17.10.2019 Neljapäev

Kustutatud või kahjustatud PDF-dokumentide taastamine arvutikriminalistika abil

Kustutatud andmed pole alati lõplikult kadunud.

Raul Nugis, KPMG Baltics OÜ juhtiv andmeteadlane
Raul Nugis, KPMG Baltics OÜ juhtiv andmeteadlane Foto: erakogu

Kindlasti peab paika vana tõde, et iga korralik ettevõte vajab logisid ja tagavarakoopiaid. Kui aga finants-, tootmis-, tööstusomandi vm dokumendid on siiski kaduma läinud või kahjustada saanud, tuleb võtta ette andmete taastamine. Tüüpandmekandjate puhul annavad häid tulemusi mitmesugused taasteprogrammid, sealhulgas ka vabavaralised, nagu näiteks Recuva. IT-ekspertiisis tuginetakse sageli aga arvutikriminalistika (ingl forensic) programmidele nagu Nuix, X-Ways jms, mis loevad andmekandjate üksüheseid tõmmiseid ehk ekspertiisikoopiaid ning aitavad luua pilti sellest, mis juhtus, ja taastada kustutatud andmed. Arvutikriminalistika vahendid on loodud ja seadistatud tööks keerulistes oludes ning kahjustada saanud süsteemide ja tavaolukorras varjatud andmetega. Need tööriistad suudavad failid sõna otseses mõttes kildudest kokku panna, mis võib, aga alati ei pruugi aidata kaduma läinud dokumendid korrektselt taastada. Üldjuhul kammivad need andmekandja koopia põhjalikult läbi ja loovad suurel hulgal failikandidaate (e-kirju, docx- ja zip-faile jne).

Oletame, et soovime uurida, mis on saanud ettevõtte finantsjuhi arvutis olnud ja intsidendi tõttu kaduma läinud PDF-dokumentidest. Sõltuvalt sellest, kui osavad olid võimalikud ründajad, kui palju aega on möödunud ning mis süsteemiga on tegu, võib õnnestuda midagi taastada. Isegi kui meil on samad dokumendid mujal olemas, soovime siiski rünnaku alla sattunud süsteemi uurida, et teada saada, mida ründajad on kopeerinud ja mis on hävinud. Selleks on vaja süsteemist andmed taastada.

Niisiis rakendame eespool kirjeldatud arvutikriminalistika töövahendeid. Need loevad uurimise all olevat andmekandjat põhjalikult, vaatavad seal ringi igas nurgas ja piiluvad ka n-ö vaiba alla. Tulemuseks on tihti see, et nad pakuvad meile välja tuhandeid, isegi kümneid ja sadu tuhandeid taastatud dokumente. Seda isegi siis, kui meil on teada, et vaatluse alla võetud arvutis oli PDF-faile kokku vaid mõnisada! See tuleb sellest, et arvutikriminalistika programmid ei hooli niipalju täpsusest kui kiirusest ja andmete taastamisest võimalikult suures mahus. Nii leiavad need igasuguseid kilde ja tükikesi, mis on pärit kunagi failisüsteemis olnud dokumentidest, aga millega meil pole paraku suurt midagi peale hakata. Õigesti taastatud dokumentide väljanoppimise jätavad andmetaaste programmid seega kasutajale.

Edukas andmetaaste eeldab lisatööd

Nii et kui oleme oma uurimis-, otsingu- ja taasteprogrammid käivitanud, saame hiiglasliku arvu tükkidest kokku pandud PDF-faile, millest suur osa – näiteks 90% – ei ole kasutuskõlblikud ja neist pole mingit kasu. Et sellest tohutust dokumendikandidaatide armeest kätte saada need, mida otsime, peame klikkama igale failile eraldi ja katsuma seda avada. Et dokumendikandidaate on aga väga-väga palju, tavaliselt kümneid tuhandeid, on see võimatu ülesanne. KPMG-s kasutame sellisel juhul skripte, mis käivad dokumendikandidaadid automaatselt läbi ja teevad kindlaks, millised neist on taastatud nii suurel määral, et dokumendi sisu üleüldse saab lugeda. Selliste automaatikavõtete kasutamine tõhustab ja kiirendab uurimistegevust ja lubab kliente aidata mitu korda kiiremini.

Et sellest artiklist oleks hädasolijal ka praktilist kasu, laeme üles PDF-i sisu kontrollrakenduse „PDF_checker_free.exe“, mille abil saab eelkirjeldatud ülesande lahendada. Soovijad saavad selle alla laadida ja kasutada PDF-ide kontrolliks. Siin avalikustatud skript kontrollib korraga kuni tuhandet PDF-i. Täisversioonis, mida kasutame oma klientide teenindamiseks, ei ole failide arv piiratud.

Skript ja õpetus, kuidas seda katkiste ja taastatud PDF-failide kontrollimiseks kasutada, asuvad aadressil https://github.com/raul-nugis/PDF_checker_free

Küsi nõu!

  Esita küsimus

Saada vihje

Hea lugeja, meie eesmärk on teha just sellist ajakirja, nagu sulle meeldib. Pane kirja soovitud teemad ning dokumendivormid, mida tahaksid siit leida. Tehkem koostööd!
430824810 430800019636154 7356040320163199917 n255