Е.И. Духан, Н.С. Князева, А.Н. Аверкиев, О.В. Горбунова

Постановка проблемы. При расследовании компьютерных инцидентов требуется восстанавливать последовательность действий пользователя путем исследования метаданных файловых объектов, к которым, в первую очередь, относятся временные отметки (ВО). Практика показывает, что по соотношениям ВО можно определить последовательность совершенных над файлом операций (ФОп). В настоящее время уже накоплен раздел знаний о причинно-следственных связях между операциями и изменениями ВО файлов, но попыток формализации этих знаний до сих пор не предпринималось. Отсутствие научно обоснованных методик и алгоритмов проведения анализа ВО не позволяет автоматизировать процесс восстановления последовательности ФОп и требует высокой квалификации специалиста.

Цель. Разработать программное обеспечение для автоматизации процесса восстановления ФОп по ВО.

Результаты. Представлена модель, описывающая закономерности процесса изменения ВО при выполнении Фоп, в виде конечного автомата. Предложена методика восстановления последовательности ФОп, основанная на этой модели. Разработана программа, позволяющая автоматизировать методику восстановления ФОп.

Практическая значимость. Применение разработанного программного обеспечения значительно сокращает временные затраты при исследовании большого числа ФОп, способствует повышению числа восстанавливаемых ФОп и увеличению длины последовательности восстанавливаемых ФОп.

Духан Е.И., Князева Н.С., Аверкиев А.Н., Горбунова О.В. Многофакторный анализ временных отметок файловых объектов  с помощью специального программного обеспечения // Радиотехника. 2022. Т. 86. № 1. С. 66−72. DOI: https://doi.org/10.18127/j00338486-202201-11

1. Духан Е.И., Князева Н.С. Методика и результаты исследования изменений временных отметок файловых объектов // Радиотехника. 2020. Т. 84. № 2(4). С. 64−72.
2. Галиаскаров Э.Г. Моделирование поведения объектов с помощью концепции конечных автоматов // Объектные системы. 2011. № 1(3). URL: https://cyberleninka.ru/article/n/modelirovanie-povedeniya-obektov-s-pomoschyu-kontseptsii-konechnyhavtomatov (дата обращения: 17.10.2021).
3. Dukhan E., Knyazeva N. Timestamp Change Model in Windows OS // Ural Symposium on Biomedical Engineering, Radioelectronics and Information Technology (USBEREIT). 2020. P. 623−626.
4. Духан Е.И., Князева Н.С. Анализ результатов исследования изменений временных отметок файлов // Вестник УрФО. Безопасность в информационной сфере. 2021. Вып. 39. № 1. С. 21−26.
5. Князева Н.С. Восстановление последовательности файловых операций с применением теории графов при проведении компьютерных исследований // Вестник УрФО. Безопасность в информационной сфере. 2021. Вып. 40. № 2. С. 14−21.