КОМПЬЮТЕРНО-ТЕХНИЧЕСКАЯ ЭКСПЕРТИЗА

[slavok]

Вот и свершилось и мы стали счастливыми обладателями Encase 7.
Вот и стал я пробовать это чудо в работе.
И самая первая задача, на мой взгляд довольно тривиальная, поиск по ключевым словам по накопителю в том числе и среди удаленной информации.

по мануалам разобрался что есть 2 способа:
- при помоши Processing Evidence
- при помощи Raw Search Selected

первым способом часов за 6 три критерия с учетом восстановления провелось - результаты ожидаемые (предварительно делал архивариусом и было с чем сравнить). второй способ сейчас в процессе и как долго продлится пока непонятно - прогноз постоянно меняется.

и появилось несколько вопросов по поводу того как происходят поиски в Encase:
- при поиске при помощи Processing Evidence, если появится необходимость поиска нового критерия как лучше поступать - заново запустить Processing Evidence и просто добавить новый критерий в список ключевых слов и сделать выполнение только с галочкой на ключевых словах? время такого поиска будет сопоставимо с первичным поиском? как написано в мануале при таком поиске создается индекс аналогично архивариусному и я надеялся что скорость такого повторного поиска будет очень большой но по факту все затянулось надолго(((
- при Raw Search Selected как я понимаю каждый поиск будет примерно одинаково долгим.

Может я просто неправильно понимаю технологию поиска....
поможите пожалуйста!

[miapress]

даю намек: есть такой человечек на форуме andre_m он написал методичку поиск по ключевым словам используя индексацию в encase6, попросите, попросите...

[Igor Mikhaylov]

Вот и свершилось и мы стали счастливыми обладателями Encase 7.
...
первым способом часов за 6 три критерия с учетом восстановления провелось

Современные программы очень требовательны к железу. Им сейчас видишь ли 48Гб оперативки подавай и SSD диски под индекс. На Encase у вас за 6 часов все посчиталось, а в какой нибудь FTK все просто напросто зависло бы к чертям.

[Igor Mikhaylov]

И кроме того, Evidence Processor - штука хитрая, требующая тонкой настройки. Вот забыли вы где-то галочку убрать - и будет он по ходу поиска ключевых слов, решать еще пару-тройку дополнительных задач (скажем, считать хеш значения файлов, искать зашифрованные файлы или проверять соответствие расширения файлов сигнатурам ). А это все дополнительные ресурсы и дополнительное время на выполнение.