Поиск в Encase 7

Обсуждение работы программы EnCase Forensic. Общий раздел.

Поиск в Encase 7

Сообщение slavok » 07 дек 2011, 15:31

Вот и свершилось и мы стали счастливыми обладателями Encase 7.
Вот и стал я пробовать это чудо в работе.
И самая первая задача, на мой взгляд довольно тривиальная, поиск по ключевым словам по накопителю в том числе и среди удаленной информации.

по мануалам разобрался что есть 2 способа:
- при помоши Processing Evidence
- при помощи Raw Search Selected

первым способом часов за 6 три критерия с учетом восстановления провелось - результаты ожидаемые (предварительно делал архивариусом и было с чем сравнить). второй способ сейчас в процессе и как долго продлится пока непонятно - прогноз постоянно меняется.

и появилось несколько вопросов по поводу того как происходят поиски в Encase:
- при поиске при помощи Processing Evidence, если появится необходимость поиска нового критерия как лучше поступать - заново запустить Processing Evidence и просто добавить новый критерий в список ключевых слов и сделать выполнение только с галочкой на ключевых словах? время такого поиска будет сопоставимо с первичным поиском? как написано в мануале при таком поиске создается индекс аналогично архивариусному и я надеялся что скорость такого повторного поиска будет очень большой но по факту все затянулось надолго(((
- при Raw Search Selected как я понимаю каждый поиск будет примерно одинаково долгим.

Может я просто неправильно понимаю технологию поиска....
поможите пожалуйста!
el diablo vino por ellos
slavok
Член клуба
 
Сообщения: 39
Зарегистрирован: 06 май 2010, 10:52
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Поиск в Encase 7

Сообщение miapress » 08 дек 2011, 10:14

даю намек: есть такой человечек на форуме andre_m он написал методичку поиск по ключевым словам используя индексацию в encase6, попросите, попросите... ;-)
Аватара пользователя
miapress
Член клуба
 
Сообщения: 238
Зарегистрирован: 12 авг 2011, 17:35
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Re: Поиск в Encase 7

Сообщение Igor Mikhaylov » 09 дек 2011, 11:43

slavok писал(а):Вот и свершилось и мы стали счастливыми обладателями Encase 7.
...
первым способом часов за 6 три критерия с учетом восстановления провелось

Современные программы очень требовательны к железу. Им сейчас видишь ли 48Гб оперативки подавай и SSD диски под индекс. На Encase у вас за 6 часов все посчиталось, а в какой нибудь FTK все просто напросто зависло бы к чертям.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Re: Поиск в Encase 7

Сообщение Igor Mikhaylov » 01 янв 2012, 07:41

И кроме того, Evidence Processor - штука хитрая, требующая тонкой настройки. Вот забыли вы где-то галочку убрать - и будет он по ходу поиска ключевых слов, решать еще пару-тройку дополнительных задач (скажем, считать хеш значения файлов, искать зашифрованные файлы или проверять соответствие расширения файлов сигнатурам ). А это все дополнительные ресурсы и дополнительное время на выполнение.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.


Вернуться в EnCase Forensic

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron