 |
Наследники Холмса. Азбука криминалистики
Форум на www.abckrim.ru
|
| View previous topic :: View next topic |
| Author |
Message |
Igor Michailov
Site Admin
Joined: 23 Jun 2006
Posts: 448
|
 Posted: 22.08.2006 17:47:31 Post subject: |
 |
|
ILook Investigator.
(писалось про семерку)
Авторы: Капинус О.В., Михайлов И.Ю., Marat
ILook Investigator (http://www.ilook-forensics.org) – программа для судебных
исследований, используемая для анализа образов компьютерных жестких дисков.
Данный продукт предоставляется по программе Electronic Crimes Program of the
Internal Revenue Service. Лицензионное соглашение конечного пользователя ILook
(End User License Agreement) и регистрация программы ограничивает
использование ILook только сотрудниками правоохранительных органов.
Исключений нет.
ILook создан для исследования образов компьютерных жестких дисков,
полученных любой предназначенной для этого судебной программой (также
называемых: побитовая копия, посекторная копия, битовый образ) - множество
судебных и коммерческих утилит производят создания образов в данных
форматах. Это свойство программы может также использоваться, чтобы
исследовать файлы образов, созданных такими программными продуктами, как
Safeback, Encase. ILook позволяет исследовать ISO - и CIF - образы компакт-
дисков, виртуальные диски VMWare.
ILook - инструмент, который должен использоваться ТОЛЬКО теми
исследователями, которые прошли соответствующее обучение и имеют
определенную квалификацию в области судебного восстановления данных. Это -
не инструмент, который может использоваться неопытными пользователями в
области судебной экспертизы на любом уровне. Без соответствующих знаний и
квалификации, результаты, полученные при использовании Ilook для анализа
цифровых данных, могут быть ненадежны так как не могут быть, в дальнейшем,
подвергнуты проверке.
ILook использует базу данных Hashkeeper, разработанную и поддержанную Brian
Deering и U.S. DOJ National Drug Intelligence Center. Кроме того, также
поддерживаются базы данных хэшей от рабочей группы NIST NSRL.
Пользователь может использовать любые базы данных хэшей, имеющие форму,
которая выполняет критерии проекта ILook.
ILook обеспечивает следующие особенности:
1. Идентификация и поддержка следующих файловых систем и их вариантов:
o FAT12;
o FAT16,
o FAT32,
o FAT32x,
o VFAT,
o NTFS 4,
o NTFS 5,
o Сжатая NTFS 4,
o Сжатая NTFS 5,
o Mac HFS,
o Mac HFS +,
o Linux Ext2FS,
o Linux Ext3FS- журналируемый вариант Ext2FS,
o SCO Sys V AFS,
o SCO Sys V EAFS,
o SCO Sys V HTFS,
o CDFS,
o Novell Netware NWFS.
2. Интерфейс, аналогичный Explorer, позволяет исследователю просматривать и
осуществлять навигацию по исследуемой файловой системе, как это было бы при
проведении анализа на подозреваемом компьютере.
3. Встроенные средства позволяют извлечь все данные или часть файловой
системы из исследуемого образа.
4. Механизм поиска может функционировать в трех режимах: стандартный,
расширенный, режим индексации данных.
5. Имеет автономные программы поиска и индексации данных.
6. Имеет встроенный перекодировщик текстов.
7. Использует заголовки файлов для определения технологии их просмотра
исследователем.
8. Имеет встроенный просмотрщик мультиформатных файлов.
9. Поддержка длинных имен файлов.
10. Автоматическая массовая обработка образов.
11. Автоматическая массовая обработка мультиобразов (образов, разделенных на
части) и извлечения данных.
12. Имеет программы генерации словарей для подбора пароля и ключевого
слова.
13. Имеет встроенный hex-редактор со средствами поиска.
14. Имеет средства восстановления удаленных файлов.
15. Осуществляет рутинную проверку сигнатур файлов.
16. Восстанавливает FAT директории.
17. Поддерживает хэш-анализ по алгоритмам CRC32, MD5 и SHA1.
18. Генерирует значения контрольных сумм для образов и данных, находящихся
на диске, по алгоритмам CRC32, MD5 и SHA1.
19. Маркирует исследованные файлы и документирует произведенные действия.
20. Управление процессом исследования таково, что делает понятным
проведение каждого его шага.
21. Имеет инструменты для исследования данных Интернет - кэша и почтовой
программы (с функцией восстановления и документации произведенных
действий).
22. Декодирует сообщения электронной почты имеющие форматы UUE и Base64.
23. Может обеспечивать доступ к данным исследуемого носителя в обход средств
BIOS.
24. Создание образа осуществляется через BIOS средствами, имеющими
механизмы проверки подлинности по алгоритмам MD5 / SHA1 и сжатия
создаваемого образа.
25. Производит фильтрование файлов по разным признакам.
26. Производит одновременный глобальный поиск.
27. База данных результатов поиска содержит результаты всех осуществленных
поисков в рамках проводимого исследования.
28. Просмотр карты раздела позволяет детально просмотреть физическое
расположение любого выбранного тома.
29. Имеет встроенный script-язык, его компилятор и отладчик.
30. Сортирует файлы по виртуальным папкам.
31. Имеет интегрированный многофункциональный просмотрщик.
_________________
Компьютерно-техническая экспертиза.
http://computer-forensics-lab.org
Наследники Холмса. Азбука криминалистики.
http://www.abckrim.ru/forum/ |
|
| Back to top |
|
 |
Igor Michailov
Site Admin
Joined: 23 Jun 2006
Posts: 448
|
| Posted: 21.10.2006 19:26:09 Post subject: |
|
|
Wanted - a second hand Safeback 2 and licence (or new if the price is right). Anyone in the market for selling one please contact me (info @ computer-forensics-lab.org).
_________________
Компьютерно-техническая экспертиза.
http://computer-forensics-lab.org
Наследники Холмса. Азбука криминалистики.
http://www.abckrim.ru/forum/ |
|
| Back to top |
|
|
ptr
Guest
|
| Posted: 21.10.2006 23:52:48 Post subject: |
|
|
| Доброго времени суток! Скажите пожалуйтса Игорь, а существует ли отечественное ПО для проведения КТЭ, аналогичное, по функционалу например Encase, FTK или SMART? И ещё существуют ли какие-либо законы или подзаконные акты ( УПК не в счет) регулирующие производство КТЭ? |
|
| Back to top |
|
|
Igor Michailov
Site Admin
Joined: 23 Jun 2006
Posts: 448
|
| Posted: 22.10.2006 06:14:37 Post subject: |
|
|
| ptr wrote: | | Существует ли отечественное ПО для проведения КТЭ, аналогичное, по функционалу например Encase, FTK или SMART? И ещё существуют ли какие-либо законы или подзаконные акты ( УПК не в счет) регулирующие производство КТЭ? |
Развитие судебного ПО в КТЭ, на мой взгляд, идет следующими путями:
1)Создание "интегрированных" судебных программ (ProDiscover, Ilook, Encase, FTK, SMART, DIBS, Delve, Vogon Investigation Software и т.д.).
2)Создание наборов судебных утилит, которые, в совокупности, позволяют провести исследование компьютерной техники в полном объеме. Это:
-Paraben (www.paraben-forensics.com Описание их методики на русском можно найти здесь http://computer-forensics-lab.org/lib/?cid=83)
-Maresware Suite (www.dmares.com)
-Forensic комплекты Linux (Helix, Knoppix и т.д.)
И т.д.
3)Создание отдельных судебных утилит.
На мой взгляд, в настоящий момент, комплекты судебных утилит более функциональны чем "интегрированные" судебные программы.
Отечественные коммерческие версии ПО для проведения КТЭ (аналогичные Encase и т.п.) - мне не известны. Разработка подобного ПО стоит больших денег, а емкость российского рынка в данной области, мягко говоря, незначительна. Давайте не будем строить иллюзий. Российские ведомства, проводящие судебные экспертизы, просто не готовы (или не хотят) вкладывать деньги в приобретение подобных разработок. Существуй российская компания способная предложить ПО аналогичное по функциональности Encase – она смогла бы, в России, продать только несколько копий своего ПО (не более 10). Больше - никто не купит. Пробиваться на западный рынок с подобным продуктом российской фирме будет очень сложно, т.к. там большая конкуренция.
На сколько я в курсе, отдельные ведомства проводят свои собственные разработки в данной области. Но их результаты являются ведомственной тайной и не разглашаются.
| ptr wrote: |
И ещё существуют ли какие-либо законы или подзаконные акты ( УПК не в счет) регулирующие производство КТЭ? |
Конечно:
1)Конституция России
2)ФЗ РФ «О государственной судебно-экспертной деятельности»
3)Трудовой кодекс РФ
4)Ведомственные нормативные акты.
5)Методические рекомендации.
_________________
Компьютерно-техническая экспертиза.
http://computer-forensics-lab.org
Наследники Холмса. Азбука криминалистики.
http://www.abckrim.ru/forum/ |
|
| Back to top |
|
|
Igor Michailov
Site Admin
Joined: 23 Jun 2006
Posts: 448
|
| Posted: 23.10.2006 10:58:47 Post subject: |
|
|
| ptr wrote: | | Скажите пожалуйтса Игорь, а существует ли... |
Кстати, владелец форума - личность довольная известная в кругах компьютерных экспертов. Возможно, имеет смысл интересующие Вас вопросы спросить у него?
_________________
Компьютерно-техническая экспертиза.
http://computer-forensics-lab.org
Наследники Холмса. Азбука криминалистики.
http://www.abckrim.ru/forum/ |
|
| Back to top |
|
|
ptr
Guest
|
| Posted: 24.10.2006 21:58:12 Post subject: |
|
|
| Спасибо! В общем эти вопросы были навеяны скорее любопытством, чем необходимостью. Интерес к теме возник после прочтения статьи "Обзор программ для исследования содержимого жесткого диска" на Uinc.ru. Позднее я с удивлением обнаружил, что в русскоязычном и-нете очень мало информации на эту, по-моему достаточно интересную тему ( "за бугром" же всё наоборот, один Forensic Focus чего стоит). Ваш ответ вполне меня удовлетворил. Если же, у меня возникнут другие вопросы, то не сомневаюсь, что Вы или владелец форума сумеете удовлетворить моё нездоровое любопытство. |
|
| Back to top |
|
|
Igor Michailov
Site Admin
Joined: 23 Jun 2006
Posts: 448
|
| Posted: 25.10.2006 04:54:16 Post subject: |
|
|
| ptr wrote: | | В общем эти вопросы были навеяны скорее любопытством, чем необходимостью. Интерес к теме возник после прочтения статьи "Обзор программ для исследования содержимого жесткого диска" на Uinc.ru. |
Давайте же и мы приведем ссылку на эту работу:
Обзор программ для исследования содержимого жесткого диска
www.uinc.ru/articles/zametki/009.shtml
_________________
Компьютерно-техническая экспертиза.
http://computer-forensics-lab.org
Наследники Холмса. Азбука криминалистики.
http://www.abckrim.ru/forum/ |
|
| Back to top |
|
|
Igor Michailov
Site Admin
Joined: 23 Jun 2006
Posts: 448
|
| Posted: 06.11.2006 06:40:11 Post subject: |
|
|
06.11.2006
Mount Image Pro v.2. Руководство пользователя на русском языке (для версии 2.02).
Mount Image Pro – утилита, которая может монтировать файл-образы (как физических накопителей, так и логических разделов) как логические диски в ОС Windows. Поддерживаются следующие типы образов (файл-образов):
• Образы, созданные программой EnCase® - все версии, включая сжатые и защищённые паролём образы;
• Образы, созданные программой SMART®;
• Образы в формате Raw (созданные такими программами, как “dd” в Linux); и
• Образы ISO.
Программа Mount Image Pro, прежде всего, используется судебными экспертами, следователями, адвокатами и отдельными лицами, чтобы получить быстрый и полный доступ к содержимому образа. Mount Image Pro освобождает от покупки дорогого судебного программного обеспечения, необходимого для просмотра содержимого образов. Она отображает все файлы, содержащиеся в образе, как файлы, расположенные на логическом диске в ОС Windows.
...
Подробнее: http://computer-forensics-lab.org/lib/?rid=41
Скачать пробную версию программы Mount Image Pro v.2 (работает в полнофункциональном режиме в течении 30 дней) можно по адресу: http://www.mountimage.com/
_________________
Компьютерно-техническая экспертиза.
http://computer-forensics-lab.org
Наследники Холмса. Азбука криминалистики.
http://www.abckrim.ru/forum/ |
|
| Back to top |
|
|
Igor Michailov
Site Admin
Joined: 23 Jun 2006
Posts: 448
|
|
| Back to top |
|
|
Igor Michailov
Site Admin
Joined: 23 Jun 2006
Posts: 448
|
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
FAQ
Search
Memberlist
Usergroups
Register
Profile
Log in to check your private messages
Log in
