Страница 1 из 2

Отчет по файлам в Encase

СообщениеДобавлено: 21 янв 2007, 12:57
Schtirliz
При описании на выходе каких-либо интересующих нас файлов какие поля обязательно стоит указывать в repot'e и стоит ли название полей переводить на русский язык?
Пример:
Name [Name]
File Created [Created]
Last Written [Written]
Last Accessed [Accessed]
Logical Size [LogicalSize]
Physical Size [PhysicalSize]
Physical Location [PhysicalLocation]
Physical Sector [PhysicalSector]
Full Path [FullPath]

Пример по-русски:
Имя файла: [Name]
Дата создания: [Created]
Последняя запись: [Written]
Последний доступ: [Accessed]
Логический размер: [LogicalSize]
Физический размер: [PhysicalSize]
Физическое расположение: [PhysicalLocation]
Физический сектор: [PhysicalSector]
Полный путь: [FullPath]

СообщениеДобавлено: 18 мар 2008, 12:33
kfv
Не все же следователи и судьи английский язык знают (кто то может немецкий или французский учил, кто то забыл все уже), мы пишем все по русски, если приводим скриншоты с английскими словами - то обязательно расшифровываем их.

Re: Отчет по файлам в Encase

СообщениеДобавлено: 18 июл 2008, 18:09
Константин
Schtirliz писал(а):При описании на выходе каких-либо интересующих нас файлов какие поля обязательно стоит указывать в repot'e и стоит ли название полей переводить на русский язык?
Пример:
Name [Name]
File Created [Created]
Last Written [Written]
Last Accessed [Accessed]
Logical Size [LogicalSize]
Physical Size [PhysicalSize]
Physical Location [PhysicalLocation]
Physical Sector [PhysicalSector]
Full Path [FullPath]

Пример по-русски:
Имя файла: [Name]
Дата создания: [Created]
Последняя запись: [Written]
Последний доступ: [Accessed]
Логический размер: [LogicalSize]
Физический размер: [PhysicalSize]
Физическое расположение: [PhysicalLocation]
Физический сектор: [PhysicalSector]
Полный путь: [FullPath]


Как вы приводите данные Report если файлов много (например 100 и больше)? В приложении к заключению, копируете на диск, в самом заключении?

СообщениеДобавлено: 18 июл 2008, 22:35
andre_m
У нас (ГЭКЦ РБ), если файлов много, записываем приложение с реквизитами на диск.

СообщениеДобавлено: 21 июл 2008, 15:24
Константин
Мы в отчете (рапорте) не используем следующие данные из приведенных:
"Physical Size [PhysicalSize]
Physical Location [PhysicalLocation]
Physical Sector [PhysicalSector]", так как считаем, что для следствия они не несут никакой информации и необходимы только в процессе исследования либо для пояснений в суде и для повторных экспертиз. Листинг файлов с файлами реестра и журналы событий храним в папке с экспертизой (хорошо, что места мало занимают).

СообщениеДобавлено: 24 июл 2008, 12:42
kfv
andre_m писал(а):У нас (ГЭКЦ РБ), если файлов много, записываем приложение с реквизитами на диск.


Если файлов не много - 3 или 4 и они небольшие по объему, то мы их распечатываем. Если больше то на диск, свойства файлов в приложениях к заключению (№,расположение, дата создания, последней модификации, последнего доступа, логический размер, MD5). Если файлов больше сотни, то на диск скидываем еще электронную копию приложения, чтоб искать лучше было (так как все файлы выгружаем в один каталог).

Хотя один раз суд заставил распечатывать около 2000 файлов - пять коробок бумаги ушло.

СообщениеДобавлено: 24 июл 2008, 21:12
andre_m
Около 5-ти тысяч страниц распечатки тоже пришлось однажды сделать, но следователю было поставлено условие - его бумага и принтер... Распечатывали дня 3, чтобы принтер не сломать...
И все это дело надо было подписать!!!

СообщениеДобавлено: 24 июл 2008, 21:55
Igor Mikhaylov
была пару раз такая же фигня. я подписывал а коллега печати на подписанных листах ставил. :lol:

СообщениеДобавлено: 25 июл 2008, 06:13
kfv
Igor Michailov писал(а):была пару раз такая же фигня. я подписывал а коллега печати на подписанных листах ставил. :lol:


Подписать это одно - эт недоло, а вот в начале каждого листочка ставить что за файл и откуда он (полный путь) - эт больше неприятностей доставляет. Пришлось макрос писать и кнопку горячую делать.

СообщениеДобавлено: 25 июл 2008, 12:33
Константин
Вот, вот, оно самое - макросы... Не очень люблю VB, но пришлось писать макрос. Кстати, попутно разобрался и сделал макрос переводящий "Name, File, Created, Last Written" из EnCase report на русский язык. Там кстати действительно, можно практически мышкой написать.

СообщениеДобавлено: 25 июл 2008, 14:54
Константин
К слову, у штатовских экспертов в исследовании предусмотрен бланк, содержимое которого переводится примерно как "Взаимодействие со следователем". Т.е. следователь приезжает, просматривает обнаруженные файлы, указывает какие из них копировать, отмечает это в бланке, подписывается и спокойно, не торопясь уезжает. Кажется это неплохая идея, однако в структуре нашей экспертизы (по крайней мере на Украине) не предусмотренная.

СообщениеДобавлено: 25 июл 2008, 16:58
Igor Mikhaylov
У Вас какие-то устаревшие сведения. Уже как два года существует Encase Lab Edition. Следователю / прокурору / судье никуда ездить не надо. Они просто подключаются по сети Интернет к серверу эксперта, где хранятся образы электронных доказательств и с помощью данной программы просматривают нужные ему улики.

GSI собиралась поставлять такую версию в Россию, но правоохранительные структуры не проявили заинтересованности.

СообщениеДобавлено: 25 июл 2008, 17:27
Igor Mikhaylov
kfv писал(а):Подписать это одно - эт недоло, а вот в начале каждого листочка ставить что за файл и откуда он (полный путь) - эт больше неприятностей доставляет. Пришлось макрос писать и кнопку горячую делать.

Я сделал в приложении к заключению большую таблицу с описанием свойств найденных файлов. В примечании, к каждому файлу указал номера страниц на которых он распечатан. :wink:

СообщениеДобавлено: 25 июл 2008, 18:25
Константин
Черт побери, не знал. В нынешнем марте амеры проводили у нас курсы по теме forensic foundation. Так вот, о сервере в 36 террабайт лаборатории в Нью-Джерси они упоминали, при этом акцентировали внимание на нем только как на средстве для хранения имеджей. Исключительно для экспертов.

СообщениеДобавлено: 25 июл 2008, 19:02
Igor Mikhaylov
Forensic Fundamentals - читал я эту англо-украинско-русскую солянку. Прикольно получилось. :lol:

А у AccessData есть аналогичные продукты. Посмотрите внимательно описания ПО может и найдете что-то похожее:
AccessData® Enterprise
AccessData FTK Pro
AccessData eDiscovery
AccessData Network Forensics
AccessData Information Assurance
AccessData Lab

Только AccessData анонсировала их в 2008 году. Опоздали "немного".