**Виды компьютерной криминалистики** аппаратно-компьютерная; программно-компьютерная; информационно-компьютерная (экспертиза данных); компьютерно-сетевой экспертизы. **Дать определение «Судебной компьютерно-технической экспертизы (СКТЭ)». Назвать основные виды СКТЭ.** аппаратно-компьютерная; программно-компьютерная; информационно-компьютерная (экспертиза данных); компьютерно-сетевой экспертизы. самостоятельный род судебных экспертиз, относящийся к классу инженерно-технических экспертиз, проводимый определения статуса объекта как компьютерного выявления и изучения его роли в расследуемом преступлении, а также получения доступа к информации на электронных носителях с последующим всесторонним ее исследованием. **Виды СКТЭ. Назвать объекты, предметы, задачи и сущность каждого вида СКТЭ.** аппаратно-компьютерная - Анализ железа пк. аппаратно-компьютерной экспертизы заключается в проведении диагностического исследования аппаратных средств компьютерной системы. программно-компьютерная - анализ программ, которые есть на пк. Программно-компьютерная экспертиза предназначена для проведения экспертного исследования программного обеспечения. В процессе осуществления этой экспертизы специалист ставит перед собой цели поиска, сбора, исследования и экспертной оценки обнаруженной информации. информационно-компьютерная (экспертиза данных) - анализ данных на пк(данных от программ или пользователя), Данный вид компьютерно-технической экспертизы является ключевым, так как он позволяет завершить целостное построение доказательственной базы путем окончательного разрешения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией. компьютерно-сетевой экспертизы - •В отличие от предыдущих основывается прежде всего на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. **Дать определение и кратко рассказать об основных этапах СКТЭ.** Сбор — на данном этапе эксперт ищет и собирает данные и всевозможные носители информации, относящиеся к делу, помечая источники происхождения данных и объектов. Исследование — данный этап заключается в изучении собранной информации. Анализ — на этом этапе производится анализ информации. Представление — финальный этап, на котором эксперт оформляет результаты экспертизы и представляет их в установленной законом и понятной неспециалистам форме. Аппаратно-компьютерная экспертиза. Дать определение. Привести основные аппаратные и программные средства. Программно-компьютерная экспертиза. Дать определение. Привести основные аппаратные и программные средства. avsearch Информационно-компьютерная экспертиза. Дать определение. Привести основные аппаратные и программные средства. password recovery toolkit belkasoft Компьютерно-сетевая экспертиза. Дать определение. Привести основные аппаратные и программные средства. wireshark intercepter-ng **Модель ЭМВОС. Структура, краткий обзор основных уровней. Основные виды атак в случае проведения компьютерно-сетевой экспертизы.** Физический уровень. Физический уровень занимается реальной передачей необработанных битов по каналу связи. При разработке сети необходимо убедиться, что когда одна сторона передает единицу, то принимающая сторона получает также единицу, а не ноль. Принципиальными вопросами здесь являются следующие:  какое напряжение должно использоваться для отображения единицы, а какое для нуля;  сколько микросекунд длится бит;  может ли передача производиться одновременно в двух направлениях;  как устанавливается начальная связь и как она прекращается, когда обе стороны закончили свои задачи;  из какого количества проводов должен состоять кабель и какова функция каждого провода. Вопросы разработки в основном связаны с механическими, электрическими и процедурными интерфейсами, а также с физическим носителем, лежащим ниже физического уровня. Канальный уровень. Основная задача уровня передачи данных – быть способным передавать «сырые» данные физического уровня по надежной линии связи, свободной от необнаруженных ошибок, и маскировать реальные ошибки, так что сетевой уровень их не видит. Эта задача выполняется при помощи разбиения входных данных на кадры, обычный размер которых колеблется от нескольких сот до нескольких тысяч байт. Кадры данных передаются последовательно с обработкой кадров подтверждения, отсылаемых обратно получателем. Еще одна проблема, возникающая на уровне передачи данных (а также и на большей части более высоких уровней), — как не допустить ситуации, когда быстрый передатчик заваливает приемник данными. Может быть предусмотрен некий механизм регуляции, который информировал бы передатчик о наличии свободного места в буфере приемника на текущий момент. Основные протоколы: PPP (Point-to-Point Protocol , протокол «точка– точка»), HDLC (High-level Data Link Control – высокоуровневый протокол управления каналом передачи данных) Сетевой уровень. Сетевой уровень занимается управлением операциями подсети. Важнейшим моментом здесь является определение маршрутов пересылки пакетов от источника к пункту назначения. Маршруты могут быть жестко заданы в виде таблиц и редко меняться либо, что бывает чаще, автоматически изменяться, чтобы избегать отказавших компонентов. Кроме того, они могут задаваться в начале каждого соединения, например, терминальной сессии, такого как подключения к удаленной машине. Наконец, они могут быть в высокой степени динамическими, то есть вычисляемыми заново для каждого пакета с учетом текущей загруженности Транспортный уровень. Основная функция транспортного уровня — принять данные от сеансового уровня, разбить их при необходимости на небольшие части, передать их сетевому уровню и гарантировать, что эти части в правильном виде прибудут по назначению. Кроме того, все это должно быть сделано эффективно и таким образом, чтобы изолировать более высокие уровни от каких-либо изменений в аппаратной технологии с течением времени. Сеансовый уровень. Сеансовый уровень позволяет пользователям различных компьютеров устанавливать сеансы связи друг с другом. При этом предоставляются различные типы сервисов, среди которых управление диалогом (отслеживание очередности передачи данных), управление маркерами (предотвращение одновременного выполнения критичной операции несколькими системами) и синхронизация (установка служебных меток внутри длинных сообщений, позволяющих продолжить передачу с того места, на котором она оборвалась, даже после сбоя и восстановления). Уровень представления. В отличие от более низких уровней, задача которых — достоверная передача битов и байтов, уровень представления занимается по большей части синтаксисом и семантикой передаваемой информации. Чтобы было возможно общение компьютеров с различными внутренними представлениями данных, необходимо преобразовывать форматы данных друг в друга, передавая их по сети в некотором стандартизированном виде. Уровень представления занимается этими преобразованиями, предоставляя возможность определения и изменения структур данных более высокого уровня (например, записей баз данных). Прикладной уровень. Прикладной уровень содержит набор популярных протоколов, необходимых пользователям. Одним из наиболее распространенных является протокол передачи гипертекста HTTP (HyperText Transfer Protocol), который составляет основу технологии Всемирной паутины. Когда браузер запрашивает веб-страницу, он передает ее имя (адрес) и рассчитывает на то, что сервер, на котором расположена страница, будет использовать HTTP. Сервер в ответ отсылает страницу. Другие прикладные протоколы используются для передачи файлов, электронной почты, сетевых рассылок. **Основные функции и возможности утилиты Network Miner.** NetworkMiner является инструментом для анализа перехваченных данных, которые сохранены в формате РСАР. Утилита пассивно анализирует дамп с трафиком, безошибочно определяет участников обмена сетевыми данными и распознает операционные системы, установленные на каждом хосте, по размеру окна, времени жизни пакета и уникальному набору флагов. NetworkMiner также может выдавать структурированную информацию об открытых сессиях, активных портах и прочей инфраструктуре сети, снимает баннеры различных демонов. Самая важная особенность данного анализатора трафика - возможность извлекать файлы и сертификаты, передаваемые по сети. Функция может быть использована для перехвата и сохранения всевозможных аудио- и видео-файлов. Сниффер поддерживает протоколы FTP, HTTP и SMB. Для них доступно также извлечение пользовательских данных ‘логинов и паролей’. Программу можно использовать как для сниффинга так и для парсинга трафика WLAN (IEEE 802.11). 10 Основные возможности утилиты Wireshark. Приведите примеры фильтров данной утилиты. Порядок выполнения сложных фильтров. Основные преимущества Wireshark: 1 Поддержка сетевых протоколов. 2 Удобство для пользователей. 3 Стоимость. 4 Поддержка программы. 5 Доступ к исходному коду. 6 Поддержка операционных систем. возможности: цветовая кодировка пакетов файлы конфигурации профили для конфигурации сохранение и экспорт файлов перехвата объединение файлов перехвата обработка пакетов поиск пакетов отметка пакетов вывод пакетов на печать настройка параметров перехвата анализ пакетов из командной строки Пример фильтрации по ip - ip.addr == 192.168.10.0/24(фильтрация произведена в обоих направлениях) **11 Основные возможности утилиты Wireshark. Приведите фильтр отбора всех пакетов протоколов TCP, UDP, HTTP.** tcp or udp or http **12 Основные возможности утилиты Wireshark. Приведите фильтр для пакетов, которые передаются по порту 80 или 8080** tcp.port= =80 || tcp.port==8080 **13 Основные возможности утилиты Wireshark. В чем отличие фильтра ip.addr от ip.src** .addr отловка трафика в обоих направлениях .src от указанного направления **14 Основные возможности утилиты Wireshark. Расскажите о возможности расшифрования сетевого трафика протокола TLS.** Получите приватный ключ сервера и соответствующий сертификат. Обычно это выполняется путем запроса этих файлов у владельца сервера или администратора системы. Запустите Wireshark и начните захват сетевого трафика с помощью выбранного интерфейса. Перейдите в меню "Edit" (Правка) и выберите "Preferences" (Настройки). В появившемся окне выберите раздел "Protocols" (Протоколы). Найдите и раскройте раздел "TLS" в списке протоколов. Введите путь к приватному ключу сервера и пути к соответствующему сертификату в соответствующих полях в разделе "TLS". Нажмите кнопку "Apply" (Применить) или "OK" (ОК), чтобы сохранить настройки. **15 Основные возможности утилиты Wireshark. Расскажите об атаке типа «SYN Flood». Каким фильтром утилиты Wireshark можно её обнаружить.** Принцип этой dos атаки заключается в отправки огромного кол-ва запросов серверу с флагом syn и после отправки от сервера ответа с флагом syn-ack ответа с флагом ack не приходит засчёт этого сервер тратит большое кол-во ресурсов на обработку и отправку ответа для ip которые не создают с ним подключения tcp.flags.syn= =1 and tcp.flags.ack==0 **16 Предназначение и основные возможности фреймворка CyberChef.** Преобразование данных: CyberChef предоставляет широкий набор встроенных операций преобразования данных. Он может выполнять операции, такие как кодирование и декодирование различных форматов (например, Base64, URL-кодирование), шифрование и дешифрование (например, AES, RSA), сжатие и разжатие данных, хеширование и многое другое. Анализ данных: Фреймворк CyberChef предлагает возможности анализа данных, позволяющие проводить исследования и извлекать информацию из различных источников. Он может помочь в анализе логов, обработке структурированных и неструктурированных данных, извлечении метаданных и выполнении других аналитических задач. Автоматизация задач: CyberChef позволяет создавать и настраивать рабочие процессы, которые автоматически выполняют определенные операции преобразования и анализа данных. Это может сэкономить время и упростить процесс обработки данных, особенно при повторяющихся задачах. Модульность и расширяемость: CyberChef разработан с учетом модульности, что позволяет пользователям создавать свои собственные модули и расширения. Вы можете добавлять новые операции и алгоритмы, чтобы расширить возможности фреймворка и адаптировать его под свои конкретные потребности. **17 Основные артефакты, которые возможно получить из дампа оперативной памяти.** Поиск всех ASCII и UNICODE строк Недостатки подхода: 1.Один из самых простых методов, применялся с 2002 года. 2.Позволяет ответить на поставленный вопрос, но в редких случаях 3.Как следствие сложно определить когда произошло событие, кем инициировано и почему. 4.Только физический поиск по массиву данных. 5.Не возможно привязать контент к процессу или пользователю 6.Для текущего подхода приходится анализировать громадное количество строк ~ 1 000 0 7.Отсутствие контекстной информации. Достоинства подхода: Получение полезной информации из слепка: открытые документы, имена программ, пароли, логины, информации о сетевых соединениях и т.д. • Ключи шифрования • BitLocker, PGP Whole Disk Encryption, etc. • Информация о системе • запущенные программы, открытые документы • распакованные данные программ, недоступные перед запуском • сетевые соединения • Детальная информация о системе вовремя происшествия • скрытые программы, руткиты, внедренный код • разрешение или обход систем защиты • Детальная информация о системе до происшествия • что было запущено за 10 минут до происществия **18 Что такое процедура Hibernation? Для чего предназначена виртуальная память? Какие полезные артефакты можно получить из этих процессов.** • Сохранение состояния системы на жесткий диск для быстрого восстановления • Сжатие данных и сохранение в файл «c:\hiberfil.sys» • Резервирование части жесткого диска при использовании • Очистка данного пространства не происходит **19 Назовите утилиты форензики оперативной памяти. Приведите их достоинства и недостатки. Для чего предназначена утилита MKDecrypt.** AccessData Forensic Toolkit (FTK) • AVSearch.exe • Defacto • ElcomSoft Password Recovery Bundle • Evidence Center Ultimate • Forensic Assistant • Paraben Forensic Replicator • MiTeC Windows Registry Recovery • Ultimate Forensics • Tableau Forensic Imager TX1 • R-Studio • EnCase Утилита MKDecrypt предназначена для расшифровки контента, зашифрованного с использованием алгоритма MediaKey. MediaKey — это система управления цифровыми правами (DRM), используемая Apple для защиты контента, включая видео и аудио файлы. **20 Предназначение и основные возможности утилиты FTK Imager.** Создание образов дисков: FTK Image позволяет создавать битовые копии дисков, включая жесткие диски, USB-накопители, оптические диски и другие носители. Созданные образы дисков могут быть использованы для дальнейшего анализа и восстановления данных. Обработка образов дисков: Утилита позволяет осуществлять различные операции с образами дисков, такие как монтирование образов для чтения и записи, проверка целостности образов, сжатие и разделение образов на более мелкие файлы, добавление метаданных и т. д. Анализ данных: FTK Image предоставляет инструменты для анализа содержимого образов дисков. Это включает поиск файлов и папок, просмотр и извлечение файлов, просмотр метаданных файлов (например, временные метки, размеры, разрешения), анализ файловых систем и многое другое. Восстановление данных: Утилита позволяет восстанавливать удаленные или поврежденные файлы из образов дисков. Она поддерживает различные методы восстановления данных, включая поиск по сигнатурам, анализ файловых систем и восстановление файлов из неисправных областей диска. Анализ метаданных: FTK Image позволяет извлекать и анализировать метаданные, связанные с файлами и дисками. Это может включать информацию о создании, модификации и доступе к файлам, историю действий пользователя, информацию о сетевых соединениях и многое другое. **21 Предназначение и основные возможности утилиты AutoPsy.** Анализ дисков: Утилита позволяет проводить анализ цифровых носителей, включая жесткие диски, USB-устройства, оптические диски и другие носители. Она предоставляет возможность извлекать файлы, метаданные и другую информацию с целью исследования и поиска цифровых доказательств. Восстановление данных: Autopsy имеет функциональность для восстановления удаленных, поврежденных или скрытых файлов. Это может быть полезно при восстановлении цифровых доказательств или восстановлении данных, удаленных злонамеренно или случайно. Анализ реестра и файловых систем: Утилита позволяет анализировать содержимое реестра Windows и файловых систем, включая NTFS, FAT, HFS+, Ext и другие. Она может выявлять и анализировать ключевые записи реестра, системные настройки, метаданные файлов и другую информацию, связанную с операционной системой и программным обеспечением. Поиск и фильтрация: Autopsy обеспечивает возможность осуществлять поиск и фильтрацию данных на основе различных параметров, таких как имена файлов, расширения, временные метки, хэши и другие атрибуты. Это помогает в идентификации и извлечении цифровых доказательств, связанных с конкретным расследованием или запросом. Анализ метаданных и связей: Утилита может анализировать метаданные файлов, включая информацию о времени создания, модификации и доступа, а также связи между файлами и папками. Это может помочь восстановить историю действий пользователя и установить связи между различными файлами и ресурсами. Графическое представление данных: Autopsy предоставляет возможность графического представления данных и результатов анализа. Это может включать графики, диаграммы, деревья и другие визуализации, которые помогают в понимании и представлении сложных связей и структур данных. **22 Предназначение и основные возможности утилиты BulkExtractor.** KALI LINUX Ключевые слова и шаблоны: BulkExtractor позволяет задать ключевые слова, регулярные выражения и шаблоны для поиска и извлечения цифровых следов из исследуемых данных. Это позволяет настраивать процесс анализа и находить конкретные типы информации. Извлечение метаданных: Утилита способна извлекать метаданные из различных файлов, таких как изображения, документы PDF, аудио и видео файлы. Метаданные могут содержать информацию о создателе файла, временных метках, камере, использованной при съемке изображения, и другие сведения. Кластеризация и классификация: BulkExtractor может выполнять кластеризацию и классификацию извлеченных данных. Это позволяет организовать найденные цифровые следы в группы и определить их тип или категорию, что облегчает анализ и обработку данных. Гибкие настройки: Утилита предлагает широкий набор настроек и параметров для анализа и извлечения данных. Это включает настройку глубины поиска, игнорирование определенных типов файлов, фильтрацию результатов и другие параметры, которые можно настроить в соответствии с конкретными потребностями исследования. Интеграция с другими инструментами: BulkExtractor может интегрироваться с другими инструментами и программами, используемыми в судебно-техническом исследовании и цифровых расследованиях. Это позволяет обмениваться данными, результатами и интегрировать функциональность BulkExtractor в более широкий рабочий процесс анализа. **23 Для чего предназначена программа 010 Editor. Расскажите об её основных воможностях.** Программа 010 Editor предназначена для работы с бинарными файлами и текстовыми файлами любого размера. Она представляет собой мощный редактор и анализатор файлов, позволяющий осуществлять различные операции над данными. Вот некоторые из основных возможностей программы 010 Editor **24 В чём отличие шаблонов от скриптов в утилите 010 Editor. Приведите примеры шаблонов и скриптов.** шаблоны используются для интерпретации данных в файле в соответсвии с необходимым форматом скрипты позволяют автоматизировать работу с файлом Шаблоны используются для интерпретации и представления данных, а скрипты предоставляют средства для автоматизации операций и выполнения сложных анализов данных с помощью программирования. скрипты используют программирование и позволяют задать более детальные параметры для изменения файлов Шаблон для анализа формата BMP-изображения: Структура шаблона: Заголовок файла BMP Информация о палитре Размеры изображения Данные пикселей Применение: Шаблон позволяет просмотреть и редактировать заголовок файла, цветовую палитру и данные пикселей BMP-изображения. Скрипт для поиска и замены данных: Функциональность скрипта: Поиск определенной последовательности байтов в файле Замена найденных данных на другие данные или выполнение определенных операций Применение: Скрипт может использоваться для поиска и замены конкретных значений или структур в файле, что может быть полезно при исправлении ошибок или изменении данных. **25 Предназначение и основные возможности утилиты Strings.exe. Назовите её аналог в плагинах программы 010 Editor.** аналог strings plugin Утилита Strings.exe предназначена для извлечения последовательностей символов (строк) из исполняемых файлов, библиотек и других типов файлов. Основной целью утилиты является поиск текстовых данных в файле, которые могут представлять интерес для анализа или извлечения информации. 1 извлечение строк 2 фильтрация результатов 3 выполнение различных сканирований по заданным опциям **26 Предназначение и основные возможности фреймворка Volatility. Работа основных плагинов.** Фреймворк Volatility предназначен для анализа памяти операционных систем, особенно в области цифровой форензики и компьютерной безопасности. Он позволяет исследовать содержимое дампов оперативной памяти и извлекать ценную информацию для анализа инцидентов и расследования компьютерных преступлений 1 извлечение информации о различных процессах и потоках 2 анализ сетевых соединений 3 извлечение информации о файловых системах 4 анализ реестра windows 5 извлечение информации о сессиях пользователя и авторизациях **27 Предназначение и основные возможности фреймворка Volatility. Назовите плагин идентификации профиля операционной системы и расскажите об информации, которую он предоставляет.** плагин imageinfo предоставляет информацию о версии и архитектуре операционной системы, на которой был создан дамп памяти. Он помогает определить соответствующий профиль для дальнейшего анализа и извлечения данных из дампа. **28 Что такое Реестр операционной системы Windows. Какие артефакты возможно получить из Реестра при помощи фреймворка Volatility.** реестр по сути это иерархически построенная бд в которой фиксируются изменения настроек win и предустановки настроек для аппаротного обеспечения, по, пользователей Информация о процессах и службах: Volatility позволяет извлекать данные о запущенных процессах и работающих службах из Реестра Windows. Это включает информацию о путях к исполняемым файлам, параметры запуска, связи с другими процессами и другие атрибуты. Информация о пользовательских учетных записях: Фреймворк Volatility позволяет получить данные о пользовательских учетных записях, включая имена пользователей, хэши паролей, SID (идентификаторы безопасности) и другую связанную информацию. Это может быть полезно при исследовании и выявлении активности определенных пользователей. Информация о сетевых подключениях: Volatility может извлекать информацию о сетевых подключениях из Реестра Windows. Это может включать IP-адреса, порты, состояние соединений, идентификаторы приложений и другую связанную информацию. Анализ этих данных может помочь выявить активность сетевых соединений и связанных с ними процессов. Информация о программном обеспечении и установленных приложениях: Volatility позволяет извлекать информацию о установленном программном обеспечении и приложениях, которые сохранены в Реестре. Это может включать названия приложений, версии, пути к установленным файлам, ключи реестра, связанные с приложениями, и другую связанную информацию. Информация о настройках операционной системы: Фреймворк Volatility может помочь извлечь информацию о настройках операционной системы Windows из Реестра. Это может включать параметры безопасности, настройки сети, настройки обновлений, параметры реестра, связанные с операционной системой, и другую связанную информацию. Информация о запускаемых при загрузке системы программных компонентах: Volatility может помочь получить информацию о програмных компонентах, которые запускаются при загрузке операционной системы Windows. Это включает автозагрузку программ, служб, драйверов и других компонентов, которые хранятся в Реестре. Анализ этих данных может помочь выявить потенциально вредоносные или скрытые компоненты. **29 Назовите способы восстановления информации с жестких дисков, в чём их отличие? Приведите название программ восстановления данных.** программное восстановление - восстановление программами восстановление по сигнатурам используется, когда накопитель исправен, но невозможно восстановить данные с помощью программ. Происходит считывание информации в надежде найти знакомые участки данных смешанное восстановление - восстановление с использованием нескольких способов восстановление резервных копий для создания которых используется спец. по Программно-аппаратный способ - если поврежден dvd/cd/br диск, то может помочь полирование(помогает при повреждении отражающего слоя) autopsy(отличие от r-studio в низкой производительности) r-studio Восстановление данных с жестких дисков, карт памяти, флешек, дискет, CD и DVD Восстановление RAID массивов (В том числе RAID 6) Восстановление поврежденных жестких дисков Восстановление переформатированных разделов Поддержка разделов Windows (FAT, NTFS), Linux и Mac OS Возможность работы с загрузочного диска или флешки (образы R-studio есть на официальном сайте). Создание образов дисков для восстановления и последующая работа с образом, а не диском. 30 Методика восстановления информации с повреждённых носителей информации. Программно-аппаратный комплекс «PC-3000». **31 Функции и возможности утилиты BinWalk. Что такое Энтропия. Чем энтропия может быть полезна при проведении компьютерной экспертизы.** Binwalk — это инструмент с открытым исходным кодом для анализа, реверс-инжиниринга и извлечения образов прошивок. основная особенность это сигнатурное сканирование энтропия - это мера случайности или определения нужного кол-ва информации может быть полезна для понимания о повреждениях или шифровании файла **32 Что такое «программа-шредер»? Какие алгоритмы данная программа может использовать?** «шредеры», предназначенные для уничтожения данных. После правильного использования таких программ восстановление невозможно. проги: eraser, wipefile, freeraser шредеры удаляют файлы полностью путем перезаписи пространства в 3, 7(либо метод dod, либо произвольная перезапись) или 35(метод Гутмана) этапов соответсвенное последний способ это полное удаление **33 Технология работы с программным пакетом «Мобильный криминалист». Какого рода информацию можно получить на основании данного программного средства?** позволяет получить информация с пк, ноутбука или образа жесткого диска в формате .e01 с файловой системой ntfs: файлы cookies, данные автозаполнения, история посещений, wi-fi точки доступа, пароли, резервные копии itunes отчеты могут иметь разные виды и форматы например таблицы xml, пдф отчеты, html 34 Программно-аппаратные комплексы исследования мобильных устройств. **35 Пакет «Belkasoft Evidence Center» - область применения и функциональные возможности.** Он предназначен для проведения комплексного анализа цифровых данных и извлечения ценной информации из различных источников, включая компьютеры, мобильные устройства, облачные хранилища и другие носители информации. 1 извлечение и анализ данных с мобильных устройств и анализ комп. систем 2 анализ облачных сервисов и извлечение данных 3 восстановление удаленных данных 4 анализ соц. сетей 5 визуализация данных **36 Для чего предназначен фреймворк Avilla. Приведите основные возможности.** Основные возможности: Фреймворк для анализа файлов и приложений, а также получения артефактов и метаданных на смартфоне 1 Backup ADB. 2 Парсинг чатов WhatsApp. 3 Транскрибирование аудио-файлов кодека .opus мессенджера Whatsapp. 4 Поиск по списку контактов. 5 Удаленные фотографии WhatsApp, аватары и контакты. 6 Объединение баз данных WhatsApp. 7 Расшифровка баз данных WhatsApp версий 14/15. 8 Screenshots. 9 Screen DUMP. 10 Захват чата. 11 Автоматическая интеграция с AFLogical (AFLogical OSE: Open source Android Forensics app and framework), IPED - Digital Evidence Processor and Indexer, MVT (Mobile Verification Toolkit). 12 Преобразование форматов .AB в .TAR. 13 Поиск изображений (хэш, метаданные, геолокация, отображение местоположения на картах Google и в поиске Google). 14 Нанесение геолокации изображений на Google Earth (geo.kml) с патчем и миниатюрами изображений. 15 Установка и удаление APK через ADB. 16 HASH-калькулятор. 17 Браузер папок Android (PULL и PUSH). 18 Зеркалирование устройства. 19 Скрапинг данных Instagram. 20 Доступ через инструмент к JADX, BCV, WhatsApp Viewer, SQLStudio, jExiftool GUI. **37 Каким образов хранятся сообщения мессенджера WhatsApp в операционной системе Android?** Обычно они хранятся в базе данных sqlite под названием msgstore.db **38 Каким образов хранятся сообщения мессенджера Telegram в операционной системе Android?** сообщения хранятся в зашифрованном виде(протокол шифрования mtproto) в виде бд с расширением .db or .dat данные, которые не имеют особого значение хранятся в кэше 39 **Предназначение и основные возможности утилиты ADB.** предназначена для взаимодействия с android устройством через командную строку просматривать логи; копировать файлы с устройства и на него; устанавливать и удалять приложения; очищать и перезаписывать раздел data в памяти устройства; выполнять различные скрипты управления; управлять некоторыми сетевыми параметрами. 40 Расскажите подходы, направленные на криминалистическое исследование БПЛА.