КОМПЬЮТЕРНО-ТЕХНИЧЕСКАЯ ЭКСПЕРТИЗА

[Krec]

Новое дело у меня
поиски ввели к локальному компьютеру и возникли нескоьлко вопрос..
OS - Windows 7 Ultimate

1. Посоветуйте пожалйста нормальную ПО, который считывает NTUSER.DAT файт и дает отчет (расшифрованном виде) ветвь UserAssist. пробовал regdecoderR103 - падает после импорта , UserAssist - при импорте файла(dat) говорит, что нет там ничего, UserAssistview - только локальный показывает. нет возможности цеплять файл.
Очень понравился RegDecoder, но почему то именно при импорте файла NTUSER.DAT рушиться (пробовал как с read-only диском, так и без). с другими ветками реестра из Rapair все ОК
2. что касаеться разделу реестра HKLM\system\currentControlSet\Enum\USBStor - там дата создания только пишеться или дата последнего подключение USB носителей? возможно ли узнать дату последнего подключения? мне кажется там даты регистрации просто, т.к. они сделаны несколько месяцев назад, а в копьютер загружен фотки из фотоаппарата недавно, собственно - была подключена флешка

3. Сделал образ RAW, монтировал и через windows explorer захожу в этот диск (read-only), чтоб просто посмотреть обьем информации визуально - нет ничего, кроме стандартных папок, как будто только установленный windows 7. ставлю галочку отображать скрытые файлы у системные защишенные, то тогда появляются несколько еще, куда не могу зайти(запрешен доступ), загрузил Autopsy и вижу, что там есть папка, в котором и находится весь документ/фото/видео пользователя.
Я вот теперь в недопниманя... это получается пользовтель чем то скрыл папку эту, что даже после разрешение показа скрытых она не отображаеться?
(могу скрины показать, если что)

4. Возможно ли достать логи скайпа? я слышал, что они хранятся на сервере.. А на локальном компе ничего нельзя достать? может дублируются гд то или что то типа такого... хотяб котакты, с кем имело дело пользователь.

[Igor Mikhaylov]

Новое дело у меня

Поздравляю.

1. Посоветуйте пожалйста нормальную ПО, который считывает NTUSER.DAT файт и дает отчет (расшифрованном виде) ветвь UserAssist. пробовал regdecoderR103 - падает после импорта , UserAssist - при импорте файла(dat) говорит, что нет там ничего, UserAssistview - только локальный показывает. нет возможности цеплять файл.
Очень понравился RegDecoder, но почему то именно при импорте файла NTUSER.DAT рушиться (пробовал как с read-only диском, так и без). с другими ветками реестра из Rapair все ОК

Registry Viewer от AccessData
Сам не юзал, но вот например еще nirsoft.net/utils/userassist_view.html

2. что касаеться разделу реестра HKLM\system\currentControlSet\Enum\USBStor - там дата создания только пишеться или дата последнего подключение USB носителей?

Дата создания (первого подключения устройства).

возможно ли узнать дату последнего подключения?

Дата/время подключения устройств Plg and Play (и USB устройств в частности) пишется в отдельный лог: setupapi.log (Windows XP), setupapi.dev.log (Windows 7). Setupapi.dev.log, располагается по пути "C:\Windows\inf\". Искать в нём устройство надо по серийному номеру.

Дополнительная информация:
forensicswiki.org/wiki/USB_History_Viewing
forensicmag.com/article/windows-7-registry-forensics-part-6?page=0,1

3. Сделал образ RAW, монтировал и через windows explorer захожу в этот диск (read-only), чтоб просто посмотреть обьем информации визуально - нет ничего, кроме стандартных папок, как будто только установленный windows 7. ставлю галочку отображать скрытые файлы у системные защишенные, то тогда появляются несколько еще, куда не могу зайти(запрешен доступ), загрузил Autopsy и вижу, что там есть папка, в котором и находится весь документ/фото/видео пользователя.
Я вот теперь в недопниманя... это получается пользовтель чем то скрыл папку эту, что даже после разрешение показа скрытых она не отображаеться?
(могу скрины показать, если что)

Зацепите FTK Imager’ом и сделайте скрины. Похоже на то, что у вас вредонос сидит в системе.

4. Возможно ли достать логи скайпа? я слышал, что они хранятся на сервере.. А на локальном компе ничего нельзя достать? может дублируются гд то или что то типа такого... хотяб котакты, с кем имело дело пользователь.

Если специально не потерто, то на компе все и хранится: список контактов, история звонков, чаты.

Chat Examiner, Belkasoft, Forensic Assistant вам в помощь.

[Krec]

Registry Viewer от AccessData

Он тоже простооткает, как стандартный regedit.exe, не дешифровывает.

Сам не юзал, но вот например еще nirsoft.net/utils/userassist_view.html

ее юзал - не справился тоже.

setupapi.dev.log (Windows 7). Setupapi.dev.log, располагается по пути "C:\Windows\inf\". Искать в нём устройство надо по серийному номеру.

Нашел файл, весит 3 мб. сам файл последний раз 10 февраля изменен. значит тоже неактуальная информация будет там.

Дополнительная информация:
forensicswiki.org/wiki/USB_History_Viewing

Есть такая прога у меня, но он только локально показывает (все очень подробно и понятно). не знаю как скормить ее другим реестром.

Зацепите FTK Imager’ом и сделайте скрины. Похоже на то, что у вас вредонос сидит в системе.

да нужные файлы уже Autopsy перелопатил. Я как понял - немогу зайти в некоторые каталоги, потому что NTFS разрешение не пускает?
вот например один из таких ситуаций:

Если специально не потерто, то на компе все и хранится: список контактов, история звонков, чаты.

Мне кажется не потерт.
main.db - около 12 мб весит
в папке chatsync куча папок название которых состоит из 2х цифр или букв, и в каждом файлы типа 8f7a9e02ddd865d6.dat

Chat Examiner, Belkasoft, Forensic Assistant вам в помощь.

Chat Examiner стоит 100$, он точно сможет читать main.db и содержимое папки chatsync ?
Belkasoft 2013 стоит 700-800$ (та версия, которая вполне хватит мне по описанию).
Какой продукт посоветуйте приобрести?

[Igor Mikhaylov]

Он тоже простооткает, как стандартный regedit.exe, не дешифровывает.

Дешифровывает. RTFM

Есть такая прога у меня, но он только локально показывает (все очень подробно и понятно).

Это ссылка на справочные материалы по теме, а не на программу.

Я как понял - немогу зайти в некоторые каталоги, потому что NTFS разрешение не пускает?
вот например один из таких ситуаций:

Documents and Settings в Window 7 нет. Это жесткая ссылка введенная для обратной совместимости. Тут подробнее. А в ходе проводимого исследования вы точно не натыкались на свои данные? Думаю, что декодированная переписка Skype вас приятно удивит.

Chat Examiner стоит 100$, он точно сможет читать main.db и содержимое папки chatsync ?

Скачайте демку Chat Examiner - он покажет до 15 строчек в найденных данных (т.е. 15 первых контактов, 15 первых вызовов, 15 первых строчек в конкретном чате). Если результат устроит - купите (в принципе, можно воспользоваться и бесплатными утилитами).
Часто, даже того что Chat Examiner отображает в демо-режиме более чем достаточно.

[Krec]

Дешифровывает. RTFM

но как? он просто открывает как обычный редактор реестра!

А в ходе проводимого исследования вы точно не натыкались на свои данные? Думаю, что декодированная переписка Skype вас приятно удивит.

Не понял.. на какие данные? все данные пользователя нашел.. только оказался свежей системой. думаю о поисках преджних файлов. Стоит делать поиск Autopsy или с R-Studio ?

До скайпа пока не дошел. не знаю что там будет. Но мне это очень важно, т.к. акцент сделан на переписки.

P.S. Кстати, выявнить софт пиратский или лицензионный - это "забота" этсперта? если да, то как и где проверить валидность ? или только с документами?
Компьютер стоял дома, на нем фотошоп и офис новый. 95% уверен, что пиратский софт.

[Igor Mikhaylov]

Компьютер стоял дома, на нем фотошоп и офис новый. 95% уверен, что пиратский софт.

На статью все равно не хватит. А если нет разницы, зачем заморачиваться?

[Krec]

На статью все равно не хватит. А если нет разницы, зачем заморачиваться?

почему не хватает? для домашних пользователей нарушение авторских прав не канает? сумма ушерба вроде за 50к.
---------

Скайпом разобрался. софт от Paraben справился на ура. Купил.
Если бы еще учиться как оттуда диалоги импортировать в html или pdf, было бы вообще шикарно.

остались вопросы открыты :

1. насчет UserAssist (как получить дешифрованные данные из реестра)
2. есть такой замечательный софт - USBDeview ( http://www.nirsoft.net/utils/usb_devices_view.html )
как скормить его реестром смонтированного диска?

3. R-Studio твердо утверждает, что на HDD нет никаких удаленных файлов (только несколько картинок и все). чем можно еще пробовать? там видимо был форматирован HDD, и с нуля установлен все.
хотел бы достать файлы из старой системы

[Aital]

4. Возможно ли достать логи скайпа? я слышал, что они хранятся на сервере.. А на локальном компе ничего нельзя достать? может дублируются гд то или что то типа такого... хотяб котакты, с кем имело дело пользователь.

SkypeLogView

[Krec]

4. Возможно ли достать логи скайпа? я слышал, что они хранятся на сервере.. А на локальном компе ничего нельзя достать? может дублируются гд то или что то типа такого... хотяб котакты, с кем имело дело пользователь.

SkypeLogView

читаем внимательно:

Скайпом разобрался. софт от Paraben справился на ура. Купил.

[Igor Mikhaylov]

На статью все равно не хватит. А если нет разницы, зачем заморачиваться?

почему не хватает? для домашних пользователей нарушение авторских прав не канает? сумма ушерба вроде за 50к.

больше 100т.р.

[Krec]

Восстановил фотографии после удаления (точнее форматирования), в папке 10 файлов, 2 только рабочие, а те 8 не открываются, хотя по весу похоже на рабочие.. Можно ли ручным как то "чинить" эти файлы?

[Igor Mikhaylov]

1)Попробуйте разные утилиты восстановления.
2)Пробегитесь по диску демо-версией http://www.thumbnailexpert.com/ (ее функционала вполне достаточно. чтобы определиться не застряли ли где-то в базах миниатюр интересные вам файлы).

[Krec]

Ок. спасибо, попробую.

Вот один "организационный" вопрос..
нашел интересную переписку для дела, методом поиска по адресу почты.
он кроме того, что находится в наразмеченном томе (как я понял), еще и в кодированном виде, с кучей мусора. я то декодировал и получил читаемый текст, но вот как это оформить в документе? что/откуда и в каком виде выставить это?
вот скрин этого момента:

[Антипов Максим]

...в наразмеченном томе (как я понял)...

Странно... Что по этому поводу таблица разделов говорит? FTK Imager? Unallocated раздел, или нет? Гадание на кофейной гуще здесь как бы не уместно...

...еще и в кодированном виде, с кучей мусора. я то декодировал и получил читаемый текст, но вот как это оформить в документе? что/откуда и в каком виде выставить это?

1. Если раздел все же не размечен, и остатков хоть какой-нибудь фс там не нашлось (надеюсь средства для поиска остатков фс имеются?) - вполне будет достаточно использовать привязку к логической нумерации секторов, а в заключении написать примерно так: "В не размеченной области НЖМД в цепочке секторов начиная с сектора с номером Х до сектора с номером У (считая с начала НЖМД) обнаружены закодированные данные, содержащие строку "ХХХ". Если обнаруженные данные имеют хоть какую-нибудь узнаваемую структуру (EML к примеру) - не стесняться указать и это.
2. Если обнаружилась хоть какая-то фс - искать какие в ней есть сведения об обнаруженных секторах (Браян Кериор в помощь - ибо перепечатывать его сюда смысла не вижу).
3. Еще в обязательном порядке, для избежания разночтений и лишних вопросов стоит указать, чем декодировались обнаруженные данные для приведения в читаемый вид.

[Krec]

Странно... Что по этому поводу таблица разделов говорит? FTK Imager? Unallocated раздел, или нет? Гадание на кофейной гуще здесь как бы не уместно...

этот файл с данными обнаружен на "диске С", где и стоит система. Вот предварительное дерево в FTK


Этот файл нашел в Partition 2, т.к. пока только этот логический диск анализирую.
А вот дерево этого раздела:


Я как то запутался подскажите пожалуйста как это в разделе NTFS (на нем стоит система) еще и есть раздел Unallocated space ? Это что значит и как быть в такой ситуации?

надеюсь средства для поиска остатков фс имеются?

Autopsy умеет это делать ?