Пароль на образ

Обсуждение работы программы EnCase Forensic. Общий раздел.

Пароль на образ

Сообщение Igor Mikhaylov » 30 май 2011, 06:58

Коллеги, такая задача: есть созданный ранее образ (оригинального носителя нет), созданный Encase 6. Возможно ли на него установить пароль?
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Re: Пароль на образ

Сообщение xxx2x » 30 май 2011, 17:23

нет
xxx2x
Член клуба
 
Сообщения: 502
Зарегистрирован: 03 апр 2009, 12:19
Благодарил (а): 0 раз.
Поблагодарили: 12 раз.

Re: Пароль на образ

Сообщение kfv » 04 июн 2011, 20:35

может не правильно понял вопрос, но думаю
можно
1) подключить к энкейсу, и создать образ с подключенного образа с паролем.
2) распаковать на диск и создать образ
Видишь суслика?
- Нет.
А он есть.
Аватара пользователя
kfv
Член клуба
 
Сообщения: 765
Зарегистрирован: 23 янв 2008, 08:59
Откуда: Омск
Благодарил (а): 26 раз.
Поблагодарили: 30 раз.

Re: Пароль на образ

Сообщение andre_m » 06 июн 2011, 10:34

kfv писал(а):может не правильно понял вопрос, но думаю
можно
1) подключить к энкейсу, и создать образ с подключенного образа с паролем.
2) распаковать на диск и создать образ


IMHO подключение невозможно в силу незнания пароля.
Аватара пользователя
andre_m
Член клуба
 
Сообщения: 631
Зарегистрирован: 20 сен 2007, 19:32
Откуда: ГКСЭ Республики Беларусь
Благодарил (а): 35 раз.
Поблагодарили: 39 раз.

Re: Пароль на образ

Сообщение Igor Mikhaylov » 08 июн 2011, 14:09

andre_m, стуация немного другая: есть образ накопителя без пароля. Надо - получить этот же образ но с паролем (с приложением минимальных усилий,так как образов много).
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Re: Пароль на образ

Сообщение Константин » 08 июн 2011, 15:46

Igor Michailov писал(а):Коллеги, такая задача: есть созданный ранее образ (оригинального носителя нет), созданный Encase 6. Возможно ли на него установить пароль?


Конвертировать FTK Imager-ом с AD паролем? Хотя, долго :(
Константин
Член клуба
 
Сообщения: 495
Зарегистрирован: 26 июн 2008, 19:59
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Пароль на образ

Сообщение Igor Mikhaylov » 08 июн 2011, 15:48

Конвертировать образ Encase в образ Encase? Оригинально! :D
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Re: Пароль на образ

Сообщение Константин » 08 июн 2011, 15:53

Igor Michailov писал(а):Конвертировать образ Encase в образ Encase? Оригинально! :D


Ну, а че тут такого? Делаете образ из образа и отмечаете "AD Encryption". На выходе - такой же образ с паролем.
Константин
Член клуба
 
Сообщения: 495
Зарегистрирован: 26 июн 2008, 19:59
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Пароль на образ

Сообщение Константин » 08 июн 2011, 15:58

Кстати, не знаю, изменится ли контр. сумма образа.
Константин
Член клуба
 
Сообщения: 495
Зарегистрирован: 26 июн 2008, 19:59
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Пароль на образ

Сообщение Marat » 08 июл 2011, 23:51

Вопрос несколько не в тему-а зачем?
Или encase поменяли систему паролирования и без пароля сторонними программами просмотреть образ нельзя?
Marat
Член клуба
 
Сообщения: 83
Зарегистрирован: 31 авг 2007, 12:52
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Пароль на образ

Сообщение Igor Mikhaylov » 09 июл 2011, 05:53

Marat писал(а):Вопрос несколько не в тему-а зачем?
Или encase поменяли систему паролирования и без пароля сторонними программами просмотреть образ нельзя?

В Encase 7 сменился формат образа. Пока, на сколько я понимаю, сторонние утилиты его не поддерживают.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Re: Пароль на образ

Сообщение Константин » 10 июл 2011, 00:05

Igor Michailov писал(а):В Encase 7 сменился формат образа.

А 3-й FTK Imager его читает?
Вопрос не праздный: иногда (крайне редко, но - бывает) нам приносят на э-зу образы снятые экспертами не нашей орг-ции (у наших выше En4.2 ничего нет).

P.S. Интересно, почему именно EnCase (сравнительно часто) меняет структуры образов? Я - за снятие данных в "сыром" виде. Однако, самый "модный" формат у нас по факту - "Энкейзовский". Причину я понимаю - промежуточные хеши, сжатие и т.д. и т.п.
Константин
Член клуба
 
Сообщения: 495
Зарегистрирован: 26 июн 2008, 19:59
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Пароль на образ

Сообщение Igor Mikhaylov » 10 июл 2011, 04:31

Константин писал(а):А 3-й FTK Imager его читает?

Пока нет. И Mount Image Pro его тоже пока не берет.

Вот здесь немного рассказывают про новый формат.

Переход с формата образа Encase 4 на формат Encase 5 (Encase 6) имел смысл, так как в него были включены временные отметки. Т.е. отметки указывающие, что вот этот фрагмент, в образе, был собран такого числа в такое-то время. Это важно при исследовании работающих систем, а также систем где происходит постоянное изменение данных (клонирование RAM, клонирование НЖМД работающего компьютера, клонирование "осыпающихся" НЖМД, клонирование флеш-накопителей и т.д.).
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.


Вернуться в EnCase Forensic

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 0