Поиск следов работы

Помощь в решении вопросов связанных с тематиками: судебная экспертиза, расследование компьютерных преступлений

Поиск следов работы

Сообщение Садомия » 16 май 2012, 10:11

Кто может помочь? Название диплома: "Поиск следов работы в сети Интернет в ходе экспертиз". Меня интересует все тонкости именно в ОС Windows. Подскажите какой либо материал, где можно капнуть и т.д. Интересуемые браузеры IE, Opera, Chrome, Firefox, а также про почтовики и любые виды переписок на компьютере (Skype, QIP, ICQ и т.д.). Буду премного благодарен.
Садомия
 
Сообщения: 7
Зарегистрирован: 16 май 2012, 10:06
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Поиск следов работы

Сообщение Igor Mikhaylov » 16 май 2012, 10:28

Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: Поиск следов работы

Сообщение J7_ » 16 май 2012, 23:48

Садомия писал(а):Кто может помочь? Название диплома: "Поиск следов работы в сети Интернет в ходе экспертиз". Меня интересует все тонкости именно в ОС Windows. Подскажите какой либо материал, где можно капнуть и т.д. Интересуемые браузеры IE, Opera, Chrome, Firefox, а также про почтовики и любые виды переписок на компьютере (Skype, QIP, ICQ и т.д.). Буду премного благодарен.
1. Ставите программы-мониторы от фирмы Sysinternals.
2. Настраиваете их на контроль файлов и реестра.
3. Устанавливаете исследуемый браузер.
4. Работаете в сети.
5. Смотрите, какие файлы меняются, какие записи в реестре создаются.
6. Ищете по этим веткам, файлам - инфу в сети Интернет, иногда задаете тут вопросы.
7. Ищете программы-интерпретаторы содержимого журналов браузеров и др. программ, описываете программы и порядок их использования.
8. Сводите воедино результаты в дипломе.
Будет отличный интересный диплом, а сами - получите навыки исследовательской работы.
Только без фанатизма! (с) В.А. Мещеряков
Аватара пользователя
J7_
Член клуба
 
Сообщения: 1181
Зарегистрирован: 30 окт 2008, 00:29
Откуда: СК РФ
Благодарил (а): 0 раз.
Поблагодарили: 8 раз.

Re: Поиск следов работы

Сообщение Садомия » 18 май 2012, 09:50



Ссылка не рабочая :(
Садомия
 
Сообщения: 7
Зарегистрирован: 16 май 2012, 10:06
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Поиск следов работы

Сообщение Садомия » 18 май 2012, 09:54

J7_ писал(а):
Садомия писал(а):Кто может помочь? Название диплома: "Поиск следов работы в сети Интернет в ходе экспертиз". Меня интересует все тонкости именно в ОС Windows. Подскажите какой либо материал, где можно капнуть и т.д. Интересуемые браузеры IE, Opera, Chrome, Firefox, а также про почтовики и любые виды переписок на компьютере (Skype, QIP, ICQ и т.д.). Буду премного благодарен.
1. Ставите программы-мониторы от фирмы Sysinternals.
2. Настраиваете их на контроль файлов и реестра.
3. Устанавливаете исследуемый браузер.
4. Работаете в сети.
5. Смотрите, какие файлы меняются, какие записи в реестре создаются.
6. Ищете по этим веткам, файлам - инфу в сети Интернет, иногда задаете тут вопросы.
7. Ищете программы-интерпретаторы содержимого журналов браузеров и др. программ, описываете программы и порядок их использования.
8. Сводите воедино результаты в дипломе.
Будет отличный интересный диплом, а сами - получите навыки исследовательской работы.


Это как я понял алгоритм последней главы - проведение эксперимента? Я думал, придумать какую нибудь ситуацию (например, с моего компьютера выкладывалось в интернет видео порнографичекого содержания, так ли это) или стоит сделать именно так?
Садомия
 
Сообщения: 7
Зарегистрирован: 16 май 2012, 10:06
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Поиск следов работы

Сообщение Igor Mikhaylov » 18 май 2012, 11:04

Садомия писал(а):Я думал, придумать какую нибудь ситуацию (например, с моего компьютера выкладывалось в интернет видео порнографичекого содержания, так ли это) или стоит сделать именно так?

На сегодня определить с какого компьютера выложено видео остро не стоит. Гораздо сложнее определить кто именно выложил материалы с компьютера.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: Поиск следов работы

Сообщение miapress » 18 май 2012, 12:00

Igor Michailov писал(а):На сегодня определить с какого компьютера выложено видео остро не стоит. Гораздо сложнее определить кто именно выложил материалы с компьютера.


кажется привязать конкретного человека к клавиатуре - задача не эксперта КТЭ
Аватара пользователя
miapress
Член клуба
 
Сообщения: 237
Зарегистрирован: 12 авг 2011, 17:35
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Re: Поиск следов работы

Сообщение Садомия » 18 май 2012, 16:30

т.е. какова основная задача я так и не пойму - для чего это тогда делается? Какая цель?
Садомия
 
Сообщения: 7
Зарегистрирован: 16 май 2012, 10:06
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Поиск следов работы

Сообщение Антипов Максим » 18 май 2012, 17:58

Цель №1: выявить место и орудие преступления - в нашем случае носитель, содержащий нужную информацию.
Довольно часто для следователя и других участников процесса эта информация не очевидна.
А иногда и для эксперта, это в случаях, когда без применения нужных инструментов для выявления такой информации никак не обойтись.
Цель №2: Перевести все то, что обнаружено на исследуемых носителях информации на язык, понятный неспециалисту - следователю, суду, адвокату, потерпевшему и т.п. (ну это все в идеале :wink: )
А привязка конкретного лица к совершению выявленного на носителе безобразия к работе технического специалиста относится довольно посредственно... Чем же тогда К-шники, УСТМ-шики, и же с ними заниматься будут? Объекты на исследование таскать?
Не рой яму другому - пусть сам роет.
Аватара пользователя
Антипов Максим
Член клуба
 
Сообщения: 456
Зарегистрирован: 22 май 2009, 18:48
Откуда: Ставропольский край
Благодарил (а): 0 раз.
Поблагодарили: 6 раз.

Re: Поиск следов работы

Сообщение Igor Mikhaylov » 18 май 2012, 18:07

Недавно делал пару экспертиз. Следователь бил копытом - вынь да полож ему MAC-адреса сетевых устройств (сетевые карты и прочие беспроводные адаптеры ноутбуков и системных блоков). Вчера допрашивался по этим экспертизам (ну и соответственно листал материалы дел). Ни одного MAC-адреса в делах не фигурирует вообще! Ни одного!!! Спрашивается: Зачем я делал эту бесполезную работу?
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: Поиск следов работы

Сообщение miapress » 18 май 2012, 18:28

а у нас один обвиняемый отнекивался что на компе работали - мама, бабушка, батя, дружбаны бухающие в его квартире, а другой вообще - что инопланетяне управляют его компом удаленно :) вот для этого следователи и учат основы ОРД и как правильно проводить допросы, эксперт КТЭ для этого не нужен :) другой вопрос что накопать горяченького материала, для того что бы помочь следаку - это другое дело :)
Аватара пользователя
miapress
Член клуба
 
Сообщения: 237
Зарегистрирован: 12 авг 2011, 17:35
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Re: Поиск следов работы

Сообщение Igor Mikhaylov » 18 май 2012, 18:31

miapress писал(а): накопать горяченького материала

ХХХ что ли? :D
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: Поиск следов работы

Сообщение Садомия » 18 май 2012, 18:48

Антипов Максим писал(а):Цель №1: выявить место и орудие преступления - в нашем случае носитель, содержащий нужную информацию.
Довольно часто для следователя и других участников процесса эта информация не очевидна.
А иногда и для эксперта, это в случаях, когда без применения нужных инструментов для выявления такой информации никак не обойтись.
Цель №2: Перевести все то, что обнаружено на исследуемых носителях информации на язык, понятный неспециалисту - следователю, суду, адвокату, потерпевшему и т.п. (ну это все в идеале :wink: )
А привязка конкретного лица к совершению выявленного на носителе безобразия к работе технического специалиста относится довольно посредственно... Чем же тогда К-шники, УСТМ-шики, и же с ними заниматься будут? Объекты на исследование таскать?

Какие могут быть примеры преступлений не понятно из за вышесказанных утверждений?
Садомия
 
Сообщения: 7
Зарегистрирован: 16 май 2012, 10:06
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Поиск следов работы

Сообщение Антипов Максим » 21 май 2012, 10:48

А чего тут не понятного то? Или я слишком обобщил? Хорошо - пойдем от противного.
Приносили мне как-то ноутбук человека, который покончил с собой, вопросы поставили из тупорылой методички 9х годов типа "Является ли представленный на исследование объект объектом КТЭ?" и т.д. и т.п. Т.е. реально не несущие НИКАКОЙ смысловой нагрузки и не имеющие НИКАКОГО отношения к делу. Чего хотел тогда следак - он сам так и не понял, типа - "Найдите ну хоть что нибудь...".
Даже экспертизу нахрена он назначил, не смог объяснить - типа "Чтоб была... Ноутбук то изъяли..." :evil:
Учитывая тогдашнюю нагрузку, честно, даже не знал куда и какими словами его послать...
Это я к чему - в Вашем случае сценарий уже известен, что изымать и как исследовать - вполне очевидно.
Вся проблема в том, что не всем и не всегда это очевидно.
А конкретный пример - инсайдер, ворующий через электронную почту конфиденциальную инфу.
Здесь под цель №1 подпадает:
1. Выявление ЭВМ инсайдера;
2. Правильное его изъятие;
3. Сюда же (при наличии) попадают логи всевозможных сетевых устройств, взаимодействовавших с данной ЭВМ.
Под цель №2 подпадает - проведение исследования информации на обнаруженных носителях и выявление факта и способа кражи информации (т.е. того, что конкретная инфа была отправлена именно с этой ЭВМ и именно на такой-то электронный адрес).
А причастность конкретного лица к краже данной информации - забота уже не технаря.
Не рой яму другому - пусть сам роет.
Аватара пользователя
Антипов Максим
Член клуба
 
Сообщения: 456
Зарегистрирован: 22 май 2009, 18:48
Откуда: Ставропольский край
Благодарил (а): 0 раз.
Поблагодарили: 6 раз.

Re: Поиск следов работы

Сообщение Садомия » 23 май 2012, 09:00

Спасибо.
А еще вопрос: "Анализ методов поиска следов работы в сети Интернет при производстве компьютерных экспертиз для ОС Windows" - есть ли такие методики в МВД? И где их найти?
Садомия
 
Сообщения: 7
Зарегистрирован: 16 май 2012, 10:06
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

След.

Вернуться в Студенческий раздел

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron