ThumbExpert

Сообщение FUF » 03 авг 2009, 14:18

http://www.simplecarver.com/tool.php?to ... G%20Viewer

Windows Vista includes a built-in picture previewing tool called Windows Photo Gallery (the LIVE edition may also be installed by the user). Both of these programs create the files pictures.pd4 and pictures.pd5 respectively containing the ThumbnailCacheID and file path information of previewed pictures and videos. The contents of the pictures.pd4 and pictures.pd5 can be extracted using WPG Viewer
FUF
Член клуба
 
Сообщения: 566
Зарегистрирован: 11 дек 2008, 19:25
Откуда: Москва
Благодарил (а): 0 раз.
Поблагодарили: 16 раз.

Сообщение Dec » 03 авг 2009, 14:24

FUF писал(а):
Windows Vista includes a built-in picture previewing tool called Windows Photo Gallery (the LIVE edition may also be installed by the user). Both of these programs create the files pictures.pd4 and pictures.pd5 respectively containing the ThumbnailCacheID and file path information of previewed pictures and videos. The contents of the pictures.pd4 and pictures.pd5 can be extracted using WPG Viewer
Спасибо за наводку, обезательно посмотрю на эти pictures.pd*.

Я одно время назад уже смотрел, какие следы оставляет за собой WPG, но он почему то обращался только к стандартному кэшу Vista`ы. Видимо, я что то проглядел.
Dec
Член клуба
 
Сообщения: 148
Зарегистрирован: 12 дек 2008, 10:24
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Dec » 07 авг 2009, 02:35

Добавлена поддержка всех версий ASDSee. По прежнему не решены проблемы:
- Не определяется необходимость вывода полей с метаданными, т.е. всегда выводятся все доступные поля;
- Не определяется Category, к которой относился файл;
- Не определяются Кеу`ы, относящиеся к файлу.

Скачать версию 1.5.0.68
Dec
Член клуба
 
Сообщения: 148
Зарегистрирован: 12 дек 2008, 10:24
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение VPZ » 09 авг 2009, 11:46

Нашел еще пару видов баз превьюшек, которые не опознаются программой:
NokiaLifeblogThumbnails.db3 - создается софтом от Nokia
RAlbum.ra_ - сигнатура заголовка "RAB 101", не знаю что такое
National Hi-Tech Crime Unit.RU - http://www.nhtcu.ru
Аватара пользователя
VPZ
Член клуба
 
Сообщения: 486
Зарегистрирован: 14 сен 2007, 00:56
Откуда: Махачкала, Республика Дагестан
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Сообщение VPZ » 09 авг 2009, 21:28

1. При анализе базы ACDSEE 80 перед именем файла пишется 8-значное 16-ричное число.
Есть предположение, что это некая уникальная метка диска (раздела).

Такая же ерунда - перед IP-адресами сетевых компьютеров.

2. В списке элементов, полученных из базы ACDSEE 80, обнаружил дублирование папок. Причем одна - с иконкой папки и в ней есть подпапки, но у нее нет свойств, а вторая - как файл, имеет свойства.

3. В списке элементов встречаются записи вида "file:///c:"
Поскольку "file:///" - это один из видов "протокола" в URL-адресах, показывающий открытие локального файла, то его можно (нужно) отсекать.
Также в этих строках нужно заменять "%20" на символ "пробел".
(это из файла iconcache.db)

4. Если файл ена сетевом диске - предлагаю оставлять символы "\\" перед именем компьютера - так будет понятнее (нагладнее) и не перепутаешь с локальным путем.

5. Надолго утыкается на OLE2 файлах. Хотя определить - thimbs.db это или нет - можно достаточно быстро.
(Проверять папку windows\installer - жесть... %)

6. Научите программу работать с носителя, защищенного от записи.
Программа пытается при выходе сохранить свой конфиг, и если не может - выдает окно "Error occured"

7. Когда тычешь мышью в конец еще не просмотренного файла (в списке "Файлы"), то этот файл не открывается.
Стоит сместиться от конца текстовой строки на несколько символов к началу - название файла становится кликабельным.
(видимо - из-за выделения жирным шрифтом ранее не просмотренных файлов)
National Hi-Tech Crime Unit.RU - http://www.nhtcu.ru
Аватара пользователя
VPZ
Член клуба
 
Сообщения: 486
Зарегистрирован: 14 сен 2007, 00:56
Откуда: Махачкала, Республика Дагестан
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Сообщение Dec » 09 авг 2009, 21:55

VPZ писал(а):NokiaLifeblogThumbnails.db3 - создается софтом от Nokia
У меня нет требуемой модели телефона, что бы поработать с Nokia Lifeblog.

VPZ писал(а):RAlbum.ra_ - сигнатура заголовка "RAB 101", не знаю что такое
Этот файл создается Resco Photo Viewer. Поскольку это софт для сотовых, то возможности по экспериментировать мало. На основе тех файлов, что нашел в сети, я сделал декодировку, но есть вероятность, что она неполная (некорректная).

VPZ писал(а):1. При анализе базы ACDSEE 80 перед именем файла пишется 8-значное 16-ричное число. Есть предположение, что это некая уникальная метка диска (раздела).
Такая же ерунда - перед IP-адресами сетевых компьютеров.
Какой путь файла, выводимый ThumbnailExpert`ом, и реальный путь для обоих ситуаций?

VPZ писал(а):2. В списке элементов, полученных из базы ACDSEE 80, обнаружил дублирование папок. Причем одна - с иконкой папки и в ней есть подпапки, но у нее нет свойств, а вторая - как файл, имеет свойства.
Каковы пути обоих папок?

VPZ писал(а):3. В списке элементов встречаются записи вида "file:///c:"
Поскольку "file:///" - это один из видов "протокола" в URL-адресах, показывающий открытие локального файла, то его можно (нужно) отсекать.
Также в этих строках нужно заменять "%20" на символ "пробел".
(это из файла iconcache.db)
В строке после file:/// прямые или обратные слеши?

VPZ писал(а):4. Если файл на сетевом диске - предлагаю оставлять символы "\" перед именем компьютера - так будет понятнее (нагладнее) и не перепутаешь с локальным путем.
Ок

VPZ писал(а):5. Надолго утыкается на OLE2 файлах. Хотя определить - thimbs.db это или нет - можно достаточно быстро. (Проверять папку windows\installer - жесть... %)
Посмотрю алгоритм. Кстати, в OLE2 хранят свои базы множество программ.

VPZ писал(а):6. Научите программу работать с носителя, защищенного от записи.
Программа пытается при выходе сохранить свой конфиг, и если не может - выдает окно "Error occured"
Ок

VPZ писал(а):7. Когда тычешь мышью в конец еще не просмотренного файла (в списке "Файлы"), то этот файл не открывается. Стоит сместиться от конца текстовой строки на несколько символов к началу - название файла становится кликабельным. (видимо - из-за выделения жирным шрифтом ранее не просмотренных файлов)
Я знаю про этот баг, самого очень сильно раздражает. Он находится в стороннем коде. И я пока никак не могу его локализовать.
Dec
Член клуба
 
Сообщения: 148
Зарегистрирован: 12 дек 2008, 10:24
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение VPZ » 09 авг 2009, 22:22

Dec писал(а):
VPZ писал(а):NokiaLifeblogThumbnails.db3 - создается софтом от Nokia
У меня нет требуемой модели телефона, что бы поработать с Nokia Lifeblog.
VPZ писал(а):RAlbum.ra_ - сигнатура заголовка "RAB 101", не знаю что такое
Этот файл создается Resco Photo Viewer. Поскольку это софт для сотовых, то возможности по экспериментировать мало. На основе тех файлов, что нашел в сети, я сделал декодировку, но есть вероятность, что она неполная (некорректная).

Да и у меня такого софта/телефонов нет. Зато файлы в экспертизах реально встречаются.

Dec писал(а):
VPZ писал(а):1. При анализе базы ACDSEE 80 перед именем файла пишется 8-значное 16-ричное число. Есть предположение, что это некая уникальная метка диска (раздела).
Такая же ерунда - перед IP-адресами сетевых компьютеров.
Какой путь файла, выводимый ThumbnailExpert`ом, и реальный путь для обоих ситуаций?

TE выводит что-то типа "12345678 C:\PHOTO\1.JPG", а должно быть просто "C:\PHOTO\1.JPG".
Соответственно и в списке элементов имя диска должно быть "C:", а не "12345678 C:".

Dec писал(а):
VPZ писал(а):2. В списке элементов, полученных из базы ACDSEE 80, обнаружил дублирование папок. Причем одна - с иконкой папки и в ней есть подпапки, но у нее нет свойств, а вторая - как файл, имеет свойства.
Каковы пути обоих папок?

Одинаковые :)

Dec писал(а):
VPZ писал(а):3. В списке элементов встречаются записи вида "file:///c:"
Поскольку "file:///" - это один из видов "протокола" в URL-адресах, показывающий открытие локального файла, то его можно (нужно) отсекать.
Также в этих строках нужно заменять "%20" на символ "пробел".
(это из файла iconcache.db)
В строке после file:/// прямые или обратные слеши?

Естественно и дальше идут "/".

Dec писал(а):
VPZ писал(а):5. Надолго утыкается на OLE2 файлах. Хотя определить - thimbs.db это или нет - можно достаточно быстро. (Проверять папку windows\installer - жесть... %)
Посмотрю алгоритм. Кстати, в OLE2 хранят свои базы множество программ.

Кстати, мой собственный софт умеет обрабатывать OLE2 файлы от этого самого множества программ ;)
National Hi-Tech Crime Unit.RU - http://www.nhtcu.ru
Аватара пользователя
VPZ
Член клуба
 
Сообщения: 486
Зарегистрирован: 14 сен 2007, 00:56
Откуда: Махачкала, Республика Дагестан
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Сообщение Dec » 09 авг 2009, 22:43

VPZ писал(а):Да и у меня такого софта/телефонов нет. Зато файлы в экспертизах реально встречаются.
Как и ранее я писал, если Вы хотите, что бы я что-либо добавил в программу, а я отвечаю, что у меня нет материала для анализа, то самый легкий и быстрый путь - послать мне необходимые файлы.

VPZ писал(а):TE выводит что-то типа "12345678 C:\PHOTO\1.JPG", а должно быть просто "C:\PHOTO\1.JPG". Соответственно и в списке элементов имя диска должно быть "C:", а не "12345678 C:".
В данный момент я использую следующий формат для описания имени диска (это касается не только баз ACDSee): [Серийный номер диска][Буква диска:][(Название диска)]. Отдельные элементы могут отсутствовать при их отсутствии в базе данных. Так что Ваша догадка абсолютно верна.

VPZ писал(а):
Dec писал(а):
VPZ писал(а):2. В списке элементов, полученных из базы ACDSEE 80, обнаружил дублирование папок. Причем одна - с иконкой папки и в ней есть подпапки, но у нее нет свойств, а вторая - как файл, имеет свойства.
Каковы пути обоих папок?
Одинаковые :)
Не могли бы Вы сделать два скиншота, на первой должна быть выбрана первая папка, на второй вторая? Можно скинуть их на мой e-mail.
Dec
Член клуба
 
Сообщения: 148
Зарегистрирован: 12 дек 2008, 10:24
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение VPZ » 10 авг 2009, 01:17

Dec писал(а):
VPZ писал(а):Да и у меня такого софта/телефонов нет. Зато файлы в экспертизах реально встречаются.
Как и ранее я писал, если Вы хотите, что бы я что-либо добавил в программу, а я отвечаю, что у меня нет материала для анализа, то самый легкий и быстрый путь - послать мне необходимые файлы.

Отправлено.

Dec писал(а):В данный момент я использую следующий формат для описания имени диска (это касается не только баз ACDSee): [Серийный номер диска][Буква диска:][(Название диска)]. Отдельные элементы могут отсутствовать при их отсутствии в базе данных.

Не уверен, что это оправдано.
Например, сочетание буква-название может меняться на одном и том же компьютере (равно, как и другие сочетания). Например, когда подключенный сменный носитель "раздвинул" буквы дисков (C D E -> C D F соответственно). Будет ли это означать, что файлы на диске F отличаются от файлов, которые ранее были на диске Е? Нет. Хуже того - файлы хоть и поменяли букву диска (E на F), но _физически_ остались лежать на своих местах.

Безусловно, серийные номера и названия дисков - это _дополнительная_ ориентирующая информация для экспертов. Но выводить ее на первый план - не уверен что нужно.

Даже сортировка дисков сбивается - диски идут не в порядке C D E F, а по своим серийникам, например: 23456789 F, 12345678 D, 01234567 C ...
National Hi-Tech Crime Unit.RU - http://www.nhtcu.ru
Аватара пользователя
VPZ
Член клуба
 
Сообщения: 486
Зарегистрирован: 14 сен 2007, 00:56
Откуда: Махачкала, Республика Дагестан
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Сообщение Dec » 10 авг 2009, 02:19

VPZ писал(а):Не уверен, что это оправдано.
Например, сочетание буква-название может меняться на одном и том же компьютере (равно, как и другие сочетания). Например, когда подключенный сменный носитель "раздвинул" буквы дисков (C D E -> C D F соответственно). Будет ли это означать, что файлы на диске F отличаются от файлов, которые ранее были на диске Е? Нет.
Хуже того - файлы хоть и поменяли букву диска (E на F), но _физически_ остались лежать на своих местах.
Честно говоря, из вышесказанного не понимаю, какие недоразумения могут возникнуть у эксперта от того, что я указываю букву вместе с серийником.
Мне казалось наоборот, что это более правильно. Например следующая последовательность событий:
1) Пользователь просмотрел содержимое диска Е, в базу записалась буква Е.
2) Как Вы описали, буквы дисков сменились.
3) Пользователь посмотрел содержимое нового диска Е, в базу опять записалась буква Е.
4) Пользователь совершает правонарушение :)
5) Пользователя ловят.
6) Диски отданы эксперту.

Если бы ThumbnailExpert не показывал серийники дисков, то эксперт мог посчитать, что записанное содержимое нового и старого дисков E находилось на одном диске, серийники же помогают устранить подобное.

VPZ писал(а):Даже сортировка дисков сбивается - диски идут не в порядке C D E F, а по своим серийникам, например: 23456789 F, 12345678 D, 01234567 C ...
Я думаю, что это не самое страшное в работе эксперта.

И вообще я действую по следующему принципу:
VPZ писал(а):Никаких домыслов. Такие пути действительно существовали (другое дело, непонятно на каком носителе).
Dec
Член клуба
 
Сообщения: 148
Зарегистрирован: 12 дек 2008, 10:24
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение VPZ » 10 авг 2009, 07:13

Dec писал(а):Честно говоря, из вышесказанного не понимаю, какие недоразумения могут возникнуть у эксперта от того, что я указываю букву вместе с серийником.

Строго говоря - указанная строка вида "12345678 C:\TEMP\1.JPG" не является ни именем файла, ни путем к файлу (как об этом заявляет программа). Опять получается, что вещи называются не своими именами.

А вообще, поставьте голосование и узнаете мнение экспертов - в каком именно виде нужно указывать "имя файла". В остальном все сказанное это мое ИМХО.
National Hi-Tech Crime Unit.RU - http://www.nhtcu.ru
Аватара пользователя
VPZ
Член клуба
 
Сообщения: 486
Зарегистрирован: 14 сен 2007, 00:56
Откуда: Махачкала, Республика Дагестан
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Сообщение Dec » 10 авг 2009, 08:36

VPZ писал(а):Строго говоря - указанная строка вида "12345678 C:\TEMP\1.JPG" не является ни именем файла, ни путем к файлу (как об этом заявляет программа). Опять получается, что вещи называются не своими именами.
Я соглашусь с тем, что выводимая информация не полностью соответствует понятию имя файла в операционной системе Windows. Но с другой стороны имя файла - это строка, используемая для однозначной идентификации местоположения информации на носителе. И эту работу выводимая информация делает IMHO хорошо.
Dec
Член клуба
 
Сообщения: 148
Зарегистрирован: 12 дек 2008, 10:24
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение VPZ » 10 авг 2009, 10:07

Dec писал(а):
VPZ писал(а):Строго говоря - указанная строка вида "12345678 C:\TEMP\1.JPG" не является ни именем файла, ни путем к файлу (как об этом заявляет программа). Опять получается, что вещи называются не своими именами.
Я соглашусь с тем, что выводимая информация не полностью соответствует понятию имя файла в операционной системе Windows.

Э-э-э... А назовите операционную систему, в которой такая строка будет соответствовать понятию "имя файла" :P

Dec писал(а):Но с другой стороны имя файла - это строка, используемая для однозначной идентификации местоположения информации на носителе. И эту работу выводимая информация делает IMHO хорошо.

Плохо делает! "Однозначная идентификации местоположения информации на носителе" - это цилиндр, дорожка, сектор... А тут у нас идут прыжки с буквы на букву при подключении новых носителей, прыжки из каталога в каталог или из файла в файл при переименовании (при этом физически содержимое файла остается на том же месте, в том же секторе!!! меняются только записи в файловой системе).
:lol: :lol: :lol:
National Hi-Tech Crime Unit.RU - http://www.nhtcu.ru
Аватара пользователя
VPZ
Член клуба
 
Сообщения: 486
Зарегистрирован: 14 сен 2007, 00:56
Откуда: Махачкала, Республика Дагестан
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Сообщение Dec » 10 авг 2009, 10:12

VPZ писал(а):А тут у нас идут прыжки с буквы на букву при подключении новых носителей, прыжки из каталога в каталог или из файла в файл при переименовании (при этом физически содержимое файла остается на том же месте, в том же секторе!!! меняются только записи в файловой системе).
Опишите, пожалуйста, возможную ситуацию, в которой серийный номер помешает эксперту.
Dec
Член клуба
 
Сообщения: 148
Зарегистрирован: 12 дек 2008, 10:24
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение VPZ » 10 авг 2009, 10:32

Dec писал(а):Опишите, пожалуйста, возможную ситуацию, в которой серийный номер помешает эксперту.

Каждый раз, когда нужно будет воспользоваться именем файла, из него придется вырезать этот самый номер тома.

Updated: А вот и опрос: http://computer-forensics-lab.org/forum ... =4461#4461
Последний раз редактировалось VPZ 10 авг 2009, 10:39, всего редактировалось 2 раз(а).
National Hi-Tech Crime Unit.RU - http://www.nhtcu.ru
Аватара пользователя
VPZ
Член клуба
 
Сообщения: 486
Зарегистрирован: 14 сен 2007, 00:56
Откуда: Махачкала, Республика Дагестан
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Пред.След.

Вернуться в Тестирование

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 0