Восстановлению подлежит: что делать, если данные были удалены

Лада Антипова, руководитель отдела реагирования и цифровой криминалистики, Angara Security Злоумышленники часто удаляют файлы, которые использовались в процессе атаки: и для того, чтобы скрыть «следы преступления», и — на финальной стадии — для вывода системы из строя и нанесения максимального урона. Однако ситуация не так печальна, как может показаться на первый взгляд. В докладе рассмотрим: • Способы удаления файлов на примере реальных атак – штатными средствами ОС или при помощи специализированного ПО • Процесс удаления с точки зрения специалиста по реагированию • Полезные источники артефактов при расследовании инцидента • Базовый набор способов и инструментов восстановления данных