Выгрузка почты при помощи Encase

Обсуждение работы программы EnCase Forensic. Общий раздел.

Выгрузка почты при помощи Encase

Сообщение xxx2x » 09 ноя 2011, 10:27

Доброго всем дня. Возможна ли в Encase выгрузка почты и вложений из файлов ost,pst и если да то как?
xxx2x
Член клуба
 
Сообщения: 506
Зарегистрирован: 03 апр 2009, 12:19
Благодарил (а): 0 раз.
Поблагодарили: 12 раз.

Re: Выгрузка почты при помощи Encase

Сообщение miapress » 09 ноя 2011, 12:43

забей, почта и энкейс - это не для русских... пользуйся Forensic Assistant например
Аватара пользователя
miapress
Член клуба
 
Сообщения: 237
Зарегистрирован: 12 авг 2011, 17:35
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Re: Выгрузка почты при помощи Encase

Сообщение xxx2x » 09 ноя 2011, 12:53

пользуйся Forensic Assistant


Ну да, только в версии 123, он очень плохо работает с почтой. Постоянные вылеты. И вот такое сообщение:
---------------------------
0xfa.exe
---------------------------
An exception (0EEDFADE) occurred during DllEntryPoint or DllMain in module:
C:\Program Files\Forensic Assistant\plugins\metatools\metatools.dll
---------------------------
ОК
---------------------------

Писал автору, но проблема не решена до сих пор. Отключение metatools не прокатывает. Вот я и интересуюсь кейсом.
xxx2x
Член клуба
 
Сообщения: 506
Зарегистрирован: 03 апр 2009, 12:19
Благодарил (а): 0 раз.
Поблагодарили: 12 раз.

Re: Выгрузка почты при помощи Encase

Сообщение miapress » 09 ноя 2011, 14:53

странно, у нас были глюки (вылетал на базах данных) мы написали автору - глюки оперативно исправили
Аватара пользователя
miapress
Член клуба
 
Сообщения: 237
Зарегистрирован: 12 авг 2011, 17:35
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Re: Выгрузка почты при помощи Encase

Сообщение kfv » 10 ноя 2011, 06:07

xxx2x писал(а):
пользуйся Forensic Assistant


Ну да, только в версии 123, он очень плохо работает с почтой. Постоянные вылеты. И вот такое сообщение:
---------------------------
0xfa.exe
---------------------------
An exception (0EEDFADE) occurred during DllEntryPoint or DllMain in module:
C:\Program Files\Forensic Assistant\plugins\metatools\metatools.dll
---------------------------
ОК
---------------------------

Писал автору, но проблема не решена до сих пор. Отключение metatools не прокатывает. Вот я и интересуюсь кейсом.


Вылетает, постоянно, особенно на работе с "The Bat" (ошибка та же, операционная система win7-64).
К тому же замечено, что пропускает многие временные файлы баз и eml файлы лежащие открыто на диске, особенно если файл не содержит аттачей (образцы даже отсылал в саппорт - пока тихо). Причем ведет себя странно - сканирует - вроде находит все, запускаешь просмотр - некоторых нету, потом как "......" среди пары тысяч файлов ищешь, что потерялось и руками дописываешь их свойства в отчет.
Надеюсь в следующих версиях поправят. За ost,pst по стабильности не скажу, давно не было их.

Если письма из базы бата выгружать - напишите скрипт в энкейсе на поиск и выделение сообщений в файле базы, они там в открытом виде лежат - получите письма в формате eml.
Видишь суслика?
- Нет.
А он есть.
Аватара пользователя
kfv
Член клуба
 
Сообщения: 766
Зарегистрирован: 23 янв 2008, 08:59
Откуда: Омск
Благодарил (а): 26 раз.
Поблагодарили: 30 раз.

Re: Выгрузка почты при помощи Encase

Сообщение friend » 11 ноя 2011, 22:13

еще замечено, что вложения не всегда показывает
Аватара пользователя
friend
Член клуба
 
Сообщения: 192
Зарегистрирован: 09 фев 2010, 15:23
Откуда: Архангельск
Благодарил (а): 0 раз.
Поблагодарили: 2 раз.

Re: Выгрузка почты при помощи Encase

Сообщение andre_m » 12 ноя 2011, 12:11

Проблемы с файлами pst и tbb и наверное не только с ними из-за большого размера => много писем (делил файлы tbb, чтоб в папке не более 7 тыс. писем).
Чтоб аттачи FA не показывал не замечал. Видел как то что в TheBat пользователь настроил автоматическую распаковку аттачей в отдельную папку.
Соотвественно в каждом таком письме была ссылка на аттач (ввиде абсолютного пути к файлу). FA такое обрабатывать не может. Ессно самих аттачей в итоговом отчете и не было.

Как-то файлы emlx от Мака обрабатывал. По виду внутри как обычный eml, правда, отличается. так вот сначала преобразовал emlx в eml, а после успешно скормил FA.
Аватара пользователя
andre_m
Член клуба
 
Сообщения: 631
Зарегистрирован: 20 сен 2007, 19:32
Откуда: ГКСЭ Республики Беларусь
Благодарил (а): 35 раз.
Поблагодарили: 39 раз.

Re: Выгрузка почты при помощи Encase

Сообщение miapress » 12 ноя 2011, 17:22

andre_m: может для тех кто купил 9 комплектов FA саппорт будет отзывчивей? :)
Аватара пользователя
miapress
Член клуба
 
Сообщения: 237
Зарегистрирован: 12 авг 2011, 17:35
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.


Вернуться в EnCase Forensic

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1