EnCase 4.20. Добавление новых сигнатур...

Обсуждение работы программы EnCase Forensic. Общий раздел.

EnCase 4.20. Добавление новых сигнатур...

Сообщение Doc » 29 май 2009, 10:19

Всем привет.
К сожалению, на руках имеется версия EnCase только 4.20. Так вот вопрос, помимо хешей, есть еще какие то способы поддержки актуальности этой версии?
В частности столкнулся с новым форматом Office 2007, а именно добавление сигнатуры. Я понимаю что сигнатура PK это архив, но как сделать сортировку чтобы EnCase понимал что это архив, а это документ?! Добавил сигнатуру, добавил тип файла...а все равно он документ видит как архив и открывает, как архив :(
Может быть есть возможность выгрузить полный набор сигнатур, типов файлов с более поздних версий?!
Doc
Член клуба
 
Сообщения: 25
Зарегистрирован: 24 сен 2007, 11:49
Откуда: Краснодар
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Igor Mikhaylov » 29 май 2009, 11:08

На самом деле, это проблема. На форуме бывают представителя правообладателя. Возможно, им подобные действия не понравятся.

А вообще, народ за предоставление доступа к подобным базам денежку берет. Вот пример:
_http://filesig.com/

What is the OFSDB?
The OFSDB is a bespoke database developed to allow users to share information relating to file identification and research. The OFSDB requires that each member has their own username and password.

Database usage/modifications are automatically monitored and recorded in order to provide an audit log. The audit log can be reviewed by OFSDB members to track any changes made and to ensure data being entered is both valid and consistent.

In order to access the OFSDB users must work for a Government organisation or organisation applicable to this resource.

A subscription is payable by non-governmental organisations, this subscription part-covers the cost of ongoing bespoke research & development, hosting and administrative costs.

A subscription can be in the name of an individual or a company. Please note that companies with 10 or more practitioners will need to contact support prior to purchase, it is not acceptable for multiple users to share one account in this instance.

Small companies and units are welcome to subscribe under a single company/unit name.

Subscription costs $25 USD per year to non-governmental organisations. To begin the registration process click here.

Вот если б они (представители Guidancesoftware) сами дали доступ к подобным сведениям...
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6913
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 152 раз.

Re: EnCase 4.20. Добавление новых сигнатур...

Сообщение Igor Mikhaylov » 29 май 2009, 11:12

Doc писал(а):а все равно он документ видит как архив и открывает, как архив :(

Правильно, потому что это архив и есть. Даже Encase 6 научилась различать docx и zip архивы не сразу. А к версии так 6.13. Но, в Encase 6 идут специализированные вьюверы, которые прикрутить к Encase 4 врядли представится возможным.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6913
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 152 раз.

Сообщение Doc » 29 май 2009, 11:15

т.е., как минимум остается вручную добавить новый тип файла, соответствующую сигнатуру PK, чтобы хоть как то сортировать расширения...и потом уже чем то другим работать с этой выборкой? печально :(
Doc
Член клуба
 
Сообщения: 25
Зарегистрирован: 24 сен 2007, 11:49
Откуда: Краснодар
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Igor Mikhaylov » 29 май 2009, 12:00

По доброму,свою базу сигнатур ваять надо.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6913
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 152 раз.

Сообщение Doc » 29 май 2009, 12:05

так а толку то, если, например, сигнатура PK это и архив и документ :( документ в архив переименовать и при этом сигнатурный анализ покажет совпадение и файл уйдет...
Doc
Член клуба
 
Сообщения: 25
Зарегистрирован: 24 сен 2007, 11:49
Откуда: Краснодар
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.


Вернуться в EnCase Forensic

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1