# Компьютерная экспертиза. Лабораторная работа №1. :::info Работа выполнена студентом 3 курса учебной группы БСБО-04-19 Чайка Егором ::: **Содержание** 1. Начальные данные и условия лабораторной работы 2. Получение доступа к учётной записи 3. Анализ действий пользователя 4. Восстановление файлов # Начальные данные и условия лабораторной работы **Цель работы:** получить навыки восстановления доступа к скомпрометированной системе и утраченных в результате действий злоумышленника данных. **Входные данные:** виртуальная машина с Windows 10, в котором пользователь не может войти в одну из учетных записей (пароль был изменён). **Задание:** 1. Сбросить пароль пользователя Alex и установить новый. 2. Провести анализ действий злоумышленника в системе, понять, какие данные подверглись воздействию (Пользователь говорит что не может найти свою курсовую, которая лежала на рабочем столе). 3. В случае отстутствия некоторых файлов - восстановить их. # Получение доступа к учётной записи Загрузив Windows видим, что у нас есть две учётные записи, каждая из которых требует для входа пароль.  Для сброса и смены паролей существует огромное количество утилит, которыми можно воспользоваться с загрузочных флешек или CD дисков. В данной работе воспользуемся утилитой Elcomsoft System Recovery, загружаться будем с iso образа CD диска. Для этого импортируем его в настройках нашей виртуальной машины. :::success На настоящем ПК нужно было бы вставить CD диск в дисковод и дальнейшие действия ничем бы не отличались :::  Теперь перезагружаем виртуальную машину и жмём F10, чтобы выбрать, с помощью чего будет загружаться наша операционная система. Выбираем CD диск (...SATA CDROM Drive...).  После непродолжительной загрузки видим интерфейс нашей программы и пользовательское соглашение.  Выбираем удобный нам язык и идём далее, выбирая, где только можно, локальные данные и, в конце концов, выбираем опцию "Изменить локальную учётную запись".  В следующем окне жмём далее и программа начнёт подбор паролей, однако сразу прерываем его с помощью ESC и заходим в настройки необходимого нам пользователя Alex.  В следующем окне в поле "Пароль" вводим удобный нам пароль и нажимаем кнопку "Применить".  Готово, теперь пользователь Alex имеет пароль 123. Машина автоматически перезагружается, после чего заходим в систему под новым паролем. Как видим, необходимой курсовой работы на рабочем столе нет.  # Анализ действий пользователя Теперь проведём анализ действий пользователя с помощью утилиты Reset Windows Password. Загружаем iso образ, ждём загрузки системы и выбираем необходимые нам настройки. Самое главное отметить Режим работы "FORENSICS" и выбрать Последнюю активность пользователя.  Далее выбираем необходимого нам пользователя (Alex).  В итоге, видим последнюю активность пользователя. Как видим, последнее взаимодействие было с файлом Курсовая.txt, который нам и необходимо восстановить.  # Восстановление файлов Восстанавливать файлы будем с помощью утилиты Hetman Partition Recovery. Устанавливаем и запускаем полное сканирование.  После восстановления смотрим на файлы из расширенного поиска и просматриваем архивы. В одном из архивов видим .pdf файл.  Восстанавливаем его, открываем и видим, что это необходимая нам курсовая работа.