если эксперт не круче

Помощь в решении вопросов связанных с тематиками: судебная экспертиза, расследование компьютерных преступлений

если эксперт не круче

Сообщение лиля шульгина » 22 ноя 2011, 14:36

здравствуйте, господа эксперты!!!!


вопрос (от новичка)-может показаться тривиальным, но ситуация вполне реальна,
если эксперту поступил жесткий диск "злодея :twisted: "
и он большего объема, а у эксперта диск меньшего объема, что делать?????
отказаться от дачи заключения или можно чтото наковырять, используя """""подручные средства""""", :roll:
Аватара пользователя
лиля шульгина
Член клуба
 
Сообщения: 8
Зарегистрирован: 31 окт 2011, 13:35
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: если эксперт не круче

Сообщение Igor Mikhaylov » 22 ноя 2011, 17:30

Часть экспертов не клонируют накопители злодеев. И считают это правильным.

А в остальном, исследование физического накопителя (от исследования образа) не сильно отличается.

Также, можно клонировать накопители используя формат, для создаваемого образа, bit copy+ (и применять в процессе создания образа сжатие данных) или использовать внешние сетевые хранилища (с RAID большего объема).

По собственным наблюдениям, данные с накопителя со стандартного "офисного компьютера" легко сжимаются в десять раз (документы, базы 1С и т.п.).
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: если эксперт не круче

Сообщение Антипов Максим » 22 ноя 2011, 18:42

Есть такой формат хранения образов - Encase, дающий возможность снять только область НЖМД, занятую данными, игнорируя пустые сектора (в данном случае забитые нулями), и даже попытаться при снятии образа сжать и эти данные. Абсолютно бесплатная программка FTK Imager такие образы делать умеет. Причем она даже и под линуксом спокойно работает. Вот так, дешево и сердито, можно обеспечить сохранность объекта и снять образ на НЖМД меньшей емкости, чем исходный.
Не рой яму другому - пусть сам роет.
Аватара пользователя
Антипов Максим
Член клуба
 
Сообщения: 456
Зарегистрирован: 22 май 2009, 18:48
Откуда: Ставропольский край
Благодарил (а): 0 раз.
Поблагодарили: 6 раз.

Re: если эксперт не круче

Сообщение Igor Mikhaylov » 22 ноя 2011, 18:58

Меня терзают смутные сомнения, что Лиля путает программы для клонирования накопителей и программы для исследования оных.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: если эксперт не круче

Сообщение J7_ » 22 ноя 2011, 22:45

Лиле использовать Windows XP SP2, бесплатный программный блокиратор, шнурок за 700 руб. - и все будет нормально. )) Не нужен специальный чистый НЖМД.
Только без фанатизма! (с) В.А. Мещеряков
Аватара пользователя
J7_
Член клуба
 
Сообщения: 1181
Зарегистрирован: 30 окт 2008, 00:29
Откуда: СК РФ
Благодарил (а): 0 раз.
Поблагодарили: 8 раз.

Re: если эксперт не круче

Сообщение kfv » 23 ноя 2011, 10:47

Яковлев А.Н. писал(а):Лиле использовать Windows XP SP2, бесплатный программный блокиратор, шнурок за 700 руб. - и все будет нормально. )) Не нужен специальный чистый НЖМД.


Только исследовать в таком случае надо через энкейс или программы которые могут обойти права безопасности на диске, в случае если там NTFS (а это 99% NTFS - раз на стендовый компьютер образ не вмещается). В противном случаем много интересного можно упустить.
Сделайте образ в формате энкейса со сжатием - все нормальные программы его понимают, да и жмет бывает на офисных компьютерах в несколько раз от исходного.
Видишь суслика?
- Нет.
А он есть.
Аватара пользователя
kfv
Член клуба
 
Сообщения: 765
Зарегистрирован: 23 янв 2008, 08:59
Откуда: Омск
Благодарил (а): 26 раз.
Поблагодарили: 30 раз.

Re: если эксперт не круче

Сообщение J7_ » 23 ноя 2011, 22:13

kfv писал(а):которые могут обойти права безопасности на диске, в случае если там NTFS (а это 99% NTFS - раз на стендовый компьютер образ не вмещается). В противном случаем много интересного можно упустить.
"История не терпит сослагательных наклонений" )).
Ограничение по правам безопасности встречается крайне редко. А рекомендации использовать дорогущий энкейс, которого у человека банально нет - не очень то приемлемы.
Только без фанатизма! (с) В.А. Мещеряков
Аватара пользователя
J7_
Член клуба
 
Сообщения: 1181
Зарегистрирован: 30 окт 2008, 00:29
Откуда: СК РФ
Благодарил (а): 0 раз.
Поблагодарили: 8 раз.

Re: если эксперт не круче

Сообщение kfv » 24 ноя 2011, 13:03

Яковлев А.Н. писал(а):Ограничение по правам безопасности встречается крайне редко.


Получается директории типа "System Volume Information" и профили доменных учетных записей вообще исследовать не надо? Интересный подход.
Энкейс использовать не обязательно. Но формат хранения разработанный ими очень удобный. К тому есть отличная и бесплатная утилита фтк имеджер, которая позволит создать образ в данном формате, а затем замонтировать его с эмуляцией чтение\запись и сбросить владельца и права на нужные.
Видишь суслика?
- Нет.
А он есть.
Аватара пользователя
kfv
Член клуба
 
Сообщения: 765
Зарегистрирован: 23 янв 2008, 08:59
Откуда: Омск
Благодарил (а): 26 раз.
Поблагодарили: 30 раз.

Re: если эксперт не круче

Сообщение J7_ » 25 ноя 2011, 15:04

kfv писал(а):Получается директории типа "System Volume Information" и профили доменных учетных записей вообще исследовать не надо?
Никогда не имел Энкейса и всегда исследовал такие каталоги путем снятия ограничения системными средствами на клоне.
Проблема то в чем?
Почему за уши именно тут Энкейс притягивать нужно, если и без него задача решается?

P.S. Исходная ситуация обозначена. Простой эксперт, Энкейса нет. Предлагаю его (эксперта) не пугать несуществующей проблемой доступа к каталогам типа "System Volume Information".
P.P.S. Я не против Энкейса. Но его никогда у меня не было, и приходилось спокойно работать, не замечая его отсутствия.
И еще. Сейчас готовлю занятия по повышению квалификации экспертов СК. Так на свою просьбу к опытным экспертам помочь другим в освоении Энкейса (закупили всем последнюю или предпоследнюю версию) слышу удивительное (от тех, кто его использует) - "да он и не очень то нам нужен, так, в редких случаях".
Не мои слова то. Задумаешься тут.
Только без фанатизма! (с) В.А. Мещеряков
Аватара пользователя
J7_
Член клуба
 
Сообщения: 1181
Зарегистрирован: 30 окт 2008, 00:29
Откуда: СК РФ
Благодарил (а): 0 раз.
Поблагодарили: 8 раз.

Re: если эксперт не круче

Сообщение kfv » 25 ноя 2011, 21:39

Немного отошли от темы топикстартера.
Я лишь хотел подсказать "начинающему", что при непосредственном исследовании без создания клона с использованием блокировки порта USB существует такая проблема как ACL файловой системы NTFS. И если это не учесть, то в некоторых случаях часть исследуемой информации может быть пропущена.
Выходов из этой ситуации несколько.
1) сделать образ - смонтировать его с эмуляцией R|W (раз диск больше лабораторного, я предложил формат *.Е01 с компрессией. подключаете диск через шнурок-переходник SATA\PATA->USB, как предложил Яковлев А.Н., предварительно выставив запрет на запись USB и с помощью FTK Imager создаете образ в этом формате, может влезет, а может и нет - как повезет)
2) использовать программные продукты, которые при исследовании могут обойти данную проблему, то есть которые обращаются к диску напрямую и сами интерпретируют данные. Действия аналогичные - подключаете через шнурок и исследуйте на здоровье. В случае с виндовс программами -достаточно поставить блокировку на USB, в линуксе (используя туже аутопси) смонтируйте диск в режиме только чтение.

P.S. Странно слышать, что имея такой инструмент как Encase эксперты в СК его не используют - либо нежелание прочитать несколько сотен страниц документации на английском и разобраться, либо направление чем они занимаются позволяет обходится без глубоко исследования (может телефоны делают только, и я не думаю что все лезут винхексом на физический уровень накопителя смотреть тот же slack в каждом файле на предмет искомых ключевых ). За себя могу сказать, что мы работаем только на нем, активно дополняя его другими программными продуктами (форенсик ассистант, пс3000 дата экстрактор, архивариус и т.д ). Согласен, у него есть свои тонкости работы, полностью полагаться на него нельзя (особенно в некоторых ситуациях поиска), но все же надо стараться людям его осваивать. Прочувствовав все мощь данной программы отказаться от нее невозможно, даже если задача не может быть полностью решена с его помощью, мы решаем ее в комплексе с другими средствами, а отчет все равно делаем в энкейсе.
Видишь суслика?
- Нет.
А он есть.
Аватара пользователя
kfv
Член клуба
 
Сообщения: 765
Зарегистрирован: 23 янв 2008, 08:59
Откуда: Омск
Благодарил (а): 26 раз.
Поблагодарили: 30 раз.

Re: если эксперт не круче

Сообщение friend » 25 ноя 2011, 23:20

я ни за чье мнение, просто от себя хочется добавить.
Вкусив все прелистья энкейса и учитывая его минусы - от него не возможно отказаться,
хотя все еще пользуюсь версией 4.20.
Аватара пользователя
friend
Член клуба
 
Сообщения: 192
Зарегистрирован: 09 фев 2010, 15:23
Откуда: Архангельск
Благодарил (а): 0 раз.
Поблагодарили: 2 раз.

Re: если эксперт не круче

Сообщение J7_ » 25 ноя 2011, 23:25

kfv писал(а):P.S. Странно слышать, что имея такой инструмент как Encase эксперты в СК его не используют
Никогда не торопитесь с выводами. ))
Эксперты СК только начинают назначаться на должности, и техника еще не распакована из ящиков, а софт не установлен. Так что упреки и удивление преждевременны.
На прежних местах службы/работы ни у кого из них (включая меня) Энкейса не было.
Дословно я сказал только то, что профи форума, к которым я обратился за помощью в обучении экспертов СК, не выказали пиетета в адрес Энкейса. Более того, процесс закупки Энкейса приостановлен вследствие общих негативных отзывов об Энкейсе, применительно к российским реалиям, самых разных людей, которые его хоть как-то использовали (не эксперты СК).
Даже поставщик согласился с тем, что пока закупки лучше не делать.
Сам я, изучив пока только документацию на последнюю версию, тоже был несколько разочарован его возможностями.
Так что давайте говорить о других экспертах, не СК, которые пользуются Энкейсом давно, и не видят в нем то, что стоило бы денег, которые за Энкейс берут.
Буду рад, если с Вашей помощью мы разглядим в нем то, что заменит нам и Forensic Assistant, и многие другие специфичные и ежедневно востребованные программы. ))
Мы за общение без понтов, и слово Энкейс нас отнюдь само по себе не гипнотизирует. ))
P.S. Берите все в свои руки и помогайте исправлять имидж Энкейса. Кто ж против... ))
Только без фанатизма! (с) В.А. Мещеряков
Аватара пользователя
J7_
Член клуба
 
Сообщения: 1181
Зарегистрирован: 30 окт 2008, 00:29
Откуда: СК РФ
Благодарил (а): 0 раз.
Поблагодарили: 8 раз.

Re: если эксперт не круче

Сообщение friend » 25 ноя 2011, 23:47

к сожелению в Forensic Assistant поиск по ключевым словам и другим критериям не реализован. А хотелось бы ...
Аватара пользователя
friend
Член клуба
 
Сообщения: 192
Зарегистрирован: 09 фев 2010, 15:23
Откуда: Архангельск
Благодарил (а): 0 раз.
Поблагодарили: 2 раз.

Re: если эксперт не круче

Сообщение friend » 25 ноя 2011, 23:49

я ж и написао что энкейс имеет свои минусы их не мало но все же ... на него не кто не молится. а просто взгляд из глубинки .. :)))
Аватара пользователя
friend
Член клуба
 
Сообщения: 192
Зарегистрирован: 09 фев 2010, 15:23
Откуда: Архангельск
Благодарил (а): 0 раз.
Поблагодарили: 2 раз.

Re: если эксперт не круче

Сообщение Igor Mikhaylov » 26 ноя 2011, 05:46

Яковлев А.Н. писал(а):Ограничение по правам безопасности встречается крайне редко.

Очень часто. Особливо сейчас, когда юзеры стали массово переходить на Windows 7. У меня сейчас на исследовании внешний жесткий диск на котором часть папок пользователя заблокирована на доступ через Проводник.

Яковлев А.Н. писал(а): "да он и не очень то нам нужен, так, в редких случаях".
...Задумаешься тут.

По материалам сайта http://computer-forensics-lab.org :)
Капинус О.В., Михайлов И.Ю. Encase Forensic Edition. Быстрый старт. Часть 1.
Рейтинг:5 Скачиваний:1141 - учитывая число экспертов КТЭ в России это очень много (imho). Так что я верю, что Encase это богом забытая никому не нужная программа. :D :D :D

Комсомольцы они такие. Любят придумать себе трудности чтобы потом успешно их преодолевать.

Элементарная задача: получить доступ ко всем папкам исследуемого накопителя. Как поступают наши "комсомольцы"? Они сначала создают образ (ага террабайт через шнурок USB это так часов 5-8 займет); потом монтируют образ в режиме R/W. Потом меняют права на доступ к папкам. Итого, рабочий день потерян.

Как поступают профессионалы? Монтируют накопитель в Encase (я не говорю, что нет других программ которые могут также (ммм, из бесплатных, FTKImager, ProDiscover Basic должны уметь делать такие вещи); весь процесс занимает, с созданием нового case - минуту). И все. Видны скрытые и системные папки и файлы исследуемого накопителя. Видна часть удаленных папок и файлов на исследуемом накопителе. Доступ возможен ко всем папкам и файлам исследуемого накопителя вне зависимости от установленных для них прав. Снижена угроза заражения стендовой ПЭВМ вредоносными программами находящимися на исследуемом накопителе.

Минута и восемь часов рабочего времени - есть небольшая такая разница. А так то конечно задача решается и в том и в другом случае.

Для владельцев аппаратных блокираторов (в СК это "желтый чемоданчик" :D ) все еще проще: подключенный накопитель можно сразу разбирать на косточки - менять права доступа и все такое прочее. После переподключения накопителя, все произведенные экспертом изменения исчезнут (т.е. данные на накопителе физически не изменяются).

friend писал(а):к сожелению в Forensic Assistant поиск по ключевым словам и другим критериям не реализован. А хотелось бы ...

Архивариус-3000. Персональная лицензия рублей 400. (уж и не знаю почему его не закупают в составе АПК)

Коллеги, я вчерась обратил внимание, что Архивариус-3000 пропустил текст находящийся в скрытых файлах .docx. Файлы скопировал на свой накопитель (атрибуты у них естественно поменялись). Просканировал еще раз - он нашел данные.

Яковлев А.Н. писал(а):P.S. Берите все в свои руки и помогайте исправлять имидж Энкейса. Кто ж против... ))

1. На форуме есть целый раздел посвященный проблематике использования Encase ( viewforum.php?f=80 ). Если у экспертов нет вопросов по использованию данного ПО (эксперты не задают там вопросы), то предполагается, что им все понятно. Собственно, а чему тогда учить, коллективному разуму, коллег если они все знают?
2. В течении 2-4 месяцев будет выложен ОЧЕНЬ вкусный материал по использованию Encase 7 для начинающих (сейчас у меня "финишная прямая" - готовлю последние три главы книги Криминалистическое исследование Windows).
3.Для начала, всех желающих, как и сказал kfv, надо отправить штудировать мануалы и вот эту книгу (благо она на русском) http://computer-forensics-lab.org/pdf/encase_EnCE.pdf . Если нужны мануалы на русском (только для зеленых ников) для 4, 5 версии Encase - обращайтесь через ЛС ко мне. Мануал для седьмой версии на русском языке, на сколько мне известно, готовится поставщиком Encase.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

След.

Вернуться в Студенческий раздел

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron