�а�ледники Холм�а. �збука криминали�тики

[Igor Michailov]

И�точник: http://www.nhtcu.ru/teor_jur.html



Вышел в �вет первый номер журнала "Компьютерно-техниче�ка� �к�пертиза".
Содержание номера:

Слово редактора
Теори� компьютерно-техниче�кой �к�пертизы

Шухнин М.�. Комплек� �к�пертиз и комплек�на� �к�пертиза (на примере ра��ледовани� отдельного пре�туплени�)
Юрин И.Ю. О�обенно�ти �к�пертного и��ледовани� IRC-ботов, и�пользуемых дл� по�троени� зомби-�етей
�ехорошев �.Б. Кла��ификаци� объектов СКТЭ (попытка формализации)
Яковлев �.�. Формальные границы пределов компетенции �к�пертов компьютерно-техниче�кой и компьютерной �к�пертизы
Юрин И.Ю. Спо�обы у�тановлени� первоначального имени PE-файла

Эк�пертное программное обе�печение

Капину� О.В., Михайлов И.Ю. EnCase: бы�трый �тарт
Быков �.В. �нализатор и�полнимых файлов формата PE
Юрин И.Ю. Сравнение программ, и�пользуемых дл� анализа файлов index.dat

Из �к�пертной практики

�лёшкин �.В. Ра�крытие незаконного до�тупа в Интернет, о�уще�твленного � и�пользованием �тороннего компьютера

Информационна� безопа�но�ть

Гари Ке��лер. Стеганографи� дл� �удебного и��ледовател�. Краткий Обзор. (Перевод: Капину� О.В., Михайлов И.Ю., Бочков Д.С.)
Юрин И.Ю. Пои�ковые �и�темы и информационна� безопа�но�ть
Проценко Л.Л. Обнаружение �крытых PE-файлов в ре�ур�ах PE-файла

Техниче�ка� документаци�

Юрин И.Ю. Формат файлов index.dat

Книжна� полка
Из зала �уда

По вопро�ам приобретени� журнала и подпи�ки на 2008 год обращайте�ь по адре�у info@nhtcu.ru .
_________________
Компьютерно-техниче�ка� �к�пертиза.
http://computer-forensics-lab.org


�а�ледники Холм�а. �збука криминали�тики.
http://www.abckrim.ru/forum/

[Igor Michailov]

Документаци� по EnCase:
Путеводитель по �зыку EnScript.

http://computer-forensics-lab.org/forum/index.php
_________________
Компьютерно-техниче�ка� �к�пертиза.
http://computer-forensics-lab.org


�а�ледники Холм�а. �збука криминали�тики.
http://www.abckrim.ru/forum/

[Igor Michailov]

Forensic Assistant v1.0. �вторы - �.�. Бежин, И.Ю. Юрин.

Программа предназначена дл� пои�ка и анализа криминали�тиче�ки значимой информации: баз программ обмена �ообщени�ми (ICQ, &RQ, Trillian, QIP, Miranda), баз почтовых программ (Outlook, TheBat!, Mail.ru Agent), �и�темных журналов, индек�ных файлов (index.dat), к�ша программ-браузеров (Internet Explorer, Opera) и т.д. Результаты пред�тавл�ют�� в табличной форме, � возможно�тью �к�порта в тек�товый файл или файл программы Excel. Функционал программы по�то�нно пополн�ет��.

В программу включены в�е возможно�ти программы "IndexDatScan" и "File Decoder", в ближайшее врем� в программу будет перене�ен функционал из программ "OLE2 Analyser" и "File Analyser".

Стату� программы: ра�про�тран�ет�� на коммерче�кой о�нове, по вопро�ам приобретени� обращать�� в Центр (info@nhtcu.ru).


DeFacto v1.0.10. �вторы - В.Г. Коршунов (ООО "ИнфоБи�"), И.Ю. Юрин.

Программа "DeFacto" предназначена дл� инвентаризации программного обе�печени�, которое было проин�таллировано на �ЖМД. При �том анализируют�� как программные файлы на ди�ке, так и файлы рее�тра, что позвол�ет вы�вл�ть ранее у�тановленные, но некорректно (т.е. ча�тично) удаленные программы. �нализирует�� рее�тр как активный (т.е. из-под загруженной ОС), так и па��ивный (т.е. � подключенного ди�ка). Результаты проверки пред�тавл�ют�� в виде таблицы, в которую �ведены �ведени� об авторе, названии программы, ее рыночной �тоимо�ти, �тату�е (коммерче�ка�, у�ловно-бе�платна�, бе�платна�), и могут быть �охранены в файл. Определ�ют�� и дополнительные �ведени� - �ерийный номер, адре� реги�трации, дата у�тановки и другие. Имеет�� в�троенный про�мотрщик рее�тра (в том чи�ле - неактивного), а также �правочник по программному обе�печению.

Стату� программы: ра�про�тран�ет�� на коммерче�кой о�нове, по вопро�ам приобретени� обращать�� в Центр (info@nhtcu.ru).

И�точник: http://nhtcu.ru/
_________________
Компьютерно-техниче�ка� �к�пертиза.
http://computer-forensics-lab.org


�а�ледники Холм�а. �збука криминали�тики.
http://www.abckrim.ru/forum/

[Igor Michailov]

И�точник: http://www.nhtcu.ru/teor_jur.html



Вышел в �вет второй номер журнала "Компьютерно-техниче�ка� �к�пертиза" №1 (2) за 2008 год.

Содержание номера:

Слово редактора
Теори� компьютерно-техниче�кой �к�пертизы

Ден�в�кий �.В. К вопро�у о кла��ификации �овременных �лектронных у�трой�тв и отне�ении их к ЭВМ

Эк�пертное программное обе�печение

Коршунов В.Г. Программна� реализаци� ин�трумента дл� аудита программного обе�печени�

Эк�пертное аппаратное обе�печение

Марван �ль-Заруни. Знаком�тво � программаторами дл� мобильных телефонов и об�уждение их и�пользовани� в �удебных �к�пертизах мобильных телефонов (Перевод: Бочков Д.С., Капину� О.В., Михайлов И.Ю.)

Техниче�ка� документаци�

Мар�ел Бреув�ма, Мартин де Йонг, Курт Клавер, Рональд ван дер Кнейф, Марк Рулоф�. Судебное во��тановление данных из флеш-пам�ти (Перевод: Бочков Д.С., Капину� О.В., Михайлов И.Ю.)

Из �к�пертной практики

Яковлев �.�. Технико-криминали�тиче�ка� характери�тика мобильных телефонов как �уще�твенный фактор, предопредел�ющий о�обенно�ти ра��ледовани� некоторых видов пре�туплений и производ�тва �удебной компьютерной �к�пертизы
Грачев О.В., Пузов Р.�., Решетов И.С. Вы�вление криминали�тиче�ки значимой информации при и��ледовании �отовых телефонов � измененными IMEI

Информационна� безопа�но�ть

Быков �.В. Безопа�но�ть мобильных у�трой�тв на базе ОС Windows CE

Книжна� полка

Юрин И.Ю. Комментарии к книге "Форензика - компьютерна� криминали�тика"
Обзор книжных новинок

Работа над ошибками
Из зала �уда
_________________
Компьютерно-техниче�ка� �к�пертиза.
http://computer-forensics-lab.org


�а�ледники Холм�а. �збука криминали�тики.
http://www.abckrim.ru/forum/

[Igor Michailov]

�вторы: Мар�ел Бреув�ма, Мартин де Йонг, Курт Клавер, Рональд ван дер Кнейф и Марк Рулоф�
�азвание: Судебное во��тановление данных из фл�ш-пам�ти.

Современные �удебные ин�трументальные �ред�тва дл� и��ледовани� в�троенных �и�тем, таких как мобильные телефоны и КПК, обычно выполн�ют извлечение данных на логиче�ком уровне и не учитывают тип но�ител� во врем� анализа данных. В данной �татье предлагает�� низкоуровневый подход дл� �удебной �к�пертизы фл�ш-пам�ти, и опи�ывают�� три низкоуровневых метода клонировани� данных дл� �оздани� полных копий пам�ти запоминающих у�трой�тв на базе фл�ш-пам�ти. Пред�тавлены результаты изучени� файловых �и�тем, в котором и�пользовали�ь карты пам�ти, имеющие USB – интерфей�, более чем 45 марок и моделей. Показаны �по�обы �оздани� полных копий их фл�ш-пам�ти и дей�тви�, необходимые дл� преобразовани� извлечённых данных в формат, пон�тный обычным �удебным ин�трументальным �ред�твам дл� анализа но�ителей. Об�уждены артефакты, вызванные операци�ми характерными дл� фл�ш-пам�ти, типа: �тирание блоков или «выравнивание изнашивани�»; даны указани� по ра�ширенному во��тановлению данных и анализу данных, извлеченных из фл�ш-пам�ти.

Подробнее : http://computer-forensics-lab.org/lib/?cid=159


�втор : Марван �ль-Заруни
�азвание: Знаком�тво � программаторами дл� мобильных телефонов и об�уждение их и�пользовани� в �удебных �к�пертизах мобильных телефонов.

В �татье даёт�� обзор программаторов дл� мобильных телефонов, ра��матривает�� их и�пользование дл� об�луживани� телефонов, их незаконное применение и их и�пользование в �удебных �к�пертизах мобильных телефонов. Об�уждают�� виды программаторов и различи� между ними. В �татье также ра��матривают�� недо�татки традиционного программного обе�печени� дл� работы � мобильными телефонами и подчёркивает�� необходимо�ть и�пользовани� программаторов в �удебных �к�пертизах мобильных телефонов дл� компен�ации �тих недо�татков. Далее в �татье анализируют�� проблемы и меры предо�торожно�ти при и�пользовании программаторов в �удебных �к�пертизах мобильных телефонов. Предлагают�� �по�обы те�тировани� программаторов и ин�трументы дл� анализа необработанных данных (ше�тнадцатеричных дампов пам�ти), полученных � мобильных телефонов � помощью программаторов.

Подробнее : http://computer-forensics-lab.org/lib/?cid=160

�азвание: Документаци� по Encase : Путеводитель по �зыку EnScript.

Что такое EnScript?
EnScript - �то �зык программировани� , �озданный дл� того, чтобы пользователь � некоторым знанием программировани� мог примен�ть EnCase в �оответ�твии �о �воими потребно�т�ми, автоматизировать задачи и даже �оздавать полно�тью функциональные приложени�. С момента �воего по�влени� во второй вер�ии EnCase �зык EnScript превратил�� в �ффективный объектно-ориентированный �зык � на�ледованием, виртуальными функци�ми, отражением типов и потоковой моделью. EnScript также поддерживает COM- библиотеки других приложений, позвол�� автоматизировать задачи обработки документов и дела� возможным удаленный пои�к данных через DCOM ( ра�пределенную компонентную объектную модель).

Подробнее : http://computer-forensics-lab.org/lib/?cid=161
_________________
Компьютерно-техниче�ка� �к�пертиза.
http://computer-forensics-lab.org


�а�ледники Холм�а. �збука криминали�тики.
http://www.abckrim.ru/forum/

[Igor Michailov]

И�точник: http://www.nhtcu.ru/teor_jur.html



Вышел в �вет третий номер журнала "Компьютерно-техниче�ка� �к�пертиза" №2 (3) за 2008 год.

Содержание номера:

Слово редактора

Теори� компьютерно-техниче�кой �к�пертизы
* Яковлев �.�. Организаци� данных на накопителе на же�тких магнитных ди�ках на низком уровне
* Юрин И.Ю. Определение даты �оздани� и�полнимого PE-файла
* Капину� О.В., Михайлов И.Ю., Юрин И.Ю. Ро��ий�кие программы обмена короткими �ообщени�ми: "Mail.ru Agent"
* �хметз�нов М.Л. Кардшаринг �ТВ+
* Юрин И.Ю. Определение MAC-адре�ов �етевых у�трой�тв

Информационна� безопа�но�ть
* Быков �.В. У�звимо�ти программного обе�печени� при обработке PE-файлов

Хроника �удебных дел
_________________
Компьютерно-техниче�ка� �к�пертиза.
http://computer-forensics-lab.org


�а�ледники Холм�а. �збука криминали�тики.
http://www.abckrim.ru/forum/

[Igor Michailov]

Russian IM- applications: «Mail.ru Agent»

Olga Kapinus, Igor Michailov, Igor Yurin

Introduction
For the last year we have received several messages from our foreign colleagues, in which they asked for help in the research of history, created by the IM-applications, which had been developed by the Russian manufacturers, such as «Mail.ru Agent», «Rambler ICQ», «IceIM», «QIP», «QIP Infinium», «&RQ», «&ML», etc.
There is practically no information about these programs in English and most widespread foreign programs for forensic researches do not support history formats of IM-applications created by the Russian developers. The given cycle of articles aims at compensating of informational vacuum on methods and means of forensic research of the IM-applications, created by the Russian developers and widely used on the territory of the post-Soviet area as well as by the emigrants, natives of Russia, who live abroad and use IM-applications to communicate with their relatives, friends, acquaintances, who live in the homeland.

More… http://computer-forensics-lab.org/Forensic_Analysis_Mail_Ru_Agent.pdf
_________________
Компьютерно-техниче�ка� �к�пертиза.
http://computer-forensics-lab.org


�а�ледники Холм�а. �збука криминали�тики.
http://www.abckrim.ru/forum/

[Igor Michailov]

�а �айте �оздан новый раздел, по�в�щенный программным продуктам фирмы Oxygen Software ( www.oxygen-forensic.com/ru ).
http://computer-forensics-lab.org/lib/?rid=48

В разделе помещены �татьи:
Мобильный Криминали�т 2. Краткое опи�ание продукта.
Опи�ание программы Мобильный криминали�т 2.
http://computer-forensics-lab.org/lib/?cid=165

Презентаци�. Извлечение информационных улик из телефонов, �мартфонов и КПК.
Пред�тавлена интере�нейша� информаци� по �мартфонам. Советую прочитать в�ем желающим разбирать�� в теме �удебного и��ледовани� мобильных телефонов и �мартфонов.
http://computer-forensics-lab.org/lib/?cid=164

Спи�ок уникальных возможно�тей “Мобильного Криминали�та�
или "Почему �к�перты и правоохранительные �лужбы выбирают "Мобильный Криминали�т 2"?
Опи�аны возможно�ти программы Мобильный криминали�т 2.
http://computer-forensics-lab.org/lib/?cid=163

Мобильный Криминали�т 2. У�тановка и и�пользование агента дл� подключени�.
Мобильный криминали�т 2 по хитрому внедр�ет �гента подключени�. Мне не в�тречали�ь другие �удебные программные продукты, дл� и��ледовани� мобильных телефонов, которые �то делают также.
http://computer-forensics-lab.org/lib/?cid=162
_________________
Компьютерно-техниче�ка� �к�пертиза.
http://computer-forensics-lab.org


�а�ледники Холм�а. �збука криминали�тики.
http://www.abckrim.ru/forum/

[Igor Michailov]

МОБИЛЬ�ЫЙ КРИМИ��ЛИСТ 2 – ��Ч�ЛО Р�БОТЫ



О�новна� информаци�
Мобильный Криминали�т 2 - программа дл� �удебно-техниче�кой �к�пертизы �отовых телефонов, �мартфонов и КПК. И�пользование ра�ширенных пользователь�ких протоколов и программного интерфей�а приложени� в телефоне дает возможно�ть извлекать гораздо больше данных в �равнении � программными продуктами, и�пользующими �тандартные протоколы, о�обенно �то ка�ает�� данных в �мартфонах.

Мобильный Криминали�т 2 позволит Вам извлечь мак�имум информации из большого количе�тва мобильных у�трой�тв. Эта программа �ыграла значительную роль в обла�ти ра��ледовани� криминальных и других пре�туплений во многих �транах и широко и�пользует�� правитель�твенными учреждени�ми, полицией, армией, таможенными и налоговыми �лужбами, а также другими органами го�удар�твенной вла�ти.

Текуща� вер�и� поддерживает �ледующие �екции: Телефонна� книга, Календарь, Сообщени�, Файловый браузер, Журнал и Хронологи� �обытий. Пожалуй�та, обратите внимание, что количе�тво �екций и объем извлеченных данных зави�ит от конкретной модели телефона.

Вы можете получить данные о:
•Общей информации телефона и данных SIM-карты (контакты и �ообщени�)
•Спи�ке контактов (включа� мобильные, �тационарные и номера фак�а, почтовые и �лектронные адре�а, фотографии контактов и другую информацию)
•Вход�щих/и�ход�щих/пропущенных звонках
•Информации групп абонентов
•Данных органайзера (в�тречи, напоминани�, звонки, годовщины и дни рождени�, дела)
•Тек�товых заметках (только в вер�ии 1)
•Сообщени�х SMS (�ообщени�, отчеты, папки, удаленные �ообщени� � некоторыми ограничени�ми)
•Мультимедиа �ообщени�х (только в вер�ии 1)
•E-mail �ообщени�х и папках (только в вер�ии 1)
•Счётчике трафика GPRS, EDGE, CSD, HSCSD, Wi-Fi
•Фото и картинках галереи
•Видеоклипах и фильмах
•Голо�овых запи��х и аудиоклипах
•В�ех файлах внутренней пам�ти телефона и карты пам�ти, включа� у�тановленные приложени� и их данные
•Базе данных FM радио�танций (как ча�ть Файлового браузера)
•Хронологии �обытий: про�мотр в�ех о�новных �обытий в хронологиче�ком пор�дке � географиче�кими координатами (например, дл� �обытий SMS �ообщений).

Подробнее: http://computer-forensics-lab.org/lib/?cid=166
_________________
Компьютерно-техниче�ка� �к�пертиза.
http://computer-forensics-lab.org


�а�ледники Холм�а. �збука криминали�тики.
http://www.abckrim.ru/forum/

[Igor Michailov]

И�точник: _http://www.nhtcu.ru/teor_jur.html



Вышел в �вет четвертый номер журнала "Компьютерно-техниче�ка� �к�пертиза" №13 (4) за 2008 год.


Слово редактора (�.�. Яковлев)

Теори� компьютерно-техниче�кой �к�пертизы
* Яковлев �.�. Организаци� данных на накопителе на же�тких магнитных ди�ках на низком уровне (окончание)
* Гортин�кий �.В. Методиче�кие рекомендации по �удебно-�к�пертному и��ледованию баз данных "1С:Предпри�тие" вер�ии 7.7. и 8.х
* Юрин И.Ю. Ра�шифровка кода тро�н�ких программ, напи�анных на �зыке JavaScript

Техниче�ка� документаци�
* Коршунов В.Г. �нализ кода продукта дл� ОС Microsoft Windows

Эк�пертное программное обе�печение
* Бежин �.�. И�пользование технологии "Hash Sets" при �к�пертном и��ледовании компьютерных но�ителей информации

Информационна� безопа�но�ть
* Баулин В.В. Рекомендации по и��ледованию журналов �обытий ОС Windows
* Гов�динова Л.�. �втоматизированный пои�к web-ре�ур�ов запрещенного и нежелательного �одержани�, определение �тепени их принадлежно�ти к тематике и контроль динамики их развити�

Комплек�на� �к�пертиза
* Шухнин М.�., Федулов О.И., Ковалюх Е.�. Критерии определени� возра�та лиц, запечатленных на порнографиче�ких изображени�х не�овершеннолетних

Книжна� полка
Из зала �уда
_________________
Компьютерно-техниче�ка� �к�пертиза.
http://computer-forensics-lab.org


�а�ледники Холм�а. �збука криминали�тики.
http://www.abckrim.ru/forum/