Практические основы компьютерно-технической экспертизы

Обсуждение методического обеспечения разработанного Национальным центром по борьбе с преступлениями в сфере высоких технологий (NHTCU.ru)

Модератор: VPZ

Сообщение Gosha Incubus » 17 сен 2007, 09:55

Игорь, по поводу PS-3000 - опечатка в письме, которое пришло ко мне. По поводу DataExtractor - софтина пашет на основе программно-аппаратного комплекса PC-3000 (точнее только на аппаратной его части). В экспертной практике (Вы сами в курсе :) ) встречаются ситуации, когда полетела служебка. Ну, здоровый винт! А инфу с него не поднимеш просто так. Надо служебку лечить. Ну, согласитесь, что когда-никогда, а пригодиться. Хотя, в этом вопросе я отчасти солидарен с Азором, что эксперт должен заниматься исследованиями а не винты лечить. Ведь скачка и перепрошивка служебки - это разве не самостоятельный сбор, который под запретом.
По поводу Encase 5.0 - выход запланирован в следующем году во второй половине. К тому времени, я думаю, приведут вопрос в соответствие с современными потребностями.
Из доклада РФЦСЭ в Нижнем Новгороде.
Специализированное средство Zert, полученное (купленное) благодаря участию РФЦСЭ в рабочей группе по компьютерным технологиям ENFSI (FIT), в связи с узким кругом исследуемых объектов (модели цифровых дневников CASIO SF, CSF и NX), которые в экспертной практике встречаются крайне редко, не рекомендованы к применению во всех экспертных учреждениях и при производстве судебных экспертиз негосударственными экспертами.

Зачем об нем писать - АХЕЗ! Да пускай будет :lol: Жалко чтоль? Я говорю, было бы из чего выбирать, а выбрать-то уж как-нибудь... :)
Вскрытие покажет...
Аватара пользователя
Gosha Incubus
Член клуба
 
Сообщения: 395
Зарегистрирован: 14 июн 2007, 12:18
Откуда: Хабаровск
Благодарил (а): 3 раз.
Поблагодарили: 1 раз.

Сообщение SAV » 17 сен 2007, 10:15

Здравствуйте коллеги.
Недавно присоединился к этому форуму и текущая тема вызвала наибольший интерес.
Хотел бы выразить поддержку и благодарность авторам книги «Практические основы компьютерно-технической экспертизы». Соглашусь с Gosha Incubus, что каждый читатель воспринимает книгу в меру своей подготовленности. Несмотря на имеющиеся неточности и недочеты авторами был проделан огромный объем работы, который, я уверен, не пропадет зря. А вот обсуждение данной книги, как мне показалось, проходит несколько в негативной манере. Такое чувство, что читатели как заядлые тестировщики пытаются завалить программный продукт и радуются ошибкам авторов. Возможно, сказывается экспертный скептицизм, но уж слишком не конструктивно. Если таким образом преподносить критику, то обратной связи от авторов можно и не дождаться. На мой взгляд, главная цель критики – это работа над ошибками.

По последнему сообщению:
1) В состав EnCase входит Fast-Block, который является аппаратной частью программно-аппаратного комплекса EnCase.
2) Написать книгу о программном продукте, который еще не создан невозможно. Так же как и выпустить книгу о новом ПО, через месяц после релиза. Хотя можно русифицировать User Manual, но кому это нужно.
3) PC-3000. Ну зачем придираться к очипяткам

Стоит ли делиться на экспертов МВД и Минюста, форум вроде называется КОМПЬЮТЕРНО-ТЕХНИЧЕСКАЯ ЭКСПЕРТИЗА.
SAV
Член клуба
 
Сообщения: 1
Зарегистрирован: 12 сен 2007, 09:14
Откуда: Тула
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Igor Mikhaylov » 17 сен 2007, 14:16

SAV писал(а):Стоит ли делиться на экспертов МВД и Минюста, форум вроде называется КОМПЬЮТЕРНО-ТЕХНИЧЕСКАЯ ЭКСПЕРТИЗА.

Конечно не стоит. Полностью солидарен. Так, например, Igor Michailov не работает ни в Минюсте ни в МВД :wink: :lol:

SAV писал(а):2) Написать книгу о программном продукте, который еще не создан невозможно. Так же как и выпустить книгу о новом ПО, через месяц после релиза. Хотя можно русифицировать User Manual, но кому это нужно.

Да есть мануалы на русском. Есть. К Encase 4 и Encase 5 - точно есть. Вот для Encase 6 пока не видел (с другой стороны (мысль в слух) - т.к. я не являюсь пользователем Encase 6 - как я могу получить доступ к ее документации).

SAV писал(а):1) В состав EnCase входит Fast-Block, который является аппаратной частью программно-аппаратного комплекса EnCase.

FastBloc - выпускало как минимум две разных фирмы и ни одна из них не носила логотип Guidance Software :wink:
А о такой штуке как Neutrino Вы слышали?

SAV писал(а):А вот обсуждение данной книги, как мне показалось, проходит несколько в негативной манере. Такое чувство, что читатели как заядлые тестировщики пытаются завалить программный продукт и радуются ошибкам авторов.

Подробности в ПМ.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Сообщение VPZ » 17 сен 2007, 22:46

Igor Michailov писал(а):Смысл писать о том чего ни у кого, кроме РФЦСЭ, нет и не будет?

Лучше почитайте "коллектив авторов", и все станет понятно ;)
Аватара пользователя
VPZ
Член клуба
 
Сообщения: 486
Зарегистрирован: 14 сен 2007, 00:56
Откуда: Махачкала, Республика Дагестан
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Сообщение Igor Mikhaylov » 18 сен 2007, 04:57

VPZ писал(а):Лучше почитайте "коллектив авторов", и все станет понятно ;)

Честно говоря, прочитал: "...(коллектив авторов Омского юридического института)...". Понятнее не стало. А что, в Омске ZERT есть? Или они, как физики, будут писать о том чего никогда не видели? Воистину: "Keyboard not detected. Press F1 to continue..."

Есть небольшое пожелание авторскому коллективу- не забудьте в своей работе описать плагины для Encase: Image-Seeker for EnCase (http://www.ltutech.com/en/technology-an ... ncase.html ), Mercury (http://www.microforensics.com/pages/mercury.php), а также , Enscripts сторонних разработчиков:
http://www.geoffblack.com/forensics/
http://www.digitalinvestigations.ca/dow ... iptsV4.zip
PPB McCallum PettersonEnScript Suite http://www.ppb.co.nz/Forensic-Research.aspx
http://e-crime.on.ca
http://www.forensickb.com/

VPZ писал(а):Поясняю - наличие сертификата соответствия на все оборудование (компьютер, линейку, и т.п.), которым пользуется эксперт при производстве экспертизы.

Соответствия на что?
Последний раз редактировалось Igor Mikhaylov 18 сен 2007, 05:12, всего редактировалось 1 раз.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Сообщение VPZ » 18 сен 2007, 10:35

Igor Michailov писал(а):
VPZ писал(а):Поясняю - наличие сертификата соответствия на все оборудование (компьютер, линейку, и т.п.), которым пользуется эксперт при производстве экспертизы.

Соответствия на что?

что компьютер это компьютер, а не калькулятор.
Аватара пользователя
VPZ
Член клуба
 
Сообщения: 486
Зарегистрирован: 14 сен 2007, 00:56
Откуда: Махачкала, Республика Дагестан
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Сообщение Igor Mikhaylov » 18 сен 2007, 11:49

VPZ писал(а):что компьютер это компьютер, а не калькулятор.

Дурость всё это. И надо сказать честно - не от слишком большого ума.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Сообщение Gosha Incubus » 18 сен 2007, 13:26

Дурость всё это. И надо сказать честно - не от слишком большого ума.

Извиняюсь за коломбур :oops: : да не фига! Без бумажки, ты ка@#шка, а с бумажкой - молодец! То же самое сдесь. Отдельные шибко ушлые адвокатские личности (а то и обвинение, если не в их пользу выводы) требуют - а покажите на чем и с помощью чего делали экспертизу??? А где у вас сертификаты соответствия стандартам России, паспорт технического средства, акт аттестации, лицензии, акт апробации и, короче, т.д. и т.п. Там заманаешся от них отмахиваться. В суд, порой, вызывают только ради этих вопросов. Если надо дело развалить - все способы хороши. И дело тут не в наличии/отсутствии всех вышеперечисленных бумажек, а в готовности эксперта квалифичированно послать всех интересующихся в лес, кольца на пеньках считать! :twisted:
Вскрытие покажет...
Аватара пользователя
Gosha Incubus
Член клуба
 
Сообщения: 395
Зарегистрирован: 14 июн 2007, 12:18
Откуда: Хабаровск
Благодарил (а): 3 раз.
Поблагодарили: 1 раз.

Сообщение Igor Mikhaylov » 18 сен 2007, 16:27

А Вы не пробовали потребовать у них показать Вам пальчиком где это в УПК такое написано (про акты апробации, ежегодное прохождение тех.осмотра и прочую чушь)?

Есть и другое мнение. Надеюсь, Николай Николаевич меня простит, что здесь я его процитировал.
Источник: http://www.internet-law.ru/forum/index. ... eadid=2602
Экспертные инструменты и авторское право

Николай Николаевич Федотов писал(а):Вот, пришла мысль. Кто опровергнет?

Часто приходится слышать мнение, что все применяемые экспертом (специалистом) программные инструменты должны быть лицензионными. В противном случае, дескать, результаты экспертизы или следственного действия считаются полученными с нарушением закона и недопустимыми.

На самом деле, соответствующая норма (ст. 75 УПК) сформулирована так: "Доказательства, полученные с нарушением требований настоящего Кодекса, являются недопустимыми". То есть, не имеют юридической силы лишь те доказательства, при получении которых нарушались требования УПК, а не какого-либо иного закона.

Нарушает ли эксперт требования УПК, используя нелицензированную копию программы? Не нарушает, ибо УПК (глава 27) не содержит каких-либо требований к инструментам эксперта.

Нарушает ли эксперт законодательство об интеллектуальной собственности, используя нелицензированную копию программы? Оказывается, тоже нет. Статья 23 закона "Об авторском праве..." гласит: "Допускается без согласия автора и без выплаты авторского вознаграждения воспроизведение произведений для судебного производства в объёме, оправданном этой целью." Поэтому эксперт и специалист могут почти свободно использовать любой проприетарный софт, не опасаясь нареканий.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Сообщение Igor Mikhaylov » 22 сен 2007, 18:02

Gosha Incubus писал(а):В экспертной практике (Вы сами в курсе :) ) встречаются ситуации, когда полетела служебка. Ну, здоровый винт! А инфу с него не поднимеш просто так. Надо служебку лечить. Ну, согласитесь, что когда-никогда, а пригодиться. Хотя, в этом вопросе я отчасти солидарен с Азором, что эксперт должен заниматься исследованиями а не винты лечить.

С другой стороны, поврежденные накопители выступают ценным источником криминалистически значимой информации, т.к., как правило, их аварийный выход из строя препятствует удалению с них информации ценной с криминалистической точки зрения... :wink:
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Сообщение Gosha Incubus » 23 сен 2007, 07:30

Игорь, тебе наверняка попадались винты изъятые адекватно, но которые в процессе предварительного следствия либо не надлежащим образом хранившиеся, либо не ненадлежащим образом транспортировавшиеся, либо и то и другое (при транспортировки объекта в СЭУ у нарочных возникло непреодолимое желание сиграть винтом в футбол :twisted: ). А до изъятия винт был целехонек. Да, а еще перед изъятием злобный хакер (пока срезали металлическую дверь в его квартиру) успел вайпануть диск в три прохода. От засада. Винт подняли, а там тю-тю. И магнитного анализатора и в помине нет.
Вскрытие покажет...
Аватара пользователя
Gosha Incubus
Член клуба
 
Сообщения: 395
Зарегистрирован: 14 июн 2007, 12:18
Откуда: Хабаровск
Благодарил (а): 3 раз.
Поблагодарили: 1 раз.

Сообщение Igor Mikhaylov » 23 сен 2007, 07:43

Если до изъятия винт был цел но оказался поврежден в результате неправильного хранения/транспортировки - все можно сделать гораздо дешевле чем при использовании магнитного анализатора. А именно: бокс (миниатюрный аналог "чистой комнаты"), винт "донор". :wink:

Насчет перезаписи. Займись на досуге анализом того что оставляют вайперы после себя. Будешь сильно разочарован в их работе :wink:
Порой Интернет. Например, гарные украинские хлопци, предлагают восстановить информацию после однократной перезаписи за 3000грин. В образовательных целях, почитай работу Peter Gutmann. Secure Deletion of Data from Magnetic and Solid-State Memory.


Gosha Incubus писал(а):Да, а еще перед изъятием злобный хакер (пока срезали металлическую дверь в его квартиру) успел вайпануть диск в три прохода.

Они ее сутки что-ли срезали? :lol:
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Всем спасибо!

Сообщение J7_ » 30 окт 2008, 01:32

Наконец-то и я зарегистрировался :). Бедный И.Ю. - все шишки насобирал, пока в ветке существовал ;). Поставим памятник. Прижизненно ;)
Ну а в целом - все свои проблемы мы знаем, и не избежать нам их никак. Вот сейчас я в соавторстве новую книгу готовлю, там есть кусок про физическую геометрию НЖМД. Что, думаете, точная информация где про это есть? Про зонные таблицы, P-List, G-List и др.? Выбираю инфу по-крупицам, взаимно перепроверяю различные источники... Будут ошибки, конечно. Возможно, больше, чем хотелось бы. Но это уже база для доработки. Не будет этого - так все и останемся в прошлом, будем пересказывать методы исследования объектов изустным преданием у костра с шашлыками на 5-й Дачной :).
Так что нормально все идет. Сначала база с ошибками. Потом - конструктивная критика. Потом некоторый приемлемый для потомков вариант. Уже есть по чему молодежи учиться. А опытным экспертам - им идеи и подходы нужны, не более. Софт они сами найдут, и детализацию исследования придумают сами.
Спасибо всем! С огромным уважением.
P.S. Юрину в журнал писать не забывайте. Пусть и вас покритикует кто ;)
Только без фанатизма! (с) В.А. Мещеряков
Аватара пользователя
J7_
Член клуба
 
Сообщения: 1181
Зарегистрирован: 30 окт 2008, 00:29
Откуда: СК РФ
Благодарил (а): 0 раз.
Поблагодарили: 8 раз.

Re: Всем спасибо!

Сообщение kfv » 30 окт 2008, 08:25

Alex N. Yakovlev писал(а):Что, думаете, точная информация где про это есть? Про зонные таблицы, P-List, G-List и др.? Выбираю инфу по-крупицам, взаимно перепроверяю различные источники... Будут ошибки, конечно. Возможно, больше, чем хотелось бы. Но это уже база для доработки. Не будет этого - так все и останемся в прошлом, будем пересказывать методы исследования объектов изустным преданием у костра с шашлыками на 5-й Дачной :).
Так что нормально все идет. Сначала база с ошибками. Потом - конструктивная критика. Потом некоторый приемлемый для потомков вариант. Уже есть по чему молодежи учиться. А опытным экспертам - им идеи и подходы нужны, не более. Софт они сами найдут, и детализацию исследования придумают сами.
Спасибо всем! С огромным уважением.
P.S. Юрину в журнал писать не забывайте. Пусть и вас покритикует кто ;)


Информация существует и очень подробная (по каждой фирме и семейству в ней) - но она идет в комплекте с комплексом РС3000. Там есть все - и технологические режимы работы, описание работы электроники и программых модулей, структура служебки, программый и аппаратный ремонт и т.д. - более полной информации и в одном месте просто не существует . Ребята из айслаба собирали ее в течении десятилетий. Но по их лицензии вся эта информация принадлежит им.
Аватара пользователя
kfv
Член клуба
 
Сообщения: 766
Зарегистрирован: 23 янв 2008, 08:59
Откуда: Омск
Благодарил (а): 26 раз.
Поблагодарили: 30 раз.

Сообщение J7_ » 30 окт 2008, 22:38

Согласен со сказанным. Однако мы не имеем возможности в течение месяца переподготовки экспертов давать PC-3000 и сопутствующие знания в достойном того обьеме. Поэтому наше общее искусство - выбрать меру детализации проблемы, которая даст начинающему эксперту понятные, корректные и доступные пониманию знания. А продолжение - всегда последует :)
P.S. Из 15 человек, прибывающих на сборы с регионов, как минимум, один семейный врач, один оператор бурильных установок, пара учителей информатики и математики после пединститута (был даже учитель физкультуры). В целом треть имеет непрофильную подготовку (некоторые даже не знают, что такое электронная почта), лишь у 2/3 что-то подходящее в дипломе о высшем образовании. Это - реалии кадровой политики многих ЭКЦ. Именно в этих условиях мы вынуждены находить компромиссы между "азбукой" и уровнем документации к PC-3000.
Только без фанатизма! (с) В.А. Мещеряков
Аватара пользователя
J7_
Член клуба
 
Сообщения: 1181
Зарегистрирован: 30 окт 2008, 00:29
Откуда: СК РФ
Благодарил (а): 0 раз.
Поблагодарили: 8 раз.

Пред.След.

Вернуться в Методическое обеспечение Центра

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1