установки для соединения с Интернет и др, Широко распространенная программа электронной почты Microsoft Outlook Express все письма, которые были отправлены, получены или удалены, хранит в своей базе данных. Эти файлы расположены в директории \Windows\Aplication\Microsoft\Outlook Express\Mail\ с расширениями IDX и МВХ. Почтовые отправления программы Microsoft Outlook находятся в каталоге: C:\Documents and Settings\User\Loca! SettingsVAppIication Data\Microsoft\Outlook\archive.pst. Полученные и отправленные сообщения в почтовой программе The Bat находятся по адресу: C:\Program Files\The Bat!\Mail\Name\, где «Name» наименование учетой записи. Здесь находятся следующие папки: Inbox (входящие), Outbox (исходящие), Sent (отправленные), Trash (удаленные). Информация о браузере Internet Explorer хранится в реестре операционной системы по адресу HKEY_LOCAL_MACHINE\Software \Microsoft\Intemet Explorer. Информация о временных файлах Интернет (Temporary Internet Files) в реестре находится по адресу [HKEY_LOCAL_MACHINE\ Software\ M icrosoft Windows\Current Version\ Internet Settings]. Физически временные файлы находятся по адресу, указанному в реестре (обычно это «WindowsVTemporary Internet Files»)1. В этой папке находятся просмотренные пользователем веб-страницы и файлы. Она содержит несколько вложенных папок со случайными именами. При этом специальный файл «index.dat» является своеобразным каталогом для узлов сета, посещаемых пользователем. В этом файле также содержатся начальные имена папок. Помимо указанной папки, файлы index.dat сохраняются по адресу «Windows\History», представляя из себя так называемый «Журнал», в котором 54 1 В более поздней версии Internet Explorer 6.0 расположение папки временных файлов определяется в свойствах обозревателя, а по умолчанию по адресу: C:\Documents and Settings\User\Local SettingsYTemporary Internet Files |
программного обеспечения. Для выявления подобных следов необходимо участие специалистов. Компьютерно-технические следы могут оставаться и при опосредованном (удаленном) доступе через компьютерные сети, например через Интернет. Они возникают в силу того, что система, через которую производится доступ, обладает некоторой информацией, которую эта система запрашивает у лица, пытающегося соединиться с другим компьютером. Она определяет электронный адрес, используемое программное обеспечение и его версию. Кроме того, при доступе всеть обычно запрашивается адрес электронной почты, реальное имя и другие данные. Эту информацию запрашивает системный администратор (провайдер) для контроля обращений на его сервер, и это также позволяет идентифицировать личность проникающего в сеть. Значительный интерес представляют данные об установках удаленного доступа к компьютерной сети. В реестре операционной системы информация о всех способах соединения представлена в ключе HKEY_CURRENT_USER \ RemoteAccess\ Profile. Следует отметить, что многие программы фирмы Microsoft создают резервные копии файлов, файлы-отчеты, сохраняют информацию о последних проделанных операциях и выполненных программах, а также содержат иную информацию, представляющую огромный интерес для расследования. Широко распространенная программа электронной почты Microsoft Outlook Express все письма, которые были отправлены, получены или удалены, хранит в своей базе данных. Эти файлы расположены в директории \Windows\ApIication\Microsoft\Outlook Express\Mail\ с расширениями IDX и мвх. Почтовые отправления программы Microsoft Outlook находятся в каталоге: C:\Documents and Settings\User\Local SettingsNApp1ication Data\Microsoft\Outlook\archive.pst. 62 Полученные и отправленные сообщения в почтовой программе The Bat находятся по адресу: C:\Program Files\The Bat!\Mail\Name\, где «Name» наименование учетной записи. Здесь находятся следующие папки: Inbox (входящие), Outbox (исходящие), Sent (отправленные), Trash (удаленные). Информация о браузере Internet Explorer хранится в реестре операционной системы по адресу: HKEY_LOCAL_MACHINE\Software \Microsoft\Intemet Explorer. Информация о временных файлах Интернет (Temporary Internet Files) в реестре находится по адресу: [HKEY_LOCAL_MACHINE\ Software\ Microsoft Windows\Current Version\ Internet Settings]. Физически временные файлы находятся по адресу, указанному в реестре (обычно это «Windows\Temporary Internet Files»)1. В этой папке находятся просмотренные пользователем вебстраницы и файлы. Она содержит несколько вложенных папок со случайными именами. При этом специальный файл «index.dat» является своеобразным каталогом для узлов сети, посещаемых пользователем. В этом файле также содержатся начальные имена папок. Помимо указанной папки, файлы index.dat сохраняются по адресу «\Vindows\History», представляя из себя так называемый «Журнал», в котором хранится информация обо всех узлах сети Интернет, посещенных пользователем. Операционная система Microsoft Windows в директории \Windows\History\ хранит все файлы истории, то есть данные о ранее выполнявшихся программах; в директории \Windows\name.pwl хранит имена, телефоны и пароли для соединения с Интернет, которые с помощью специальных программ расшифровываются. Весьма ценные следы содержатся в папке Cookies. В ней находятся данные, свидетельствующие об обращениях пользователя к определенному серве63 1В более поздней версии Internet Explorer 6.0 расположение папки временных файлов определяется в свойствах обозревателя, а по умолчанию по адресу: C:\Documents and Settings\User\local Settings\Temporary Internet Files. |