Расхождения EnCase_vs_PhotoRec

Обсуждение работы программы EnCase Forensic. Общий раздел.

Расхождения EnCase_vs_PhotoRec

Сообщение sl.314 » 23 май 2014, 15:07

Добрый день!
Сложилась такая ситуация
в ходе исследования PhotoRec-ом нашли нужные файлы : JPG,docx, doc,

Сторонняя экспертиза EnCase Forensic V7 нашла только треть из них.
Подскажите в чем может быть проблема такого расхождения?
Какие "секреты" EnCase нужно подсказать эксперту если файлы реально присутствуют на HDD?
Как можно юридически использовать результаты PhotoRec?
Заранее спасибо
sl.314
 
Сообщения: 2
Зарегистрирован: 23 май 2014, 14:49
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Расхождения EnCase_vs_PhotoRec

Сообщение Igor Mikhaylov » 23 май 2014, 16:54

Мало иметь Encase. Надо уметь ею пользоваться. Я уже лет семь об этом говорю. Не хотят слышать.

sl.314, посмотрите личные сообщения.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Re: Расхождения EnCase_vs_PhotoRec

Сообщение kfv » 23 май 2014, 17:08

Igor Michailov писал(а):Мало иметь Encase. Надо уметь ею пользоваться. Я уже лет семь об этом говорю. Не хотят слышать.

Поиск по сигнатурам - отдельная задача для энкейс.
Видишь суслика?
- Нет.
А он есть.
Аватара пользователя
kfv
Член клуба
 
Сообщения: 765
Зарегистрирован: 23 янв 2008, 08:59
Откуда: Омск
Благодарил (а): 26 раз.
Поблагодарили: 30 раз.

Re: Расхождения EnCase_vs_PhotoRec

Сообщение Igor Mikhaylov » 23 май 2014, 17:32

sl.314 писал(а):Как можно юридически использовать результаты PhotoRec?

Не понял вопроса.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Re: Расхождения EnCase_vs_PhotoRec

Сообщение kfv » 23 май 2014, 19:03

У меня наверное с английским совсем плохо
"PhotoRec is free - this open source multi-platform application is distributed under GNU General Public License (GPLV v2+)" :)
Видишь суслика?
- Нет.
А он есть.
Аватара пользователя
kfv
Член клуба
 
Сообщения: 765
Зарегистрирован: 23 янв 2008, 08:59
Откуда: Омск
Благодарил (а): 26 раз.
Поблагодарили: 30 раз.

Re: Расхождения EnCase_vs_PhotoRec

Сообщение sl.314 » 27 май 2014, 00:02

Igor Michailov писал(а):
sl.314 писал(а):Как можно юридически использовать результаты PhotoRec?

Не понял вопроса.

Добрый день!
В сети полно разборов экспертиз с EnCase и их дальнейшие использование в суде и следствии, но не попадаются (вовсяком случае в СНГ) использование PhotoRec в экспертизах.
В нашем случае следователь у нас в провинции РК привлекает местного специалиста для консультаций находит PhoRec-ом важные файлы , после этого отправляет HDD на экспертизу в Астану.
Откуда приходит результат только 1/3 от найденных файлов относящихся к делу. Теперь возникает два вопроса
1 Можно ли использовать результаты PhotoRec как доказательство
2 Как "тактично" объяснить тонкости использования EnCase, чтобы он использовал все его возможности
sl.314
 
Сообщения: 2
Зарегистрирован: 23 май 2014, 14:49
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Расхождения EnCase_vs_PhotoRec

Сообщение Igor Mikhaylov » 27 май 2014, 03:59

sl.314 писал(а):Можно ли использовать результаты PhotoRec как доказательство

Конечно. Почему нет? Я бы, в качестве третейской программы, посоветовал посмотреть результаты получаемые R-Studio (или Scalpel если уж совсем все плохо во всех смыслах). Практика, когда результат экспертизы подтверждается использованием 2-3 разных программных продуктов - нормальный (это один из основных принципов ACPO). Потому что ни один программный продукт не застрахован от ошибок.

sl.314 писал(а):2 Как "тактично" объяснить тонкости использования EnCase, чтобы он использовал все его возможности

Encase 7 - сырой и недоработанный продукт. Не может разработчик его до ума довести, к сожалению. Советую пользоваться Encase 6 (благо ключ позволяет делать downgrade).

sl.314 писал(а):он использовал все его возможности

"Он" - это кто? Эксперт из Астаны?
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.


Вернуться в EnCase Forensic

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1