Один частный случай

Персональный раздел для Krec.

Re: Один частный случай

Сообщение Igor Mikhaylov » 11 окт 2012, 03:46

>только вот уже 3 часа считывает MD5... почему так долго
Вы представляете как рассчитывается односторонняя криптографическая функция?
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: Один частный случай

Сообщение Krec » 11 окт 2012, 04:24

Igor Michailov писал(а):>только вот уже 3 часа считывает MD5... почему так долго
Вы представляете как рассчитывается односторонняя криптографическая функция?

да. много имел дело с криптографией. этот файл (RAW) должен считываться как одно целое.
ну час максимум на считывание... но не 4 и больше .. я остановил, не ждал больше 4_х часов. а то создался образ где то за 3 часа, а хэш считывается больше 4_х часов.. непорядок какой то.

P.S. жаль Autopsy не пониамет этот формат :( EnCase (4_я версия) тоже не видет его вроде...
в чем вы этот RAW исследуйте? просто я хотел в Autopsy - более менее его знаю.
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение raider79 » 11 окт 2012, 10:08

Krec писал(а):да. много имел дело с криптографией. этот файл (RAW) должен считываться как одно целое.
ну час максимум на считывание... но не 4 и больше

вы с криптографией? серьёзно?
.. я остановил, не ждал больше 4_х часов. а то создался образ где то за 3 часа, а хэш считывается больше 4_х часов.. непорядок какой то.

ваше право, можно и не считать вовсе если это вам не нужно. главное, что есть образ. посчитать можно в любой момент.
P.S. жаль Autopsy не пониамет этот формат :( EnCase (4_я версия) тоже не видет его вроде...
в чем вы этот RAW исследуйте? просто я хотел в Autopsy - более менее его знаю.

кто вам такое сказал. прекрасно понимает и autopsy (даже в первую очередь autopsy) и Encase и любой другой приличный софт.
raider79
Член клуба
 
Сообщения: 132
Зарегистрирован: 19 июн 2012, 14:56
Откуда: Беларусь, Минск, ГКСЭ
Благодарил (а): 1 раз.
Поблагодарили: 2 раз.

Re: Один частный случай

Сообщение Krec » 11 окт 2012, 14:35

вы с криптографией? серьёзно?

да, да... еще со сверен срочной службы ;)

ваше право, можно и не считать вовсе если это вам не нужно. главное, что есть образ. посчитать можно в любой момент.

да, на данный момент он мне не нужен, т.к. не буду отчитываться перед судом. Просто думал за час справится, а не тут то было дело.

кто вам такое сказал. прекрасно понимает и autopsy

тогда че то недопонимаю.. вот создал "case", хочу импортировать образ, но он не "понимает" такое расщирение:
Изображение

а если выберу все же .raw, то не доступны кнопки "далее" или "готово".
Изображение

почти тоже сама история с EnCase.
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение raider79 » 11 окт 2012, 14:47

ох уж эта виндовая версия autopsy... в линуксе ему пох на расширение.
а переименовать в *.dd или любое другое расширение из списка raw images слабо?
так вы экспертом не станете, надо соображалку включать.
raider79
Член клуба
 
Сообщения: 132
Зарегистрирован: 19 июн 2012, 14:56
Откуда: Беларусь, Минск, ГКСЭ
Благодарил (а): 1 раз.
Поблагодарили: 2 раз.

Re: Один частный случай

Сообщение Krec » 11 окт 2012, 15:08

raider79 писал(а):ох уж эта виндовая версия autopsy... в линуксе ему пох на расширение.
а переименовать в *.dd или любое другое расширение из списка raw images слабо?
так вы экспертом не станете, надо соображалку включать.

:D да легко могу менять. но я так подумал - ведь вы сказали , что это отличаеться от просто dd, и вот я думал раз отличается, значит файловая структура тоже другая и банальная замена .raw > .dd не поможет.

ну тогда попорбую :)

спасибо.
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение raider79 » 11 окт 2012, 15:27

в третий раз повторяю, dd - это не формат данных и от raw он ничем не отличается. это тупо копия секторов блочного устройства и не важно какой прогой её снимать и каким расширением обзывать.
p.s. можно было даже и не менять ничего, а выбрать All Files
raider79
Член клуба
 
Сообщения: 132
Зарегистрирован: 19 июн 2012, 14:56
Откуда: Беларусь, Минск, ГКСЭ
Благодарил (а): 1 раз.
Поблагодарили: 2 раз.

Re: Один частный случай

Сообщение drloser » 11 окт 2012, 20:33

Используйте в соответствии с вашей кармой что-нить исключительно Windowsзное. Например,
для создания это
Изображение
Тут http://hddguru.com/software/HDD-Raw-Copy-Tool/
а для подключения это
Изображение
тут http://www.osforensics.com/tools/mount-disk-images.html
ибо иначе...
Изображение
Все съедено до нас
Аватара пользователя
drloser
Член клуба
 
Сообщения: 1108
Зарегистрирован: 22 июн 2011, 08:06
Откуда: Нигерия в снегах
Благодарил (а): 12 раз.
Поблагодарили: 50 раз.

Re: Один частный случай

Сообщение Krec » 12 окт 2012, 01:55

raider79

все таки я не соглашусь в вами, что нет формата .dd
http://formats.ru/format/about/file/DD/
http://open-file.ru/types/dd

да и тут
http://www.osforensics.com/tools/mount-disk-images.html
в таблице написаы Image Format - Raw Image (.IMG, .DD)
Это скоре всего как сказать нет RAR формата, это просто программа winRAR делает.

drloser

спасибо, но уже запутался с этими программами. пока останусь на *nix решениях, уже все подготовил, в на выходные уже сниму образ :)
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение raider79 » 12 окт 2012, 10:13

путаешь причину со следствием. есть raw image формат и в скобочках расширения (много), которым его любят обзывать. всего лишь.
уж поверь старому эксперту :)
raider79
Член клуба
 
Сообщения: 132
Зарегистрирован: 19 июн 2012, 14:56
Откуда: Беларусь, Минск, ГКСЭ
Благодарил (а): 1 раз.
Поблагодарили: 2 раз.

Re: Один частный случай

Сообщение Krec » 12 окт 2012, 15:19

raider79 писал(а):путаешь причину со следствием. есть raw image формат и в скобочках расширения (много), которым его любят обзывать. всего лишь.
уж поверь старому эксперту :)

:) Ну ладно, пусть будет по вашему. но если я напишу dd формат, это значит RAW образ, снят утилитой dd
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение Krec » 14 окт 2012, 00:51

Наконец сделал "боевой" образ уже :) спасибо отдельно raider79 за ПО и за обьяснения что к чему.

Но сталкивался с другим проблемой... ОС оказался там Windows XP pro SP3 _ ZVER (не смотря на серьезность товарищей)
Я то думал "ну обычный XP, подумаешь" а вот сейчас смотрю - оказывается нет папки Prefetch :( так расстроился. А ведь много "планов" были с этими файлами..
В таких "home made" сборках часто кострируют систему, чтоб меньше место занимало или отключают по их мнению "ненужные" службы/сервисы... вот и резултат.
Напомню задачу/проблему:
... то то находился у знакомого в рабочем комнате и пользовался его компьютером. камер видеонаблюдений нету. Сыщики приехали, сняли отпечатки пальцев и уехали.. так и не забрали компьютер, акцентируя это тем, что это не их проблемы и они выяснять будут только чей отпечатки (покрайне мере попробуют)
Знакомый утверждает, что он точно комьпютер отключил, а когда вернулся - компьютер был включен и открыт сайт vk.com. А также говорит, что история браузера была очищена (он не чистил).
Собственно просит мне помочь.. мало ли что то получиться выяснить. Известно точная дата и промежуток времени, когда был несанкционированный доступ в кабинет.

почему то мне кажеться, что на комьпютере были запущены ПО, возможно использован "свои", с USB флешки. А также кража информации...
уточнил также, что была запущена бразуер google chrome , просто загружен был "vk.com" и все. история очишена.
не знаю с чего начинать именно.. по этому думал начать с prefetch именно, он мне "расскажет" более-менее что запустили этот день.
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение Igor Mikhaylov » 14 окт 2012, 05:08

>думал начать с prefetch именно, он мне "расскажет" более-менее что запустили этот день.

prefetch? Я думал, надо Recent смотреть и реестр. :wink:
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: Один частный случай

Сообщение Krec » 14 окт 2012, 17:26

Igor Michailov писал(а):>думал начать с prefetch именно, он мне "расскажет" более-менее что запустили этот день.

prefetch? Я думал, надо Recent смотреть и реестр. :wink:

да, prefetch...там было бы хорошие зацепки.. И удалить их в ручную могут и то знающие.
А с Recent печально, как и ожидал:
Изображение

инцидент произошел 11.09-12-09 ночь.. Истории нету.
А в реестре что могу узнать, кроме подключенных USB ?
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение Igor Mikhaylov » 14 окт 2012, 18:02

много чего :D
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Пред.След.

Вернуться в KREC

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron