Совместное использование ПАК РС3000 и Encase при проведении СКТЭ.

Обсуждение работы программы EnCase Forensic. Общий раздел.

Совместное использование ПАК РС3000 и Encase при проведении СКТЭ.

Сообщение Igor Mikhaylov » 20 апр 2009, 18:38

Коржов Ф.В.

Совместное использование программно-аппаратного комплекса РС3000 и Encase v6.10/v4.20 при проведении СКТЭ.


http://computer-forensics-lab.org/pdf/kfv1.doc
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Сообщение xxx2x » 28 апр 2009, 13:40

Да это не новость давно так пользуем
xxx2x
Член клуба
 
Сообщения: 502
Зарегистрирован: 03 апр 2009, 12:19
Благодарил (а): 0 раз.
Поблагодарили: 12 раз.

Сообщение Igor Mikhaylov » 28 апр 2009, 14:04

xxx2x писал(а):Да это не новость давно так пользуем

Нельзя скрывать знания - от этого карма ухудшается.

Если вы имеете какую-то интересную информацию по использованию Encase - делитесь с людьми. Вам воздастся. :wink:
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Сообщение xxx2x » 28 апр 2009, 17:41

Обязательно поделюсь, просто на данный форум редко захаживал.

Что бы карма не портилась могу сказать, что описанный способ не всегда "прокатывает" так как при больших разрушениях поверхности диск не позволит создать полноценную копию (судя по описанию режим создания копии данных включён не был) по-этому данные нужно вычитывать! Кроме того не стоит слепо верить в силу данного агрегата, так как к каждому случаю нужно подходить индивидуально проведя всестороннюю диагностику накопителя и иметь опыт работы в такой сфере. Здесь уже начинается область Data Recovery со всеми вытекающими отсюда последствиями. В частности: необходимо помнить, что некоторые модели накопителей при встрече с бедами пытаются самостоятельно (автоматически) произвести их скрытие в G-лист (можно читать как Глист :D ) в результате такой самодеятельности диск попутно сносит ещё парочку треков. Сносит намертво, так что если данные важны - то к специалисту!
xxx2x
Член клуба
 
Сообщения: 502
Зарегистрирован: 03 апр 2009, 12:19
Благодарил (а): 0 раз.
Поблагодарили: 12 раз.

Сообщение Igor Mikhaylov » 28 апр 2009, 17:45

А есть еще P-list и U-list. :wink:
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Сообщение kfv » 28 апр 2009, 19:09

Видишь суслика?
-Нет.
А он есть. :)

На самом деле при нашей работе режим создания копии данных на локальный диск или на второй накопитель (предварительно завайпенный нулями) включен постоянно, так сказать по умолчанию, в связи с чем об этом даже и не упоминал. И естественно идет "вычитывание" в различных режимах. Есть еще трудности/особенности подключения недовычитанного образа, образа с разрушенной ф.с. и т.д - но это отдельный разговор.
И естественно если есть включенный autoreassing у диска это учитывается.
Видишь суслика?
- Нет.
А он есть.
Аватара пользователя
kfv
Член клуба
 
Сообщения: 765
Зарегистрирован: 23 янв 2008, 08:59
Откуда: Омск
Благодарил (а): 26 раз.
Поблагодарили: 30 раз.

Сообщение Сергеич » 05 окт 2009, 22:51

Igor Michailov писал(а):Если вы имеете какую-то интересную информацию по использованию Encase - делитесь с людьми.


Ох если б кто-то мог дать гарантию, что знания которыми мы тут делимся будут использованы во благо ...хотя бы личности, общества и государства, а не отдельных представителей криминальных обществ. :(

Igor Michailov писал(а):... Вам воздастся. :wink:


Ага я буду просить снисхождения для Вас у судьи!.. ;) :))
Чтобы что-то отчистить нужно что-то запачкать, но можно всё запачкать ничего так и не отчистив.
Аватара пользователя
Сергеич
 
Сообщения: 25
Зарегистрирован: 28 сен 2009, 23:40
Откуда: Россиянин, я
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Igor Mikhaylov » 06 окт 2009, 05:27

Сергеич писал(а):Ох если б кто-то мог дать гарантию, что знания которыми мы тут делимся будут использованы во благо ...хотя бы личности, общества и государства, а не отдельных представителей криминальных обществ. :(

Я вам дам гарантии. Но только после того как вы мне покажете взломанную Encase 6 (ибо пока её нет, никто не сможет ею воспользоваться ни во благо ни во вред).


Сергеич писал(а):Ага я буду просить снисхождения для Вас у судьи!.. ;) :))


Отпишите мне в личные сообщения чем вас не устраивает моя деятельность? С чего ради я окажусь в суде?
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.


Вернуться в EnCase Forensic

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 0

cron