Контекстный поиск в EnCase

Обсуждение работы программы EnCase Forensic. Общий раздел.

Контекстный поиск в EnCase

Сообщение Doc » 24 сен 2007, 11:56

Добрый день! Столкнулся с тем, что в результатах контекстного поиска в EnCase, много файлов не содержащих искомые данные. Немного поразмыслив, отключил опцию file slack. Если ли еще какой то способ более ювелирного поиска?! Также, при использовании фильтра «Show one hit per file» выводятся почему то не все файлы.
Буду очень признателен за помощь!!!
п.с. мануал читал.
Doc
Член клуба
 
Сообщения: 25
Зарегистрирован: 24 сен 2007, 11:49
Откуда: Краснодар
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Контекстный поиск в EnCase

Сообщение Igor Mikhaylov » 24 сен 2007, 12:05

Doc писал(а):Столкнулся с тем, что в результатах контекстного поиска в EnCase, много файлов не содержащих искомые данные.

Возможно, что-то "намудрено" с опциями поиска. Можете более подробно в ПМ отписать?
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Сообщение Doc » 24 сен 2007, 13:43

Понедельник, плохо соображаю))) ПМ это что!?
Ситуация в следующем…есть конкретный критерий поиска, например, документы содержащие слово «стол». После поиска, выводятся файлы в «теле» содержащие искомое «стол», но при открытии документа и поиске штатными средствами (Word, Excel) слово не обнаружено. Т.е., получается после такого поиска нужно перепроверять все файлы в ручную, а их бывает не один десяток. Что можно применить в таком случае или возможно я не той программой пользуюсь, а стоит выбрать что то проще!?
Но, а как же быть в том случае, когда необходимо проводить поиск, например, по 20 критериям!?
Doc
Член клуба
 
Сообщения: 25
Зарегистрирован: 24 сен 2007, 11:49
Откуда: Краснодар
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Igor Mikhaylov » 27 сен 2007, 20:26

Doc писал(а):Ситуация в следующем…есть конкретный критерий поиска, например, документы содержащие слово «стол». После поиска, выводятся файлы в «теле» содержащие искомое «стол», но при открытии документа и поиске штатными средствами (Word, Excel) слово не обнаружено. Т.е., получается после такого поиска нужно перепроверять все файлы в ручную, а их бывает не один десяток. Что можно применить в таком случае или возможно я не той программой пользуюсь, а стоит выбрать что то проще!?
Но, а как же быть в том случае, когда необходимо проводить поиск, например, по 20 критериям!?

1)Надо задать корректные ключевые слова. Слово из четырех букв, по теории мат.статистики, является не корректным, т.к. оно будет неоднократно Вам попадаться в ходе исследования больших, по объему хранимых данных, накопителей и при этом совсем ничего не означать, т.к. это (генерация слова "стол") произошло из-за случайного совпадения последовательности значений байтов. Для тех кто ничего не понял - читаем статью "Ищем вирус "ЧМО-2000". И находим!" (http://www.xakep.ru/magazine/xa/024/073/1.asp)
2)Должно и нужно искать ключевые последовательности в шлаке (slack).
3)Если в документе Word вы обнаружили ключевое слово, но при этом оно не отображается в тексте при открытии документа в Word - это могут быть: метаданные, заблокированные данные и т.д. Такая ситуация типична если документ использовался в качестве "шаблона".

Мало обнаружить ключевое слово нужно еще и осмыслить почему оно оказалось именно там (где было обнаружено) а не где-то в другом месте/файле/документе.

Подробнее про исследование документов, контекстом поиске и т.д. читаем в книге : А.Б.Нехорошев, М.Н.Шухнин, И.Ю.Юрин, А.Н.Яковлев Практические основы компьютерно-технической экспертизы. Приобрести книгу можно подав заявку на сайте Национального центра по борьбе с преступлениями в сфере высоких технологий ( NHTCU.ru ).
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Сообщение andre_m » 29 сен 2007, 00:16

Несколько раз сталкивался во следующими ситуациями:
1) Просматриваешь результаты поиска по ключевому слову, состоящем из русских букв) в кодировке UNICODE и видишь, что в колонке Hit Text отображается найденное слово (то которое и задавал), но в содержимом файла его НЕТ!!! (отображается не те символы вообще - чаще квадратики).
Видел такое не раз и в 4-ке и в 6-ке. Замена шрифта в настройках программы не помогала.
2) Если несколько раз запускать и останавливать поиск - бывало, что в результатах поиска хиты отображались в результатах по другому слову, т.е. если искал по словам "МЕГАТРЕНД" и "КОМПАНИЯ", результаты поиска по слову "МЕГАТРЕНД" отображались в ветви слова "КОМПАНИЯ". Естественно, когда слов много - в результатах получалась каша.
Заметил такое в 4-ке.
Поэтому, если останавливал поиск, из-за того, что находил ошибку в написании ключевого слова, и т.п., то сперва удалял все найденные хиты, сохранял кейс, закрывал его, загружал заново и запускал поиск.
Аватара пользователя
andre_m
Член клуба
 
Сообщения: 631
Зарегистрирован: 20 сен 2007, 19:32
Откуда: ГКСЭ Республики Беларусь
Благодарил (а): 35 раз.
Поблагодарили: 39 раз.

Сообщение Igor Mikhaylov » 29 сен 2007, 02:01

Если отображает квадратики - значит не установлен требуемый шрифт. Как установить кириллические шрифты в Encase рассказывается тут: http://computer-forensics-lab.org/lib/?cid=118
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Сообщение andre_m » 29 сен 2007, 14:40

Да в том то и дело что некоторые файлы ведь отображают все правильно, а некоторые - нет. И шрифт менял. и подсовывал Arial Unicode MS (тот который примерно 20 Мегабайт).
Аватара пользователя
andre_m
Член клуба
 
Сообщения: 631
Зарегистрирован: 20 сен 2007, 19:32
Откуда: ГКСЭ Республики Беларусь
Благодарил (а): 35 раз.
Поблагодарили: 39 раз.

Сообщение Igor Mikhaylov » 29 сен 2007, 15:07

Честно говоря с тем что ты описываешь не сталкивался. Рискну предположить что это происходит из-за того, что у тебя установлена английская версия Windows+MUI.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Сообщение Doc » 02 окт 2007, 11:39

Добрый день!
Т.е. из всего вышеизложенного получается, что нет универсального инструмента для поиска!? Нужно все результаты пересматривать «ручным поиском»?
Doc
Член клуба
 
Сообщения: 25
Зарегистрирован: 24 сен 2007, 11:49
Откуда: Краснодар
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Marat » 02 окт 2007, 12:29

Doc,
если задача стоит так-есть группа файлов(*.txt,*.doc,*.pdf и т.д.)нужно прозвести поиск по ключевым словам,то лучше использовать
программу dtsearch.
Marat
Член клуба
 
Сообщения: 83
Зарегистрирован: 31 авг 2007, 12:52
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Контекстный поиск в EnCase

Сообщение kfv » 24 ноя 2008, 07:39

Doc писал(а):Добрый день! Столкнулся с тем, что в результатах контекстного поиска в EnCase, много файлов не содержащих искомые данные. Немного поразмыслив, отключил опцию file slack. Если ли еще какой то способ более ювелирного поиска?! Также, при использовании фильтра «Show one hit per file» выводятся почему то не все файлы.
Буду очень признателен за помощь!!!
п.с. мануал читал.


Ситуация с поиском бывает очень занимательная. Если есть возможность, то надо перепроверять хотябы выборочно. Есть некоторые тонкости по поиску в 4 и 6 версиях - бывает не все находит.
Видишь суслика?
- Нет.
А он есть.
Аватара пользователя
kfv
Член клуба
 
Сообщения: 765
Зарегистрирован: 23 янв 2008, 08:59
Откуда: Омск
Благодарил (а): 26 раз.
Поблагодарили: 30 раз.

Re: Контекстный поиск в EnCase

Сообщение slavok » 01 июл 2011, 10:32

Ребята, а как бы вы обрабатывали следующую ситуацию:
- 20 системников из бухгалтерии ведущей несколько фирм
- около 30 ключевых слов - названий кучи фирм (в том числе и ведомых)
в результате (после поверхностной отфильтровки - более 100 тыс файлов)
как оптимальнее решать такие задачи?
el diablo vino por ellos
slavok
Член клуба
 
Сообщения: 39
Зарегистрирован: 06 май 2010, 10:52
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Контекстный поиск в EnCase

Сообщение Igor Mikhaylov » 01 июл 2011, 11:35

slavok писал(а):Ребята, а как бы вы обрабатывали следующую ситуацию:
- 20 системников из бухгалтерии ведущей несколько фирм
- около 30 ключевых слов - названий кучи фирм (в том числе и ведомых)
в результате (после поверхностной отфильтровки - более 100 тыс файлов)
как оптимальнее решать такие задачи?


Думаю, что даже просто распечатать отчет (содержащий информацию о 100.000файлах) крайне проблематично. Предлагаю сделать его в электронном виде и записать вместе с обнаруженными файлами на компакт-диск.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: Контекстный поиск в EnCase

Сообщение kfv » 01 июл 2011, 17:59

Бывает такое.
Мы пришли к следующему:
Отдельно по каждому слову создать директорию и в них выгружать последователльно с накопителей в соответствующие поддиректории - с созданием в них - графика\ текст и пр
в заключении таблицу по каждому накопителю - сколько каждого ключевого слова на графику \текст\удаленную графику\удаленный текст
Приложения в электронном виде на первом диске.
И сами не запутаетесь и следователю понятно.

Слово1\НЖМД1\графические
\ текстовые
\удаленные тексовые
\удаленные графические
\Базы данных\
\.....
\НЖМД2\.....
И так для каждого ключевого
Видишь суслика?
- Нет.
А он есть.
Аватара пользователя
kfv
Член клуба
 
Сообщения: 765
Зарегистрирован: 23 янв 2008, 08:59
Откуда: Омск
Благодарил (а): 26 раз.
Поблагодарили: 30 раз.

Re: Контекстный поиск в EnCase

Сообщение friend » 01 июл 2011, 20:01

опять же при использовании encase 4.20 поиск кокретнее проводить после поиска сигнатур, потом выделять файлы по расшиерниям или сигнатурам, а затем проводить поиск. после того как вручную выделяешь файлы - encase находит данные, которые ранее пропустил.
Аватара пользователя
friend
Член клуба
 
Сообщения: 192
Зарегистрирован: 09 фев 2010, 15:23
Откуда: Архангельск
Благодарил (а): 0 раз.
Поблагодарили: 2 раз.

След.

Вернуться в EnCase Forensic

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron