DeFacto

Обсуждение программного обеспечения разработанного Национальным центром по борьбе с преступлениями в сфере высоких технологий (NHTCU.ru)

Модератор: VPZ

Сообщение Igor Mikhaylov » 26 дек 2008, 18:55

Исполняемый модуль программы обновлен с версии 1.36 до версии 1.37

База знаний обновлена с версии 39 до версии 40
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Сообщение VPZ » 26 дек 2008, 20:18

Последние изменения в программе:

1.37
+ Новый отчет "Приложение к протоколу ОРМ" предназначенный для сотрудников оперативных подразделений.

1.36
+ Добавлено детектирование возможного применения средств обхода защиты от копирования для Microsoft Windows XP, таких как wpa_kill и др.

1.35
+ Добавлено отображение ключа и кода продукта для Microsoft SQL Server, а также определение редакции и даты установки при помощи кодированного ключа реестра "checksum".

1.35
+ Коррекция эвристических алгоритмов.

1.34
* Учет часового пояса при определении времени установки.

1.33
+ Коррекция эвристических алгоритмов.

1.32
+ Добавлено автоматическое распознавание русской кодировки при просмотре текстовых файлов.

1.31
+ Добавлено определение параметра "дистрибутив" для Microsoft Windows.

1.30
+ Добавлен экспорт проверенных ключей в файл Excel.

Также в каждой версии происходит пополнение базы знаний.
Аватара пользователя
VPZ
Член клуба
 
Сообщения: 486
Зарегистрирован: 14 сен 2007, 00:56
Откуда: Махачкала, Республика Дагестан
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Сообщение Igor Mikhaylov » 26 дек 2008, 22:53

VPZ писал(а):Последние изменения в программе:

1.37
+ Новый отчет "Приложение к протоколу ОРМ" предназначенный для сотрудников оперативных подразделений.

Пример отчета "Приложение к протоколу ОРМ". Как из него видно, на исследуемом НЖМД в одном логическом разделе установлены две ОС: одна пиратская, а другая нет.

http://computer-forensics-lab.org/pdf/Defacto_OPM.zip

Фраза "порадовала":
"Список программного обеспечения, установленного на системном блоке персонального компьютера, имеющего идентификатор "Сводный отчет",..."
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Сообщение Igor Mikhaylov » 27 мар 2009, 14:12

Обновления DeFacto:
1.44
+ Обнаружение эмуляторов ключей защиты HASP. Отображается список эмулируемых ключей и, при наличии кода ключа в базе знаний, определяется
наименование продукта.
+ Полноценный инструмент для работы с реестром. Поддерживается поиск подстрок
во всех типах значений, в том числе двоичных, поиск по маске, просмотр
значений, экспорт веток и другие возможности.
* Исправлена ошибка при получении курса Евро.
* Пополнение базы знаний.

1.43
* Исправлена ошибка с определением ключа продукта Microsoft при наличии
нескольких одноименных продуктов.

1.42
+ Полноценная работа в среде Windows x64. Детектирование как 32-битного,
так и 64-битного программного обеспечения.
+ Добавлено отключаемое уведомление об устаревании базы знаний.
* Новый интерфейс автоматического обновления Defacto.
* Корректное использование настроек интернет-подключения при получении
курсов валют.
* Пополнение базы знаний.

1.41
+ Показ ключей для Ritlabs The BAT!.

1.40
* Доработан вызов установки/удаления программы.

1.39
+ Для программ установленных только в профилях конкретных пользователей,
реализовано отображение имен пользователей и соответствующего набора
атрибутов в иерархическом виде. Имя пользователя корректно определяется,
в том числе и для оффлайн носителей.
* Корректное определение наименований платформы 1С:Предприятие версии 7.
+ Выявление списка подключений к базам данных 1С версии 7 в разрезе
пользователей.
+ Возможность вызова установки/удаления программы напрямую из списка
найденных. Реализовано для локальных систем.

1.38
+ Возможность открыть сразу несколько сохраненных отчетов с их консолидацией.
+ Детальный отчет в формате XLS переработан для маскимальной "похожести" на
вид отображаемый в программе.
* Доработаны отчеты "Приложение к протоколу ОРМ" и другие.
* Прочие улучшения пользовательского интерфейса.
* Пополнение базы знаний.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Сообщение VPZ » 16 апр 2009, 21:43

1.46
+ Отображение источников информации (ключей реестра и файлов) на основаниии которых делается вывод о наличии продукта в системе.
+ Для продуктов, которые могут быть использованы при совершении компьютерных преступлений, таких как сканеры портов, перехватчики трафика или программы подбора паролей добавлена специальная отметка. Данная возможность доступна только в версиях для экспертов.
+ Добавлено отображение MRU (список последних открываемых файлов) для таких продуктов как WinRAR или 7-Zip. Данная возможность доступна только в версиях для экспертов.
* Пополнение базы знаний.

1.45
+ Обнаружение ключей продукта созданных при помощи генераторов ключей для продукта RitLabs The BAT!.
* Существенно ускорена работа с реестром Windows 9x.
* Исправление мелких ошибок.
* Пополнение базы знаний.

Другие новости - на сайте программы http://www.defacto-com.ru
National Hi-Tech Crime Unit.RU - http://www.nhtcu.ru
Аватара пользователя
VPZ
Член клуба
 
Сообщения: 486
Зарегистрирован: 14 сен 2007, 00:56
Откуда: Махачкала, Республика Дагестан
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Сообщение Evgen39 » 28 июл 2009, 18:58

Обсуждаем Defacto. Хочется поделиться информацией с коллегами по вопросам использования Defacto. В нашем регионе используется с осени 2008г. Реально вступила в бой ПО по уголовным делам в 2009г. Системные блоки приходится исследовать, так как операции "контрафакт" и прочие "путины" пока никто не отменял. Используем Defacto при производстве экспертиз (исследования не проводим категорически). "Жалоб" от судейских не было. Эксперт не решает вопросы по установлению признаков контрафактности, а в рамках КТЭ (КЭ) решает конкретные ситуационные задачи по исследованию ПО на НЖМД системных блоков. Для примера:
- определение установленного на НЖМД программного обеспечения;
- серийные номера;
- дата установки;
-иногда и стоимость продукта тоже бывает решающим фактором. Не буду описывать ТТХ. Ну и в завершении, ссылка на то, что установленный продукт имеет признаки нелегальной активации. В итоге - экспертиза становится неплохим подстопорьем в рассмотрении уголовного дела. Обновляется ПО регулярно. Сейчас - версия 1.52. Рекомендуем.
Evgen39
Член клуба
 
Сообщения: 25
Зарегистрирован: 02 апр 2008, 12:36
Откуда: СССР
Благодарил (а): 1 раз.
Поблагодарили: 0 раз.

Сообщение Igor Mikhaylov » 28 июл 2009, 19:30

Скинь мне образец экспертизы с использованием DeFacto (для личного потребления так сказать).
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Сообщение VPZ » 01 авг 2009, 00:54

Evgen39 писал(а):Используем Defacto при производстве экспертиз (исследования не проводим категорически). "Жалоб" от судейских не было.
...
В итоге - экспертиза становится неплохим подстопорьем в рассмотрении уголовного дела. Обновляется ПО регулярно. Сейчас - версия 1.52. Рекомендуем.

Спасибо за лестный отзыв! Мы и в дальнейшем будем прилагать все усилия, чтобы программа Defacto была удобна и полезна для всех своих пользователей.
National Hi-Tech Crime Unit.RU - http://www.nhtcu.ru
Аватара пользователя
VPZ
Член клуба
 
Сообщения: 486
Зарегистрирован: 14 сен 2007, 00:56
Откуда: Махачкала, Республика Дагестан
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Сообщение VPZ » 09 авг 2009, 10:55

Новое в программе:

1.52
+ Возможность запроса информации об обнаруженных продуктах у разработчиков Defacto.
+ Отображение подробной информации о клиенте терминального сервера Microsoft.
+ Определение количества клиентских лицензий (CAL) Windows Server при лицензировании "на сервер".
* Пополнение базы знаний.

1.49-1.51
+ Коррекция эвристических алгоритмов.
* Существенное пополнение базы знаний.

Другие новости - на сайте программы http://www.defacto-com.ru
National Hi-Tech Crime Unit.RU - http://www.nhtcu.ru
Аватара пользователя
VPZ
Член клуба
 
Сообщения: 486
Зарегистрирован: 14 сен 2007, 00:56
Откуда: Махачкала, Республика Дагестан
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Сообщение Igor Mikhaylov » 01 сен 2009, 09:14

Не могу обновить программу. Пишет:
"Соединение с узлом...
Ошибка: Socket Error #10051
Network is unreachable."
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Сообщение Владимир Коршунов » 01 сен 2009, 10:54

Ночью были технические неполадки с сетью. Сейчас все в порядке и работает в штатном режиме.
Владимир Коршунов
Член клуба
 
Сообщения: 23
Зарегистрирован: 27 май 2009, 11:48
Откуда: ИнфоБиС, Саратов
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Igor Mikhaylov » 02 сен 2009, 18:16

Есть вопрос по Windows 7.
Понятно, что сейчас любой желающий может скачать себе бесплатную копию Windows 7. Но, довольно большое хождение в народных массах получили ранние сборки Windows 7 распространяемые официально только среди официальных бета-тестеров и партнеров Microsoft. IMHO эти сборки Windows 7 необходимо считать пиратскими.
Определяет ли подобные версии DeFacto? Среди описаний поддерживаемых продуктов не нашел, что DeFacto поддерживает детектирование Windows 7.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6977
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 155 раз.

Сообщение Владимир Коршунов » 03 сен 2009, 10:45

Ранние бета сборки Windows 7 идентифицировали себя как Windows Vista, поскольку версию системы в Microsoft еще не поменяли. В сборках, начиная с RC, версия уже сменилась и Defacto, на данный момент, определяет их по текстовому само-наименованию, которое присутствует в реестре начиная с Vist'ы. Таким образом название продукта определяется верно, но цены на него - нет. В ближайшее время планируется добавить все варианты редакций Seven с ценами.

Насчет того, считать ли бета версии пиратскими - сложный вопрос, поскольку некоторые бета версии распространялись также и публично. И считать, что это нарушение лицензии, видимо, не совсем корректно. Я думаю, что можно постепенно добавлять в базу те ключи активации, которые получили распространение. А новых ключей активации для бета версий уже не будет.
Владимир Коршунов
Член клуба
 
Сообщения: 23
Зарегистрирован: 27 май 2009, 11:48
Откуда: ИнфоБиС, Саратов
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Владимир Коршунов » 16 сен 2009, 16:50

В новой версии Defacto реализована функция просмотра и анализа запускаемых пользователем файлов. Анализируются пользовательские ярлыки, Prefetch и UserAssist.

Строится таблица, доступная через пункт меню "Вид->Запускаемые файлы", в которую собираются сведения о пути к файлу, его наличии в системе, дате последнего запуска и общем числе запусков.

Запускаемые ярлыки анализируются, извлекается информация о пути к исполняемому файлу, что позволяет объединить в одну группу ярлыки и сами исполняемые файлы. Полученные данные сопоставляются с данными об обнаруженных продуктах, на основании чего в продукт добавляется информация о последнем запуске, а у исполняемого файла ставится метка о сопоставлении с продуктом.

Также обнаруживаюся продукты, которые не имеют следов в реестре, но представлены исполняемым файлом и описаны в базе знаний.

http://defacto-com.ru/index.php?page=news#15.09.2009
Владимир Коршунов
Член клуба
 
Сообщения: 23
Зарегистрирован: 27 май 2009, 11:48
Откуда: ИнфоБиС, Саратов
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Evgen39 » 16 сен 2009, 21:25

Уважаемые разработчики, есть небольшое пожелание. Возможно ли пополнить базу знаний Defacto информацией о таком продукте, как "Компас 3D". Думаю, что тема актуальная, на мой взгляд. Спасибо.
Evgen39
Член клуба
 
Сообщения: 25
Зарегистрирован: 02 апр 2008, 12:36
Откуда: СССР
Благодарил (а): 1 раз.
Поблагодарили: 0 раз.

Пред.След.

Вернуться в Программное обеспечение Центра

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron