Страница 1 из 1

Расхождения EnCase_vs_PhotoRec

СообщениеДобавлено: 23 май 2014, 15:07
sl.314
Добрый день!
Сложилась такая ситуация
в ходе исследования PhotoRec-ом нашли нужные файлы : JPG,docx, doc,

Сторонняя экспертиза EnCase Forensic V7 нашла только треть из них.
Подскажите в чем может быть проблема такого расхождения?
Какие "секреты" EnCase нужно подсказать эксперту если файлы реально присутствуют на HDD?
Как можно юридически использовать результаты PhotoRec?
Заранее спасибо

Re: Расхождения EnCase_vs_PhotoRec

СообщениеДобавлено: 23 май 2014, 16:54
Igor Mikhaylov
Мало иметь Encase. Надо уметь ею пользоваться. Я уже лет семь об этом говорю. Не хотят слышать.

sl.314, посмотрите личные сообщения.

Re: Расхождения EnCase_vs_PhotoRec

СообщениеДобавлено: 23 май 2014, 17:08
kfv
Igor Michailov писал(а):Мало иметь Encase. Надо уметь ею пользоваться. Я уже лет семь об этом говорю. Не хотят слышать.

Поиск по сигнатурам - отдельная задача для энкейс.

Re: Расхождения EnCase_vs_PhotoRec

СообщениеДобавлено: 23 май 2014, 17:32
Igor Mikhaylov
sl.314 писал(а):Как можно юридически использовать результаты PhotoRec?

Не понял вопроса.

Re: Расхождения EnCase_vs_PhotoRec

СообщениеДобавлено: 23 май 2014, 19:03
kfv
У меня наверное с английским совсем плохо
"PhotoRec is free - this open source multi-platform application is distributed under GNU General Public License (GPLV v2+)" :)

Re: Расхождения EnCase_vs_PhotoRec

СообщениеДобавлено: 27 май 2014, 00:02
sl.314
Igor Michailov писал(а):
sl.314 писал(а):Как можно юридически использовать результаты PhotoRec?

Не понял вопроса.

Добрый день!
В сети полно разборов экспертиз с EnCase и их дальнейшие использование в суде и следствии, но не попадаются (вовсяком случае в СНГ) использование PhotoRec в экспертизах.
В нашем случае следователь у нас в провинции РК привлекает местного специалиста для консультаций находит PhoRec-ом важные файлы , после этого отправляет HDD на экспертизу в Астану.
Откуда приходит результат только 1/3 от найденных файлов относящихся к делу. Теперь возникает два вопроса
1 Можно ли использовать результаты PhotoRec как доказательство
2 Как "тактично" объяснить тонкости использования EnCase, чтобы он использовал все его возможности

Re: Расхождения EnCase_vs_PhotoRec

СообщениеДобавлено: 27 май 2014, 03:59
Igor Mikhaylov
sl.314 писал(а):Можно ли использовать результаты PhotoRec как доказательство

Конечно. Почему нет? Я бы, в качестве третейской программы, посоветовал посмотреть результаты получаемые R-Studio (или Scalpel если уж совсем все плохо во всех смыслах). Практика, когда результат экспертизы подтверждается использованием 2-3 разных программных продуктов - нормальный (это один из основных принципов ACPO). Потому что ни один программный продукт не застрахован от ошибок.

sl.314 писал(а):2 Как "тактично" объяснить тонкости использования EnCase, чтобы он использовал все его возможности

Encase 7 - сырой и недоработанный продукт. Не может разработчик его до ума довести, к сожалению. Советую пользоваться Encase 6 (благо ключ позволяет делать downgrade).

sl.314 писал(а):он использовал все его возможности

"Он" - это кто? Эксперт из Астаны?