Практические основы компьютерно-технической экспертизы

Обсуждение методического обеспечения разработанного Национальным центром по борьбе с преступлениями в сфере высоких технологий (NHTCU.ru)

Модератор: VPZ

Сообщение VPZ » 14 сен 2007, 19:39

Dima Kiselev писал(а):Очень надеюсь, что появиться второе издание книги, в котором будут исправлены найденные ошибки и будут добавлены новые методы решения поставленных задач. Например: исследование баз данных бухгалтерских программ.

Если будет спрос - можно и переиздать. А тратить на книгу время зная, что она никому не нужна, как-то не хочется.
Но это не значит, что мы не будем самосовершенствоваться и заниматься исследованиями, аналитикой, обработкой информации.
Один из перспективных (на мой взгляд) методов - взять какую-то тему, покрутить ее со всех сторон и опубликовать как отдельную статью в журнале. А то пока копишь материал на книгу часть его морально устаревает.

А тема бухгалтерских программ - это отдельная песня.

Dima Kiselev писал(а):Думаю, для лучшего результата в будущем можно организовать предвартельную вычитку ошибок книги перед изданием силами участников этого форума. Можно воспользоваться методом предложенным на этом форуме: http://www.phantom.sannata.ru/cgi-bin/s ... gi?forum=5. Я буду рад помочь.

На указанном форуме без регистрации ничего не показывают.
А для того, чтобы материала было много, разностороннего, достоверного - надо объединяться в большие группы и работать над материалом.
Аватара пользователя
VPZ
Член клуба
 
Сообщения: 486
Зарегистрирован: 14 сен 2007, 00:56
Откуда: Махачкала, Республика Дагестан
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Сообщение Dima Kiselev » 14 сен 2007, 19:42

Насчет ссылки. Точка в конце лишная получилась.
http://www.phantom.sannata.ru/cgi-bin/s ... gi?forum=5
Dima Kiselev
Член клуба
 
Сообщения: 22
Зарегистрирован: 07 сен 2007, 15:15
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Marat » 14 сен 2007, 22:23

VPZ,
Даже если авторы и будут доплачивать за найденные баги, то явно не Вам Ибо этот баг был найден до Вас, признан мной и включен в лист с исправлениями.

здесь несколько моментов-
первое-мне доплачивать у Вас денег не хватит.
второе-за право первенства обнаруженных ошибок не борюсь,мне по барабану.
третье-признаете Вы эту ошибку или нет,мне так же фиолетово,по причине того что она есть и задокументирована ;)
четвертое-ой,а слово-то какое милое нашли-баг.Это что не хватает духа ошибки признавать?
пятое-Вас вместе с соавторами ткнули носом в Ваши грубые ошибки-Вы вместо того чтобы просто поблагодарить-петляете как лань по кукурузе :) Некрасиво это.

По существу.
Таких грубых ошибок в этом шедевре-пруд пруди.
кому интересно обращайтесь.
Хотя по хорошему там статью нужно писать и тыкать авторов носом в их некомпетентность по некоторым вопросам.
Marat
Член клуба
 
Сообщения: 83
Зарегистрирован: 31 авг 2007, 12:52
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Dima Kiselev » 14 сен 2007, 23:15

ТО авторам: Схема вычитки используемая участниками форума по выше указанной мной ссылке.

Пока Piligrim не в сети, а вопросы уже возникают, расскажу как проходил процесс вычитки РО:

1) Работа шла поглавно (хотя за раз шли не по одной, а по 2-3 главы)

2) Документ был Word'овского формата и перед началом изменений включался режим "Исправление" (в англ.версии "Track changes" ) - это позволяет выделять цветом вносимые изменения и в специальном окне писать комментарии к этим изменениям.

3) Повторы слов выделяли цветом фона, свои комменты в самом тексте писали в угловых скобках, а в начале писали инициалы - так удобнее было искать. Пример: <EA: текст коммента>

3) Поначалу вычитку РО координировал я, поэтому файлы с правками высылались мне, я добавлял свои, удалял 100%-неверные правки или же комментировал рядом и подобные спорные моменты обсуждали на форуме. После этого конечный результат посылался уже Сергею.

Пример одного из таких правленных файлов из РО можно посмотреть по ссылке http://ealexash.narod.ru/RO/RO2ch3.zip


Единственное, глядя на те обсуждения КА в существующих темах, хотелось бы сказать, что стоит быть лаконичными и помнить - мы не пишем свою книгу, мы только вычитываем. Попытки разводить большие дискуссии только застопорят работу. Явные ошибки или логические несостыковки больших споров не вызывают.
Это уже проверено и предложил бы принять за аксиому.

Upd:
тут по аське немного поговорили - наверное, лучше не одним кагалом, а разбиться на тройки и уже там использовать описанный выше проце
Dima Kiselev
Член клуба
 
Сообщения: 22
Зарегистрирован: 07 сен 2007, 15:15
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Igor Mikhaylov » 15 сен 2007, 06:45

VPZ писал(а):Зачем писать дважды, если это одно и то же? Будет тавтология. Практически все источники признают, что swap=pagefile.
Например тут: http://en.wikipedia.org/wiki/Virtual_memory
"swap file is named pagefile.sys"

После первого упоминания SWAP файла дайте расшифровку, что под SWAP также подразумеваете и pagefile.sys и далее в работе используйте только термин SWAP - вопросов не будет.

VPZ писал(а):пункт Б - может и были, но никаких даже зацепок не найдено.

Вот-вот. Может и были ;) А эксперт, наученный книжкой, делает категоричный вывод - небыло никогда.
Чувствуете разницу?

VPZ писал(а):А тут что не так?

Ну нравится мне это слово.

Анекдот:
"На одного мужика вдруг посыпались несчастья: жена ушла, машина разбилась, квартиру ограбили, дача сгорела... Упал он на колени и взмолился: - Господи, за что! Тут разверзлись небеса и громовый голос ответил: - Ну не нравишься ты мне, понял?"

VPZ писал(а):Kazalyzer умеет работать только с журналами пиринговых программ, к index.dat он отношения не имеет.

А описанные программы : Email Grabber v1.0.0.9; DCode; IPNetInfo v1.04; BatLog; Icq History Reader v1.8f - значит имеют отношение к index.dat? Изображение
Не знал. Удивлен.

VPZ писал(а):Не забывайте, что книга - это всего лишь книга, а не заключение эксперта. Хотя этот глюк, конечно же, будет учтен.

Стр.137
"Также файл может иметь копии в архивах, в разных каталогах одного или нескольких жестких дисков, на компакт дисках или дискетах."
ИМХО Правильно написанное предложение должно выглядеть так: Также файл может иметь копии в архивных файлах, в разных каталогах одного или нескольких НЖМД, на оптических накопителях или НГМД. Изображение
Кажется, термин "дискета" (в каком-то склонении) еще раз проскакивает в тексте книги (правильно надо писать - НГМД). Где проскакивает - не помню.

VPZ писал(а):На последнем семинаре ЭКЦ один из участников высказал свою точку зрения, которую руководство ЭКЦ не оспорило и не опровергло (т.е. по умолчанию согласилось). Сводилась мысль к тому, что эксперт обязан пользоваться не только лицензионным софтом, но и сертифицированным железом (по сути - белой сборки, а не кустарной). В противном случае его экспертизе грош цена.

Не уточняли что участник вкладывает в понятие "сертификации железа"? Сертификацию на предмет содержания СО в выхлопных газах системного блока?

VPZ писал(а):На указанном форуме без регистрации ничего не показывают.

"Не мы такие, жизнь такая."

Dima Kiselev писал(а):наверное, лучше не одним кагалом, а разбиться на тройки и уже там использовать описанный выше проце

Можете предложить кто будет входить в тройки (составы троек)?

VPZ писал(а):Вы видели фамилию корректора в выходных данных? Нет.
Книга издана в авторской редакции. А у семи нянек, как известно, дитя без глаза.

Почему бы, тогда, авторам не сделать выводы и не нанять профессионального корректора?
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Сообщение Igor Mikhaylov » 15 сен 2007, 08:19

Теперь приступим к дальнейшему обсуждению книги.

ИМХО многие проблемы авторов связаны с их желанием дать категоричные выводы там, где надо давать выводы с оговорками.
Файлы .LNK
Стр.102 "При открытии любых файлов средствами операционной системы Windows ею создаются файлы ссылок на открываемый файлы, имеющие расширение ".LNK"."
Т.е., на мой взгляд, авторами подразумевается, что файлы ссылок создаются только при открытии файлов "средствами ОС Windows". Также из приведенной фразы следует, что OC Windows создает файлы ссылок только при открытии файлов "средствами ОС Windows".
А, извините, при открытии файлов не "средствами ОС WIndows" эти файлы не создаются? Пример, открытие файлов .PDF не "средством ОС Windows" - Acrobat Reader. Разве при этом не образуется файл ссылки? Что в этом случае, создает файл ссылки (если не ОС Windows)? Почему про это в книге ничего не сказано?

Файл SETUPAPI.LOG и системные журналы Windows
Теперь, п.1.8. Компьютерно-техническое исследование машинного носителя информации: установление накопителей данных , которые подключались к системному блоку ПК. (начало - стр.102).
В книге имеется категоричное утверждение:
Стр.119 "Каждое подключение накопителя данных (в том числе типа USB FLASH DRIVE) порождает необходимость обработки .inf-файла, о чем делается запись в журнале SETUPAPI.LOG с указанием даты и времени, когда такое подключение осуществлялось."
Стр.124 "Для решения задачи установления факта и времени подключения накопителей данных, необходимо отсортировать события по источнику (Source). После этого найти группу событий, источником которых послужила сервисная программа работы с извлекаемыми устройствами памяти (Removable Storage Service)."

В настоящий момент данные утверждения являются дискуссионными. Надо набрать эмпирическую базу. Убедительная просьба к участникам форума попробовать поподключать к своим компьютерам сменные накопители и просмотреть файл setupapi.log и системные журналы на предмет появления в них соответствующих записей. О результатах написать здесь (на форуме).
Например у меня получилось так:
Windows XP Home SP2 RUS - подключал две флэшки: Aqua (1Гб), my flash (фирмы AData, 4Гб) - появление соответствующих записей в файле setupapi.log и системных журналов не зафиксировано.
Windows Professional SP2 ENG (Corp.) - подключал две флэшки: Aqua (1Гб), my flash (фирмы AData, 4Гб) - появление соответствующих записей в файле setupapi.log и системных журналов не зафиксировано.
Вечерком еще попробую над Vista поиздеваться.

стр.110 п.7
Вопрос: Что авторы подразумевают под последней установкой ОС?
(т.е. установка XP поверх XP, установка ХР поверх 98, или отформатировали и поставили XP)

стр.111
Link Editor - сделай сам файл ссылки какой тебе надо?
Информативность Илл.1.8.2 - удручает. :(
Про корректность работы подобных программ с русскими именами папок/файлов вообще молчу.


стр.112
Прочитайте Примечание (на самом верху под картинкой). Авторы призывают не использовать специализированное ПО для производства экспертиз! БЛЕСК!!!

стр.125
"...детально знать формат искомого файла..."
Как показывает практика:
1)Детально знать формат многих искомых файлов невозможно - хотя бы потому что они не опубликованы в открытых источниках.
2)Как правило, для поиска файлов, достаточно знать только сигнатуру заголовка файла.


стр.133
Вообще, страница 133 - это в "Гостях у сказки" (вариант для экспертов).

стр.133 п.2. Назовите мне серому название этой чудо-программы? Хочу! Хочу! Хочу! Я с удовольствием включу ее в свой экспертный арсенал.

стр.133 п.3 ИМХо вопрос в настоящий момент дискуссионный. Но, есть мнение, что данное свойство (включение миниатюры в графический файл) более характерно для цифровых фотоаппаратов чем для графических редакторов. Прошу проиллюстрировать пример внедрения миниатюры в графический файл, с помощью такого широко распространненного графического редактора как Paint. Кроме того,какие это такие "многие графические редакторы", обладающие подобными функциями ( Photoshop - не называть)?

"В случае если графический файл был удален, и его фрагменты были невосстановимо перезаписаны другими файлами, миниатюра может оставаться в сохранности и должна быть обнаружена программой поиска."
Перевожу на русский цитированное: т.е. в удаленном графическом файле миниатюра может быть а может и не быть (невосстановимо перезаписана), но эксперт ее обязан найти по любому.

Ну напишите по-русски:
В случае если графический файл был удален, и его фрагменты были невосстановимо перезаписаны другими файлами, миниатюра может оставаться в сохранности и может быть обнаружена программой поиска.

Гм. Ранее (стр.133 п.2) указывалась чудо-программа для просмотра графики, теперь (стр.133 п.3) чудо-программа восстанавливающая невосстановимые данные (невосстановимо перезаписанные миниатюры). Авторы интригуют все больше и больше.

стр.133 п.4 Авторы скромно промолчали про нетрадиционные способы :lol:
Последний раз редактировалось Igor Mikhaylov 15 сен 2007, 11:19, всего редактировалось 1 раз.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Сообщение Igor Mikhaylov » 15 сен 2007, 11:18

стр.134 п.6
Searchit - этой программе - сто лет в обед. ИМХО в современных архивных файлах (напр. .rar), не говоря уже о запароленных архивных файлах она ничего не найдет.

стр.134 п.6 со слов: "Более сложный случай...". Случай действительно более сложный:
1)Первое предложение по смыслу не стыкуется со вторым.
2)Рассматриваются только .DOC файлы. Про существование файлов .PDF, .MDB, .PPT, .XLS авторы "забывают".

стр.144
ошибку уже обсудили - к ней не возвращаемся. Но желающие могут поискать ;)
Кроме того, файловая система тоже содержит метаданные. Без уточнения не совсем понятно о каких метаданных идет речь.

стр.159 п.2.1
"В целях подключения и работы в сети Интернет пользователю необходимо установить оборудование (модем) для дозвона до провайдера и работы в сети."
Ой ли? Мне для подключения в Интернет достаточно наличия сетевой карты в компьютере.
Т.е. часть провайдеров предоставляет доступ в Интернет через свои локальные сети. Кроме того, в городе есть провайдер который при подключении выдает модемы - в него (модем) провод от сетевой втыкаешь и все (в системе ничего прописывать не надо ( IP, DNS - получить автоматически) и в системе вообще никаких сведений о модеме нет).


стр.170
"Эти действия сопровождаются характерным изменением файловой структуры на НЖМД..."
Авторы могут пояснить что они имеют в виду? "Характерные изменения файловой структуры" - это что? Преобразование NTFS в EXT2?
Еще вопрос авторам: Как при работе программы Оpera меняется содержимое журналов,системных и служебных файлов?

стр.125
"Файл подкачки в операционных системах Windows 2000, XP зарегистрирован в корневом каталоге системного диска и имеет имя PAGEFILE.SYS".
RTFM Как переместить файл подкачки в Microsoft Windows XP
http://support.microsoft.com/kb/307886/
Последний раз редактировалось Igor Mikhaylov 15 сен 2007, 12:26, всего редактировалось 1 раз.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Сообщение VPZ » 15 сен 2007, 12:03

Igor Michailov писал(а):
VPZ писал(а):Kazalyzer умеет работать только с журналами пиринговых программ, к index.dat он отношения не имеет.

А описанные программы : Email Grabber v1.0.0.9; DCode; IPNetInfo v1.04; BatLog; Icq History Reader v1.8f - значит имеют отношение к index.dat? Изображение
Не знал. Удивлен.

А где в книге написано, что эти перечисленные программы вообще имеют хоть какое-то отношение к исследованию Index.dat? У меня складывается впечатление, что мы обсуждаем разные книги...
Вообще впервые слово "Kazalyzer" было упомянуто в контексте с "index.dat" именно на этом форуме:
Igor Michailov писал(а):Стр.183. На основании имеющейся у меня информации о IndexDat, считаю, что ее корректнее сравнивать с Pasco чем c CacheExplorer II. Неупоминание таких программ как: NetAnalisys, Kazalyzer– вызывает удивление.

Если просто хочется показать знания названий различных программ, то в книге не описано еще примерно 99 гигабайт программ из числа тех, которые имеются в Вашей коллекции "экспертного" софта.

Igor Michailov писал(а):
VPZ писал(а):На последнем семинаре ЭКЦ один из участников высказал свою точку зрения, которую руководство ЭКЦ не оспорило и не опровергло (т.е. по умолчанию согласилось). Сводилась мысль к тому, что эксперт обязан пользоваться не только лицензионным софтом, но и сертифицированным железом (по сути - белой сборки, а не кустарной). В противном случае его экспертизе грош цена.

Не уточняли что участник вкладывает в понятие "сертификации железа"? Сертификацию на предмет содержания СО в выхлопных газах системного блока?

Поясняю - наличие сертификата соответствия на все оборудование (компьютер, линейку, и т.п.), которым пользуется эксперт при производстве экспертизы.

Igor Michailov писал(а):
VPZ писал(а):Вы видели фамилию корректора в выходных данных? Нет.
Книга издана в авторской редакции. А у семи нянек, как известно, дитя без глаза.

Почему бы, тогда, авторам не сделать выводы и не нанять профессионального корректора?

А нужно ли что-то переиздавать? Кроме негатива от издания книги я еще ничего не видел.
Аватара пользователя
VPZ
Член клуба
 
Сообщения: 486
Зарегистрирован: 14 сен 2007, 00:56
Откуда: Махачкала, Республика Дагестан
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Сообщение VPZ » 15 сен 2007, 12:08

Marat писал(а):VPZ,
Даже если авторы и будут доплачивать за найденные баги, то явно не Вам Ибо этот баг был найден до Вас, признан мной и включен в лист с исправлениями.

здесь несколько моментов-
первое-мне доплачивать у Вас денег не хватит.
второе-за право первенства обнаруженных ошибок не борюсь,мне по барабану.
третье-признаете Вы эту ошибку или нет,мне так же фиолетово,по причине того что она есть и задокументирована ;)
четвертое-ой,а слово-то какое милое нашли-баг.Это что не хватает духа ошибки признавать?
пятое-Вас вместе с соавторами ткнули носом в Ваши грубые ошибки-Вы вместо того чтобы просто поблагодарить-петляете как лань по кукурузе :) Некрасиво это.

Неконструктивно. Написать столько буков только для демонстрации "пантов"...
Кому надо авторы уже сказали и _написали_ свое большое человеческое СПАСИБО.

Marat писал(а):По существу.
Таких грубых ошибок в этом шедевре-пруд пруди.
кому интересно обращайтесь.
Хотя по хорошему там статью нужно писать и тыкать авторов носом в их некомпетентность по некоторым вопросам.

Не ошибается только тот, кто ничего не делает.
Аватара пользователя
VPZ
Член клуба
 
Сообщения: 486
Зарегистрирован: 14 сен 2007, 00:56
Откуда: Махачкала, Республика Дагестан
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Сообщение VPZ » 15 сен 2007, 13:17

Igor Michailov писал(а):Файлы .LNK
Стр.102 "При открытии любых файлов средствами операционной системы Windows ею создаются файлы ссылок на открываемый файлы, имеющие расширение ".LNK"."
Т.е., на мой взгляд, авторами подразумевается, что файлы ссылок создаются только при открытии файлов "средствами ОС Windows". Также из приведенной фразы следует, что OC Windows создает файлы ссылок только при открытии файлов "средствами ОС Windows".
А, извините, при открытии файлов не "средствами ОС WIndows" эти файлы не создаются? Пример, открытие файлов .PDF не "средством ОС Windows" - Acrobat Reader. Разве при этом не образуется файл ссылки? Что в этом случае, создает файл ссылки (если не ОС Windows)? Почему про это в книге ничего не сказано?

Соответствующая правка внесена, про нее Вам известно, и она закрывает данный вопрос.

Igor Michailov писал(а):Windows Professional SP2 ENG (Corp.)

Не знаю такой операционной системы.

Igor Michailov писал(а):стр.112
Прочитайте Примечание (на самом верху под картинкой). Авторы призывают не использовать специализированное ПО для производства экспертиз! БЛЕСК!!!

Слово "специализированное" написано в книге в кавычках не случайно.

Igor Michailov писал(а):стр.125
"...детально знать формат искомого файла..."
Как показывает практика:
1)Детально знать формат многих искомых файлов невозможно - хотя бы потому что они не опубликованы в открытых источниках.
2)Как правило, для поиска файлов, достаточно знать только сигнатуру заголовка файла.

Рассматривается "общий случай", а не частности из разряда "как правило".

Ранее Вы писали:
Igor Michailov писал(а):Стр.102 Пишется про SWAP- файл а про pagefile.sys забыли (далее по тексту часто упоминается SWAP и довольно редко pagefile.sys).

Если бы Вы дочитали до 125 страницы, то обнаружили бы, что на ней как раз и рассказывается про файлы подкачки.

Igor Michailov писал(а):стр.133 п.2. Назовите мне серому название этой чудо-программы? Хочу! Хочу! Хочу! Я с удовольствием включу ее в свой экспертный арсенал.

Неужели среди 100гигабайт "экспертного" софта не нашлось ничего подходящего?

Igor Michailov писал(а):стр.133 п.3 ИМХо вопрос в настоящий момент дискуссионный. Но, есть мнение, что данное свойство (включение миниатюры в графический файл) более характерно для цифровых фотоаппаратов чем для графических редакторов. Прошу проиллюстрировать пример внедрения миниатюры в графический файл, с помощью такого широко распространненного графического редактора как Paint. Кроме того,какие это такие "многие графические редакторы", обладающие подобными функциями ( Photoshop - не называть)?

Прогресс налицо. Еще вчера Вы отрицали сам факт помещения миниатюр графическими редакторами, а сегодня Фотошоп уже в белом списке... ;-)

Igor Michailov писал(а):"В случае если графический файл был удален, и его фрагменты были невосстановимо перезаписаны другими файлами, миниатюра может оставаться в сохранности и должна быть обнаружена программой поиска."
Перевожу на русский цитированное: т.е. в удаленном графическом файле миниатюра может быть а может и не быть (невосстановимо перезаписана), но эксперт ее обязан найти по любому.

Лично я читаю как "может и должна", т.е. если сохранилась, то будет обнаружена.
Аватара пользователя
VPZ
Член клуба
 
Сообщения: 486
Зарегистрирован: 14 сен 2007, 00:56
Откуда: Махачкала, Республика Дагестан
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Сообщение VPZ » 15 сен 2007, 13:37

Igor Michailov писал(а):стр.134 п.6
Searchit - этой программе - сто лет в обед.

написано "типа ... Searchit"

Igor Michailov писал(а):ИМХО в современных архивных файлах (напр. .rar), не говоря уже о запароленных архивных файлах она ничего не найдет.

Назовите такие, которые ищут в запароленных архивах ;-)

Igor Michailov писал(а):стр.134 п.6 со слов: "Более сложный случай...". Случай действительно более сложный:
1)Первое предложение по смыслу не стыкуется со вторым.

Что именно не стыкуется?

Igor Michailov писал(а):2)Рассматриваются только .DOC файлы. Про существование файлов .PDF, .MDB, .PPT, .XLS авторы "забывают".

Написано же - "например".

Остальное - либо не ко мне, либо неконструктивно, либо примем к сведению.
Аватара пользователя
VPZ
Член клуба
 
Сообщения: 486
Зарегистрирован: 14 сен 2007, 00:56
Откуда: Махачкала, Республика Дагестан
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Сообщение VPZ » 15 сен 2007, 16:04

Igor Michailov писал(а):Стр.137
"Также файл может иметь копии в архивах, в разных каталогах одного или нескольких жестких дисков, на компакт дисках или дискетах."
ИМХО Правильно написанное предложение должно выглядеть так: Также файл может иметь копии в архивных файлах, в разных каталогах одного или нескольких НЖМД, на оптических накопителях или НГМД. Изображение
Кажется, термин "дискета" (в каком-то склонении) еще раз проскакивает в тексте книги (правильно надо писать - НГМД). Где проскакивает - не помню.

Проверил: "дискета" - это гостированное понятие. Поэтому его употребление вполне уместно.
Аватара пользователя
VPZ
Член клуба
 
Сообщения: 486
Зарегистрирован: 14 сен 2007, 00:56
Откуда: Махачкала, Республика Дагестан
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Сообщение Marat » 15 сен 2007, 16:08

VPZ
Неконструктивно. Написать столько буков только для демонстрации "пантов"...
Кому надо авторы уже сказали и _написали_ свое большое человеческое СПАСИБО.


Понты-стоят дорого ;)
И уж гораздо конструктивнее написать столько букв в книге,что бы показать незнание элементарных вещей.

Можно поинтересоваться кому сказали -спасибо?
Marat
Член клуба
 
Сообщения: 83
Зарегистрирован: 31 авг 2007, 12:52
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Gosha Incubus » 17 сен 2007, 03:40

Респект авторам Практические основы компьютерно-технической экспертизы.
Практикующим экспертам заниматься написанием, не то что книги, статьи - по времени архипроблемматично!
Опять же, опытный эксперт в состоянии отобрать зерна от плевел (увидеть ошибки).
Начинающему эксперту надо использовать для получения базовых знаний не один источник. И тут... Усов, Россинская, Усов&Россинская, Костин, англоязычные издания ... да, все, по большому счету.
К тому же, как правило, начинающие начинают (сорьте за тфтлг) под руководством наставника, проходят стажировку и т.д.
А нужно ли что-то переиздавать? Кроме негатива от издания книги я еще ничего не видел.

Переиздания с иправлениями и дополнениями нужны.
VPZ Вы же сами понимаете , что занимаетесь общественно-полезным делом.
Я так понимаю, что тотже коллектив авторов участвует в следующих проектах:
подготовлены и планируется к выпуску (печати) в 2007 году 3 книги по СКТЭ (в серии «Библиотека судебного эксперта», издательство «Наука»):
КНИГА 1: методическое пособие «Производство СКТЭ» (15 т.л.), включающая: «Производство СКТЭ. Общая часть» и «Специализированный толковый словарь компьютерной лексики для экспертов СКТЭ» (коллектив авторов РФЦСЭ);
КНИГА 2: методическое пособие «Комплексная экспертиза. Особенности выполнения исследования экспертом СКТЭ» (12 т.л.), включающее: «Комплексная экспертиза. Особенности выполнения исследования экспертом СКТЭ» (методическое пособие), «Методические основы комплексной компьютерно-технической и технико-криминалистической экспертизы документов», методика «Определение стоимости компьютерных средств с учетом фактического состояниям (методика по установлению рыночной стоимости товара 84, 85 групп ТН ВЭД (компьютеры, коммуникационные системы, аппаратура передающая для сотовых сетей связи) с учетом его фактического состояния», информационные письма «О производстве судебных экспертиз в судебно-экспертных учреждениях Министерства юстиции Российской Федерации по делам, связанным с применением законодательства об авторском праве и смежных правах» и «Об определении классификационной принадлежности некоторых сложных технических устройств бытового назначения» (коллективы авторов РФЦСЭ, Саратовского юридического института МВД России).
КНИГА 3: Методическое пособие «Аппаратно-технические исследования СКТЭ» (3 т.л.), включающее: «Диагностические и идентификационные исследования аппаратных средств при производстве СКТЭ» (методическое пособие, коллектив авторов РФЦСЭ). По мере издания экземпляры всех методических пособий поступят в учреждения СЭУ Минюста России и их положения можно будет применять в экспертной практике.
В 2008 году запланирован выпуск 4 книг по СКТЭ:
КНИГА 4: Методическое пособие «Информационные исследования объектов СКТЭ» (7 т.л.), включающее: «Основы защиты компьютерной информации», «Способы преодоления защиты компьютерной информации», «Порядок действий при решении экспертных задач по преодолению защиты информации», «Методические основы производства компьютерно-технической экспертизы по установлению обстоятельств работы пользователя в сети Интернет», «Описание пакета прикладных программ для решения задач судебной компьютерно-технической экспертизы» (коллективы авторов РФЦСЭ, Саратовского юридического института МВД России, Приволжского РЦ СЭ).
КНИГА 5: Методическое пособие «Информационные исследования объектов СКТЭ», включающие «Теоретические и методические основы производства судебной компьютерно-технической экспертизы по информационному исследованию файлов, содержащих изображения, для экспертов СЭУ Министерства юстиции Российской Федерации» (коллектив авторов РФЦСЭ и Саратовского юридического института МВД России).
КНИГА 6: Методические рекомендации «Проведение судебной компьютерно-технической экспертизы накопителей информации, с применением специализированного экспертного инструментария (программно-аппаратных комплексов: Encase 5.0, PS-3000 и Zert), для экспертов СЭУ Министерства юстиции Российской Федерации» (коллектив авторов Омского юридического института).
КНИГА 7: Методическое пособие «СКТЭ. Программно-техническая экспертиза» (коллектив авторов РФЦСЭ и Саратовского юридического института МВД России).
Ой, скорей бы уже :)
Вскрытие покажет...
Аватара пользователя
Gosha Incubus
Член клуба
 
Сообщения: 395
Зарегистрирован: 14 июн 2007, 12:18
Откуда: Хабаровск
Благодарил (а): 3 раз.
Поблагодарили: 1 раз.

Сообщение Igor Mikhaylov » 17 сен 2007, 05:22

Gosha Incubus писал(а):КНИГА 6: Методические рекомендации «Проведение судебной компьютерно-технической экспертизы накопителей информации, с применением специализированного экспертного инструментария (программно-аппаратных комплексов: Encase 5.0, PS-3000 и Zert), для экспертов СЭУ Министерства юстиции Российской Федерации» (коллектив авторов Омского юридического института).

Порадовало.
1)ИМХО Encase - это не программно-аппаратный комплекс. :wink:
2)ИМХО. К моменту выхода книги будет реализовываться линейка программных продуктов Encase 7 версии :lol: Я уже не говорю про то, что Encase 6 продается уже как 1,5 года. Смысл писать об устаревшем ПО которого к тому-же практически ни у кого уже нет (т.к. практически все легальные пользователи перешли на Encase 6)? Опишите уж лучше Encase 4. Её по крайней мере в сети в леченном виде можно найти ;)
3)"PS-3000" :lol: Да. Антиресно чего авторы там понапишут если они в названии продукта ошибки допускают? Правильное название - PC-3000. ИМХО. Не о нём надо говорить (т.к. PC-3000 - это средство ремонта накопителей) а об Data Extractor - программно-аппаратном средстве для извлечения пользовательской информации с поврежденных накопителей (http://www.acelab.ru/products/pc/dtextractor.html ). Или в Минюсте о таком устройстве никогда не слышали? ;)
4)Про ZERT вообще молчу. Ну не будет его Минюст поставлять в территориальные подразделения. Даже не надейтесь. Смысл писать о том чего ни у кого, кроме РФЦСЭ, нет и не будет?
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Пред.След.

Вернуться в Методическое обеспечение Центра

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron