--- title: Компьютерная экспертиза. Лабораторная работа №1. --- Компьютерная экспертиза. Лабораторная работа №1. --- **Цель лабораторной работы:** получить навыки восстановления доступа к скомпрометированной системе и утраченных в результате действий злоумышленника данных. **Входные данные:** виртуальная машина с Windows 10, в котором пользователь не может войти в одну из учетных записей (кто-то сменил пароль). Скачать образ виртуальной машины можно ТУТ. **Задание:** 1. Сбросить пароль пользователя Alex и установить новый (загружаемся с Live USB, можно воспользоваться утилитой Lazer Soft Recovery или любой другой). 1. Провести анализ действий злоумышленника в системе, понять, какие данные подверглись воздействию (Пользователь говорит что не может найти свою курсовую, которая лежала на рабочем столе). 1. В случае отстутствия некоторых файлов - восстановить их (Основной предмет поиска - курсовая работа. Пробуйте различные утилиты восстановления, обращайте внимание на документацию к ним). Сброс пароля. --- Для начала необходимо восстановить доступ к OC, для этого сбросим пароль при помощи утилиты Lazersoft Recovery Suit. Далее запускаем программу и выбираем в ней пуск Disk Image & Clone. ![](https://i.imgur.com/IBz4GwR.png) Рис. №1 - начальное окно программы. Теперь переходим в раздел создания загрузочного диска. ![](https://i.imgur.com/RDbkqbd.png) Рис. №2 - Создание загрузочной флешки. Выбираем параметры ОС, которыми обладает наша виртуальная машина, в данном случае Win 10 x64 ![](https://i.imgur.com/nytsrqt.png) Рис. №3 - Выбор конфигурации системы Тут выбираем ISO Image для того, чтобы создать образ загрузочного диска. ![](https://i.imgur.com/Ap8iwZx.png) Рис. №4 - Создание загрузочного диска. В итоге получаем загрузочную флешку. ![](https://i.imgur.com/RIEH6RH.png) Рис. №5. Теперь необходимо выбрать созданный нами файл . ![](https://i.imgur.com/OCTisiD.png) Рис. №6. Теперь в BIOS (для входа в BIOS используем клавишу F2) необходимо выбрать CD-ROM Drive (переместить его на самый верх) для запуска при помощи образа диска. После чего сохраняем при помощи нажатия клавиши F10. И пеерзапуска. ![](https://i.imgur.com/MXspAPO.png) Рис. №7 - Выбор Boot Device. --- Переходим к восстановлению файла. --- Выбираем Zalersoft Live CD. ![](https://i.imgur.com/6VEXOgs.png) Рис. №8. В данном меню выбираем пункт Password Recovery. ![](https://i.imgur.com/U3qvMJF.png) Рис. №9 - Начальное меню программы. ![](https://i.imgur.com/oHPBEl1.png) Рис. №10 - выбор параметров восстановления. Выбираем Интерисующего нас пользователя AlexM и жмем Next. ![](https://i.imgur.com/N8sx5zz.png) Рис. № 11. Теперь выюираем Convert/Insert. ![](https://i.imgur.com/lFxNu2o.png) Рис. №12. Результат выполнения сброса пароля: ![](https://i.imgur.com/PETHb1q.png) Рис. №13. Теперь мы можем вернуть параметры загрузки в BIOS. Для этого установим пункт Hard Drive в самом верху. ![](https://i.imgur.com/MiTxa2J.png) Рис. №14. Теперь мы можем войти в учетную запись пользователя AlexM. ![](https://i.imgur.com/SrNCiog.png) Рис. №15. Проанализировать деятельность злоумышленника можно при помощи утилиты "Просмотр событий". В ней было обнаружено множество ошибок. ![](https://i.imgur.com/F0C7zSG.png) Рис. №16. Для восстановления утраченного файла курсовой работы, запустим утилиту Heatman Partition Recovery. ![](https://i.imgur.com/XQLkEBR.png) Рис. №17 - Настройка Heatman Partition Recovery. Выбираем для сканирования локальный диск С. ![](https://i.imgur.com/i4k5wCf.png) Рис. №18. Теперь проведем быстпый анализ локального диска C. ![](https://i.imgur.com/V1sW3DQ.png) Рис. №19. Проводится сканирование. ![](https://i.imgur.com/PPZE6mb.png) Рис. №20 - быстрый анализ. После завершения сканирования перейдем в раздел "Глубокий Анализ" ![](https://i.imgur.com/tuJx3Ox.png) Рис. №21. Теперь поищем в этом разделе подходящий тип файлов (формата "Docx"). ![](https://i.imgur.com/G68HCUn.png) Рис. №22. Восстановленный файл. ![](https://i.imgur.com/k64YUC9.png) Рис. №23. Выполнил Студент БСБО-06-19, Денис Игнатенко.