поиск следов работы пользователя в социальной сети

Помощь в решении вопросов связанных с тематиками: судебная экспертиза, расследование компьютерных преступлений

поиск следов работы пользователя в социальной сети

Сообщение Oleg Bezik » 13 мар 2014, 14:52

Добрый день, уважаемые эксперты.
Пишу диплом на тему "Поиск следов работы пользователя в социальных сетях на НЖМД".
Подскажите пожалуйста, как можно обнаружить такие следы? Пытаюсь использовать Process Monitor для поиска, но не могу понять,
как настроить фильтры, чтобы найти те или иные следы.
Спасибо.
Oleg Bezik
 
Сообщения: 7
Зарегистрирован: 13 мар 2014, 14:46
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: поиск следов работы пользователя в социальной сети

Сообщение Igor Mikhaylov » 13 мар 2014, 15:20

А каким браузером вы пользуетесь?
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: поиск следов работы пользователя в социальной сети

Сообщение kfv » 13 мар 2014, 18:43

Oleg Bezik писал(а): Пытаюсь использовать Process Monitor для поиска, но не могу понять,
как настроить фильтры, чтобы найти те или иные следы.

На пятом курсе это сильно.

Для начала Вам необходимо определиться, что необходимо найти, а затем искать это.
Видишь суслика?
- Нет.
А он есть.
Аватара пользователя
kfv
Член клуба
 
Сообщения: 765
Зарегистрирован: 23 янв 2008, 08:59
Откуда: Омск
Благодарил (а): 26 раз.
Поблагодарили: 30 раз.

Re: поиск следов работы пользователя в социальной сети

Сообщение Denavsky » 15 мар 2014, 23:31

Анализ истории и закладок браузеров, истории загрузок (на предмет наличия ссылок на конкретные ресурсы социальных сетей), соответственно, с анализом параметров, передаваемых в адресной строке. Анализ кеша браузеров. Поиск установленных клиентских программ (в частности для сети Вконтакте есть несколько) и истории их работы. Анализ почтовых сообщений (если установлен клиент электронной почты) на предмет наличия уведомлений о праздниках друзей, смене пароля и иных событиях, источником которых являются ресурсы социальных сетей...

Насчет Process Monitor не совсем понял. Хочется в процессе доступа понаблюдать за активной системой? Тогда не ясно, что надеетесь зафиксировать по сравнению с доступом к любым другим веб-ресурсам...
Denavsky
Член клуба
 
Сообщения: 189
Зарегистрирован: 13 янв 2009, 09:23
Откуда: ФБУ Пензенская ЛСЭ
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: поиск следов работы пользователя в социальной сети

Сообщение Igor Mikhaylov » 16 мар 2014, 04:51

Насколько я понял топикстартера, он хочет поработать над восстановлением кеширорванных данных веб-страниц.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: поиск следов работы пользователя в социальной сети

Сообщение Denavsky » 16 мар 2014, 08:18

Ну для этого разбираться в фильтрах и результатах работы Process Monitor и не стоит. Достаточно очистить кеш браузера, поработать в конкретной соц. сети, а потом посмотреть содержимое кеша.
Denavsky
Член клуба
 
Сообщения: 189
Зарегистрирован: 13 янв 2009, 09:23
Откуда: ФБУ Пензенская ЛСЭ
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: поиск следов работы пользователя в социальной сети

Сообщение Oleg Bezik » 23 мар 2014, 15:42

Спасибо большое за ответы.
Очень жаль, что приходится тревожить вас по таким элементарным вопросам.
Пока что я рассматриваю только браузер Opera. В дальнейшем планирую изучить Гугл и Мозилу.
Моя задача состоит в том, чтобы понять какие следы пользователь оставит не только в кэше браузера, но и вообще в файловой системе как таковой.
Допустим, пользователь написал сообщение другому пользователя в социальной сети, либо загрузил на свою стену фотографию, либо оставил комментарий.
Останется ли какой то след, который будет точно указывать на совершенное действие? Все это я пытаюсь отследить с помощью программы Process Monitor.
Oleg Bezik
 
Сообщения: 7
Зарегистрирован: 13 мар 2014, 14:46
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: поиск следов работы пользователя в социальной сети

Сообщение Igor Mikhaylov » 23 мар 2014, 18:33

kfv писал(а):На пятом курсе это сильно.

Цитата:
Программы Filemon и Regmon заменены одной программой Process Monitor в версиях Windows, начиная с Windows 2000 SP4, Windows XP SP2, Windows Server 2003 SP1 и Windows Vista. Однако программы Filemon and Regmon оставлены для поддержки устаревших операционных систем, включая и Windows 9x.


Источник: http://technet.microsoft.com/ru-ru/sysi ... 96642.aspx

Так что, все нормально. :wink:

Oleg Bezik писал(а):Спасибо большое за ответы.
Очень жаль, что приходится тревожить вас по таким элементарным вопросам.
Пока что я рассматриваю только браузер Opera. В дальнейшем планирую изучить Гугл и Мозилу.
Моя задача состоит в том, чтобы понять какие следы пользователь оставит не только в кэше браузера, но и вообще в файловой системе как таковой.
Допустим, пользователь написал сообщение другому пользователя в социальной сети, либо загрузил на свою стену фотографию, либо оставил комментарий.
Останется ли какой то след, который будет точно указывать на совершенное действие? Все это я пытаюсь отследить с помощью программы Process Monitor.


В любом случае, лично мне интересно было бы посмотреть на то что у вас получится.


Могу подсказать, что на сегодня основная проблема, это не доказать, что пользователь работал в социальной сети, а что пользователь работал авторизовавшись под конкретным именем пользователя соц.сети.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: поиск следов работы пользователя в социальной сети

Сообщение Антипов Максим » 24 мар 2014, 00:36

Oleg Bezik писал(а):В дальнейшем планирую изучить Гугл и Мозилу.

Касательно хрома - он все, ну или практически все, хранит в базах SQLLite формата, иногда диву даешься, что в этих базах найти можно. :wink:
Там тебе и логины с паролями и поисковые запросы, смешно писать - даже капчи :). В общем все, что так или иначе хоть когда-нибудь вводилось на страничках - ну просто поле не паханное.
Не рой яму другому - пусть сам роет.
Аватара пользователя
Антипов Максим
Член клуба
 
Сообщения: 456
Зарегистрирован: 22 май 2009, 18:48
Откуда: Ставропольский край
Благодарил (а): 0 раз.
Поблагодарили: 6 раз.

Re: поиск следов работы пользователя в социальной сети

Сообщение Denavsky » 24 мар 2014, 10:39

Там еще частая задача по переписке, когда в кеше находишь тексты, а как доказать, какие из сообщений размещались именно с этого компьютера (по экстремизму и наркоте такие задачи бывают). Даже когда находишь кешированные пароли в браузере и в адресной строке бывает информацию о профиле - это не говорит ни о чем, поскольку под этими данными мог быть вход с другого компьютера и размещены сообщения, а с исследуемого компьютера только просмотр переписки. Также бывает вопрос об источнике информации, а именно, загружены ли конкретные файлы с Интернет-ресурсов и каких именно (как частный случай с ресурсов социальных сетей)...

Но все же думаю, что никаких особенностей по сравнению с доступом к любым другим веб-ресурсам Process Monitor Вам не покажет (это если не использовалось клиентское ПО). Все в принципе и сводится к исследованию работы самих браузеров, а не социальных сетей, как таковых (ну могут только быть какие-то отдельные особенности, связанные с реализацией сайтов, которые при их изменении также будут меняться) - т.е. полученные результаты будут шире поставленной задачи и применимы к исследованию следов доступа к веб-ресурсам вообще...
Denavsky
Член клуба
 
Сообщения: 189
Зарегистрирован: 13 янв 2009, 09:23
Откуда: ФБУ Пензенская ЛСЭ
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: поиск следов работы пользователя в социальной сети

Сообщение Oleg Bezik » 11 май 2014, 18:09

Спасибо большое за ваши комментарии)) Они очень помогли!

Антипов Максим писал(а):
Oleg Bezik писал(а):В дальнейшем планирую изучить Гугл и Мозилу.

Касательно хрома - он все, ну или практически все, хранит в базах SQLLite формата, иногда диву даешься, что в этих базах найти можно. :wink:
Там тебе и логины с паролями и поисковые запросы, смешно писать - даже капчи :). В общем все, что так или иначе хоть когда-нибудь вводилось на страничках - ну просто поле не паханное.


Спасибо за эту подсказку. Действительно, здесь есть где развернуться. Открывал файлы Chroma через SQLiteStudio. Нашел много интересного. Только не пойму, в каком формате записываются даты? Например в файле History в таблице urls есть столбец last_visit_time. Насколько я понимаю это время последнего посещения страницы. Например есть URL адрес страницы, которая посещалась последний раз вот в это время: 13044276614525000. Подскажите пожалуйста как это конвертировать в стандартный вид времени, формата ДД.ММ.ГГГГ.ЧЧ:ММ:СС?

И еще хотел вас спросить о том, как можно расшифровать данные cookies? Допустим я открыл файл с кукисами тем же SQLiteStudio. Там нашел записи о сохраненных кукисах ВК, Одноклассников, FB. Но хотелось бы пойти до конца и понять что в них хранится.

Хотел еще спросить у вас, уважаемые эксперты, насчет программы Multi Password Recovery. Случайно набрел на нее в процессе написания диплома. Вот сайт:http://www.passrecovery.com/ru/download.php. Что скажете об этой программке?

Заранее благодарен.
Oleg Bezik
 
Сообщения: 7
Зарегистрирован: 13 мар 2014, 14:46
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: поиск следов работы пользователя в социальной сети

Сообщение Igor Mikhaylov » 11 май 2014, 19:15

Oleg Bezik писал(а):Только не пойму, в каком формате записываются даты? Например в файле History в таблице urls есть столбец last_visit_time. Насколько я понимаю это время последнего посещения страницы. Например есть URL адрес страницы, которая посещалась последний раз вот в это время: 13044276614525000. Подскажите пожалуйста как это конвертировать в стандартный вид времени, формата ДД.ММ.ГГГГ.ЧЧ:ММ:СС?

Это формат Unix Epoch Time (ms).

Конвертировать можно этим http://www.epochconverter.com (если не лень :D ). Учтите необходимость ввода поправки на ваш часовой пояс.
Вложения
screenshot.png
screenshot.png (25.19 Кб) Просмотров: 6698
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: поиск следов работы пользователя в социальной сети

Сообщение Denavsky » 11 май 2014, 23:11

Oleg Bezik писал(а):Хотел еще спросить у вас, уважаемые эксперты, насчет программы Multi Password Recovery. Случайно набрел на нее в процессе написания диплома. Вот сайт:http://www.passrecovery.com/ru/download.php. Что скажете об этой программке?
Заранее благодарен.


А что интересует? Я пользовался ей - заявленные функции выполняет, сохраненные пароли информацию об учетках в клиентах электронной почты и FTP и т.д. достает. С активной системой использовать попроще, но можно и с неактивной (в программе есть мастер, где есть достаточно подробные подсказки). Довольно давно сравнивал со специализированными утилитами, заточенными под отдельные браузеры и почтовые клиенты - на тот момент программа им ни в чем не уступала.
Denavsky
Член клуба
 
Сообщения: 189
Зарегистрирован: 13 янв 2009, 09:23
Откуда: ФБУ Пензенская ЛСЭ
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: поиск следов работы пользователя в социальной сети

Сообщение destos » 18 авг 2014, 19:22

Oleg Bezik писал(а):Спасибо большое за ваши комментарии)) Они очень помогли!

Спасибо за эту подсказку. Действительно, здесь есть где развернуться. Открывал файлы Chroma через SQLiteStudio. Нашел много интересного. Только не пойму, в каком формате записываются даты? Например в файле History в таблице urls есть столбец last_visit_time. Насколько я понимаю это время последнего посещения страницы. Например есть URL адрес страницы, которая посещалась последний раз вот в это время: 13044276614525000. Подскажите пожалуйста как это конвертировать в стандартный вид времени, формата ДД.ММ.ГГГГ.ЧЧ:ММ:СС?

И еще хотел вас спросить о том, как можно расшифровать данные cookies? Допустим я открыл файл с кукисами тем же SQLiteStudio. Там нашел записи о сохраненных кукисах ВК, Одноклассников, FB. Но хотелось бы пойти до конца и понять что в них хранится.

Хотел еще спросить у вас, уважаемые эксперты, насчет программы Multi Password Recovery. Случайно набрел на нее в процессе написания диплома. Вот сайт:http://www.passrecovery.com/ru/download.php. Что скажете об этой программке?

Заранее благодарен.


В некоторых случаях при помощи куки вы сможете авторизоваться на сайте не зная учетных данных, но все куки имеют срок действия, соответственно воспользоваться ими можно лишь в течение какого-либо времени.
А так, если вы знаете, например, идентификатор сессии, но не знаете более никаких данных о пользователе, то можно сделать запрос владельцу сервера - а вдруг у него включено полное логирование, и он предоставит информацию о том, какие действия совершались.
destos
 
Сообщения: 12
Зарегистрирован: 10 май 2014, 12:45
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: поиск следов работы пользователя в социальной сети

Сообщение Oleg Bezik » 15 окт 2014, 13:14

Большое спасибо всем за помощь.
Защитил диплом на отлично!!!
Oleg Bezik
 
Сообщения: 7
Зарегистрирован: 13 мар 2014, 14:46
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.


Вернуться в Студенческий раздел

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron