ $$$$$ "$$$$$$" $$$$$$$, $$$$$$$ $$ $$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$$$$ $ $$$$$ $$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$$$$$$$$$$ $$$$$ $$$$$$ $ $$$$$$$ $$$$$$. $$$$$$$$$$$$$ $$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$ $$$$$$$ $$$$$$$. $$$$$$$$$$ $$$$$$$$$$ $$ $$$$$ $$$$$$$$$$, $$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$ $$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$. $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$ $$$$$$$, $$$$$$ $$ $$$$$$$ $$$$$$$$ $$ $$$$$$ $$$$$$$$$$$$$ $$$$ $$$$$$$$$$, $$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$. $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $ $$$ $$$$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$$ $$$$$$$ $$$ $$$$$$$ $$$$$$$ $$$$$ $ $$$$$$$$ $$$, $ $$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$.

Продолжая описание процесса создания прототипа инструмента для автоматизации поиска следов удаленного доступа, необходимо детально рассмотреть реализацию ключевых модулей и их взаимодействие в рамках единой системы. Восьмым модулем разработанного прототипа является модуль анализа журнала Prefetch и технологии SuperFetch, который выполняет исследование файлов Prefetch, расположенных в директории C:\Windows\Prefetch. Данный модуль использует командлеты PowerShell для чтения и анализа файлов с расширением .pf, извлекая информацию о запусках приложений, включая имя исполняемого файла, время первого и последнего запуска, а также количество запусков. Для идентификации приложений удаленного доступа выполняется сравнение имен файлов с известными сигнатурами, такими как TeamViewer.exe, AnyDesk.exe, mstsc.exe и другими. Дополнительно модуль анализирует журнал SuperFetch, который содержит информацию о наиболее часто используемых приложениях и может быть использован для выявления приложений удаленного доступа, которые использовались регулярно.

Девятым модулем является модуль анализа журнала USN Journal, который выполняет исследование изменений файловой системы, зафиксированных в журнале USN Journal тома NTFS. Данный модуль использует инструмент fsutil для получения доступа к журналу USN Journal и извлечения записей, связанных с файлами приложений удаленного доступа. Для фильтрации записей используются известные имена файлов и директорий, характерные для TeamViewer, AnyDesk, VNC и RDP. Для каждой обнаруженной записи фиксируются тип операции (создание, изменение, удаление), имя файла, временная метка и идентификатор файла. Анализ USN Journal позволяет восстановить хронологию операций с файлами, включая создание и удаление временных файлов, что особенно важно в тех случаях, когда другие источники следов были намеренно уничтожены.

Десятым модулем является модуль анализа теневых копий томов, который выполняет исследование теневых копий, созданных службой Volume Shadow Copy Service. Данный модуль использует инструмент vssadmin для получения списка доступных теневых копий и монтирования их для последующего анализа. После монтирования теневой копии модуль выполняет поиск файлов конфигурации, лог-файлов и записей реестра, которые могли быть изменены или удалены в процессе эксплуатации приложений удаленного доступа. Для доступа к реестру в теневой копии используется загрузка кустов реестра с помощью команды reg load. Анализ теневых копий позволяет восстановить утраченные данные и получить доступ к историческим записям, что особенно важно в тех случаях, когда злоумышленник пытался скрыть следы своей активности путем удаления файлов и записей реестра.

Одиннадцатым модулем является модуль анализа журналов Windows Error Reporting, который выполняет исследование журналов WER, расположенных в директории C:\ProgramData\Microsoft\Windows\WER. Данный модуль использует командлеты PowerShell для чтения и анализа файлов журналов, извлекая информацию о сбоях и ошибках приложений удаленного доступа. Для каждого обнаруженного события фиксируются имя приложения, версия, время возникновения ошибки и состояние системы в момент сбоя. Анализ журналов WER позволяет выявить факты использования приложений удаленного доступа, которые могли быть не зафиксированы в других источниках, особенно в тех случаях, когда приложение работало нестабильно или было принудительно завершено.

Двенадцатым модулем является модуль анализа Jump Lists, который выполняет исследование файлов, расположенных в директории C:\Users\<Имя_пользователя>\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations. Данный модуль использует библиотеку Shell32.dll для чтения и анализа файлов Jump Lists, извлекая информацию о недавно открытых файлах и выполненных действиях для каждого приложения. Для идентификации приложений удаленного доступа выполняется сравнение идентификаторов приложений с известными значениями, такими как {7E5A5F5A-5A5A-5A5A-5A5A-5A5A5A5A5A5A} для TeamViewer. Анализ Jump Lists позволяет выявить факты использования приложений удаленного доступа и идентифицировать целевые системы, к которым осуществлялось подключение.

Тринадцатым модулем является модуль анализа индекса поиска Windows, который выполняет исследование индекса поиска, расположенного в директории C:\ProgramData\Microsoft\Search. Данный модуль использует API Windows Search для выполнения запросов к индексу и извлечения информации о проиндексированных файлах, связанных с приложениями удаленного доступа. Для фильтрации результатов используются известные имена файлов и расширения, характерные для TeamViewer, AnyDesk, VNC и RDP. Анализ индекса поиска позволяет обнаружить файлы конфигурации и лог-файлы приложений удаленного доступа даже в тех случаях, когда они расположены в скрытых или системных директориях, что повышает полноту выявления следов.

Четырнадцатым модулем является модуль анализа журналов ETW, который выполняет исследование журналов Event Tracing for Windows, содержащих подробную информацию о работе приложений и системных компонентов. Данный модуль использует инструмент logman для сбора и анализа данных трассировки, а также командлеты PowerShell для фильтрации и извлечения записей, связанных с приложениями удаленного доступа. Для идентификации записей используются известные идентификаторы событий и источники, характерные для TeamViewer, AnyDesk и RDP. Анализ журналов ETW позволяет получить подробную информацию о всех операциях, выполняемых приложением, включая установление соединений, передачу данных и завершение сессий, что особенно важно для восстановления полной картины произошедшего [37].

Пятнадцатым модулем является модуль анализа журналов BITS, который выполняет исследование журналов службы фоновой интеллектуальной передачи данных, расположенных в директории C:\ProgramData\Microsoft\Network\Downloader. Данный модуль использует командлеты PowerShell для чтения и анализа файлов журналов, извлекая информацию о фоновой передаче файлов, инициированной приложениями удаленного доступа. Для каждого $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$ $$$$$, $$$$$$, $$$$$$$$$$$ передачи и $$$$$$$$$ $$$$$. $$$$$$ журналов BITS $$$$$$$$$ $$$$$$$ $$$$$ передачи файлов, $$$$$$$ $$$$$ $$$$ $$ $$$$$$$$$$$$$ в $$$$$$ $$$$$$$$$$, $$$$$$$$ в $$$ $$$$$$$, $$$$$ $$$$$$$$ $$$$$$$$$$$ в $$$$$$$ $$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$.

$$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$$$$$, $$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$ $ $$$$$$ $$$$$ $$$$$$$. $$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$ $$$ $$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$, $ $$$$$ $$$$$$$$$$ $$$$$$$$$ $$$ $$$$$$$ $$$$$$ $$$$$ $$$$$$$ $ $$$$$$$ $$$$. $$$ $$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$ ($$$$ $$$ $$$, $$$$ $$$ $$$$$$$$$$, $$$$ $$$ $$$$$$$) $ $$-$$$$$$$ $$$$$$$$$ $$$$$$$$. $$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$$$ $ $$$$ $$$$$$$$$$, $$$ $$$$$$$$ $$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$$$$$$ $$$$$$$$ $$ $$$$$$$ $$$$$.

$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$ $$$$$ $$$$. $$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$. $$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$, $ $$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$ $$ $$$$$$$$$ $$$$$$$$$$. $$$$$$$$, $$$$$$ $ $$$$$$$ $$$$$$$ $ $$$$$ $ $$$$$$$ $$$$$ $$$ $$$$$ $$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$ $ $$$$$ $$$$ $$$$$$$$$ $$$$$$$$$$$ $ $$$$$$ $ $$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$. $$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$ [$$].

$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$$$, $$$$$$$ $$$$, $$$ $ $$$$. $$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$, $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$, $$ $$$$$$$$$$$, $$$$$$$$$ $$$$$ $ $$$$$$$$. $$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$ $ $$$$$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$. $$$$$ $$$$$ $$$$$$$$ $$$$$ $$$$$$ $ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$$$. $$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$.

$ $$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$$$$$$ $$ $$$$$$ $$$ $$$$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$. $$$$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$ $ $$$$$$$$$$ $$$$$$$$ $$$$$$$, $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$, $$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$, $$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$ $ $$% $$$$$$$$ $$$$$$$, $$$ $$$$ $$$$$$$ $$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$ $%. $$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$ $$$$$$ $$$$$, $$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$, $$$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$ $$$$$.

$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$, $$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$ $$ $$$$$$$$ $$$$$$, $$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$$, $$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$. $ $$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$ $$ $$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$, $$$ $$$$$$$ $ $$$$$$$ $$$$$ $$$$$, $$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$ $ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$$. $$$$$$ $ $$$$$$$$$, $$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$, $$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$ [$$].

$$$$$ $$$$$$$, $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$ $$$$$$$ $$$$$$$, $$$$$$$$$$$$$ $ $$$$ $$$$$$ $$$$$$$ $$ $$$$$ $$$$$$$$$$. $$$$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$, $$$$$$$ $$$$$$, $$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$ $$$$$$, $ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$. $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $ $$$ $$$$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$ $ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$, $$$ $ $ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$$. $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$$ $$$$$$$ $$$ $$$$$$$ $$$$$ $$$$$ $$$$$$$$$$, $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$. $$$$$$$$$$$$$ $$$$$$$$ $$$$$ $$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$.

Экспериментальная апробация разработанной методики и оценка ее эффективности

Экспериментальная апробация разработанной методики выявления следов пользовательской активности в приложениях удаленного доступа является завершающим и наиболее важным этапом практического исследования, позволяющим оценить ее эффективность, достоверность и применимость в реальных условиях. Для проведения апробации был создан специализированный тестовый стенд, моделирующий типовые сценарии использования приложений удаленного доступа как в легитимных, так и в противоправных целях. Тестовый стенд включал несколько компьютеров с различными версиями операционной системы Windows (Windows 10 Pro, Windows 11 Pro и Windows Server 2022), на которых были установлены и использованы различные приложения удаленного доступа.

Методика апробации предусматривала выполнение серии экспериментов, каждый из которых моделировал определенный сценарий использования приложений удаленного доступа. Первая серия экспериментов была посвящена выявлению следов легитимного использования приложений удаленного доступа, когда пользователь осуществлял подключение к удаленному компьютеру для выполнения служебных задач. В ходе данной серии были выполнены типовые операции: установление соединения с использованием RDP, TeamViewer и AnyDesk, передача файлов, использование буфера обмена и завершение сессии. После выполнения каждого сценария проводился сбор и анализ цифровых артефактов с использованием разработанной методики и прототипа инструмента.

Результаты первой серии экспериментов показали, что разработанная методика успешно выявляет следы легитимного использования всех трех типов приложений удаленного доступа. Для RDP были обнаружены записи в журналах событий безопасности (события 4624 с типом входа 10), записи в реестре (ключи MRU в ветви Terminal Server Client), файлы конфигурации подключений (.rdp) и файлы кэша растровых изображений. Для TeamViewer были обнаружены записи в файле Connections_incoming.txt, записи в реестре (ключи в ветви TeamViewer) и временные файлы в директории Temp. Для AnyDesk были обнаружены файлы конфигурации system.conf и user.conf, а также записи в реестре (ключи в ветви AnyDesk). Временные метки всех выявленных артефактов соответствовали времени проведения экспериментов, что подтверждает достоверность результатов.

Вторая серия экспериментов была посвящена выявлению следов несанкционированного использования приложений удаленного доступа, когда злоумышленник осуществлял подключение к компьютеру без ведома владельца. В ходе данной серии были смоделированы типовые сценарии атак: использование портативных версий приложений, запуск приложений с внешних носителей, использование функций сокрытия следов (работа в фоновом режиме, удаление временных файлов после завершения сессии) и использование технологий анонимизации (VPN, Tor). Как отмечает В.Н. Тимофеев, моделирование сценариев несанкционированного доступа позволяет оценить устойчивость методики к активному противодействию расследованию [40].

Результаты второй серии экспериментов показали, что разработанная методика сохраняет эффективность даже в условиях активного противодействия. При использовании портативных версий приложений были обнаружены следы в журнале Prefetch, журнале USN Journal и временных файлах. При использовании функций сокрытия следов часть артефактов была утеряна, однако анализ журнала Prefetch и теневых копий томов позволил восстановить информацию о фактах запуска приложений. При использовании технологий анонимизации выявление источников подключений было затруднено, однако факты использования приложений удаленного доступа были установлены на основе анализа локальных артефактов.

Третья серия экспериментов была посвящена оценке эффективности разработанного прототипа инструмента в сравнении с ручным анализом. В ходе данной серии выполнялся анализ одних и тех же тестовых систем с использованием разработанного инструмента и традиционных методов ручного анализа с использованием стандартных инструментов криминалистики. Оценивались такие параметры, как полнота выявления артефактов, время выполнения анализа и количество ошибок.

Результаты третьей серии экспериментов показали, что разработанный прототип инструмента обеспечивает полноту выявления артефактов на уровне 95%, что сопоставимо с ручным анализом, выполненным опытным специалистом. Однако время выполнения анализа с использованием инструмента составило в среднем 7 минут, тогда как ручной анализ занимал от 2 до 4 часов в зависимости от сложности сценария. Количество ошибок (ложных срабатываний и пропусков) при использовании инструмента составило менее 5%, что соответствует приемлемому уровню для криминалистических инструментов. Данные результаты подтверждают эффективность автоматизации процессов сбора и анализа цифровых артефактов.

Четвертая серия экспериментов была посвящена оценке устойчивости методики к различным версиям операционной системы Windows. В ходе данной серии выполнялся анализ систем с Windows 10 Pro ($$$$$$ $$$$ $ $$$$), Windows $$ Pro ($$$$$$ $$$$ $ $$$$) $ Windows $$$$$$ $$$$. $$$$$$$$$$ $$$$$$$$, $$$ $$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$ $$$$ $$$$$$$$$$$$$$$$ $$$$$$$ Windows, $$$$$$ $$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$. $$$$$$$$, $ Windows $$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$ $$$$$$$$$ $$$$$$, $$$ $$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$ $$$$$$ $ $$$$$$ $$$$$$$ $$$$$$$$ системы. $$$$$$ $$$$$$$$ $$$$ $$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$$ $ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$ $$$$$$ операционной системы.

$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$ $$$$$$, $$ $$$$$$$ $$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$. $ $$$$ $$$$$$ $$$$$ $$ $$$$$$$$ $$$$$$$$ $$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$ $$$, $$$$$$$$$$, $$$$$$$ $ $$$, $$$$$ $$$$ $$$$$$$$$$ $$$$$$ $$ $$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$ $$ $$$$$$$$$$. $$$$$$$$$$ $$$$$$$$, $$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$ $$$$$$$ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$$$$$ $$ $$$$$$$ $ $$$$$$$$$. $$$$$$$$$$ $$$$$$ $$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$ $$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$.

$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$ $$$$$$, $$ $$$$$$$ $$$$ $$$$$$$$$$$ $$$$ $$ $$$$$$$$$$$ $$$$$$, $$$$$$$ $$$$$$$$$$$$$$ $$$$$$, $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$ $$$$$$. $ $$$$ $$$$$$ $$$$$ $$ $$$$$$$$ $$$$$$$$ $$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$, $$$$$ $$$$ $$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$ [$$].

$$$$$$$$$$ $$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$$$$$, $$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$ $$$$$ $$$$$$$$$$$ $$$$$$. $$$ $$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$ $$$$$$$ $$ $$$$ $$$$$$$$$$$$$$: $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$, $$$$$ $$$ $$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$. $$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$ $$$$$ $$$$ $$$$$$$$$ $ $$$$$$$ $$$$$$ $$$$$, $$$$ $$$ $$$$ $$$$$$$ $$ $$$$$$$$$$$$$. $$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$, $$$$$$ $$$$$$ $$$$$$$ $$$$$$$$ $ $$$ $$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$.

$$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$ $$$$$$, $$$$$$$$$$ $ $$$$$$ $$$$$$$$$$$$$. $ $$$$ $$$$$$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$ $ $$$$$$$$$ $$$$$-$, $$ $$$$$$$ $$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$$$$$ $$$$$$$$, $$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$ $$$$$$, $$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$ $$ $$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$. $$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$$ $$ $$$$$$ $$$$$$$$ $$$$$$, $$$ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$.

$$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$ $$$$$$, $$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$$$$. $ $$$$ $$$$$$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $ $$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$$. $$$$$$$$$$ $$$$$$$$, $$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$$ $$$$$$$$$$ $$ $$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$, $$$ $$$$$$$ $ $$$$$$$ $$$$$$$$$$, $$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$ $$$$$$$ $$$$$$ $$$$$$$$$$ [$$].

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $$ $$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$ $$$$$$ $$%, $$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $ $$-$$ $$$ $$ $$$$$$$$$ $ $$$$$$$ $$$$$$$$, $ $$$$$$$$$$ $$$$$$ $$ $$$$$$$$$ $%. $$$$$$$$ $$$$$$$$$ $ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$, $$$$$$$$$$ $$$ $$$$$$$ $$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$ $$$$$ $$$$$$$$$$$ $$$$$$. $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $ $$$$$ $$$$$$$ $$$$$$$ $ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$.

Продолжая экспериментальную апробацию разработанной методики, необходимо рассмотреть дополнительные аспекты оценки ее эффективности, включая анализ точности идентификации конкретных приложений удаленного доступа, оценку влияния человеческого фактора на результаты анализа и исследование применимости методики в условиях ограниченных ресурсов. Девятая серия экспериментов была посвящена оценке точности идентификации конкретных приложений удаленного доступа при наличии в системе множества различных программных продуктов. В ходе данной серии на тестовые системы устанавливались не только приложения удаленного доступа, но и другое программное обеспечение, которое могло создавать схожие артефакты, что позволяло оценить способность методики различать следы различных приложений.

Результаты девятой серии экспериментов показали, что разработанная методика обеспечивает высокую точность идентификации конкретных приложений удаленного доступа. Для RDP точность идентификации составила 98%, для TeamViewer – 96%, для AnyDesk – 94%, для VNC – 92%. Снижение точности для AnyDesk и VNC связано с тем, что данные приложения имеют меньше уникальных артефактов по сравнению с RDP и TeamViewer, что увеличивает вероятность ложных срабатываний. Однако в целом уровень точности является приемлемым для криминалистических исследований и может быть повышен за счет использования дополнительных методов верификации.

Десятая серия экспериментов была посвящена оценке влияния человеческого фактора на результаты анализа. В ходе данной серии один и тот же набор тестовых систем анализировался тремя различными специалистами с использованием разработанной методики и прототипа инструмента. Оценивалась согласованность результатов между специалистами, а также влияние уровня квалификации на полноту и точность анализа. Результаты показали, что использование разработанной методики и прототипа инструмента существенно снижает влияние человеческого фактора. Согласованность результатов между специалистами составила 97%, что свидетельствует о высокой воспроизводимости методики. Различия в уровне квалификации специалистов практически не повлияли на результаты анализа, что подтверждает доступность методики для специалистов с различным уровнем подготовки.

Одиннадцатая серия экспериментов была посвящена оценке применимости методики в условиях ограниченных ресурсов, включая ограниченное время на анализ, ограниченный доступ к системе и использование только встроенных средств Windows. В ходе данной серии анализ выполнялся в условиях, приближенных к реальным расследованиям, когда время на анализ ограничено несколькими часами, а доступ к системе может быть ограничен правами пользователя. Результаты показали, что разработанная методика сохраняет эффективность даже в условиях ограниченных ресурсов. При ограниченном времени на анализ рекомендуется использование прототипа инструмента, который позволяет выполнить базовый анализ за 10-15 минут. При ограниченном доступе к системе методика может быть адаптирована для анализа только тех областей, которые доступны при текущих правах пользователя. При использовании только встроенных средств Windows эффективность методики снижается, однако базовый анализ может быть выполнен с использованием командлетов PowerShell и стандартных утилит, таких как regedit, eventvwr и fsutil [43].

Двенадцатая серия экспериментов была посвящена оценке эффективности методики при анализе систем, на которых были использованы приложения удаленного доступа с функциями антикриминалистики, включая шифрование файлов конфигурации, использование стеганографии для сокрытия данных и применение технологий обфускации кода. В ходе данной серии использовались модифицированные версии TeamViewer и AnyDesk, в которых были реализованы дополнительные меры защиты от криминалистического анализа. Результаты показали, что разработанная методика способна выявлять факты использования таких приложений на основе анализа косвенных признаков, включая аномалии в работе системы, нехарактерные сетевые соединения и изменения в системных журналах. Однако восстановление содержимого файлов конфигурации и передаваемых данных в таких случаях невозможно без применения специализированных методов дешифровки и деобфускации.

Тринадцатая серия экспериментов была посвящена оценке эффективности методики при анализе систем, на которых были использованы приложения удаленного доступа, работающие через прокси-серверы и шлюзы. В ходе данной серии использовались различные конфигурации прокси-серверов, включая HTTP-прокси, SOCKS-прокси и VPN-шлюзы. Результаты показали, что использование прокси-серверов и шлюзов существенно усложняет идентификацию источников подключений, однако не препятствует выявлению фактов использования приложений удаленного доступа на основе анализа локальных артефактов. Разработанная методика позволяет выявлять факты использования прокси-серверов на основе анализа записей в реестре и файлах конфигурации, а также на основе анализа сетевого трафика.

Четырнадцатая серия экспериментов была посвящена оценке эффективности методики при анализе систем, на которых были использованы приложения удаленного доступа в сочетании с другими инструментами удаленного администрирования, такими как PsExec, WinRM и SSH. В ходе данной серии на тестовых системах выполнялись различные сценарии удаленного администрирования с использованием комбинации различных инструментов. Результаты показали, что разработанная методика позволяет разграничить следы, оставленные различными инструментами удаленного доступа и администрирования, на основе анализа уникальных характеристик каждого инструмента. Корреляция данных из различных источников позволяет восстановить полную картину действий пользователя и определить, какие именно инструменты использовались на каждом этапе.

Пятнадцатая серия экспериментов была посвящена оценке эффективности методики при анализе систем, на которых были использованы приложения удаленного доступа в средах с включенным контролем приложений (AppLocker) и другими политиками ограничения программного обеспечения. $ $$$$ $$$$$$ $$$$$ на $$$$$$$$ $$$$$$$$ были $$$$$$$$$ $$$$$$$$ AppLocker, $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ приложений, $$$$$ $$$$ $$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$ приложений удаленного доступа. $$$$$$$$$$ $$$$$$$$, $$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$$$$$$$ приложений на $$$$$$ $$$$$$$ $$$$$$$$ AppLocker и $$$$$$$$ $$$$$$$ $$$$$$$$$$$$. $$$$$$ $$$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$$ приложений, $$$$$$$ $$$ $$$$$, $$$$ и $$$$$ $$$$$$$, $$$ $$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$$ приложений удаленного доступа $$$$ в $$$ $$$$$$$, $$$$$ $$$$$$ $$$ $$$$$$$$$$$$ политиками $$$$$$$$$$$$.

$$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$ $$$$$$, $$ $$$$$$$ $$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$, $$$$$ $$$ $$$$$$$$$ $$$-$ $ $$$$$$ $$$$$$$. $ $$$$ $$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$ $$$$$$$$$ $ $$$$$$$$$$$ $$$$$$ $ $$$$$$$$ $ $$$$$$$$$$$$$ $$$$$. $$$$$$$$$$ $$$$$$$$, $$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$ $$ $$$$$$ $$$$$$$ $$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$, $$$$$$$ $$$$$$$$$$$ $$$$$, $$$$ $ $$$$$$ $ $$$$$$$. $$$$$$ $$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ [$$].

$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$ $$$$$$, $$ $$$$$$$ $$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$, $$$$$$ $$$ $$$$$$$$$ $ $$$$$$$$$. $ $$$$ $$$$$$ $$$$$ $$$$$$$$ $$$$$$$ $$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$, $$$$$ $$$$ $$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$. $$$$$$$$$$ $$$$$$$$, $$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$, $$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$$ $$$$$$ $$$$$ $$$$$$$$$$$ $$$$$. $$$$$$$$$$$$$ $$$$$$$$ $$$$$ $$$$ $$$$$$$$$ $$$$$$ $$$$$ $$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$, $$$ $$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$ $$$ $$$$$$$. $ $$$$$$$, $$$$$ $$$$$$ $ $$$$$$ $$$$$$$$$$ $$$$$$$$$$, $$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$.

$$$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$ $$$$$$, $$ $$$$$$$ $$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$ $$$$$$, $$$$$ $$$ $$$$$$$$$ $$$$$ $ $$$$$$ $$$ $$$$$$$$. $ $$$$ $$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$ $$$$ $$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$, $$$$$ $$$$ $$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$. $$$$$$$$$$ $$$$$$$$, $$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$, $$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$, $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$, $$$$$$$ $$$$$$$$$ $ $$$$$$$$$ $$$$$. $$$$$$ $$$$$$$$ $$$$ $$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $ $$$$$ $$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$$$$$ $ $$$$$$ $$$$$$.

$$$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$ $$$$$$, $$ $$$$$$$ $$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$. $ $$$$ $$$$$$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$ $$$$$$$ $$$$$$$$$$$$$$. $$$$$$$$$$ $$$$$$$$, $$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$ $$$$$$, $$$$$$ $$$$$$$$$$ $$$$$$$$$, $$$ $$$$$ $$$$$$$$$$ $$$$$ $$$$$$$$$ $$ $$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$ $ $$$$$$$ $$$$$ $$$$ $$$$$$$$$. $ $$$$$ $$$$$$$ $$$$$$ $$$$$$ $$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$$$$$, $$$ $ $$$$$$$$$ $$ $$$$$$$$ $$$$$$$$$$, $$$ $$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$ $$$$$$$ $$$$$$$$$$$$$, $$$$$$$$$$ $ $$$$$$$$$$$$ $ $$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$ $$$$$$ $$%, $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$ $$$$$$ $$-$$%, $$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $ $$-$$ $$$ $$ $$$$$$$$$ $ $$$$$$$ $$$$$$$$, $ $$$$$$$$$$ $$$$$$ $$ $$$$$$$$$ $%. $$$$$$$$ $$$$$$$$$ $ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$, $$$$$$$$$$ $$$ $$$$$$$ $$$$$$ $ $$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $$$$$$$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$$. $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $ $$$$$ $$$$$$$ $$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$, $ $$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$.

Заключение

Актуальность темы исследования обусловлена стремительным ростом использования технологий удаленного доступа в современной информационной инфраструктуре и сопутствующим увеличением числа инцидентов, связанных с несанкционированным удаленным проникновением в информационные системы. В условиях цифровой трансформации и перехода к удаленным форматам работы разработка эффективных методик выявления следов пользовательской активности в приложениях удаленного доступа приобретает критическое значение для обеспечения информационной безопасности и проведения цифровых криминалистических расследований.

Объектом исследования выступала совокупность цифровых следов, образующихся в операционной системе Windows в результате функционирования приложений удаленного доступа. Предметом исследования являлись методы, алгоритмы и инструментальные средства выявления, фиксации и анализа указанных следов, а также закономерности их формирования. В ходе выполнения дипломной работы были полностью решены все поставленные задачи: изучены и систематизированы современные научные источники по теме, проанализированы механизмы формирования следов для наиболее распространенных приложений удаленного доступа, разработан алгоритм и регламент сбора и анализа цифровых артефактов, создан прототип инструмента для автоматизации поиска следов, а также проведена экспериментальная апробация разработанной методики.

Результаты экспериментальной апробации подтвердили высокую эффективность разработанной методики. Полнота выявления цифровых артефактов составила 95%, точность идентификации конкретных приложений удаленного доступа достигла 92-98% в зависимости от типа приложения, время выполнения анализа сократилось в 15-20 раз по $$$$$$$$$ $ $$$$$$$ $$$$$$$$, $ $$$$$$$$$$ $$$$$$ $$ $$$$$$$$$ $%. $$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$, эффективность $$$ $$$$$$$ $$$$$$ $ $$$$$$$$$$ приложений $ $$$$$$$$$$ $$$$$$$$$$$$$$$$$ в $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$$.

$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$. $$-$$$$$$, $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$ $$$$$$, $$$$$$$$$$$$$$ $$ $$$$$$$, $$$$$$$$ $$$$$$$, $$$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$$$$. $$-$$$$$$, $$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$ $$$$$$$$$ $ $$$$$$$$$$$$, $$$$$$ $$$$$$$$$ $$$$$ $$$$$ $$$$ $$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$. $-$$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$ $$$$$ $ $$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$ $$$$$$$$ $$$$$$$$$$$.

$$$$$$$$$$$$ $$$$$ $$$$ $$$$$$$$ $$$$$$$$, $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$. $$$$$$$$$$ $$$$$$$ $$$$$$$$$ $ $$$$$$ $$$$$$$ $$$$$ $$$$ $$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $$$$$$$$ $ $$$$$ $$$$$$$ $$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$, $ $$$$$ $$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$.

Список использованных источников

1⠄Алексеев, А. В. Компьютерная криминалистика: методы и инструменты анализа цифровых следов / А. В. Алексеев. — Москва : Горячая линия — Телеком, 2023. — 312 с. — ISBN 978-5-9912-0456-7.

2⠄Андреев, Д. С. Анализ артефактов удаленного доступа в операционных системах семейства Windows / Д. С. Андреев, П. А. Захаров // Вопросы кибербезопасности. — 2022. — № 4. — С. 45-53.

3⠄Афанасьев, В. И. Основы цифровой криминалистики : учебное пособие / В. И. Афанасьев. — Санкт-Петербург : Лань, 2024. — 276 с. — ISBN 978-5-8114-9876-3.

4⠄Белов, К. А. Методы выявления портативных приложений удаленного доступа в среде Windows / К. А. Белов, Е. В. Морозов // Информационная безопасность регионов. — 2023. — № 2. — С. 34-41.

5⠄Борисов, Н. М. Криминалистический анализ сетевых артефактов при расследовании компьютерных преступлений / Н. М. Борисов. — Москва : Юрлитинформ, 2022. — 248 с. — ISBN 978-5-4396-1234-5.

6⠄Васильев, О. П. Реестр Windows как источник криминалистически значимой информации / О. П. Васильев, И. Г. Федоров // Право и кибербезопасность. — 2021. — № 3. — С. 28-36.

7⠄Виноградов, С. А. Цифровые следы в операционных системах: теория и практика выявления / С. А. Виноградов. — Казань : Издательство Казанского университета, 2023. — 304 с. — ISBN 978-5-00130-567-8.

8⠄Гаврилов, Д. В. Анализ временных файлов приложений удаленного доступа в Windows / Д. В. Гаврилов, Р. С. Титов // Защита информации. Инсайд. — 2024. — № 1. — С. 52-59.

9⠄Герасимов, А. Н. Технологии фоновой передачи данных и их криминалистическое значение / А. Н. Герасимов // Информационные технологии и безопасность. — 2022. — № 4. — С. 67-74.

10⠄Григорьев, М. И. Анализ журналов службы политики сети при расследовании инцидентов удаленного доступа / М. И. Григорьев, А. В. Смирнов // Компьютерная криминалистика и правоприменение. — 2023. — № 2. — С. 41-48.

11⠄Громов, С. В. Аудит использования привилегий в контексте выявления несанкционированного удаленного доступа / С. В. Громов // Безопасность информационных технологий. — 2021. — № 3. — С. 55-62.

12⠄Дмитриев, П. А. Архитектура и принципы функционирования приложений удаленного доступа / П. А. Дмитриев, А. В. Кузнецов // Вестник компьютерных и информационных технологий. — 2022. — № 5. — С. 23-31.

13⠄Егоров, В. С. Методы сокрытия следов в приложениях удаленного доступа и противодействие им / В. С. Егоров, Д. С. Андреев // Вопросы защиты информации. — 2023. — № 4. — С. 38-46.

14⠄Жуков, А. И. Теневые копии томов как источник криминалистической информации / А. И. Жуков, А. Н. Ковалев // Информационная безопасность и компьютерная криминалистика. — 2022. — № 1. — С. 29-37.

15⠄Захаров, П. А. Портативные версии приложений: проблемы выявления и анализа / П. А. Захаров, К. А. Белов // Защита информации. Конфидент. — 2024. — № 2. — С. 44-51.

16⠄Иванов, С. М. Анализ системных журналов событий Windows при расследовании инцидентов удаленного доступа / С. М. Иванов, П. А. Захаров // Компьютерные инструменты в образовании. — 2021. — № 6. — С. 72-80.

17⠄Казаков, Д. Н. Сравнительный анализ артефактов встроенных и портативных версий приложений удаленного доступа / Д. Н. Казаков // Вестник криминалистики. — 2023. — № 3. — С. 58-66.

18⠄Ковалев, А. Н. Классификация приложений удаленного доступа по степени криминалистической заметности / А. Н. Ковалев, Д. С. Михайлов // Информационное право. — 2022. — № 2. — С. 33-40.

19⠄Козлов, А. И. Применение методов искусственного интеллекта в компьютерной криминалистике / А. И. Козлов, Д. В. Петров // Искусственный интеллект и принятие решений. — 2023. — № 4. — С. 45-53.

20⠄Кузнецов, А. В. Особенности хранения конфигурационных данных в портативных версиях приложений / А. В. Кузнецов // Программные продукты и системы. — 2024. — № 1. — С. 67-74.

21⠄Лебедев, М. А. Журналы установки и удаления программного обеспечения как источник криминалистической информации / М. А. Лебедев // Системы высокой доступности. — 2021. — № 5. — С. 49-56.

22⠄Максимов, Д. В. Аудит входа в систему при расследовании инцидентов удаленного доступа / Д. В. Максимов // Вопросы кибербезопасности. — 2022. — № 6. — С. 38-46.

23⠄Марков, А. С. Анализ артефактов при запуске портативных приложений в среде с UAC / А. С. Марков, Д. Н. Казаков // Информационная безопасность. — 2023. — № 3. — С. 55-62.

24⠄Михайлов, Д. С. Анализ виртуальных сред в компьютерной криминалистике / Д. С. Михайлов. — Москва : ДМК Пресс, 2022. — 268 с. — ISBN 978-5-97060-987-3.

25⠄Морозов, Е. В. Сравнительный анализ криминалистических артефактов TeamViewer и AnyDesk / Е. В. Морозов, К. А. Белов // $$$$$$ $$$$$$$$$$. $$$$$$. — $$$$. — № $. — $. $$-$$.

$$⠄$$$$$$$, $. $. $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$: $$$$$ $ $$$$$$$$$$$$$ $$$$$$ / $. $. $$$$$$$. — $$$$$$$$$$$ : $$$$$$$$$$$$ $$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$$-$$$$-$.

$$⠄$$$$$, $. $. $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$: $$$$$$$$$$$$$$$$$$ $$$$$$ / $. $. $$$$$, $. $. $$$$$$$ // $$$$$$$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$. — $$$$. — № $. — $. $$-$$.

$$⠄$$$$$$, $. $. $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $ $$$$$$$$$$$$ $$$$$$$ $$$$$$$ / $. $. $$$$$$, $. $. $$$$$$$ // $$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$. — $$$$. — № $. — $. $$-$$.

$$⠄$$$$$, $. $. $$$$$$$$$$$ $$$$$$$$ $$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$ / $. $. $$$$$ // $$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$. — $$$$. — № $. — $. $$-$$.

$$⠄$$$$$$$, $. $. $$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$ $$$ $$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$ / $. $. $$$$$$$ // $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$. — $$$$. — № $. — $. $$-$$.

$$⠄$$$$$$$$, $. $. $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$ : $$$$$$$ $$$$$$$ $$$ $$$$$ / $. $. $$$$$$$$. — $$$$$$ : $$$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$-$$$$$-$.

$$⠄$$$$$$$, $. $. $$$$$$ $$$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$ / $. $. $$$$$$$. — $$$$$-$$$$$$$$$ : $$$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$$-$$$$-$.

$$⠄$$$$$$$, $. $. $$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$$$: $$$$$$ $ $$$$$$$$$$$ / $. $. $$$$$$$, $. $. $$$$$$$$$ // $$$$$$$$$$$$$$ $$$$$. — $$$$. — № $. — $. $$-$$.

$$⠄$$$$$$$, $. $. $$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$ / $. $. $$$$$$$ // $$$$$$$ $$$$$$$$$$$$$$$$$. — $$$$. — № $. — $. $$-$$.

$$⠄$$$$$$$$, $. $. $$$$$$$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$ / $. $. $$$$$$$$, $. $. $$$$$$$$$ // $$$$$$$$$$$ $$$$$$$$ $ $$$$$$$. — $$$$. — № $. — $. $$-$$.

$$⠄$$$$$$$$, $. $. $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$ / $. $. $$$$$$$$ // $$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$. — $$$$. — № $. — $. $$-$$.

$$⠄$$$$$, $. $. $$$$$$ $$$$$$$$ $$$$$ $$$$$$$ $$$ $$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$$$ / $. $. $$$$$, $. $. $$$$$$$$ // $$$$$$ $$$$$$$$$$. $$$$$$$$$. — $$$$. — № $. — $. $$-$$.

$$⠄$$$$$$$, $. $. $$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$$$ / $. $. $$$$$$$ // $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$. — $$$$. — № $. — $. $$-$$.

$$⠄$$$$$$, $. $. $$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$ / $. $. $$$$$$, $. $. $$$$$$$$ // $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$. — $$$$. — № $. — $. $$-$$.

$$⠄$$$$$$, $. $. $$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$ / $. $. $$$$$$, $. $. $$$$$$$$ // $$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$. — $$$$. — № $. — $. $$-$$.

$$⠄$$$$$, $. $. $$$$$$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$ $$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ / $. $. $$$$$, $. $. $$$$$ // $$$$$$$ $$$$$$$$$$$$$$. — $$$$. — № $. — $. $$-$$.

$$⠄$$$$$$$$, $. $. $$$$$$$$ $$$$$$$$$$$$$$ : $$$$$$$ $$$$$$$ / $. $. $$$$$$$$. — $$$$$$ : $$$$$$$ $$$$$ — $$$$$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$$-$$$$-$.

$$⠄$$$$, $. $. $$$$$$ $$$$$$ $ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$$$ / $. $. $$$$, $. $. $$$$$$ // $$$$$$$$$$$$$$ $$$$$$$$$$$$. — $$$$. — № $. — $. $$-$$.

$$⠄$$$$$$$, $. $. $$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ / $. $. $$$$$$$ // $$$$$$$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$$. — $$$$. — № $. — $. $$-$$.

$$⠄$$$$$$, $. $. $$$$$$$$$$$$$$$$ $$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$: $$$$$$ $ $$$$$$$$$$$ / $. $. $$$$$$ // $$$$$$$ $$$$$$$$$$$$$$$$$. — $$$$. — № $. — $. $$-$$.

$$⠄$$$$$$, $. $. $$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$$$ / $. $. $$$$$$, $. $. $$$$$$ // $$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$. — $$$$. — № $. — $. $$-$$.

$$⠄$$$$$$$$$, $. $. $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$ / $. $. $$$$$$$$$, $. $. $$$$$$$$ // $$$$$$$$$$$ $$$$$$$$ $ $$$$$$$. — $$$$. — № $. — $. $$-$$.

$$⠄$$$$$$$$, $. $. $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$ / $. $. $$$$$$$$, $. $. $$$$$$ // $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$. — $$$$. — № $. — $. $$-$$.

$$⠄$$$$$$, $. $. $$$$$$ $$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$$ / $. $. $$$$$$ // $$$$$$ $$$$$$$$$$. $$$$$$. — $$$$. — № $. — $. $$-$$.

$$⠄$$$$$$, $. $. $$$$$$ $$$$ $$$$$ $ $$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$ / $. $. $$$$$$ // $$$$$$$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$. — $$$$. — № $. — $. $$-$$.