Контекстный поиск в EnCase

Обсуждение работы программы EnCase Forensic. Общий раздел.

Re: Контекстный поиск в EnCase

Сообщение friend » 01 июл 2011, 20:02

опять же при использовании encase 4.20 поиск кокретнее проводить после поиска сигнатур, потом выделять файлы по расшиерниям или сигнатурам, а затем проводить поиск. после того как вручную выделяешь файлы - encase находит данные, которые ранее пропустил.
Аватара пользователя
friend
Член клуба
 
Сообщения: 192
Зарегистрирован: 09 фев 2010, 15:23
Откуда: Архангельск
Благодарил (а): 0 раз.
Поблагодарили: 2 раз.

Re: Контекстный поиск в EnCase

Сообщение Константин » 02 июл 2011, 01:42

friend писал(а):опять же при использовании encase 4.20 поиск кокретнее проводить после поиска сигнатур, потом выделять файлы по расшиерниям или сигнатурам, а затем проводить поиск. после того как вручную выделяешь файлы - encase находит данные, которые ранее пропустил.

Простите, не совсем понял - можно подробнее? И еще, четверка не ищет в докиксах (или я чего-т не понимаю).
Константин
Член клуба
 
Сообщения: 495
Зарегистрирован: 26 июн 2008, 19:59
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Контекстный поиск в EnCase

Сообщение friend » 02 июл 2011, 01:59

в docx она тоже ищет, просто для этого надо сначало опять же провести верификацию сигнатур. encase поймет что это архивы zip, затем с помощью стандартного скрипта смонтировать zipы. и оле гоп - там уже xml.

а про файлы с расширениями doc и xls. надо сначала выбрать файлы с данными расширениями, а при поиске указать поиск в выбранных файлах и результаты будут коректнее.
Аватара пользователя
friend
Член клуба
 
Сообщения: 192
Зарегистрирован: 09 фев 2010, 15:23
Откуда: Архангельск
Благодарил (а): 0 раз.
Поблагодарили: 2 раз.

Re: Контекстный поиск в EnCase

Сообщение slavok » 04 июл 2011, 08:15

KFG - да как то так и делали....
я просто неправильно наверное отписал - имелось в виду, при таких объемах особо не проведешь дополнительное исследование, и если ключевое слово не отображается в файле при открытии и лежит, например, где-нибудь в мусоре оле2....то как корректнее быть....
понятно что следствие врядли будет все это просматривать, но был у нас человек (побольше бы таких следователей которые работают на совесть!), который просмотрел все и обращался за разъяснениями...
el diablo vino por ellos
slavok
Член клуба
 
Сообщения: 39
Зарегистрирован: 06 май 2010, 10:52
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Контекстный поиск в EnCase

Сообщение Igor Mikhaylov » 04 июл 2011, 10:46

Думаю, что надо указывать все файлы, где встречаются поисковые слова (принцип: где нашел - про то и написал).
Например, текст скрытый в документе картинкой (картинка накладывалась поверх текста) тоже не отображается (мне попадался вариант, когда обвиняемый в подобном документе хранил свои пароли).
Будет очень неудобно если назначат повторную экспертизу и получат другие результаты.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: Контекстный поиск в EnCase

Сообщение slavok » 08 июл 2011, 08:05

спасибо что подтвердили наши догадки!!!!
el diablo vino por ellos
slavok
Член клуба
 
Сообщения: 39
Зарегистрирован: 06 май 2010, 10:52
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Контекстный поиск в EnCase

Сообщение kfv » 08 июл 2011, 11:19

slavok писал(а):..понятно что следствие врядли будет все это просматривать, но был у нас человек (побольше бы таких следователей которые работают на совесть!), который просмотрел все и обращался за разъяснениями...


Мы в конце приписку делаем ..
.. Если следователем будут выделены отдельные файлы то по ним будет дана дополнительная информация..
Видишь суслика?
- Нет.
А он есть.
Аватара пользователя
kfv
Член клуба
 
Сообщения: 765
Зарегистрирован: 23 янв 2008, 08:59
Откуда: Омск
Благодарил (а): 26 раз.
Поблагодарили: 30 раз.

Re: Контекстный поиск в EnCase

Сообщение slavok » 11 июл 2011, 08:22

kfg - спасибо за отличный совет!!!
el diablo vino por ellos
slavok
Член клуба
 
Сообщения: 39
Зарегистрирован: 06 май 2010, 10:52
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Пред.

Вернуться в EnCase Forensic

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron