Infotehnoloogiliste ekspertiiside uuringud

TALLINNA TEHNIKAÜLIKOOL
AUTOMAATIKAINSTITUUT
Automaatjuhtimise ja süsteemianalüüsi õppetool
IAY34LT
Terry London
INFOTEHNOLOOGILISTE EKSPERTIISIDE UURINGUD
Magistritöö
Juhendaja: dots. R. Paluoja ………
Lõpetaja: Terry London ..……..
TALLINN 2008

Autorideklaratsioon
Olen koostanud antud töö iseseisvalt. Kõik töö koostamisel kasutatud teiste autorite tööd,
olulised seisukohad, kirjandusallikatest ja mujalt pärinevad andmed on viidatud.
Kuupäev:
Ees- ja perekonnanimi:
Allkiri:
2

Annotatsioon
Magistriõppe lõputöö
Lõpetaja T. London
Juhendaja R. Paluoja
Tallinna Tehnikaülikool 2008
Käesolevas magistritöös antakse ülevaade infotehnoloogiaekspertiiside läbiviimisest ja
tõendite esitlemisest kohtus, käsitletakse NT-põhiste Windows operatsioonisüsteemide ja
NTFS failisüsteemi toimimist ning uuritakse süsteemi iseärasuste rakendamist
ekspertarvamuse andmisel. Töös analüüsitakse operatsioonisüsteemi Microsoft Windows XP
ja selle failisüsteemi NTFS kohtuinfotehnoloogilise ekspertiisi vaatenurgast.
Magistritöö kirjutamist alustati Politseiameti halduses asuva Kohtuekspertiisi ja
Kriminalistika Keskuse (KEKK) dokumendiosakonna infotehnoloogiavaldkonna
ekspertiisilabori arendustööga paralleelselt. Töö tulemuseks on kõrgemal tasemel
arvutiekspertide ning vaatluste läbiviijate juhendmaterjal ning uurimustöö NTFS
failisüsteemist.
Töö koosneb seletuskirjast 84 lehel ja sisaldab 2 lisa.
3

Annot
Master's thesis
Graduate T. London
Supervisor R. Paluoja
Tallinn University of Technology 2008
The master's thesis gives overview processing forensic examinations and using the result of
examination in legal proceedings. Analyzes the performance of NT-based Windows operating
system and NTFS file system and explores using hidden artefacts as evidence in forensic
report.
Part of the master's thesis has been written during the work process of the questioned
document department's informational technology laboratory in the Forensic Service Centre of
Estonian Police. The result of thesis is guide for advanced level computer forensic
examinations and research paper of NTFS file system.
The work consists of text on 84 pages included 2 appendixes.
4

Sisukord
Annotatsioon...............................................................................................................................3
Annot..........................................................................................................................................4
Töös kasutatud lühendid.............................................................................................................7
Töös kasutatud terminid.............................................................................................................8
Sissejuhatus................................................................................................................................9
Hetkeseis kohtuinfotehnoloogia uuringutes.........................................................................10
1 .Läbilõige infotehnoloogilisest kohtuekspertiisist................................................................13
1.1 Arvuti kui tundlik asitõend...........................................................................................13
1.1.1 Andmete muutumatuse tagamine arvuti käitlemisel.............................................14
1.2 Andmete autentsuse tagamise üldised põhimõtted.......................................................15
1.3 Andmed andmekandjal - sissejuhatus failisüsteemidesse.............................................16
1.3.1 Andmete taastamine ja hävitamine.......................................................................17
1.3.2 Signatuurid – failide ja partitsioonide taastamine.................................................18
1.3.3 Digitaalsed fotod ja nende taastamine...................................................................19
1.4 Asitõendi esitlemine kohtuistungil...............................................................................20
2 .Tänapäevane operatsioonisüsteem.......................................................................................22
2.1 Kasutaja jäljed NT-põhistes operatsioonisüsteemides..................................................22
2.1.1 Operatsioonisüsteemi tüübi tuvastamine...............................................................23
2.1.2 Kasutajat kirjeldavad failid ja kataloogid..............................................................24
2.2 NT-põhise Windows'i register......................................................................................34
2.2.2 Registri kirjed........................................................................................................35
2.3 NT-põhise Windows'i logimissüsteem.........................................................................42
2.3.1 Sündmuste logimine..............................................................................................42
2.3.2 $LogFile................................................................................................................43
5

2.4 Failisüsteem NTFS........................................................................................................45
2.4.2 NTFS vormindamine.............................................................................................48
2.4.3 NTFS'i süsteemifailid............................................................................................50
2.4.4 Failisüsteemi struktuur..........................................................................................51
2.4.5 Peafailitabel MFT..................................................................................................53
2.4.6 Failid NTFS'is.......................................................................................................56
3 .Meetodid..............................................................................................................................64
3.1 Kettapartitsioonide taastamine......................................................................................64
3.1.1 Alglaadesektoril on partitsioonikirjed alles...........................................................64
3.1.2 Alglaadesektori partitsioonikirjed on vigased.......................................................65
3.1.3 Partitsiooni alglaadekirje analüüs partitsiooni taastamiseks.................................66
3.1.4 Partitsiooni alglaadekirje analüüs NTFS failitabeli leidmiseks............................67
3.2 Andmete taastamine partitsiooni failide poolt hõivamata alalt.....................................67
3.2.1 Faili andmete taastamine.......................................................................................67
4 .Rakendus andmekandjate madaltasemel sirvimiseks..........................................................70
Kokkuvõte................................................................................................................................73
Kasutatud kirjandus..................................................................................................................75
Lisad.........................................................................................................................................76
Lisa 1 – Rakenduse kettalugemise lähtekood......................................................................77
Lisa 2 – Täiendav info Windows süsteemi uurimisel..........................................................83
6

Töös kasutatud lühendid
LMA – loomise, muutmise ja viimati avamise ajad (ingl. k - created, modified, last accessed)
MFT – NTFS'i peafailitabel (Master File Table)
NTFS – Windows failisüsteem (New Technology File System)
FAT – failihõivetabel, Windows failisüsteem (File Allocation Table)
RAM – muutmälu, suvapöördusmälu
EMF – arendatud metafaili formaat (Enhanced Metafile Format)
SID – Turvaidentifikaator (Security Identifier)
UID – kasutaja identifikaator (User Identifier)
RID – suhteline identifikaator (Relative Identifier)
MBR – alglaadesektor (Master Boot Record)
VBR – partitsiooni alglaadesektor (Volume Boot Record)
NTLDR – operatsioonisüsteemi NT alglaadekood (NT Loader)
PS: – füüsiline sektor (Physical Sector)
SO: – sektori ofset (Sector Offset)
FO: – faili ofset (File Offset)
LE: – valitud lõigu pikkus baitides (Lenght)
7

Töös kasutatud terminid
Ofset – nihe baitides andmehulga, faili, sektori või klastri mõttelisest alguspunktist. Näiteks,
MBR'i sektori ofsetil (SO) 446 algab partitsioonitabel ning selle leidmiseks tuleb
andmekandja esimeselt sektorilt leida 446. bait.
Klaster (cluster) – NTFS ja FAT failisüsteemides sektoritest koosnev minimaalne andmeala,
mis on failisüsteemi poolt eraldatud ühe andmefaili hoidmiseks.
GUID – globaalselt unikaalne identifikaator. 128-bitine täisarv, mida kasutatakse sarnaste
objektide identifitseerimisel. Kasutusel põhiliselt Microsoft'i süsteemides ning Windows
registris. Esitatakse tihti kujul {3F2504E0-4F89-11D3-9A0C-0305E82C3301}
Dword – 32 biti suurune üksus x86 protsessoriplatvormidel (double word). Vastavalt qword
64 bitti (quadruple word).
8

Sissejuhatus
Arvuti on osutunud täiuslikuks infoallikaks erinevate kuritegude uurimisel. Tegu on
asitõendiga, mis tänu oma universaalsusele katab kõik valdkonnad, mis on seotud
andmevahetuse või infotöötlusega. Dokumendid, pildid, internetilehtede külastused,
jututubade logid võivad olla seotud mistahes kuritegudega alates lihtsate vargustega ja
lõpetades alaealiste väärkohtlemise, mõrvade ning narkokuritegudega. Arvutite kohtulik
ekspertuuring ei puuduta vaid arvutikuritegusid. Andmekandjal olemasolevate failide
esiletoomine ei ole iseenesest midagi keerulist. Oluline on, kuidas leiumaterjaliga kaasnevat
informatsiooni tõlgendada. Failid annavad leidjale küll mugavalt loetaval kujul
informatsiooni, kuid eksperdi tööks on siinkohal tuvastada, kas leitud digitaalne tõend
kinnitab või hoopis lükkab ümber menetluse osapoolte väited.
Käesoleva magistritöö eesmärgiks on NT-põhiste operatsioonisüsteemide ja NTFS
failisüsteemi toimimise uurimine ning rakendamine kohtuekspertiisitöös. Töö analüüsib
operatsioonisüsteemi Microsoft Windows XP ja selle failisüsteemi kohtuinfotehnoloogilise
ekspertiisi vaatenurgast. Windows XP väljastati 2001 aasta oktoobris ning tõenäoliselt on see
veel aasta või paar levinuim operatsioonisüsteem, kuni kasutajad MS Vista'ga kohanevad.
Failisüsteemi NTFS esmane tutvustus toimus juba 1993. aastal ning selle viimane viies
versioon numbriga v3.1 on primaarse failisüsteemina kasutusel operatsioonisüsteemides
Windows XP ja Vista [8]. Tõenäoliselt ei loobuta NTFS'ist veel niipea, sest
väljavahetamiseks puudub praktiline vajadus. Hoolimata failisüsteemi vanusest, pole
suurfirma Microsoft NTFS'i täpset spetsifikatsiooni avaldanud ning kogu teave selle
funktsionaalsuse kohta on saadud asjahuviliste poolt aeganõudvate analüüside tulemusena.
Praegused vabavaralised Linux ja FreeBSD draiverid võimaldavad küll NTFS failisüsteemi
lugemist, kuid sellele kirjutamine pole veel piisavalt veakindel ning failisüsteemile
kirjutamine on vabavaralistes süsteemides märgitud riskantseks. Autorit failisüsteemi
9

mehhanismi täpne taasloomine siiski ei huvita, vaid pigem mõistmine, kuidas NTFS
üleüldiselt toimib ning kuidas failisüsteemist andmeid lugeda .
Töö sissejuhatavas osas kirjeldatakse kohtuinfotehnoloogiliste uuringute hetkeolukorda ning
jätkatakse esimeses peatükis praktilise konspektiivse ülevaatega infotehnoloogilise
kohtuekspertiisi läbiviimisest kohtueelses menetluses ja kohtusaalis. Töös keskendutakse
eelkõige NTFS failisüsteemi selle osa toimimise tõlgendamisele, mis on vajalik
failisüsteemist andmete taastamiseks ja tõlgendamiseks, eesmärgiga tuvastada kasutaja
käitumine ning leida asitõendeid. Kuna NTFS failisüsteem ja Windows XP on oma
toimimisel seotud, kirjeldatakse töö teises peatükis Windows operatsioonisüsteemi kasutajale
näha olevaid eripärasid ning NT-põhisele Windows'le iseloomulikke peitekohti. Lisaks
kirjeldatakse Windows'i registrit ja logimissüsteemi, milles talletuvaid andmeid saab kasutada
asitõendite kogumiseks. Seejärel keskendutakse NTFS toimimise analüüsile. Kolmandas
peatükis rakendatakse eelmises peatükis kirjeldatud partitsioonide ja failisüsteemide omadusi
andmete taastamisel andmekandjalt, mille partitsioon või failisüsteem on hävinud.
Neljas peatükk kirjeldab töö kirjutamisega paralleelselt katsetamiste eesmärgil loodud
tarkvararakendust, mille peamisteks ülesanneteks on töötava Windows XP
operatsioonisüsteemiga arvuti andmekandja andmete madaltasemel sirvimine. MBR
partitsioonitabelite tõlgendamine, NTFS partitsiooni VBR tõlgendamine ning $MFT
leidmine selle abil. Lisaks võimaldab tarkvara üle andmekandja sektorite viia läbi etteantud
failisignatuuride skaneerimist ning selle abil kustutatud failide andmealade otsingut ja
kaardistamist, sh pildifailide otsingut ja taastamist failide poolt hõivamata alalt.
Hetkeseis kohtuinfotehnoloogia uuringutes
Infotehnoloogiaekspertiiside ja kriminalistikauuringute eesmärgiks on menetluses
tõendamiseseme asjaoludega seonduvate asitõendite tuvastamine digitaalsetelt
andmekandjatelt. 2003. aastal valmis käesoleva töö autori Tallinna Tehnikaülikooli (TTÜ)
bakalaureusetöö “Infotehnoloogiliste ekspertiiside kvaliteedi tagamine”. Tänaseks on
kohtuinfotehnoloogiliste uuringute tarkvarad jõudsalt arenenud. Loodud on erinevaid kõrgel
tehnilisel tasemel rakendusi, mis võimaldavad suhteliselt lihtsalt orienteeruda erinevate
operatsioonisüsteemide failisüsteemides, automaatselt avada levinud andmestruktuure ning
tõlgendada andmeid, nagu seda teevad operatsioonisüsteemid.
Kuna arvuteid kasutatakse menetluses üha enam asitõenditena, on ekspertiisitarkvara
tootmisest saanud laialdane ja tugeva konkurentsiga rahvusvaheline ärivaldkond. Turul
olevad tarkvaratootjad on üritanud leida oma nišši ning keskpärased on olnud sunnitud
10

taanduma. Olemasolevad tarkvarad võib üldjoontes jagada kahte leeri: tarkvara andmete
taastamiseks ja tarkvara süvauuringuteks.
Infotehnoloogiliste kohtuekspertiiside ja uuringute läbiviimiseks tuleb keskenduda
kvaliteedile ning ei tohi jätta otsustamist ainult masina hooleks. Andmete taastamine on küll
oluline osa kohtueksperdi tööst, kuid tarkvara poolt pakutav andmete taastamise funktsioon ei
ole alati piisav eksperdiarvamuse andmiseks. Täisautomaatsete taastamisvahendite olemasolu
ja kasutamine on vajalik, sest reeglina ei ole inimene võimeline ülevaatlikult tõlkima suvalist
failisüsteemi ja nägema seda nii, nagu operatsioonisüsteem meile näitab. Siiski -
infotehnoloogilise ekspertiisi puhul peab tulemust hindama ja arvamuse andma inimene oma
kogemustega ning võimega mõelda üheaegselt nii inimese kui arvutina.
Lihtsamatel, andmete taastamiseks mõeldud kriminalistikatarkvaradel on oma sihtgrupp.
Arvuteid ja andmekandjaid on praeguseks tavakasutuses niivõrd massiliselt, et keskmises
menetlusasjas leidub paratamatult mõni arvuti või andmekandja, mis vajab kiiret vaatlemist
nagu tavaline märkmik. Sellistel juhtudel piisab, kui menetlejal on olemas lihtne vahend
digitaalsete andmekandjate turvaliseks vaatlemiseks. Tavapärasest kodu- või kontoriarvutist
dokumentide ja e-posti vaatluseks ei ole vaja keerukat ekspertiisitarkvara ning kasutaja ei pea
teadma failisüsteemide iseärasusi. Piisab lihtsast väljaõppest, mis keskendub digitaalsete
andmekandjate korrektsele käitlemisele andmekandjatest koopiate tegemisel.
Oluline on, et vaatluse ettevalmistamisel oleks tagatud originaalsete andmete muutumatus
ning andmekandja kui asitõendi andmed oleks fikseeritud selliselt, et sama andmekandja
andmete korduval hõivamisel saadakse identne tulemus. Vastavat metoodikat käsitleb Kristel
Meikas tema 2006. aastal valminud TTÜ diplomitöö “Infotehnoloogiaekspertiiside metoodika
(KEKK'i näitel)”, mis kirjeldab arvutiekspertiisi ja vaatluse ettevalmistamise protseduure
Kohtuekspertiisi ja Kriminalistika Keskuse (KEKK) infotehnoloogiaekspertiiside laboris.
Eksperdi menetlusse sekkumise vajaduse digitaalsete andmete hõivamisel ja uurimisel tingib
olukord, kus andmekandjal olevad andmed on segaselt tõlgendatavad ning tavalistest
vahenditest vaatlemiseks enam ei piisa. Kohtusüsteemis on eksperdi roll pisut laiem ja
üldisem ning on defineeritud kriminaalmenetluse seadustikus. Kriminaalmenetluse seadustik
sätestab, et ekspert on isik, kes rakendab ekspertiisi tegemiseks mitteõiguslikke eriteadmisi
[5]. Sellest tulenevalt on ekspert vajalik kohtus ekspertarvamuse andmiseks.
Eksperdi ülesandeks ei ole otsida kurjategijat, nagu ekslikult arvatakse, vaid selgitada
võimalik tõde või tõe väljaselgitamise võimalused. Sellest tulenevalt ei saa ekspert
ekspertarvamuse andmisel pimesi usaldada ostetud ekspertiisitarkvarade raporteid ning
11

tulemused vajavad teadmiste ja kogemuste põhist hindamist.
Tahes-tahtmata tekib küsimus, et millal siis tarkvaralistest vahenditest ei piisa ning millisel
juhul on vajalik inimese sekkumine uuringuprotsessi? Vastus on lihtne - olukordades, kus
loetavad andmed on ebatavaliselt esitatud ning väljuvad tarkvara automaatse tõlgendamise
võimalustest või juhtudel, kui andmeid on loetamatuks muudetud. Näiteks saab kõvaketta
esimeses sektoris üheainsa baidi muutmisega muuta terve andmekandja tavaolukorras
kasutuskõlbmatuks, kuna alglaadesektorist MBR algab arvuti käivitamisel ülejäänud andmete
lugemine ja tõlgendamine. Sellistel juhtudel on tegemist lihtsa viisiga andmete varjamiseks.
Ning juba ongi vaja inimese sekkumist, et otsustada, milliste vahenditega andmed esile tuua.
Kokkuvõtvalt peab ekspert uuringuvahendite kasutamisel olema teadlik, kuidas need
toimivad. Probleem on, et uuritavad operatsiooni- ja failisüsteemid on avaldamata
lähtekoodiga ning nende käitumine on tegelikult teadmata. Lisaks vabavaralistele
tarkvaradele ja failiformaatidele eksisteerivad suletud süsteemid nagu Windows ja Mac ning
suletud failiformaadid, nagu Microsoft Office dokumendifailid ja MS Outlook'i PST-
konteinerfail. Lisaks on kõik turul olevad uuringutarkvarad suletud lähtekoodiga. Sellest
tulenevalt baseerub selliste tarkvarade kasutamine ostetud usaldusel. Ideaaljuhul peaks iga
uuringu läbiviimisel kasutama kõiki saadaolevaid uuringuvahendeid ning võrdlema saadud
tulemusi, mis on ajaliselt aga liialt ebaotstarbekas. Sellisest kontrollimatusest tulenevalt on
igal eksperdil arvamuse andmisel moraalne kohustus käsitletav teema endale võimalikult
arusaadavaks teha.
12

1 . Läbilõige infotehnoloogilisest kohtuekspertiisist
Järgnev peatükk on osa loengumaterjalist, mida kasutatakse menetluspoolte ja kohtunike
infotehnoloogiaekspertiiside koolitustel ning annab konspektiivse ülevaate minimaalsetest
tehnilistest teadmistest, mis on eksperdi, menetluspoolte ja kohtu jaoks vajalikud
ekspertiisiülesande püstitamisel, ekspertiisiakti lugemisel ning eksperdi tunnistajana
ülekuulamisel. Peatükis käsitletakse asitõendi käitlemise üldiseid põhimõtteid andmete
muutumatuse tagamisel ekspertiisitöö käigus. Selgitatakse, kuidas toimub andmete taastamine
ja hävitamine ning lahatakse digitaalse asitõendi kohtus esitlemise probleeme.
1.1 Arvuti kui tundlik asitõend
Infotehnoloogiaekspertiis tegeleb digitaalmeedial olevate võimalike andmete uurimise ja
analüüsiga. Infotehnoloogiaekspertide peamine uurimisobjekt on arvuti andmekandjad, millel
olevaid andmeid võib arvuti käitlemise ohutuse vaatenurgast tinglikult jagada kaheks:
mittetundlikeks ja tundlikeks andmeteks.
Mittetundlikud andmed on failid, mille säilimist ei ohusta arvuti tavakasutamine, kui välja
arvata andmete tahtlik hävitamine. Sellised andmed on näiteks tavalised dokumendid,
pildifailid ja andmefailid, andmed, mis on mõeldud kasutajale vabalt vaatlemiseks ja
kasutamiseks. Kui ootamatut riistvarariket, viiruse või pahatahtliku kasutaja rünnakut ei
esine, siis ei pea kasutaja selliste andmete säilimise pärast muretsema.
Tundlikud andmed on vastupidiselt mittetundlikele andmetele arvuti töötamisel pidevas
kadumisohus ning tavakasutajal puudub nende üle kontroll. Sellised andmed on kustutatud
failid, ajutised failid ja failide poolt hõivamata ala. Tundlikud andmed on alalises hävimis-
ehk ülekirjutamisohus. Olgu selle põhjustajaks siis arvuti sisselülitumine,
operatsioonisüsteemi alglaadimine, väljalülitumine või lihtsalt töötav arvuti. Tänapäeva
13

arvutite operatsioonisüsteemid teevad alati midagi, millega kaasneb andmete kettale
kirjutamine ja vanade andmete üle kirjutamine ehk kustutamine, ohustades sellega alaliselt
ülalkirjeldatud tundlikke andmeid. Tavakasutajat loomulikult tundlike andmete mõiste ja
kadumine ei huvita, sest reeglina on tegu kasutajale ebavajaliku informatsiooniga. Eksperdi
jaoks sisaldavad sellised andmed aga olulist informatsiooni kasutaja toimingute kohta, mille
viideteks võivad olla viimati avatud dokumendid, internetikülastused, äsja kustutatud failid,
käivitatud programmid ning kõik sellega kaasnev.
1.1.1 Andmete muutumatuse tagamine arvuti käitlemisel
Infotehnoloogiaekspert on huvitatud tundlike andmete fikseerimisest, mistõttu on oluline,
kuidas täpselt andmekandjad ja arvuti sündmuskohalt ära võetakse. Nagu võetavat DNA-
proovi ohustab saastumine, sõltub arvutis olevate andmete säilimine seadme äravõtmise
viisist. Selleks, et vältida sündmuskohal erinevate olukordade mõjutusi, on asitõendite
fikseerijaile kehtestatud vaikimisi reegel, et võimalikku asitõendit sisaldav arvuti tuleb
vooluvõrgust vahetult lahti ühendada vältides selle tarkvaralist väljalülitamist. Loomulikult
on alati erandeid, näiteks serverarvutite hõivamist või vaatlust tuleb planeerida eksperdi või
spetsialistiga.
Andmekandjate uuringu käigus täieliku originaalsete andmete muutumatuse tagamiseks
tehakse ekspertiisiks esitatud arvuti andmekandjatest esimesel võimalusel koopia. Ekslikult
arvatakse, et koopia moodustavad andmekandjalt üksikult kopeeritud failid. Väärarusaam
tuleneb tehnilisest keelekasutusest ning koopia asemel oleks korrektsem kasutada hoopis
tõmmise mõistet ning kopeerimise protsessi märkida hõivamisena (ingl. k acquire).
Ükshaaval kõiki faile kopeerides saame küll kätte andmekandja failide poolt hõivatud ala,
kuid saamata jäävad failide poolt hõivamata ala, failide lõpualad ja kasutajale nähtamatud
süsteemifailid ja -piirkonnad kettal. Tegelikult kasutatakse koopia tegemiseks spetsiaalset
tarkvara (näit. Guidance Software poolt toodetavat EnCase Forensic Edition) ning
kopeerimise eesmärgiks on saada andmekandja andmealast üksühene tõmmis, tagades
samaaegselt originaalse andmekandja andmete muutumatus. Originaalse andmekandja
andmete kaitseks kasutatakse riistvaralisi kirjutuskaitseid või tehakse koopia
tarkvarakeskkonnas, mis ei kirjuta iseseisvalt kopeeritavale andmekandjale.
Koheselt pärast koopia tegemist kontrollitakse tehtud koopia samasus originaalse
andmekandja andmetega ning koopiafailid arhiveeritakse. Koopiafailid moodustavad
tervikliku ja üksühese andmekandja koopia ehk ekspertiisikoopia (ingl. k forensic image), mis
sisaldab endas automaatset terviklikkuse kontrolli mehhanismi ning on vaadeldav vaid
spetsiaalse uuringutarkvaraga. Kogu edasine uuring ja ekspertiis tehakse ainult koopiafaile
14

kasutades.
1.2 Andmete autentsuse tagamise üldised põhimõtted
Ekspertiisilaboris kontrollitakse igal hõivamisel saadud andmete samasust originaalse
andmekandja andmetega. Kui võrdlemine on juba üsna väikeste tekstidokumentide puhul
vaevarikas, siis suuremate andmefailide ja andmete puhul on see mõeldamatu. Lahenduseks
on räsialgoritmid digitaalse andmehulga sõrmejälje arvutamiseks. Sõrmejälje mõiste on
paljudele segadust tekitav, sest mõistes keskendutakse jäljele ning unustatakse, et sõrmejälg
tähistab kriminalistikas unikaalsust. Peamiselt on kasutusel 128-bitine MD5-algoritm, mille
toimimise põhimõte on see, et identifitseeritav andmehulk ehk bitijada arvutatakse läbi
ühesuunalise algoritmiga, mis annab tulemuseks tagasi pööramatu unikaalse 32-baidise tähe-
ja numbrijada. Saadud MD5-räsi pikkus ega üldkuju ei sõltu originaalse läbi arvutatud sisend-
andmehulga pikkusest. Tõenäosus, et kaks erinevat faili ehk andmehulka, annavad ühesuguse
sõrmejälje, on üks võimalus 3,4x10
38
vastu.
Näiteks toon mõned MD5-räsid eestikeelsetele sõnadele:
ekspert 73722ddb589540430c78521866e45918
kohtuekspertiis db977f9443447dc57af8d2d814d6d686
Nagu näitest näha, ei sisalda räsid endas informatsiooni originaalsete andmehulkade pikkuse
kohta. Kui kopeeritud andmehulgas muuta ka ühtainust märki, muutub räsisumma täielikult.
Sellest tulenevalt on ainult sõrmejälje alusel ilma täiendava informatsioonita praktiliselt
võimatu leida räsile vastav originaalne sõna või andmehulk.
Mõeldav oleks jõuga murdmine, kui näiteks teame, et tegu on 4-kohalise numbrilise PIN-
koodi MD5-räsiga. Selle viitega saame andmehulga üldkuju, mis PIN-koodi puhul on
enamasti 4-kohaline numbrikood, samuti kasutatud räsialgoritmi. Siis saame MD5-räsi
arvutajale pakkuda PIN-koode alates 0000 kuni 9999 ning võrrelda saadud räsiväärtusi
otsitava andmehulga räsiga ning ründamiseks jääb vaid 104
varianti. Seda meetodit
kasutatakse näiteks mõnede pihuarvutite PIN-koodide avamiseks. Mida pikem on kood ja
keerulisem on üldkuju, seda aeganõudvam selline jõuga koodi ründamise meetod on. Näiteks
6-kohaline PIN-kood nõuaks juba kuni 106
katset ning neljakohaline parool, mis koosneb
numbritest inglise tähestiku tähtedest ilma suurtähtedeta, vajab juba 364
ehk 1679616
maksimaalset proovimise võimalust. Siit on näha ka põhjus, miks soovitatakse kasutada
vähemalt 8-kohalist numbreid ning suur- ja väiketähti sisaldavat parooli. 628
võimalust
proovimiseks teeb juba rohkem kui 2x1014
varianti. Terve andmekandja andmete tagasi
15

arvutamine räsi järgi on füüsiliselt võimatu ning nõuab määramatut arvutus- ning ajaressurssi.
Kohtuekspertiisis on andmehulkade autentsuse kontroll vajalik, et veenduda andmekandja
vigadeta hõivamises. Kui pärast andmekandja tõmmise tegemist vastab originaalse ketta
andmete räsi tõmmise räsile, on tõmmis originaalsete andmetega identne. Andmehulkade
autentsuse kontroll ja dokumenteerimine on oluline, et tõmmise terviklikkuses saaks
veenduda ka aastate pärast, kui asitõend taas uurimist vajab. Vastavalt vajadusele on
omakorda võimalik arvutada ka tõmmisel olevate loogiliste andmehulkade, näiteks failide
räsid ning need hilisemaks kontrollimiseks dokumenteerida. Sellisel juhul on võimalik
tõmmise osalisel riknemisel kindlaks teha riknemata andmehulgad ning neid asitõendina
edasi kasutada.
Ekspertide kohtupraktikas on menetluses ette tulnud juhuseid, kus ühte kriminaalasja on
menetletud erinevate menetlejate poolt, mistõttu on materjalid, seal hulgas andmekandjad
ühelt menetlejalt teisele üle antud. Seetõttu on asitõendite puhul üritatud kahtluse alla seada
erinevate menetlejate käes olnud ja kohtuni jõudnud asitõendi originaalsus. Peamiselt on
väidetud, et asitõend võidi mingil hetkel fabritseerida. Siinkohal on sõltumatu eksperdi poolt
ekspertiisi käigus arvutatud andmete digitaalne sõrmejälje dokumenteerimine eriti oluline
ning eksperdi ülekuulamisel kohtus huvitutakse just eespool toodud selgitustest digitaalse
sõrmejälje unikaalsuse kohta. Digitaalset sõrmejälge kasutatakse ka suurte failikoguste
kiireks võrdlemiseks. Sellisel juhul arvutatakse kogu andmekanda failidest räsid ning
võrreldakse neid räsisid otsitavate failide räsidega. Näiteks kasutatakse seda kindlate
lapsporno kollektsioonide otsimiseks.
1.3 Andmed andmekandjal - sissejuhatus failisüsteemidesse
Andmeid andmekandjaid saab vaadelda ülipika biti- või baidijadana, mis on jaotatud
võrdseteks adresseeritud andmesektoriteks. Sektori suurus on kõvaketaste ja välkmälu-ketaste
puhul reeglina 512 baiti, optilistel andmekandjatel aga 2048 baiti ning see on minimaalne
üksus, mille kaupa saab andmekandjal lugeda ja kirjutada. Sektoritega kaetud andmeala ainus
operatsioonisüsteemile normaaltingimustel nähtav ala.
Kuna andmekandjate miljonitel sektoritel olevaid andmeid tuleb kuidagi organiseerida, on
loodud kartoteegilaadne failisüsteem. Levinuimad failisüsteemid on FAT ja NTFS, mida
käsitletakse käesolevas töös põhjalikumalt. FAT'i peetakse hääbuvaks failisüsteemiks, sest
praktiliselt kõik uued Windows süsteemi kandvad andmekandjad on NTFS formaadis. Siiski,
tänu oma lihtsusele ja vastupidi NTFS'i kasutamise keerukusele jääb FAT veel pikaks ajaks
universaalseks kaasaskantavate andmekandjate ning eriseadmete failisüsteemiks.
16

Andmekandja andmeala jaotatakse üheks või enamaks loogiliseks kettaks ehk partitsiooniks,
ning igal partitsioon on vormindatud eraldi failisüsteemiga. Sellised loogilised kettad on
kasutajale nähtavad ning Windows süsteemis tähistatakse need suurtähtedega, näiteks „C:“ ja
„D:“. Infot failisüsteemi failide kohta hoitakse suures kasutajale nähtamatus tabelis, mis
hõivab ise osa partitsioonist. Ülejäänud partitsiooni ala on failide poolt hõivamiseks. FAT ja
NTFS failisüsteemid jaotavad partitsiooni failide ala omakorda klastriteks. NTFS
failisüsteemi omapära on, et see paikneb failidena iseenda failisüsteemil. Klastri suurus NTFS
partitsioonil on 8 sektorit, kuid see on soovi korral muudetav.
Failisüsteemi klastrite kasutamist võib võrrelda videoteegi kassettidega. Nii klastritel kui ka
kassettidel on kindel aadress või järjekorranumber, mille järgi selle üles leiab ja mis ise ei
sisalda infot salvestise sisu kohta. Viide sisule paikneb failisüsteemis. Oluline reegel on, et
ühele klastrile saab korraga salvestada vaid ühe loogilise salvestise ehk faili.
Kui fail on mahukam kui üks klaster, võetakse kettalt esimesed sobivad klastrid ning faili sisu
paigutatakse nendele, kusjuures klastrid ise ei pea asuma järjestikku. See tingib andmekandja
andmete tükeldumise, sest fail jaotatakse loogiliste lõikudena vabadele klastritele laiali ning
see ei koosne enam järjestikusest andmejadast. Failisüsteemi kui kartoteegi peamine ülesanne
on failiatribuudid kokku viia andmealadega, failide andmealad jaotada olemasolevatel
klastritel ning lisaks hallata keerukat failiatribuutide süsteemi.
1.3.1 Andmete taastamine ja hävitamine
Kustutatud andmete taastamine on andmete kustutamise vastandprotsess, mis toimib, kuni
andmed ise veel andmekandjal alles on ehk andmed on üle kirjutamata. Andmete taastamise
tulemus sõltub sellest, kas lisaks faili andmealale on alles failitunnused, mis näitavad ära faili
andmeala asukoha andmekandjal.
Mis juhtub faili kustutamisel? Kasutaja soovib vabaneda endale ebavajalikust failist. Näiteks
printimiseks kasutatud 500-kroonise pildist või tekstidokumendist. Reeglina kustutab ta selle
faili ära ning usub, et info on arvutist kaotatud. Tegelikult märgiti failisüsteemis kasutaja
poolt kustutatud faili hoidvad klastrid vabadeks. Analoogia videokassettidega, millele tegime
märke, et sellele võib uue filmi lindistada. Seda kõike haldab faili- ja operatsioonisüsteem
kasutajale märkamatult. Mingi aja vältel on kustutatud ehk ülekirjutamiseks vabaks märgitud
fail terviklikuna alles, kuid selle faili taastamiseks on tarvis eritarkvara, mis võimaldab näha
infot, mida operatsioonisüsteem tavajuhul ei näita.
Fail hävineb alles siis, kui luuakse uus fail, mis juhuslikult kirjutatakse kustutatud faili
sisaldanud klastrisse, kirjutades sellega meie kustutatud faili sisu üle.
17

Teame, et failid ei ole alati ühesuurused. Näiteks, võtame vabaks märgitud videokasseti
täispika filmiga ning salvestame selle algusesse 10-minutilise videolõigu. Sellega kirjutame
üle vaid esimesed 10 minutit oma kassetist, kuid kogu ülejäänud kassett sisaldab vana infot.
Kadunud on vaid 10 minutit infot kassetti algusest. Samamoodi on ka klastriga. Näiteks, kui
meie uus fail on vaid 512 baidi pikkune, on klastri ülejäänud 7x512 baiti selle faili poolt üle
kirjutamata. Seni, kuni me 512-baidist faili ära ei kustuta, on ülejäänud klastri andmeala
puutumatu, sest igas klastris saab korraga olla vaid üks fail. Kuigi tavavahenditega seda näha
ei ole, sisaldab see ülejäänud osa klastrist vana kustutatud faili andmeid. Seda ala nimetatakse
klastri faili poolt kasutamata alaks (ingl. k slack space) ning sellelt võib tekstikatketena leida
uurimises olulisi viiteid kustutatud meilidest või dokumentidest.
Siiski, peamine koht kustutatud info otsimiseks on partitsiooni failide poolt hõivamata ala
(ingl. k unallocated space). Sõltuvalt algsest failivormingust ning andmekandja
fragmenteerumisest võib sellelt alalt leida ka terviklikke andmekogumeid kindla alguse ja
lõpuga. Seda juhul, kui faili sisus on ära määratletud faili alguse ja lõpu tunnused. Näiteks
tekstidokument on tunnusteta, pildifailid on kindla algustunnusega ning kompileerimata
programmikood on äratuntava alguse ja lõputunnusega. Kuna failisüsteemis toimub faili
andmealadele viitavate kirjete ülekirjutamine üsna kiiresti ning failile, mille andmeala võib
olla terviklikult säilinud ei leidu failisüsteemis vastavat kirjet. Seetõttu puuduvad failide poolt
hõivamata alas olevatele andmetele vastavad failiatribuudid. Sellisel juhul ei ole failide poolt
hõivamata alal olevate andmete puhul enam tegu failidega, vaid ühe suure andmejadaga, mis
on märgitud vabaks uute failide salvestamiseks. Nii nagu meid ei huvita, mis asus meie poolt
ülelindistamiseks märgitud videokassettidel, nõnda pole ka failisüsteemil vaja kustutatud
failide kartoteeki alles hoida. Siinkohal märkuseks, et Windows töölaua prügikast on
süsteemikataloog, kuhu faili kustutamisel tekitatakse kartoteek kustutatud failidest, et
kasutaja saaks need vajadusel taastada.
1.3.2 Signatuurid – failide ja partitsioonide taastamine
Paljudel failitüüpidel on andmeosa alguses kindel märgijada - signatuur. Näiteks on JPG
pildifail signatuur 16nd-süsteemis on (FF D8 FF). Võrreldes failide signatuure signatuuride
andmebaasiga, saab määrata reaalse failitüübi. Sarnaselt failidele on ka failisüsteemide
partitsioonidel signatuurid. Näiteks NTFS failisüsteemi signatuur on (EB 52 90 4E 54 46 53).
Kustutatud failide otsimine põhineb failisignatuuridel. Teades otsitava failitüübi signatuuri
otsitakse sama märgijada üle kõigi andmekandjal olevate andmete. Leides andmekandjalt
signatuuri eksisteerib tõenäosus, et leiti kustutatud faili algus. Lõpliku kinnituse annab
signatuurile järgnevate andmete täpsem analüüs. Partitsioonide otsimine toimub sarnaselt
18

failide otsimisega kasutades failisüsteemide signatuure. Partitsioonide kirjeldust sisaldav
kõvaketta sektor (esimene sektor) ülekirjutamisel, võib partitsioone otsides taastada puuduvad
andmed ja muuta kõvakettal olnud failid koheselt kättesaadavaks.
1.3.3 Digitaalsed fotod ja nende taastamine
Nagu eespool mainitud, leidub failide poolt hõivamata alalt lisaks loetavatele tekstikatketele
ka täiesti taastamiskõlbulikke pildifailide andmealasid. Pildifailide taastamine failide poolt
hõivamata alalt on kindel protsess, mille käigus otsitakse pildifailide signatuure või
algustunnuseid. Levinuim pildiformaat on JPEG, mida kasutatakse vaikeformaadina
digifotoaparaatides. Enamik digikaameraga tehtud pildifaile sisaldavad vastava fotoaparaadi
tootja ja mudeli tunnused ning pildi tegemise kellaaega vastavalt kaamera seadistusele.
Pildifaili taastamisel tekstikatkest on see väga oluline, sest kuigi meil läheb kaduma faili
nimi, saame me kätte tõenäolisel pildistamise aja ning isegi fotoaparaadi mudeli.
Ülaltoodud näites on näha tüüpilise JPG-pildifaili päis vaadatuna Notepad programmiga.
Märgistatud alal esineb viide Fujifilm FinePix A203 digifotoaparaadile. Teoreetiliselt
võimaldab JPG-pildifaili alguses olev EXIF 2.2 andmeväli salvestada fotoaparaadi
hetkekonfiguratsiooni pildistamise hetkel, kus on ära toodud näiteks välgu kasutamine pildi
tegemisel jne. Päises oleva info hulk sõltub muidugi aparaadi enda ehitusest ning
seadistustest. Siit tuleneb, et ekspertiisi peab koos andmekandjatega saatma ka need
digifotoaparaadid, mis mälukaarti ei sisalda, sest kaameratunnuste alusel saab otsida ning
võrrelda näiteks arvuti kõvakettal või teistel mälukaartidel olevaid pilte.
Näide ekspertiisist: Paljudel tänapäeva mobiiltelefonidel on küllalt kvaliteetsed sisseehitatud
digikaamerad, millega saab lisaks pildistamisele otse telefonis pilti ka töödelda. Ekspertiisist
on läbi käinud juhtum, kus narkootikumide käitlemises kahtlustatu üheks asitõendiks oli
telefoniga pildistatud tabletikuhja foto, mille kuupäev ja kellaaeg klappis uurimisandmetega.
Mõned nädalad pärast vahi alt vabanemist sattus kahtlustatu uuesti uurimise alla ning
telefonist leiti jälle tabletihunniku foto, mille kuupäev telefonis sattus ajavahemikku pärast
vabastamist. Kahtlusalune väitis, et pilt on tegelikult sama, mis leiti eelmisel telefoni
19
ÿØÿá*Exif··II*··············�···········�····················
··¬······(···········1···&···¼···2·······â···············��··
····ö···i�······ü···b···FUJIFILM··FinePix A203
··H·······H·······Digital Camera FinePix A203
Ver1.00·2004:05:24 11:47:44
Joonis 1: Näide JPG pildifaili päisest

vaatlusel ning tema oli seda telefonis vaid natukene töödelnud. Pildi loomise kuupäeva
väljaselgitamiseks saadeti telefon ekspertiisi. Ekspertiisi käigus selgus, et kahtlusaluse väide
oli õige. Kahtlustatava õnneks oli ta kasutanud telefonimudelit, mis pildistamisel salvestab
EXIF väljaga JPG failiformaadis ning sellelt leitud kuupäev ja kellaaeg klappis varasemaga.
Telefonis pildi töötlemisel salvestati fail üle juba töötlemise kuupäeva ja kellaajaga, kuid
telefoni pilditöötlustarkvara säilitas algse pildifaili EXIF andmevälja andmed.
Peab tõdema, et märkimisväärne hulk fotoaparaati sisaldavatest ekspertiisidest on seotud
alaealiste väärkohtlemisega. Tuleb ette, et lapsporno tootjad kasutavad sama fotoaparaati ka
nö perepiltide tegemiseks. Mõnede ekspertiiside puhul on selgunud, et ekspertiisiks esitatud
arvutite andmekandjatel on erineva sisuga pilte (näit. perepildid ja lapspornograafilise sisuga
pildid), mille failipäises sisalduvad sama tüüpi fotoaparaadi tunnused.
1.4 Asitõendi esitlemine kohtuistungil
Aeg-ajalt soovib kohtunik soovib istungil arvutit isiklikult kui asitõendit vaadata ning näha,
kuidas selle arvutiga kuritegu toime pandi. Näiteks, kuidas võltsiti rahatähte. Puudub küll
kindel tõde, kas selline teguviis on õige või vale, kuid pigem on see ebasoovitatav. Peatüki
alguses kirjeldasin, et ekspertiisi läbiviimisel on esmane ülesanne originaalse andmekandja
andmete muutumatuse tagamine ning arvuti käivitamine rikub asitõendi. Kui võrrelda enne
käivitamist kõvaketta räsi ja peale käivitamist, siis need on kindlasti erinevad. Samas on
eksperdil olemas ekspertiisikoopia, millelt saab vajadusel originaalse ketta andmeala
üksüheselt taastada.
Juhul, kui asitõendiks olev arvuti on vaja käivitada, peaks seda tegema viisil, mis ei muudaks
arvutis olevaid originaalseid andmeid. Kasutada võiks arvuti andmekandja üks-ühest koopiat
või virtuaalmasinat. Siiski võib arvuti käivitamine osutuda võimatuks, sest kuigi eksperte ei
takista asitõendi andmekandja uurimisel arvuti alglaadimisparool ja operatsioonisüsteemi
sisenemise parool, takistavad need töötava arvuti süsteemi sisenemist ja selle vaatlemist. Kui
arvutisse sisenemist ei takista paroolid, võivad takistuseks saada hoopis kustutatud andmed.
Näiteks, kuigi ekspertiisi käigus taastati andmekandjal olevad kustutatud rahatähtede
kujutised, siis töötava originaalse arvutiga ei saaks neid sellegi poolest vaadelda, sest
originaalsel ekspertiisiks esitatud andmekandjal on need andmed kustutatud olekus. Selliste
andmete vaatlemiseks on vajalik taastamistöö ekspertiisitarkvaraga. Analoogne probleem
tekib, kui failid on küll loetavad, kuid arvutist on eemaldatud failide töötlemise tarkvara,
näiteks Adobe Photoshop.
Soovitatav ja vajalik on konsultatsioon ekspertiisi läbi viinud eksperdiga enne, kui ekspert
kutsutakse istungile ütlusi andma või kui soovitakse kohtusaalis töötavat asitõendit vaadelda.
20

Olen kogenud, et ütluste andmine on olnud tulemuslikum, kui võimalike küsimusi eelnevalt
konsulteeritakse. Näiteks saab selliselt välja jätta või ümber sõnastada spekulatiivset või
statistilist vastust eeldavad küsimused ning selgitada, kas küsimus on ikka seotud konkreetse
ekspertiisiga.
21

2 . Tänapäevane operatsioonisüsteem
Tänapäevaseid operatsioonisüsteeme iseloomustab rahvusvaheline ja nägus kasutajaliides,
kasutamise mugavus ning töökindlus. Windows, Linux ja MacOS operatsioonisüsteemide
paigaldamine ei ole enam aastaid entusiastide pärusmaa ning tihti pääseb inimene arvutit
ostes vaid süsteemis kasutajaprofiili seadistamisega. Uute lisaseadmete paigaldamisel peab
harva mõtlema ühilduvusele ning väliste andmekandjate süsteemi ühendamine toimub
kasutajale sama lihtsalt nagu elektripistiku seinakontakti ühendamine. Arvutit kasutades on
enesest mõistetav paljude rakendustega korraga töötamine ning erinevate väliste
andmekandjate kasutamine ilma, et tööd tehes kuidagi eristaks, et tegu on mobiilsete
andmekandjatega. Enda dokumendikausta, töölauda, ja prügikasti kasutades pole vaja mõelda
rohkemale, kui vaid sellele, et tööfailid paiknevad arvutis, programmid töölaual ning
ebavajalik rändab virtuaalsesse paberikorvi. Internetis toimetamine on muutunud piisavalt
kiireks ja mugavaks, et puudub vahe, kas kasutame enda arvutisse paigaldatud rakendusi või
teadmata kaugusel asuva serveri omi.
Operatsioonisüsteemide kasutamise mugavus on kasvanud koos süsteemi keerukusega.
Keeruline süsteem aga jätab enda kasutamisest maha ka küllalt palju jälgi. Järgnevates
peatükkides vaatlemegi, kuidas tuvastada operatsioonisüsteemis Windows XP kasutaja
tegevuse jälgi.
2.1 Kasutaja jäljed NT-põhistes operatsioonisüsteemides
Windows XP on 2001. aastal välja lastud NT-põhine operatsioonisüsteem, milles ühildati
aastatepikkuste pingutuste lõpuks Windows NT/2000 turvaline ja töökindel arhitektuur ning
Windows 98 universaalne kasutusmugavus. XP järeltulijana on turul 2007. aasta algusest
kasutajatele saada olev Windows Vista, millega loodetakse veelgi tõsta arvuti kasutamise
turvalisust ning võrgurakendustega integreeritust. Vistale ennustatakse siiski veel 2 aastast
üleminekuaega enne, kui laiem kasutajaskond sellega täielikult harjub. Ka Windows 98
22

võidutses kodu- ja kontoriarvutites veel 2003. aastal. Windows Server 2003'le avaldati aasta
alguses järeltulija Windows Server 2008, mille üks huvitavamatest uuendustest on ilma
alglaadimise abita NTFS'i vigade parandamine ehk iseparanev NTFS.
NT-põhise Windows operatsioonisüsteemi kasutaja jälgede uurimiseks peab mõistma selle
tehnilisi eripärasid, kuidas hallatakse süsteemi kasutajaga seotud kataloogistruktuure ning
süsteemifaile, mis aitavad kirjeldada kasutaja toiminguid. Käesolevas peatükis käsitletakse
Windows XP lihtsamaid omadusi, millele süsteemi esmasel uurimisel tähelepanu pöörata:
kataloogistruktuuri, linkfaile, prügikasti ja printimise jälgi. Selgitatakse, saada kiire ülevaade
paigaldatud Windows operatsioonisüsteemist ning valmistutakse järgmises peatükis käsitletud
Windows registri analüüsiks.
2.1.1 Operatsioonisüsteemi tüübi tuvastamine
Operatsioonisüsteemi tehniliste eripärade otsimisele eelneb süsteemi identifitseerimine, mis
võimaldab edaspidiselt uuringu läbiviijal konkreetsemaid valikuid langetada. Allpool on
ülevaatlik tabel operatsioonisüsteemide kiireks tuvastamiseks vaikeseadete korral. Võrreldes
omavahel operatsioonisüsteeme Windows 95/98, Windows NT, Windows 2000 ja Windows
XP/2003 näeme, et aja jooksul on muutunud süsteemide kasutajakataloogi, süsteemikataloogi
ja prügikastikataloogi nimetused.
Operatsioonisüsteemil Windows 95/98 puudub kasutajaprofiili kataloog. Süsteemikataloogiks
on C:Windows ning prügikasti kataloogiks C:Recycled. Prügikasti taastamist käsitlevas osas
näeme, kuidas Recycled kataloog on seotud FAT failisüsteemiga. NT-põhistes Windows
süsteemides NT, 2000, XP, 2003 ja Vista on prügikastikataloogi nimeks Recycler. Võib-olla
seetõttu, et seal tegeletakse kasutaja põhiselt prügi sorteerimisega. Kõigil NT-põhistel
süsteemidel on ka kasutajaprofiilide kataloog. NT'l on selleks WINNTProfile, alates
Windows 2000'st on see aga kataloogis Documents and Settings. Süsteemikataloogiks on
NT'l ja 2000'l WINNT ning alates XP'st jälle Windows.
Kataloogide nimede võrdlemine annab esimese ettekujutuse, millise operatsioonisüsteemiga
tegu on. Lisaks näitab Windows 2000 ja XP süsteemikettal paikneva faili C:boot.ini sisu
vaikimisi seadistuste korral laetava operatsioonisüsteemi tüübi nime. Windows registri kirjete
järgi süsteemi tuvastamist käsitletakse peatükis NT-põhise Windows'i register.
Järgnevad peatükid keskenduvad eelkõige Windows XP omaduste kirjeldamisele, mis on
väga sarnased Windows Server 2003 ja kattuvad suures osas ka Windows 2000 omadustega.
23

2.1.2 Kasutajat kirjeldavad failid ja kataloogid
Esimese viite NT-põhiste Windows operatsioonisüsteemide võimaliku kasutaja kohta saame
kataloogistruktuurist, mis luuakse kasutaja esimesel süsteemi logimisel. Nii lokaalsel
logimisel kui läbi serveri autentides loodava kataloogistruktuuri juurkataloog ehk kasutaja
juurkataloog nimetatakse kasutajanime järgi ning paigutatakse see kasutajaprofiilide
kataloogi. Vastavalt Windows XP süsteemis kataloogi Documents and Settings”.
Loodava kataloogi struktuur võetakse aga operatsioonisüsteemi paigaldamise käigus loodud
vaikimisi kontolt Default User, mis samuti paikneb kasutajaprofiilide kataloogis. Tööjaama
läbi Windows domeenikontrolleri autentimisel kasutatakse kasutajaprofiili loomiseks vastava
serveri Default User kataloogistruktuuri.
Kasutajaprofiilide kataloogi loodav kasutaja juurkataloog nimetatakse loodud konto nime
järgi ning reeglina seda ei muudeta. Siiski on tegu vaikeseadega, mida saab muuta süsteemi
administraatori. Kasutajaprofiilide kataloogide avamine on teistele kasutajatele piiratud ning
isegi kasutajaspetsiifilised süsteemifailid on iga profiili kataloogis eraldi. Olulisim neist on
kasutaja juurkataloogis paiknev registrifail NTUSER.DAT, mis sisaldab erinevaid kasutaja
seadeid, näiteks keeleseaded. Töötavas registris vastab sellele failile registrikogum
HKEY_CURRENT_USER. Teiste registriseadete uurimist käsitletakse peatükis NT-põhise
Windows register. Faili uuendatakse operatsioonisüsteemi poolt igal kasutaja väljalogimisel,
seega saab faili viimati muutmise aja järgi kindlaks teha, millal kasutaja viimati välja logis.
2.1.2.1 Kohalikud seaded
Kohalike seadete kataloog Local Settings on kasutaja tegevuste jälgimisel oluline. Selle
alamkataloogi History salvestatakse index.dat failidena MS Internet Explorer (IE)
veebikülastuste ajalugu.
Huvitav on, et Windows Explorer salvestab index.dat failidesse ka kasutaja failide avamise
viited. Salvestamine toimub kasutajale nähtamatult ning üldiselt sõltumata failibrauserist.
Failide avamist salvestatakse valikuliselt ning see ei toimi kõigi teksti- ja dokumendifailide
puhul. Katsel selgus, et avatud failide ajalukku salvestati viited TXT, DOC ja ODT failide
avamisele ning välja jäeti PDF-failid ning pildi- ja videofailid. TXT-failide viidete
salvestamine kõigil kordadel ei toimunud. Hoolimata logimissüsteemi segasusest on sellisel
viisil võimalik ühe päeva täpsusega vaadelda, milliseid dokumendifaile mingi kasutajanime
alt avati. Index.dat failide kirjed algavad URL signatuuriga ning kirje viimati muutmise ja
viimati vaatamise aja leiab kirje 9. baidilt 16 baidi pikkuse Windows Date/Time ajakirjena.
Lisaks History index.dat failidele on kasutajaprofiili kataloogides veel kahte tüüpi index.dat
24

faile. Üks neist paikneb samas kataloogi Local Settings alamkataloogis Temporary Internet
Files ning peab arvet IE internetisessiooni käigus alla laetud ajutiste failide kohta. Teine
index.dat paikneb kasutaja juurkataloogi kataloogis Cookies ning peab arvet külastatud
veebilehtede küpsiste (ingl. k cookies) üle.
Küpsiste kataloogi salvestavad internetilehed tekstifailidena enda seadistuse kohalikus
masinas. Näiteks lehekülje seaded, kasutajanime, külastuste statistika või isegi parooli. IE
küpsised asuvad tavaliselt kataloogis Cookies tekstifailidena. Mozilla küpsised paiknevad
kasutaja juurkataloogi alamkataloogi Application DataMozilla kataloogisüsteemis
cookies.txt failis tekstikirjetena.
2.1.2.2 Rakenduste andmed
Programmide kasutajapõhised tööfailid salvestatakse vajadusel kataloogis Application Data.
Windows 95 ja 98 masinatel paikneb see Windows kataloogis. Windows XP kasutaja
profiilide kataloogistruktuuris olemas on kaks Application Data kataloogi, millest üks
paikneb otse kasutaja juurkataloogis, teine Local Settings kataloogis. Kahe sarnase kataloogi
pidamise põhjus tuleneb võimalusest, et kasutaja kataloogi või profiili saab seadistada liikuva
kasutajaprofiilina, mis paikneb serveris ning laetakse masinasse alles kasutaja sisselogimisel.
Välja logimisel laetakse uuendatud profiiliandmed taas serverisse.
Arvuti ja interneti kasutamise käigus tekib suures koguses kasutajaga seotud informatsiooni,
näiteks veebibrauserite ja teiste tarkvarede vahemälufailid ning serveripõhiste meilikontode
allalaetud sisu. Sellise pidevalt kasvava infohulga edasi-tagasi transportimine muudaks
arvutisse logimise protsessi järjest aeglasemaks ning koormaks võrguliiklust. Seetõttu
hoitakse kõik sellised transportimist mitte vajavad kasutajaga seotud andmed Local Settings
kataloogis.
2.1.2.3 Dokumendid ja töölaud
Kasutaja juurkataloogis on kaks süsteemikataloogi, mille sisu on täiesti kasutaja enda päralt:
dokumendikaust My Documents ja töölauakaust Desktop. Visuaalsel töölaual paiknevad
ikoonid pärinevad kahest erinevast kataloogist kasutajaprofiilide kataloogist: All
UsersDesktop ja kasutaja enda Desktop kataloogist. Kui viimane on tühi, tähendab see, et
kasutaja töölaual pole midagi kasutajale spetsiifilist ning kasutusel on üldised, kõigile
süsteemi kasutajatele nähtavad failid, mida saavad töölauale paigaldada vaid
administraatoriõigustes kasutajad.
Uuringu käigus tuleb kontrollida mõlemat töölaua kausta, nii kasutaja enda oma kui üldist
All UsersDesktop kataloogi. Kasutaja töölauakataloog võib sisaldada viiteid failidele või
25

tarkvaradele, mille kasutaja on teinud otsetee-ikoonide ehk linkfailide abil hõlpsamini
kättesaadavamaks. Näiteks dokumentide võltsimise juhtudel võib töölaualt leida viiteid
trükifailide töötlemise tarkvarade kasutamisele
2.1.2.4 Linkfailid – Favorites, Recent, Send To, Start Menu
Töölaual hoitakse otsetee-ikoone dokumentide, programmide ja kataloogide mugavamaks
kasutamiseks. Mõned neist tekivad sinna tarkvarade paigaldamise käigus, mõned luuakse
kasutaja enda poolt. Selliseid LNK-laiendiga otseteefaile (ingl. k shotrtcuts) võib nimetada
faililaiendist tulenevalt ka linkfailideks või linkideks. Need on tavalised failid, mida saab
vastavalt vajadusele paigutada suvalistesse kataloogidesse. Linkfailide ülesanne on olla
otseteeks rakendustele, failidele, kataloogidele või seadmetele, et säästa kasutajat rutiinsest
kataloogide sirvimisest. Arvuti uuringu seisukohalt on oluline linkfailide omadus viidata
arvuti kasutaja toimingutele. Nimelt on kasutajaprofiilis peale töölaua olemas veel neli
peamist süsteemikataloogi, kuhu linkfailid arvuti kasutamise käigus automaatselt tekivad..
Tüüpiline kataloog, millesse kasutamise käigus sihtfailid tekivad on kataloog Recent. Tegu
on süsteemikataloogiga, millesse salvestatakse automaatselt kasutaja poolt viimati vaadatud
failide lingid Kasutajale on kataloogi Recent sisust nähtav Start-menüüs Dokumentide valiku
all viimased 15 avatud faili. Kataloogi Recent jäävad alles aga kõigi vaadatud failide
linkfailid. Kataloogis registreeritakse vaid õnnestunud failde ja kataloogide avamised, mis
annab omakorda viite, et failid, mille linkfailid paiknevad Recent kataloog viitab on kindlasti
avatud ja seega tõenäoliselt vaadatud. Näiteks, kui kasutaja kasutab dokumentide trükifailide
töötlemiseks pilditöötlustarkvara, hiljem eemaldab tarkvara ja failid arvutist ning väidab, et ei
tea pilditöötlusest midagi. Sellisel juhul annab Recent kataloogist leitav
pilditöötlustarkvarale spetsiifilise dokumendifaili linkfail viite, et arvutis on kunagi edukalt
avatud pilditöötluse tööfaili tüüpi fail, mis annab omakorda põhjuse keskenduda vastava
tarkvara ja failide kohta viidete otsimisele.
Kataloog Favorites sisaldab peamiselt veebibrauseri MS Internet Explorer kasutaja poolt
salvestatud URL-laiendiga linkfaile internetilehtedele. Internet Explorer'i ja Windows'i
süsteemse failibrauseri Windows Explorer'i integreerituse tõttu on mõlemas programmis
eelistuste (ingl. k favorites) menüü ja seega võimalus sinna lisaks URL-linkidele tekitada
linke ka LNK-failidena. Kasutajale on salvestatud eelistused nähtavad veel Start-menüüs
Eelistused valiku all. Kõik need kolm menüüd loevad oma sisu kataloogist Favorites, kuhu
saab lisaks linkfailidele kopeerida suvalisi faile, mis muutuvad seejärel Eelistuste menüüdest
nähtavateks. Internetibrauser Mozilla Firefox hoiab oma eelistused ehk järjehoidjad (ingl. k
bookmarks) Application Data kataloogis bookmarks.html failis.
26

Kataloog Send To sisaldab tavaliselt vaid otseteid pakkimis- ja meilitarkvarale, töölauale ja
kasutaja dokumendikataloogi. Kasutaja saab Send To kataloogi lisada otseteid kataloogidele,
partitsioonidele ja tarkvaradele. Saada-menüü kaudu (töölaual rippmenüüst käsk "Send To")
faili avamiseks kindla tarkvaraga piisab, kui eelnevalt kopeerida Send To kataloogi tarkvara
linkfail või programm ise.
Windows kasutajale tuttava Start menüü (ingl. k start menu) objektid paiknevad kataloogis
Start Menu. Kataloogi omapäraks on, et kasutaja kataloogis paiknev Start Menu sisaldab
sarnaselt kasutaja Desktop kataloogile vaid konkreetsele kasutajale spetsiifilisi objekte.
Paigaldatud tarkvarade otseteed, mis on tehtud kättesaadavaks kõigile kasutajatele, paiknevad
kataloogi Documents and Settings üldiste kasutajaseadete kataloogis All UsersStart Menu.
Reeglina paigaldatakse tarkvara kõigile arvutis registreeritud kasutajatele, kuid mitme
kasutajaga süsteemides lubatakse tarkvara paigaldada ka ainult paigaldajale. Sellisel juhul
luuakse linkfailid vaid paigaldaja kasutaja Start-menüü ja töölaua süsteemikataloogidesse.
Start menüüsse on võimalik igasuguseid otseteid tekitada ning lisaks otseteefailidele on Start
menüü kasutajale nähtavad kõik kataloogi kopeeritud failid. Reeglina on Start menüüs siiski
paigaldatud tarkvarade lingid ning tarkvarade eemaldamisel eemaldatakse automaatselt ka
vastavad linkfailid. Eemaldamata jäävad hiljem kasutamise käigus Start Menu kataloogi
alamkataloogiidest ümber tõstetud või eraldi töölauale kopeeritud linkfailid, mille leidmine
annab viite arvutis eksisteerinud rakendustele ja failidele.
2.1.2.5 Teadlikkus failide ja tarkvarade olemasolust
Kuna otseteefailid on tavalised failid, mis sisaldavad endas suunamisfunktsiooni, on neil
failiatribuudid nagu teistelgi failidel, seal hulgas failisüsteemis loomise, viimati muutmise ja
viimati avamise ajad. Otseteefailide viimati muutmise failiaeg tavakasutuse käigus ei muutu,
kuid selle kaudu dokumendi või programmifaili avamisel muudetakse järjest otseteefaili ja
sihtfaili viimati vaatamise kuupäevad. Sihtfaili muutmisel ja ülesalvestamisel muudetakse ära
vaid sihtfaili viimati muutmise aja atribuut, kuid otseteefaili oma ei muudeta, sest seda faili ei
muudeta. Otseteefaili failiajad annavad meile viite otseteefaili loomise aja kohta, mis võib
viidata näiteks rakenduse paigaldamise ajale või siis ajahetkele, millal otsustati mingit faili
või programmi aktiivsemalt kasutama hakata ning loodi sellele otsetee töölauale. Kuigi
tarkvarade vaikeseadetega paigaldamisel luuakse otseteefailid töölauale tihtipeale
automaatselt, annab selle paiknemine kasutaja töölaual siiski viite kasutaja teadlikkusest
vastava faili või rakenduse kohta uuritavas arvutis, sest otseteefaili ikoon töölaual on küllalt
silmatorkav. Linkfaili ja sihtfaili failiaegade erinevus viitab aga teadlikule otsetee loomisele.
Sellise uuringu korral on siiski soovitatav vastava tarkvaraga läbi viia katse, et kontrollida,
27

kas vastava tarkvara paigaldamisel luuakse otseteefail töölauale automaatselt. Veelgi parem
viide kasutaja teadlikkusele mingist tarkvarast või failist on, kui kasutaja on otseteeikoonid
kopeerinud või tõstnud näiteks Start-menüüst või tekitanud Program Files kaustast. Üldiselt
pakuvad tarkvarad paigaldamisel, et programm paigaldatakse ainult vastavale kasutajale või
kõigile kasutajatele. Viimasel juhul tekitatakse Start-menüü ja töölaua lingid ainult
vastavatesse All Users kataloogidesse. Nüüd, kui administraatoriõigustes kasutaja otsustab
otsetee optimeerimiseks tõsta Start-menüü programmide alt programmile viitava lingi otse
töölauale, kaob see reeglina menüüst. Selline toiming mõjutab kõiki kasutajaid, sest
otseteefail eemaldatakse All Users kataloogist ning tõstetakse juba konkreetsesse kasutaja
Desktop kataloogi.
2.1.2.6 Teadlikkus kettapartitsiooni olemasolust
Nagu eespool mainitud, kasutatakse otseteefaile ka kettapartitsioonidele viitamiseks. Kuna
otseteefailid paiknevad enamasti süsteemiketta süsteemikataloogides, siis on võimalik, et nii
mõnigi link viitab failile ja kettale, mida uuritavas arvutis hetkel olemas ei ole. Nimelt
sisaldavad otseteefailid enda andmealas sihtfaili nime ning täispikka kataloogiteed.
Linkfailid, mis viitavad partitsioonile või kataloogile, sisaldavad vastava partitsiooni ja
kataloogi asukohta kataloogiteena. Füüsilise ketta puudumisel annab see viite, et arvutiga on
kunagi ühendatud eemaldatav ketas, ning näiteks tühja ketta korral vihjab see, et sihtfail võis
paikneda puhastatud kettal. Kuigi sellisel juhul ei leia uuringu läbiviija näiteks otsitavaid
andmefaile, võib ta leida viited nende failide nimedele ja kataloogikirjetele ning failide
loomise, muutmise ja viimati kasutamise ehk LMA aegadele, mis omakorda viitavad, et
uuritavas arvutis on kasutatud failide käitlemiseks välist andmekandjat.
2.1.2.7 Linkfailide tehnilised omadused
Otseteefailide huvitav omadus on, et nende loomisel salvestatakse otseteefaili andmealale
sihtfaili atribuutidele vastavad loomise, viimati muutmise ja viimati vaatamise ajamärgid
(LMA). Ajamärgid jäävad andmealal fikseerituks ning hilisema kasutuse käigus need muutu,
mis tähendab, et koos sihtfaili asukohaga kataloogipuus jäädvustatakse otseteefaili ka selle
faili ajatemplid. Otseteefaili loomise aja saame aga faili enda atribuutidest.
Otseteefaili andmealal olevad ajamärgid asuvad 8-baidiste kirjetena vastavalt otseteefailis
bait-ofsetil 28, 36 ja 44, moodustades selliselt 24-baidise kirje. Otseteefaili andmealal
paiknevate ajamärkide järjekord erineb failiatribuutides esitatust ning need tähistavad
vastavalt sihtfaili loomise, viimati avamise ja viimati muutmise aega (LAM). [3]
Mõnikord võib tekkida vajadus otsida viiteid failide kasutamisele, näiteks dokumendifailide
28

avamisele. Sellisel juhul on esimene võimalus pärast kustutatud kataloogikirjete taastamist
LNK-laiendi järgi failinimede sorteerimine. Selleks, et tuvastada võimalikke kustutatud ning
hävinud failitunnustega otseteefailide andmealasid, tuleb läbi viia otsing failide poolt
hõivamata alalt ning soovtavalt ka virtuaalmälufailist pagefile.sys. Otseteefailide andmevälja
otsingu teeb suhteliselt mugavaks faili päise üldkuju. Otseteefaili esimesed 7 baiti on
fikseeritud ning moodustavad 16-süsteemis signatuuri (4C 00 00 00 01 14 02) [3].
Otseteefaili andmeala suurus ei ületa reeglina kahte sektorit, mis annab võimaluse leitud
andmeala järgi otseteefaili taastamiseks. Järgnevalt on ära toodud otseteefailide sisu täpsem
kirjeldus.
FO Suurus Kirjeldus
0 Dword Alati 4C 00 00 00 ehk ‘L’
4h 16 baiti Otseteefaili GUID
20 Dword Lipud
24 Dword Faili atribuudid
28 Qword Time 1
36 Qword Time 2
44 Qword Time 3
52 Dword Faili pikkus
56 Dword Ikooni number
60 Dword ShowWnd väärtus
64 Dword „Hotkey“
68 Qword Reserveeritud, alati nullväärtustega
Joonis 2: Otseteefaili kirjed [11][12]
Järgnevalt on toodud otseteefaili kasutamisel failide kataloogikirjes olevate failiaegade
(LMA) ja otseteefaili andmealal paiknevate aegade käitumine erinevatel toimingutel:
Sihtfailile otseteefaili loomine:
•Otseteefaili LMA'le omistatakse ajad vastavalt süsteemikella näidule otseteefaili loomise
hetkel ning kõik kolm aega saavad sama väärtuse
•Otseteefaili kataloogikirje muutmise aeg saab sama väärtuse
29

•Otseteefaili andmealale kantakse sihtfaili LMA aegadele täpselt vastavad ajamärgid
järjestuses LAM
•Otseteefaili loomise muutub käigus sihtfaili viimati vaatamise aeg vastavalt süsteemikella
näidule loomise toimepaneku hetkel, mis on mõned sekundid varasem aeg, kui otseteefaili
LMA ajad. Kusjuures sihtfaili kirje muutmise aeg sellest ei muutu.
Otseteefaili kataloogipuus ümber tõstmine:
•Otseteefaili andmeala ajad ei muutu
•Otseteefaili LMA loomise ja viimati muutmise aeg ei muutu
•Otseteefaili LMA viimati avamise aeg muutub vastavalt süsteemikella näidule tõstmise
hetkel. Mõnel katsel võib see ka mitte juhtuda.
•Otseteefaili kataloogikirje muutmise aeg muutub vastavalt süsteemikella näidule kirje
muutmise hetkel ning võib olla mõned sekundit hilisem tõstmise hetkest
Sihtfaili avamine otseteefaili kaudu:
•Otseteefaili LMA ei muutu
•Otseteefaili andmeala ajad ei muutu
•Sihtfaili LMA ei muutu!
Avatud sihtfaili muutmine ning salvestamine:
•Sihtfaili LMA's loomise aeg ei muutu
•Sihtfaili LMA's viimati muutmise ja viimati avamise ajad muutuvad vastavalt
süsteemikellale ning saavad ühesuguse väärtuse
Kõik eespool nimetatud viited omavad vaid abistavat rolli edasiste viidete otsimisel, sest
ajamärke ei saa kunagi kindla tõendina kasutada, juba seetõttu, et kõik arvuti kasutamise
käigus loodavad ajamärgid sõltuvad süsteemikella õigsusest ajamärgi loomise hetkel. Isegi
juhul, kui saame olla kindlad süsteemikella täpsuses, on failiaegade ajamärkide loomisel alati
võimalus vastuoludeks, mis tulenevad erinevate tarkvarade kasutamisest. Lisaks on
failiatribuute suhteliselt lihtne muuta, näiteks Windows Explorer'ga konkureeriv tarkvara
Total Commander võimaldab korraga muuta terve kataloogitäie failide viimati muutmise
aega, muutes sellega ka viimati vaatamise ning atribuudi viimati muutmise ajamärgid.
30

2.1.2.8 Kasutaja prügikast
Ekspertiise tutvustavas peatükis mainisime, et failide kustutamine tähendab failide
ülekirjutamiseks vabaks märkimist ning faili prügikasti tõstmisel tekitatakse sellesse faili
taastamiseks eraldi kirje. Kõigil Windows operatsioonisüsteemi kasutajatel on töölaual
prügikasti (ingl. k Recycle Bin) ikoon. Prügikast on peidetud süsteemikataloog, millesse
luuakse faili kustutamise käigus koopia kustutatavast failist. Faili tavapärasel kustutamisel
kaob fail enda algsest kohast ning tekib taas prügikasti, kuid faile saab kustutada ka otse, ilma
prügikasti vahenduseta Shift-Del klahvikombinatsiooniga. Sellisel juhul märgitakse fail
kustutatuks ning prügikasti selle koopiat ei tekitata. Iga NTFS partitsiooni juurkataloogis
paikneb süsteemikataloog Recycler ja vastavalt FAT partitsioonil Recycled. Kataloogi
Recycler omapära on, et seal luuakse igale sisseloginud kasutajale kustutatud failide jaoks
eraldi kataloog ehk kasutaja isiklik prügikast. Igas sellises kataloogis on eraldi peidetud
INFO2 süsteemifail prügikasti haldamiseks ning desktop.ini fail mille sisu määrab, et tegu on
prügikastiga. Kataloog luuakse esimesel kustutamisel ja nimetatakse kasutaja SID-numbri
järgi ning õigused selle lugemiseks on vaid kasutajal või administraatoril. Selleks, et arvuti
uuringu käigus teada, millisele arvutis registreeritud kasutajale mingi prügikast kuulub, tuleb
SID-numbrid kasutajanimeks teisendada. Seda protsessi käsitletakse käesoleva töö Windows
Registri peatükis.
Kuna igal arvuti kasutajal on Recycler kataloogis eraldi SID-numbri järgi nimetatud
kataloog, siis üks kasutaja töölaua prügikastis teise kasutaja kustutatud faile ei näe. Seda
omadust saab ära kasutada andmete lihtsaks peitmiseks kataloogi, tavakasutuse käigus kunagi
ära ei kustutata. Kui Recycler kataloogis olev kasutaja SID-kataloog ümber nimetada, siis
töölaua prügikastis neid enam näha ei ole. Siiski on need alles ümber nimetatud kataloogis
ning neid faile ei sa kustutada töölaua prügikasti tühjendamise käsuga. Sama moodi võib
prügikasti erinevatesse süsteemikataloogidesse otse faile kopeerida. Need pole küll nähtavad
ühegi kasutaja töölaua prügikastis, kuid neid ei mõjuta prügikasti tühjendamise protsess. Kui
kasutaja prügikasti kataloog ümber nimetada või otse Shift-Del käsuga kustutada, luuakse
järgmisel faili kustutamisel Recycler kataloogi uus kasutaja SID-numbri järgi nimetatud
kataloog ning prügikast toimib edasi. Selle omaduse järgi saab tühja Recycled kataloogi järgi
viite, et kasutaja pole ühtegi faili veel kustutanud või on faile kustutanud otse ning jälgi
jätmata.
2.1.2.9 Prügikasti toimimine
Faili prügikasti abil kustutamise protsess on järgmine. Kui kasutaja tõstab faili prügikasti,
kustutatakse MFT'st vastava faili kirje ning luuakse uus kirje selle sama faili uue nimega.
31

Süsteemifaili INFO2 lisatakse kustutatud faili kohta kirje, mis sisaldab faili kustutamise
kellaaja ja kuupäeva ning algse kataloogitee.
Kustutamisel salvestatakse faili järjekorranumber ehk indeks Recycler kataloogis, mille
loendamine algab pärast iga prügikasti tühjendamist uuesti nullist ning kustutatud fail saab
MFT kirjes uue nime. Nime vorming on järgmine: D[partitsioon][indeks].[faililaiend].
Näiteks, kui Recycler tühjendatakse ja seejärel kustutatakse fail Thumbs.db, mis paikneb
kataloogis F:PildidMinupildid, siis nimetatakse see fail ümber nimega DF0.db. Faili algne
nimi, asukoht kataloogipuus, kustutamise aeg ja järjekorranumber lisatakse 800 baidise
kirjena INFO2 faili [7]. Kustutamine ja prügikasti tõstmine ei toimi eemaldatavate ketaste
(ingl. k Removable Disk) ning võrguketaste puhul, siis märgitakse fail otse kustutatuks ning
INFO2 kirjet ei looda. Kohaliku kettana (ingl. k local disk) süsteemis olevale välisele kettale
luuakse prügikasti kataloog vastavalt failisüsteemile FAT'i korral Recycled ja NTFS puhul
kataloog Recycler ning selles paiknevad kustutatud failid on näha kohaliku töölaua
prügikastis. Välise ketta eemaldamisel kaovad prügikastist ka selle vastavad kustutatud failid,
mis on taas ühendamisel uuesti nähtavad. Kui kasutaja tühjendab prügikasti, kustutab
Windows kõigi süsteemi ühendatud kohalike ketaste INFO2 failis registreeritud kustutatud
failid ning märgib INFO2 failid väiksemaks. Seetõttu jäävad faililõpualasse eelmise INFO2
faili kirjed alles.
2.1.2.10 Teadlikkus failide olemasolust kustutamisel
Järgnevalt kirjeldatud viidete kontroll on vajalik peamiselt lapspornoga seotud uuringutes,
kus on oluline kindlaks teha, kas ja kuidas kollektsiooni omanik faile käitles. Selliseid
uuringuid tehakse siis, kui on juba tõsised tõendid, et kahtlustatav tegeles süstemaatiliselt
materjalide kollektsioneerimise, tootmise või levitamisega.
INFO2 kirje viitab, et kasutaja võis kustutada faili teadlikult ning seega olla teadlik faili
olemasolust. Failid, mis kustutatakse operatsioonisüsteemi poolt, ei jäta kirjeid INFO2 faili.
Kui kasutaja väidab, et uuritav fail on tahtmatult internetist alla laetud, saab faili algse
asukoha kirje järgi INFO2 failist väite tõepärasust kontrollida. Kui fail asus enne kustutamist
veebibrauseris seadistatud allalaadimiste kataloogis või brauseri ajutiste failide kataloogis, on
väite õigsus tõenäolisem kui juhul, kus fail paiknes kasutaja dokumendikausta suvalises
alamkataloogis.
Kustutamise kuupäeva järgi saab kontrollida kasutaja väiteid failide kasutamise ja
kustutamise kohta. Näiteks saab kontrollida kasutaja väidet, et ta küll nägi arvutis keelatud
faile, kuid kustutas need ammu, kohe pärast nägemist.
32

2.1.2.11 Prügikasti taastamine
Kuna prügikasti tühjendamine on tavaline toiming, ei saa piirduda vaid Recycler kataloogi
INFO2 failide analüüsiga ning viiteid failide kustutamise kohta tuleb otsida failide poolt
hõivamata alalt. Kirjete otsimisel on kolm keerukuse astet: kui INFO2 fail on osaliselt üle
kirjutatud, kui INFO2 faili failitunnused on hävinud ja kui INFO2 faili andmeala signatuur on
hävinud.
Esimesel juhul näeme ketast madaltasemel vaadeldes, et INFO2 faili algus on eksisteeriva
faili andmeala, kuid sealt edasi jätkuvad kirjed faililõpualal (ingl. k slack space) oleval
eelmise kustutatud faili andmealal.
Teisel juhul, kui kustutatud INFO2 fail ise on kustutatud ning hävinud on ka selle MFT kirje,
tuleb otsida INFO2 faili algustunnust, mille leidmisel saab jätkata juba faili kirjete
analüüsimisega.
Kolmandal juhul, kui on hävinud ka INFO2 faili andmeala algustunnus, jääb üle vaid katse-
eksituse teel otsida failide poolt hõivamata ala oletatava sisu järgi, näiteks kataloogitee või
failinime järgi.
NT-süsteemides on INFO2 faili kirje pikkus on 800 baiti, Windows 95/98
operatsioonisüsteemis 280 baiti. Windows XP INFO2 faili 12 baidi pikkune algustunnus on
16'nd süsteemis (05 00 00 00 00 00 00 00 00 00 00 00). Seejärel tuleb FO:12 LE:8 märge
kirjete pikkuse kohta, mis on 16'nd süsteemis esitatud 32-bitine Little-endian täisarv (20 03
00 00 00 00 00 00) ehk 800 baiti. Kirje ise algab täispika kataloogiteega, mis sisaldab
kustutatud faili algset failinime. Kirje algusest lugedes 261. baidil asub 4 baidi pikkune
kustutatud faili kustutamise järjekorranumber ehk indeks ning sealt edasi 265. baidil asub 4
baidi pikkune faili päritolupartitsiooni kood, mis C: ketta puhul on vastavalt 02. 269. baidist
algab 8 baidi pikkune kirje kustutamise kuupäeva ja kellaaja kohta. Siis tuleb 4 baidine Int32,
mis näitab faili füüsilist suurust ehk siis faili loogilise suuruse ja faililõpuala summat.
Näiteks, kui faili suurus on 10 baiti, siis on kirjes märgitud suuruseks klastri suurus ehk 4096
baiti. Ülejäänud osas on kataloogitee ära toodud unikood formaadis. [3]
33

2.2 NT-põhise Windows'i register
Windows operatsioonisüsteemi register on väga keeruline erinevatest failidest koosnev
kataloog, mis sisaldab operatsioonisüsteemi seadeid ning paigaldatud tarkvarade, riistvara ja
kasutajate seadistusi ning valikuid. Lisaks sisaldab register ajatsooni infot, mis on vajalik
failiaegade analüüsimisel. Nagu eespool mainitud, on registris määratud kasutajate SID-
koodid ning pääsuõigused ressurssidele. Registrifailid ise on omapärased sisemist
failistruktuuri sisaldavad failid ning nende lugemiseks läheb vaja spetsiaalset tarkvara, mille
erinevaid variante võib leida internetist.
Windows’i registril on kaks olekut: töötav register (ingl. k online registry) ja ootel register
(ingl. k offline registry). Töötava registri sisu saadaval vaid süsteem töötamisel ning süsteemi
väljalülitamisel läheb register ooteseisundisse. Viimane olek on ühtlasi register, mida arvuti
uuringu käigus vaadelda tuleb.
2.2.1.1 Töötav register
Töötavat registrit saab sisselülitatud arvutis otse vaadelda ja ümber seadistada regedit.exe
abil, mis ei ole soovitatav, kuna vale seadistus võib rikkuda terve süsteemi. Ekspertiisi
seisukohalt on aga igasugune töötava arvuti uurimine lubamatu juhul kui see pole vältimatu
ainuvõimalik lahendus arvuti uurimisel.
Windows 2000 ja XP register on jagatud nelja sektsiooni: võtmed, nimed, tüüp, ja andmed
(vastavalt ingl. k: key, name, type, data). Kasutajatele näidatakse võtmeid kataloogidena, mis
sisaldavad registriväärtusi, millel omakorda on nimi, tüüp ja andmeosa. Andmeosa jaguneb
esituse tüübi järgi üldiselt kolmeks stringitüübiks (tavaline, multistring ja laiendatav string),
binaarkujul esitatud andmeosaks ning numbriliselt esitatud andmeosaks, mida saab samuti
kahendsüsteemis esitada.
2.2.1.2 Ootel register
Ootel olekus registri vaatlemiseks tuleb välja lülitatud arvuti andmekandjalt üles otsida
registrifailid, mis asuvad operatsioonisüsteemi juurkataloogi alamkataloogis
system32config. Nagu operatsioonisüsteemi tuvastamise peatükis nimetatud, on NT ja 2000
juurkataloogiks Winnt ja XP'l Windows. Üles leiab need ka faili andmeala signatuuri regf
järgi, mis 16-nd süsteemis esitatuna on (72 65 67 66). Registrifailid on ilma faililaienditeta
ning neile vastad järgmised registrikogumid:
Sam – HKEY_LOCAL_MACHINESAM
Security – HKEY_LOCAL_MACHINESECURITY
34

Software – HKEY_LOCAL_MACHINESOFTWARE
System – HKEY_LOCAL_MACHINESYSTEM
Default – HKEY_USERS.DEFAULT
Userdiff – ei ole seotud ühegi registrikogumiga, kasutatakse vaid
operatsioonisüsteemi uuendamisel
Lisaks paiknevad kasutajate juurkataloogides registrifailid:
Ntuser.dat – HKEY_USERS<kasutaja-SID> (lingitud registrikogumiga
HKEY_CURRENT_USER)
Local SettingsApplication
DataMicrosoftWindowsUsrClass.dat – HKEY_USERS<kasutaja-
SID>_Classes (lingitud registrikogumiga HKEY_CURRENT_USERSoftwareClasses)
[3] [13]
2.2.2 Registri kirjed
Registrifailide analüüsimiseks on erinevaid tasuta tarkvarasid ning ekspertiisitarkvara poolt
pakutavaid otsinguskripte. Automaatse registriinfo tõlgendamise järel tuleks siiski tulemused
alati käsitsi üle kontrollida. Järgnevas peatükis on ära toodud loetelu registrialadest, mis
sisaldavad uurimisel kasulikku informatsiooni.
2.2.2.1 Turvainfo
Operatsioonisüsteemi turvainfot hallatakse kahes registrikogumis: SAM ja SECURITY.
Uurimisel tuleb vahet teha, kas vaadeldakse kasutaja seadeid serveris või kohalikus masinas.
Kohaliku masina SAM fail sisaldab ainult lokaalse NT-süsteemi kasutajate ja
kasutajagruppide andmeid, mitte domeeni loginud kasutajaid. Operatsioonisüsteemi
paigaldamisel luuakse kohalikus masinas kaks vaikimisi kontot: kohaliku administraatori
konto ja külalise konto. Need on lokaalsed kontod, mis ei ole seotud arvutivõrgu domeeni
kasutajatega. Kõik ülejäänud lokaalsed kontod registreeritakse samuti SAM registrifailis.
Tavaliselt on kohalikud kontod kasutusel koduarvutites.
Arvuti, mida kasutatakse arvutivõrgu domeeni kasutajaga tarvitsebki sisaldada vaid kaht
lokaalset vaikimisi kontot. Kui arvutit kasutatakse domeeni logimiseks, toimub kasutaja
autentimine domeeniserveris selle õnnestumisel annab server kohalikule masinale loa
sisselogimisega jätkamiseks.
Kuna domeenikontosid hoitakse domeeniserveri SAM failis, siis arvutivõrkudest arvutite
35

kaasa võtmisel tuleks hinnata, kas on vajalik eraldi ligipääs domeenikontrollerile sellest SAM
faili kättesaamiseks. Nimelt peab kasutajate, kasutajakontode, viimaste logimiskuupäevade,
kodukataloogide kohta info saamiseks hankima SAM faili serverist. Lokaalses tööjaamas on
palju informatsiooni, mille kasutajaõigustele viidatakse vaid kasutaja SID-numbriga ning SID
kasutajanimeks lahendamine on võimalik ainult autentimisserverist saadud SAM faili abil.
Kasutajakontod paiknevad registrikogumis HKEY_LOCAL_MACHINESAM võtme all
SAMDomainsAccountUsersNames. Võtme Names kohal on kataloogid nimedega, mis on
esitatud sarnaselt: 1F4. Kataloogid on otseses seoses kasutajanimedega, mis on võtme Names
all olevas nimekirjas. Iga nime tüübi (ingl. k type) välja identifitseerimisega luuakse link
katalooginime ja loetava kasutajanimega. [3]
Kataloogi nimi on kasutaja ID ehk UID (ingl. k user ID). Näites toodud UID on tegelikult 32-
bitine number Big-endian formaadis ehk siis 16-nd süsteemi arv (00 00 01 F4), mis teisendub
kümnendsüsteemis arvuks 500, mis omakorda esitab vaikimisi administraatori konto UID'd.
[3]
UID'd sisaldava võtme leiab võtme Names all olevate võtmete nimestikust. Võti sisaldab kaht
faili, milles on enamus infost talletatud binaarkujul:
„v“ fail sisaldab konto andmeid: kasutajanime SID'd, kodukataloogi, paroole jne
„f“ fail sisaldab kontoga seonduvaid kuupäevi.
Kasulik informatsioonikild „v“ failis on SID number, mida kasutatakse kasutaja
identifitseerimiseks arvutivõrgus ja mis eristab, milline server autendib kasutaja. Näiteks:
S-1-5-21-1911861664-3925631421-1273205461-3056.
SID number on lahendatav väiksemateks elementideks:
S – tegu turvaidentifikaatoriga (ingl. k security identifier)
1 – SID struktuuri versiooninumber. NT-põhistes süsteemides on alati 1.
5 – SID volituste taset. 1 viitab kõigile (ingl. k everyone), 5 viitab kindlale kasutajale.
21 - 1911861664-3925631421-1273205461 - unikaalne domeeni või arvuti identifikaator.
3056 – suhteline identifikaator RID (ingl. k relative identifier). Kasutaja või grupi ID.
Ülaltoodud näites vastab sellele vaikimisi administraatori UID 500. Kõik arvutisse ise loodud
kontode ID'd esitatakse alates numbrist 1000. [3]
36

2.2.2.2 SID numbrite kokkuviimine kasutajanimedega
Eelnevalt mainisin, et Recycler kataloogi kasutajakataloogide nimede järgi saab tuvastada
kataloogi omaniku kasutajanime. SID numbrite domeeni kasutajanimedega kokkuviimine
toimub registrivõtme abil, mis paikneb ($$$PROTO.HIV) registrikogumis
HKEY_LOCAL_MACHINESOFTWARE võtme all MicrosoftWindows
NTCurrentVersionProfileList.
Võti ProfileList salvestab NT töömasinasse loginud kasutajatega seotud andmete asukoha
kataloogipuus ning omakorda kasutaja SID-numbrite järgi nimetatud alamvõtmeid. Iga
alamvõti sisaldab EXPAND_SZ (laiendatav string) tüüpi registriväärtust nimega
ProfileImagePath, mis näitab kasutaja kataloogi kohalikus süsteemis. Kuna kasutaja
juurkataloog on tavaliselt seotud kasutajanimega, saab selle järgi kindlaks teha,
kasutajanimedele vastavad SID'd NT 4.0 või Active Directory domeenis. Register sisaldab
täiendavat infot arvuti olemasolu kohta arvutivõrgus.
Registrikogumi HKEY_LOCAL_MACHINESECURITY võti PolicyPolAcDmNDefault
sisaldab lokaalse masina võrgunime. Võti PolicyPolAcDmSDefault sisaldab lokaalse
masina võrgu-SID. Võti PolicyPolPrDmNDefault sisaldab arvuti peadomeeni nime, millega
kohalik masin ühendub ja läbi mille ta ennast vaikimisi võrgus autendib. [3]
Juhul, kui domeenis autentiv tööjaam peaks kaotama võrguühenduse, kasutab tööjaam
kasutaja autentimiseks logimise vahemälu. NT-põhised Windows'id salvestavad vaikimisi
seadistusena vahemällu viimased kümme sisselogimist. Alates Windows 2000'st salvestatakse
need logimised krüpteeritult. Krüpteerimata jäetakse logimise aeg ning UID. Vahemällu
salvestatud logimiskirjed leiab registrikogumi HKEY_LOCAL_MACHINESECURITY
võtme alt CacheNL$n, kus n tähistab vahemällu salvestatud logimise numbrit nullist
üheksani. [3]
Järgnevalt on toodud logimistega seonduvad täpsustused registris võtme alt:
SoftwareMicrosoftWindowsNTCurrentVersionWinLogon
CachedLogonsCount – vahemällu puhverdatud sisselogimiste summa unikoodis.
DefaultDomainName – domeeni nimi unikoodis, mille logimisi puhverdatakse.
DefaultUserName – viimati sisseloginud kasutaja nimi, seda näidatakse vaikimisi
järgmisel sisselogimisel.
Samas sektsioonis on järgnevalt veel kasulikku informatsioonikilde:
LegalNoticeCaption - märkuse pealkiri aknale, mis näidatakse korraks pärast
37

sisselogimist
LegalNoticeText – näidatava teate tekst.
ShutdownWithoutLogon – sulgemise valik sisselogimisaknas (1 lubab väljalülituse, 0
eemaldab valiku).
PasswordExpiryWarning – kasutajate hoiatamise päevade arv enne parooli kehtivuse
lõppemist. Salvestatakse binaarkujul 32-bitise integerina. Vaikimisi 14 päeva. [3]
2.2.2.3 Käivitatava süsteemi seaded
Register System sisaldab kontrollsätete võtmeid ControlSet, mis sisaldavad täielikku süsteemi
laadimiseks vajalikku informatsiooni. Vaikimisi on neid kaks: ControlSet001 ja
ControlSet002. Süsteemi laadimisel tehakse ühest neist koopia ning laetakse see töötava
registrina. Uurimise seisukohalt on olulisim kontrollsätete informatsioon ajaseaded. Windows
süsteemis salvestatakse ajaseaded reeglina binaarkujul universaalajas GMT. See tähendab, et
arvuti uurimisel on oluline teadvustada, millised on parasjagu uuritava arvuti ajatsooni
seadistused. Lahendus on uurimiseks kasutatav laboriarvuti seadistada uuritava süsteem
ajaseadete järgi, milleks omakorda peab teadma, milline ControlSet uuritavas arvutis viimati
kasutusel oli.
Vastavat infot sisaldavad registrikogumi HKEY_LOCAL_MACHINESYSTEM võtmed:
Select – sisaldab vaikimisi ControlSet kontrollsätete seadistuste kogu.
SelectCurrent - töötavas arvutis viimati kasutatud ControlSet kontrollsätte number.
SelectFailed - viimase alglaadimisel rikke põhjustanud ControlSet kontrollsäte number.
Kui riket pole olnud, on selle väärtus 0.
SelectLastKnownGood – teada olevalt töökorras oleva ControlSet kontrollsätte
number, mida kasutatakse, kui arvuti alglaadimisel hangub. [3]
2.2.2.4 Ajatsooni seaded
Kuupäevad ja kellaajad salvestatakse Windows süsteemis meediale universaalajana GMT
(Greenwich Mean Time) ajatsoonis mida nimetatakse ka UTC (Coordinated Universal Time).
Ajakirje salvestamisel kontrollib Windows registrist ajatsooni seadeid ehk arvuti ajanihet
(ingl. k bias ofset) GMT suhtes ning uuesti kirje lugemisel teisendab Windows või EnCase
ekspertiisitarkvara loetud GMT aja esitatavaks ajaks vastavalt kohaliku aja seadetele töötavas
masinas. Arvutiuuringu probleemiks on, et meedia võib pärineda erinevast ajatsoonist või
seadistatud valesse tsooni. Seetõttu peab alati kontrollima registrist ajatsooni ja aktiivset
38

ajanihet GMT suhtes ning seadma labori arvuti süsteemikella samasse aktiivsesse ajatsooni.
Kui viimati kasutuses olnud kontrollsätete number on kindlaks tehtud, tavaliselt 1 ehk
vastavalt registrivõti ControlSet001, leiab ajaseadete võtmed registrikogumist
HKEY_LOCAL_MACHINESYSTEM, kus need paiknevad väärtustena
ControlSet001ControlTimeZoneInformation võtme all:
ActiveTimeBias – nihe minutites GMT suhtes, hetkel kasutusel oleva ajaseade, millele
on juba liidetud DayLightBias väärtus. 32-bitine täisarv.
Bias – nihe minutites GMT suhtes ajatsooni seade jaoks. 32-bitine täisarv..
DaylightBias – minutite arv Bias väärtuse suhtes talve- ja suveaja seadistuse jaoks.
Tavaliselt FF FF FF 4C ehk –60 minutit
DaylightName – ajatsooni talve- ja suveaja seadete nimi unikoodis.
DaylightStart – vaata allpool
DisableAutoDaylightTimeSet – registriväärtus, mis näitab, kas talve- ja suveaja
automaatne seade on deaktiveeritud (1 – deaktiveeritud, 0 - aktiveeritud)
StandardBias – minutite arv Bias väärtuse suhtes standardse aja jaoks. Tavaliselt 0.
StandardName – standardse ajatsooni seadistuse nimi unikoodis.
StandardStart – vaata allpool [3]
ActiveTimeBias näitab hetkel aktiivset ajanihet GMT suhtes. Näiteks, kui ActiveBias kirje
madaltasemel esitatuna on Big-endian formaadis ehk 16-nd süsteemis (4C FF FF FF), mis
töötavas registris esitatakse 32-bitise Little-endian täisarvuna (FF FF FF 4C) ehk –180.
Järelikult on aktiivne nihe GMT suhtes –180 minutit ehk 3 tundi, mis tähistab suveaega
Eestis. Vastavalt tähendab (00 00 01 68), et nihe GMT suhtes on 360 minutit ehk –6 tundi,
mis on suveaeg Arizonas. Oluline on jälgida, kas süsteemis on aktiveeritud suveaeg, sest
talveajal on vastavad nihkeväärtused (FF FF FF 88) ehk +2 ja (00 00 01 A4) ehk –7.
Peale selle peab kindlaks tegema veel väärtused StandardStart ja DaylightStart, mille üldkuju
esitatakse little-endian formaadis: päev, kuu, nädal, tund:
Päev – nädalapäev, kuna nädal algab pühapäevaga ning see on ka kellakeeramise päev,
siis on selle 16-bitise täisarvu väärtus 0.
Kuu – kuu esitus 16-bitise täisarvuna 1-12, vastavalt on märtsi väärtus 3.
Nädal – nädala number kuus, 16-bitise täisarv, mis algab väärtusega 1.
39

Tund – 24-tunnise päeva kellakeeramise tund. [3]
Näiteks 2008. aastal keerati kell 30. märtsi öösel kell 3:00 suveajale minekuks ühe tunni võrra
edasi. Vastav DaylightStart väärtus registris on (00 00 03 00 05 00 03 00) ehk pühapäev,
kolmas kuu, viies nädal, kolmas tund.
2.2.2.5 Veel olulisi registriseadeid
Võtmed registrikogumist HKEY_LOCAL_MACHINESOFTWARE:
MicrosoftWindowsCurrentVersionUninstall – nimekiri paigaldatud rakendustest
MicrosoftWindowsCurrentVersionAppPaths - nimekiri paigaldatud rakendustest ja
kataloogiteed rakenduste programmifailidele
MicrosoftWindowsCurrentVersionRun – alglaadimisel käivitatavad failid.
MicrosoftWindowsCurrentVersionRunOnce – järgmisel arvutisse sisselogimisel
ühekordselt käivitatavad failid.
MicrosoftWindowsCurrentVersionRunOnceEx – rakenduste paigaldamisel või
seadistamisel ühekordselt käivitatavad failid.
MicrosoftWindowsCurrentVersionSetup – sisaldab süsteemi alglaadimise kataloogi,
tavaliselt C: ja teisi süsteemi seadistuse väärtusi
MicrosoftWindowsNTCurrentVersion – süsteemi paigaldamise info. Sisaldab
registreeritud kasutaja andmeid, paigaldamise kuupäeva, süsteemi versiooni jne.
MicrosoftWindowsNTCurrentVersionNetwork Cards – paigaldatud võrgukaardid
MicrosoftWindowsNTCurrentVersionProfile List – viimati laetud profiilid.[3]
Võtmed registrikogumist HKEY_LOCAL_MACHINESYSTEM:
Current:ControlSet001ControlComputerName – lokaalse arvuti nimi
Current:ControlSet001ControlWindowsShutDownTime – viimane registreeritud
arvuti väljalülitamise aeg. Ekspertiisi läbiviimisel on oluline kontrollida, millal võetud
arvuti välja lülitati. Kui aegade võrdlemine viitab sündmuskohal väljalülitamisele, võib
oletada, et arvutit vaadeldi juba kohapeal ning ekspertiisi läbiviimisel tuleks konsulteerida
vaatlejaga arvutiga läbiviidud toimingute osas.
Current:ControlSet001ENUMIDE – IDE ketta informatsioon. ENUM võtme all on
lisaks info erinevate paigaldatud seadmete kohta.
Current:ControlSet001ServiceslanmanserverShares – teistele kasutajatele välja
40

jagatud kataloogid ja partitsioonid.
NTUSER.DAT failist registrikogumi HKEY_CURRENT_USER võtmed:
• SoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs – hiljuti avatud
failid grupeerituna failitüüpide kaupa.
• SoftwareMicrosoftWindowsCurrentVersionExplorerMap Network Drive MRU –
kasutaja poolt arvutivõrgust külge võetud võrguketaste nimi.[3]
Peatükis kirjeldatud registriseaded moodustavad suhteliselt väikese osa kogu NT-põhiste
Windows operatsioonisüsteemide registrist. Kõiki registri lugemise reegleid ei olegi võimalik
ette anda, sest igal paigaldatud tarkvaral oma viis andmete salvestamiseks registris. Windows
registris vabalt orienteerumine ning registriseadete uurimine ja tõlgendamine on pidevat
süvenemist ja aega nõudev töö.
41

2.3 NT-põhise Windows'i logimissüsteem
Järgnev peatükk käsitleb NT-põhiste Windows operatsioonisüsteemide kaht erinevat
logimissüsteemi. Esimene neist, süsteemi sündmuste logimine toimub operatsioonisüsteemi
tasandil, teine aga on seotud NTFS failisüsteemi toimimisega.
2.3.1 Sündmuste logimine
Sündmuste logimine (ingl. k event log) võeti kasutusele esimese Windows NT’ga. See on
süsteem, kus tarkvarad ja operatsioonisüsteemi komponendid saavad kasutada
tsentraliseeritud logimisteenust, et raporteerida sündmustest, mis on aset leidnud, nagu
näiteks rikked, komponendi käivitamine või tegevuse lõpetamine. NT-põhised Windows
operatsioonisüsteemid tekitavad kolme tüüpi sündmuste logisid:
1. süsteemi logi (ingl. k system log)
2. rakenduste logi (ingl. k application log)
3. turvalogi (ingl. k security log)
Süsteemi logi sisaldab operatsioonisüsteemi sündmuste kirjeid, näiteks vigade kohta
süsteemikomponentide käivitamisel. Rakenduste logi sisaldab kirjeid rakenduste
operatsioonide kohta. Süsteemi- ja rakenduste logides salvestatud sündmused jagunevad tüübi
järgi: veaks, hoiatuseks ja infoks. Veasündmused on tõsised rikked, hoiatavad sündmused
teavitavad võimalikest probleemidest ning infosündmused on lihtsalt märkused. Turvalogi
sisaldab operatsioonisüsteemi sisse- ja väljalogimiste kirjeid, logimiste ebaõnnestunud
katseid, ligipääsuõiguste muudatusi ning süsteemi käivitamist ja väljalülitamist. Turvalogi
saab täita vaid lokaalse süsteemi volitatud teenus lsass.exe. Turvalogi kasutab kahte
sündmuse tulemuse hindamistüüpi: õnnestumine (ingl. k success) ja ebaõnnestumine (ingl. k
failure). Millegipärast on Windows NT/2000 süsteemides turvalogimine vaikimisi sisse
lülitatud vaid operatsioonisüsteemi serveriversioonis kõigil ülejäänud versioonidel on
turvalogi aktiivne.
2.3.1.1 Logide lugemine
Logide lugemiseks on NT-põhises Windows süsteemis programm Event Viewer. Sündmuste
logifailid on Evt-laiendiga ning paiknevad vaikimisi operatsioonisüsteemi juurkataloogi
alamkataloogis System32Config: SecEvent.Evt, AppEvent.Evt ja SysEvent.Evt.
Laborimasinas vaatlemiseks saab failid välja kopeerida ning avada Event Viewer
rakendusega eventvwr.exe.
Järgnevalt on toodud turvalogi informatsioon vaadelduna programmiga Event Viewer:
42

• Type –sündmuse hindamise tüüp
• Date, Time – sündmuse toimumise aeg
• Source – sündmuse loginud protsess või rakendus
• Category – sündmuse kategooria või toiming
• Event – sündmuse numbriline ID unikaalsete sündmuste identifitseerimiseks.
• User – kasutaja SID
• Computer – sündmusi logiva arvuti nimi
Logifailide vaatlemisel Event Viewer programmiga on oluline, et lokaalse arvuti regiooni- ja
ajaseaded vastaksid süsteemi seadetele, millest logi pärineb. Töötava arvuti turvalogi
vaatlemiseks peab kasutaja olema sisseloginud administraatorina. Teisest arvutist kopeeritud
turvalogi vaatlemise saab teha tavalise kasutajaga.
Sündmuste logid avatakse logimisteenuse käivitamisel operatsioonisüsteemi laadimisega.
Logifailide avamisel teeb teenuste kontrollhaldur (ingl. k service control manager) faili päises
turvamärke, mille tulemusena annab avatud logifaili kopeerimise ja Event Viewer’ga avamise
katse teate vigase faili kohta. Ekspert saab Event Viewer’it kasutada töötavast või
voolukatkestusega välja lülitatud arvutist kopeeritud failide vaatlemiseks alles pärast faili
päise modifitseerimist.
2.3.2 $LogFile
Järgnevalt uurime madaltasemel logimissüsteemi, mis on seotud vaid NTFS failisüsteemi
toimimisega. NTFS on tehingutepõhine failisüsteem, kus iga failisüsteemi toiming logitakse
failis $LogFile. See on kasutajale nähtamatu NTFS'i kolmas süsteemifail partitsiooni
juurkataloogis, mis luuakse NTFS failisüsteemi loomisel. Selle loogiline ja füüsiline suurus
on võrdsed. $LogFile failiajad on tekitatakse süsteemi paigaldamisel ning edaspidise kasutuse
käigus need ei muutu, mis võimaldab kontrollida partitsiooni NTFS failisüsteemiks
vormindamise aja.
$LogFile sisaldab failisüsteemi muudatuste logi, et tagada metaandmete terviklikkus ning
sellega süsteemi taastamisvõime. $LogFile's salvestatakse kindlad tegevused vastavalt nende
esinemisele süsteemis selliselt, et tegevusi saaks korrata või tagasi võtta. [3]
Logimise tsükkel koosneb järjestikustest sündmustest. Näiteks faili loomine koosneb kolmest
43

sündmusest: NTFS tekitab loodava faili jaoks vastava MFT kirje, märgib faili andmeala
kaardistamiseks vastavad bitid $BitMap faili ja lõpuks teeb sissekande indeks-kirjetesse,
millega luuakse faili kataloogikirje. Iga tsükkel märgitakse lõpetatuks alles siis, kui kõik
tsükli sammud lõpetatakse. Kui tekib viga ja näiteks viimane sündmus jääb lõpetamata,
märgitakse terve toimingutsükkel mittelõpetatuks. [3]
$LogFile salvestab iga toimingutsükli sammud, et neid vajadusel korrata või tagasi pöörata.
Lisaks peetakse failis arvet süsteemi järjestikuste toimingutsüklite kohta, et vea korral teada,
kui kaugele tagasi tuleb terviklik failisüsteemi taastamiseks minna. Süsteemivea taastamisel
otsustatakse $LogFile järgi, toimingutsüklite kordamine ja tagasivõtmine vastavalt sellele, kas
tsükkel on lõpetatud või mittelõpetatud. Lõpetatud tsükli korral korratakse logitud samme
ning mittelõpetatud tsükli sammud võetakse tagasi:
 Tekkis süsteemiviga
 Toiming lõpetamata – tsükkel võetakse tagasi
 Toiming lõpetatud – tsükkel korratakse
 Toiming lõpetamata – tsükkel võetakse tagasi
 Viimane süsteemi terviklik olek
2.3.2.1 $LogFile lugemine
$LogFile esimesed kaks kirjet on signatuuriga RSTR, ülejäänud kirjed algavad signatuuriga
RCRD. Ühe kirje pikkus on 4096 baiti ehk vaikimisi klastri suurus NTFS failisüsteemis. Faili
kirjed $LogFile's ei muutu prügikasti tõstmisel ega ka prügikasti tühjendamisel. Need
kirjutatakse üle alles süsteemi vajadusel. Võimalusel saab $LogFile'st taastada faili MFT
kirjed (mis MFT's endas on juba üle kirjutatud), indeks-puhvri ja seonduvad linkfailid. MFT
kirjed leiab signatuuriga FILE0 ehk (46 49 4C 45 30). Windows NT/2000 süsteemis vastavalt
signatuuriga (46 49 4C 45 2A). Indeks-puhvrid leiab signatuuriga INDX ehk (49 4E 44 58).
44

2.4 Failisüsteem NTFS
NTFS on väga huvitav failisüsteem, mille tunnuslauseks on: kõik andmed on failid ja kõik
failid on atribuutide kogum. See on disainilt keerukas ja võimaldab tugevaid turvatingimusi
ning on võimeline iseseisvaks veaparanduseks. Võrreldes FAT failisüsteemiga, mis on lihtne,
erilise turvalisuseta ning väga puuduliku veaparandusvõimalustega, ületab NTFS seda pea
kõiges. Siiski on NTFS'il üks miinus FAT'i ees. Kuna tegu on väga keerulise ja
failisüsteemiga, mille dokumentatsioon on suletud, ei ole seda võimalik usaldusväärselt
kasutada väljaspool NT-põhiste Windows operatsioonisüsteeme. Tänu entusiastide
uurimistööle on suudetud Linux operatsioonisüsteemides luua toimiv failisüsteemi lugemise
ja sellele kirjutamise funktsionaalsus, kuid täiesti usaldusväärseks seda pidada ei soovitata.
Sama moodi on NTFS suletud ka kohtuekspertidele. Veel 3 aastat tagasi toetasid
ekspertiisitarkvarad NTFS'i vähesel määral ning taastamisfunktsioonid sellelt failisüsteemilt
olid piiratud.
Nagu eespool mainitud, võib ekspert rutiinse töö vältimiseks automatiseeritud vahendeid,
kuid peab olema võimalikult teadlik, kuidas automatiseerimine ja info tõlgendamine toimib.
Käesolevas peatükis käsitletakse NTFS'i toimimise uuringut möödudes analüüsitarkvara
abistavast kihist.
2.4.1.1 Ülevaade FAT failisüsteemist
Selleks, et mõista NTFS'i toimimist tuleks eelnevalt üle vaadata, kuidas toimib FAT
failisüsteem. FAT on lihtne failisüsteem, mille funktsionaalsus on tuntud juba aastaid ning on
muutunud mõningal määral failisüsteemide alustaladeks. FAT kasutusala
operatsioonisüsteemide failisüsteemina on alla jäämas NTFS failisüsteemi levikule, kuid tänu
oma lihtsusele on sellel rakendus portatiivsetel andekandjate ning erinevate seadmete
failisüsteemina.
Failisüsteemi kirjeldamisel on oluline, et kõik failisüsteemid peavad täitma vähemalt nelja
ülesannet:
1.Faili nimi ja kellaaja/kuupäeva templid peavad kuhugi salvestatud saama
2.Faili alguspunkt peab kuhugi salvestatama
3.Faili fragmenteerumise info peab kuhugi salvestatama
4.Faili poolt kasutatavad klastrid peab kuhugi salvestatama
Näiteks FAT süsteem salvestab faili nime kataloogistruktuuri koos algusklastriga. FAT
45

failihõive süsteemi nimetataksegi tema organiseerimise meetodi järgi failihõive tabeliks, mis
paikneb partitsiooni alguses. Failihõivetabel salvestab fragmenteerumise informatsiooni ja
identifitseerib selleks kasutatud klastrid. Partitsiooni loogilise ketta kaitsmiseks hoitakse
tabelist kaht koopiat juhuks, kui üks neist peaks viga saama. Lisaks paiknevad failihõive
tabelid fikseeritud asukohas selliselt, et failid, mida vajatakse süsteemi käivitamisel, leitakse
alati üles.
Failihõivetabel sisaldab loogilise ketta iga klastri kohta järgnevat tüüpi võimalikku infot
(näide FAT16 kohta).
•Hõivamata klaster (00 00)
•Faili poolt hõivatud klaster
•Riknenud klaster (FF F7)
•Faili viimane klaster (FF F8 kuni FF FF)
FAT'i kataloogisüsteemis puudub organiseeritus ning kõigile failidele antakse loogilisel kettal
esimene vaba asukoht. Algusklastri number on aadressiks esimesele klastrile, mis on
kasutusel faili poolt ning iga faili poolt hõivatud klaster sisaldab viita faili järgmisele klastrile
failis või siis märget (FFFF), mis tähistab faili lõpuklastrit. Järgnevas näites on ära toodud
need viidad ja lõpumarker:
Joonis 3: Failid FAT failisüsteemis [8]
Joonisel on näha kolm faili. File1.txt on fail, mis hõivab kolm klastrit. Teine fail, File2.txt on
fragmenteerunud fail ning hõivab samuti kolm klastrit. Kolmas fail mahub ära ühte klastrisse.
Kõigil juhtudel viitab kataloogistruktuur faili esimesele klastrile. [8]
Järgnevalt vaatleme eespool nimetatud nelja failisüsteemi põhiomadust NTFS süsteemi puhul
koos täpsema failisüsteemi kirjeldusega.
2.4.1.2 Ülevaade NFTS failisüsteemist
NTFS on uus failisüsteem, mis arendati spetsiaalselt Windows NT jaoks ja mida kasutatakse
kõigi NT-põhiste operatsioonisüsteemide vaikimisi failisüsteemina. NTFS kasutab 64-bitist
46

kettaadresseerimist ning võimaldab teoreetiliselt tekitada kuni 264
-baidiseid partitsioone.
Siiski Windows XP piirab selle 232
baidise uuruseni. [9]
Failinimed on NTFS'is piiratud 255 märgi pikkuseks ja täispikad kataloogiteed 32767 märgi
pikkusega [9]. Failinimed on unikoodis, mis võimaldab kasutada erimärgilisi tähestikke.
NTFS toetab tõusutundlikke nimesid, st Hei ja hei on kaks erinevat failinime. Kahjuks ei
toeta seda täielikult Win32 API, mistõttu on see omadus tänu Windows 95/98 toele ka
Windows XP's kadunud. NTFS'i fail ei ole lihtsalt lineaarne baidijada nagu FAT32 fail vaid
keerukas atribuutide kogum ning siinkohal erineb atribuudi mõiste täielikult FAT
failisüsteemis kasutusel olevast failiatribuudi mõistest.
2.4.1.3 Partitsioon ja alglaadesektor
NTFS failisüsteemi paigaldamisele eelneb partitsiooni loomine andmekandjale. Partitsiooni
loomine toimub universaalse fdisk-programmiga, mille tulemusena luuakse partitsioonitabel.
Tabelis määratakse vaid algussektori aadress ja sektorite arv partitsioonis nii, et selle saab
vormindada suvaliseks failisüsteemiks: FAT16, FAT32, NTFS, EXT2 jne. Partititsiooni
loomisega luuakse andmekandja esimesele sektorile alglaadesektor MBR, mis sisaldab
partititsioonitabelit ofsetil 446. Partitsioonitabelis saab olla maksimaalselt neli kirjet, igaüks
pikkusega 16 baiti.
Alglaadesektor koosneb ühest sektorist, mis on 512 baiti ning on ülesehitatud järgnevalt:
PS:0 SO:0 LE:446 baiti - alglaadimiskood
PS:0 SO:446 LE:16 baiti - esimene partitsioonikirje
PS:0 SO:462 LE:16 baiti - teine partitsioonikirje
PS:0 SO:478 LE:16 baiti - kolmas partitsioonikirje
PS:0 SO:494 LE:16 baiti - neljas partitsioonikirje
PS:0 SO:510 LE: 2 baiti - alglaadekirje signatuur (hex 55 AA)
Partitsioonikirje kirjeldus (PO: partitsioonikirje ofset):
PO:0 LE:1 bait - praegune olek: 80h alglaadiv, 00h ei alglae
PO:1 LE:1 bait - partitsiooni algus (lugemispea algus)
PO:2 LE:2 baiti - silindri/sektori algus
PO:4 LE:1 bait - partitsiooni tüübi/failisüsteemi indikaator
47

Infotehnoloogiliste ekspertiiside uuringud

Infotehnoloogiliste ekspertiiside uuringud

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Empfohlen

Empfohlen (20)

Infotehnoloogiliste ekspertiiside uuringud