Страница 1 из 1

Выгрузка почты при помощи Encase

СообщениеДобавлено: 09 ноя 2011, 10:27
xxx2x
Доброго всем дня. Возможна ли в Encase выгрузка почты и вложений из файлов ost,pst и если да то как?

Re: Выгрузка почты при помощи Encase

СообщениеДобавлено: 09 ноя 2011, 12:43
miapress
забей, почта и энкейс - это не для русских... пользуйся Forensic Assistant например

Re: Выгрузка почты при помощи Encase

СообщениеДобавлено: 09 ноя 2011, 12:53
xxx2x
пользуйся Forensic Assistant


Ну да, только в версии 123, он очень плохо работает с почтой. Постоянные вылеты. И вот такое сообщение:
---------------------------
0xfa.exe
---------------------------
An exception (0EEDFADE) occurred during DllEntryPoint or DllMain in module:
C:\Program Files\Forensic Assistant\plugins\metatools\metatools.dll
---------------------------
ОК
---------------------------

Писал автору, но проблема не решена до сих пор. Отключение metatools не прокатывает. Вот я и интересуюсь кейсом.

Re: Выгрузка почты при помощи Encase

СообщениеДобавлено: 09 ноя 2011, 14:53
miapress
странно, у нас были глюки (вылетал на базах данных) мы написали автору - глюки оперативно исправили

Re: Выгрузка почты при помощи Encase

СообщениеДобавлено: 10 ноя 2011, 06:07
kfv
xxx2x писал(а):
пользуйся Forensic Assistant


Ну да, только в версии 123, он очень плохо работает с почтой. Постоянные вылеты. И вот такое сообщение:
---------------------------
0xfa.exe
---------------------------
An exception (0EEDFADE) occurred during DllEntryPoint or DllMain in module:
C:\Program Files\Forensic Assistant\plugins\metatools\metatools.dll
---------------------------
ОК
---------------------------

Писал автору, но проблема не решена до сих пор. Отключение metatools не прокатывает. Вот я и интересуюсь кейсом.


Вылетает, постоянно, особенно на работе с "The Bat" (ошибка та же, операционная система win7-64).
К тому же замечено, что пропускает многие временные файлы баз и eml файлы лежащие открыто на диске, особенно если файл не содержит аттачей (образцы даже отсылал в саппорт - пока тихо). Причем ведет себя странно - сканирует - вроде находит все, запускаешь просмотр - некоторых нету, потом как "......" среди пары тысяч файлов ищешь, что потерялось и руками дописываешь их свойства в отчет.
Надеюсь в следующих версиях поправят. За ost,pst по стабильности не скажу, давно не было их.

Если письма из базы бата выгружать - напишите скрипт в энкейсе на поиск и выделение сообщений в файле базы, они там в открытом виде лежат - получите письма в формате eml.

Re: Выгрузка почты при помощи Encase

СообщениеДобавлено: 11 ноя 2011, 22:13
friend
еще замечено, что вложения не всегда показывает

Re: Выгрузка почты при помощи Encase

СообщениеДобавлено: 12 ноя 2011, 12:11
andre_m
Проблемы с файлами pst и tbb и наверное не только с ними из-за большого размера => много писем (делил файлы tbb, чтоб в папке не более 7 тыс. писем).
Чтоб аттачи FA не показывал не замечал. Видел как то что в TheBat пользователь настроил автоматическую распаковку аттачей в отдельную папку.
Соотвественно в каждом таком письме была ссылка на аттач (ввиде абсолютного пути к файлу). FA такое обрабатывать не может. Ессно самих аттачей в итоговом отчете и не было.

Как-то файлы emlx от Мака обрабатывал. По виду внутри как обычный eml, правда, отличается. так вот сначала преобразовал emlx в eml, а после успешно скормил FA.

Re: Выгрузка почты при помощи Encase

СообщениеДобавлено: 12 ноя 2011, 17:22
miapress
andre_m: может для тех кто купил 9 комплектов FA саппорт будет отзывчивей? :)