Форум ''Интернет и Право''

Основной раздел => Вопросы по экспертизам => Тема начата: Igor Michailov от 09 Май 2005, 19:29:58



Название: Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 09 Май 2005, 19:29:58
Данные материалы публикуются с согласия Администратора форума.

Примечание №1: материалы данного раздела предназначены для специалистов в области сетевой безопасности, системных администраторов, экспертов и носят чисто информативный характер.

Примечание №2: Мы не реализуем описанные программные продукты и технические средства.


Автор: Неизвестен
Перевод:Капинус О.В., Михайлов И.Ю.
Название:ProDiscover
Источник: http://computer-forensics-lab.org/ (http://computer-forensics-lab.org/)



Семейство программ ProDiscover  предназначено для защиты информации. Они позволяют системным администраторам, консультантам и исследователям (экспертам) находить необходимую информацию на диске компьютера. Если Вы подозреваете, что в Вашу систему произошло вторжение или ищите доказательства по гражданским искам или уголовным делам -   ProDiscover облегчит Вашу работу, повысит ее продуктивность и сохранит информацию, необходимую для дальнейшего судопроизводства. Выполненное в соответствии со спецификацией Disk Imagin Tool Specification 3.1.6 Национального института стандартов (США) семейство программ ProDiscover позволяет:

•Реагировать на вторжение
Быстро и адекватно идентифицирует вторжение в Вашу систему, не повреждая ее. Возвращает захваченную систему в режим on-line и собирает данные, необходимые для правового преследования злоумышленника, вторгшегося в систему.
•Осуществлять корпоративную политику проведения расследования
Проверяет политику безопасности или проведения расследования преступления в сети вашей компании.
•Проводить цифровые исследования
Улучшает производительность и гарантирует соблюдение правовых норм при совершении любой операции при сборе доказательств. Ведет быстрый поиск в большом количестве данных и находит нужные Вам документы. Сохраняет критически важные метаданные и документирует полученные Вами результаты.
•Проводить судебную экспертизу
Находит всю информацию, даже ту, что скрыта в защищенной области диска (область данных, расположенная на накопителе между физически последним адресом диска и максимальным адресом диска), данные, находящиеся в файловых потоках NTFS или в зазорах файловой системы. Создаются контрольные суммы для всех файлов и сравниваются со значениями базы  контрольных сумм, созданной программой Hashkeeper Национального агентства по наркотикам (США). Автоматически создает отчеты и базу доказательств для дальнейшего ее представления в суде.

Семейство ProDiscover включает в себя:
ProDiscover for Windows :
Программа для судебных экспертов. Является полностью интегрированным приложением Windows для сбора, анализа, управления и составления отчетов при поиске информации на исследуемом диске компьютера по приемлемой цене. ProDiscover for Windows поддерживает все версии операционных систем Winwdows, основанных на таких файловых системах, как FAT 12/16/32  и динамических разделах NTFS.
Подробнее: http://computer-forensics-lab.org/lib/?cid=10 (http://computer-forensics-lab.org/lib/?cid=10)

ProDiscover Forensics :
ProDiscover Forensics, обеспечивая все возможности ProDiscover for Windows, включает, дополнительно, поддержку таких файловых систем, как SUN Solaris UFS и Linux Ext 2/3.
Подробнее: http://computer-forensics-lab.org/lib/?cid=11 (http://computer-forensics-lab.org/lib/?cid=11)

ProDiscover Investigator :
ProDiscover Investigator позволяет собирать данные с сетевого компьютера и осуществлять их полное исследование: осуществлять предпросмотр диска, создавать копию диска, осуществлять анализ компьютера через любую сеть, использующую протокол TCP/IP. ProDiscover Investigator содержит утилиты и скрипты для скрытой установки клиентской части программы на исследуемый компьютер.
Подробнее: http://computer-forensics-lab.org/lib/?cid=12 (http://computer-forensics-lab.org/lib/?cid=12)

ProDiscover Incident Response :
Данная программа является полным серверным приложением и позволяет просматривать работающий диск компьютера, создавать копию диска и проводить его анализ. ProDiscover Incident Response содержит специализированные утилиты для быстрого реагирования на кибератаки.
Подробнее: http://computer-forensics-lab.org/lib/?cid=13 (http://computer-forensics-lab.org/lib/?cid=13)


Другие материалы про ПО семейства ProDiscover доступны по ссылке: http://computer-forensics-lab.org/lib/?rid=22 (http://computer-forensics-lab.org/lib/?rid=22)


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 10 Май 2005, 12:35:04
Автор: Неизвестен
Перевод:Капинус О.В., Михайлов И.Ю.
Название:SMART (Storage Media Analysis Recovery Toolkit)
Источник: http://computer-forensics-lab.org/ (http://computer-forensics-lab.org/)



SMART (Storage Media Analysis Recovery Toolkit)

Что такое SMART.

SMART – это программное обеспечение, которое было разработано и оптимизировано для автоматизации работы судебных экспертов, специализирующихся на проведении компьютерно-технических экспертиз и сотрудников служб информационной безопасности
предприятий.

Технология и методология SMART были созданы с намерением объединения технических, методологических и юридических требований к программному инструменту исследования компьютерных систем.

SMART – более чем программа для автономного использования. Особенности SMART позволяют применять ее в различных приложениях:
1.Решение специализированных, узконаправленных задач.
2.Локальный или удаленный просмотр исследуемой компьютерной системы.
3.Исследование поврежденной компьютерной системы.
4.Тестирование и проверка других программных продуктов для экспертного
исследования компьютерных систем.
5.Установление соответствия данных, находящихся в файле, его расширению.
6.Определение основных параметров системы.

...

Подробности по ссылке : http://computer-forensics-lab.org/lib/?cid=18 (http://computer-forensics-lab.org/lib/?cid=18)


Название: Re:Новости сайта http://computer-forensics-lab.org/
Отправлено: Yeoman от 10 Май 2005, 13:16:58
Данная тема закрыта в связи с нарушением правил форума http://www.internet-law.ru/forum/index.htm (http://www.internet-law.ru/forum/index.htm):
1. Не использовать заведомо ложную информацию.
2. Не присылать рекламную информацию.


Название: Re:Новости сайта http://computer-forensics-lab.org/
Отправлено: Антон Серго от 11 Май 2005, 13:01:14
Будем считать, что нарушения устранены.
Тема открыта...


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 13 Май 2005, 05:47:49
Данная тема закрыта в связи с нарушением правил форума http://www.internet-law.ru/forum/index.htm (http://www.internet-law.ru/forum/index.htm):
1. Не использовать заведомо ложную информацию.
...

Конечно, конечно - все описываемые продукты и названия фирм выдуманы , любые совпадения случайны.  ;D
Александр, я надеюсь, Вы шутку поняли?

Данная тема закрыта в связи с нарушением правил форума http://www.internet-law.ru/forum/index.htm (http://www.internet-law.ru/forum/index.htm):
...
2. Не присылать рекламную информацию.

Соласно ст.2 ФЗ "О рекламе" от 14 июня 1995г:
"реклама - распространяемая в любой форме, с помощью любых средств информация о физическом или юридическом лице, товарах, идеях и начинаниях (рекламная информация), которая предназначена для неопределенного круга лиц и призвана формировать или поддерживать интерес к этим физическому, юридическому лицу, товарам, идеям и начинаниям и способствовать реализации товаров, идей и начинаний..."

-Круг лиц, для кого предназначена информация, четко определен (см.выше), поэтому тема и находится в разделе форума "Компьютерные преступления", а не "Общие обсуждения" или "Беседка". Т.е. информация в ветке не предназначена для неопределенного круга лиц.

-"...и способствовать реализации товаров, идей и начинаний..." - кое-что из описываемых программных продуктов и тех.средств Вы не купите даже при очень большом желании, абы-кабы кому такие вещи не продают.

Т.е. я так понимаю, что информация в данной ветке рекламой не является (согласно существующего законодательства). Или я не прав?


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Виталий К. от 17 Май 2005, 19:00:06
Цитировать
Т.е. я так понимаю, что информация в данной ветке рекламой не является (согласно существующего законодательства). Или я не прав?

Увы, не прав.
не говоря уже о том, что информация все равно остается общедоступной (соответственно, ссылка на ограничение круга лиц оказывается некорректной), в любом случае, круг лиц, интересущихся "компьютерными преступлениями" также остается неопределенным. Доступность товара для оценки сообщения как рекламы не будет иметь существенного значения.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 22 Май 2005, 06:27:23
22.05.2005

Автор: Неизвестен
Перевод:Капинус О.В., Михайлов И.Ю.
Название:AccessData Forensic Toolkit
Источник: http://www.accessdata.com/ (http://www.accessdata.com/)


AccessData Forensic Toolkit

Наблюдаемый рост числа компьютерных преступлений требует от судебных экспертов и специалистов в области компьютерной безопасности применения новейших технологий для противодействия киберпреступности. Forensic Toolkit (FTK) – новый инструмент для судебных экспертов, занимающихся производством компьютерно-технических экспертиз. В данный продукт фирма разработчик (AccessData) вложила свой опыт за период более 30 лет в области восстановления паролей и дешифрования файлов.
Кроме того, в данный продукт AccessData включила уникальные разработки:
1) dtSearch® - технология, осуществляющая индексирование исследуемой информации и позволяющая проводить настраиваемый, многофункциональный, контекстный поиск.
2) Stellent’s Outside In Viewer Technology® - технология, позволяющая просматривать файлы более чем 270 различных форматов.
3) Known File Filter (KFF) – может использоваться для сортировки исследуемой информации по категориям. Это позволяет эксперту оперативно отделить файлы, не представляющие криминалистический интерес, и заострить свое внимание на файлах, которые содержат криминалистически значимую информацию.

FTK -интегрируется с программным продуктом фирмы AccessData, предназначенным для восстановления паролей и дешифрования файлов ( Password Recovery Toolkit ).
FTK– программный продукт, позволяющий провести полное исследование компьютера в рамках судебной экспертизы.
...

Подробнее:  http://computer-forensics-lab.org/lib/?rid=26 (http://computer-forensics-lab.org/lib/?rid=26)


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 24 Май 2005, 05:14:33
24.05.2005

Smart-cards research as a part of computer-technical expertise
BY: Kapinus O.V., Miсhailov I.Y.
URL: http://www.crime-research.org/analytics/smart-cards-expertise/ (http://www.crime-research.org/analytics/smart-cards-expertise/)


Smart-cards research as a part of computer-technical expertise

Swift development of electronics during the last decades caused a wide spread of smart-cards. Smart-card is a plastic card, the size of a standard credit card, with one or several integrated circuits (chips) capable to store information of any kind....

More:  http://www.crime-research.org/analytics/smart-cards-expertise/ (http://www.crime-research.org/analytics/smart-cards-expertise/)


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: ezhfan от 24 Май 2005, 20:37:47
А где можно скачать демо-версию какой-нибудь из этих программ, например, с 30-дневным ограничением?  ::)

Скрытую клиентскую часть ProDiscover Investigator  не предлагать  ;D


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Marat от 24 Май 2005, 22:05:14
ezhfan,
а что на сайтах производителей демки уже не дают?  ;D


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: ezhfan от 24 Май 2005, 23:35:17
Дают, но там какую-то фигню ещё надо получить, dongle называется. Что за штука такая непонятная - они за неё просят 150$!


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Marat от 25 Май 2005, 00:16:33
Дают, но там какую-то фигню ещё надо получить, dongle называется. Что за штука такая непонятная - они за неё просят 150$!
Это где?


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 25 Май 2005, 03:56:00
В конце любой статьи описывающей ПО, линки на которые приведены в данной ветке, имеются ссылки на демо-версии (если таковые выложены у производителя). Почитай внимательней ;D

По ProDiscover : "dongle" - это эл.ключ. Нужен только для лицензионной версии. Демки и без него пашут нормально.  ;)
Смущает цена -150$ - это ПО, как минимум, на порядок больше стоит. Ezhfan, кинь сюда ссылку посмотрим, что там такое.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: ezhfan от 26 Май 2005, 01:07:09
Вот
http://www.accessdata.com/Product01_Download.htm
там и про Dongle написано...
Registry Viewer. И зачем он мне, когда есть regedit...?


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 26 Май 2005, 04:28:30
Registry Viewer. И зачем он мне, когда есть regedit...?

Не все же ездят на Запорожцах (хотя это тоже машина  ;D). Некоторые предпочитают Мерседесы.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 26 Май 2005, 04:37:56
Вот
http://www.accessdata.com/Product01_Download.htm
там и про Dongle написано...
Для демки FTK ключ не нужен (и работает демка в полнофункциональном режиме, там другой прикол  ;)   ).



Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 26 Май 2005, 05:11:28
26.05.2005

Автор: Капинус О.В., Михайлов И.Ю.
Название:Исследование чип-карт в рамках проведения компьютерно-технической экспертизы.
Источник: http://computer-forensics-lab.org/ (http://computer-forensics-lab.org/)


Исследование чип-карт в рамках проведения компьютерно-технической экспертизы.

Описан методический подход к криминалистическому исследованию чип-карт.

Подробнее: http://computer-forensics-lab.org/lib/?cid=20


Автор: Капинус О.В., Михайлов И.Ю.
Название:Исследование чип-карт в рамках проведения компьютерно-технической экспертизы. (Презентация)
Источник: http://computer-forensics-lab.org/ (http://computer-forensics-lab.org/)


Исследование чип-карт в рамках проведения компьютерно-технической экспертизы. (Презентация)

Презентация к статье "Исследование чип-карт в рамках проведения компьютерно-технической экспертизы."

Подробнее: http://computer-forensics-lab.org/lib/?cid=21


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Marat от 26 Май 2005, 12:52:35
Вот
http://www.accessdata.com/Product01_Download.htm
там и про Dongle написано...
Registry Viewer. И зачем он мне, когда есть regedit...?
Registry Viewer-прикольная программа.Как в regedit посмотреть protected storage?Как в regedit посмотреть реестр с другого ПК?
 ;)


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 26 Май 2005, 18:20:48
МЕРСЕДЕС ;D


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: ezhfan от 26 Май 2005, 23:33:56
Ну, есть варианты подешевле...
http://www.mitec.cz/rfv.htm

Сейчас не найду, но есть вообще бесплатные. Главное - знать конкретно, чего хочешь.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Marat от 26 Май 2005, 23:55:33
Ну, есть варианты подешевле...
http://www.mitec.cz/rfv.htm

Сейчас не найду, но есть вообще бесплатные. Главное - знать конкретно, чего хочешь.
Я почти всегда знаю чего хочу  ;)
Вопрос же стоял так: зачем мне это у меня есть regedit  ;D
А у mitec лучше использовать wra  ;)
http://www.mitec.cz/wra.htm


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 27 Май 2005, 04:55:09
Ну, есть варианты подешевле...
http://www.mitec.cz/rfv.htm

Сейчас не найду, но есть вообще бесплатные. Главное - знать конкретно, чего хочешь.

Насчет бесплатных утилит.  Печатать текст можно и в бесплатном блокноте, но почему-то большинство предпочитает текстовый редактор Word  ;D.


Специализированные экспертные системы позволяют решать задачи за часы, а с бесплатными утилитами на их решение уйдут недели или месяцы.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 27 Май 2005, 05:12:04
Главное - знать конкретно, чего хочешь.

Как Вы себе это представляете (применительно к экспертизе компьютерной техники)?


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: ezhfan от 30 Май 2005, 09:35:53
Цитировать
Как Вы себе это представляете (применительно к экспертизе компьютерной техники)?
Тут имеются в виду два аспекта проведения экспертизы.

Первый, и, наверное, самый сложный - это правильное оформление документов.
Поскольку в данной области я практически не обладаю, то говорю только о втором аспекте - "докапывании" до истины.
Естественно, результат действия всяких "хакерских", несертефицированных для применения в данной области, утилит - голая информация, не представляющая для суда никакого интереса.
Можно же сначала выстрелить (найти все нарушения), а потом нарисовать мишень (правильно их оформить).  ;D


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 31 Май 2005, 03:50:34
Ezhfan,
Требования к правильному оформлению документа называемого "Заключение эксперта", подробно изложены в УПК. Чего тут сложного?

Можно же сначала выстрелить (найти все нарушения), а потом нарисовать мишень (правильно их оформить).  ;D

А что бывали случаи когда сначала оформляли а потом искали?
 ;D


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 31 Май 2005, 05:54:53
31.05.2005

Автор:Ernest Baca
Перевод: Фомичев А.Н.
Название:Введение в Linux для специалистов в области компьютерной безопасности и судебных экспертов.
Источник: http://computer-forensics-lab.org/ (http://computer-forensics-lab.org/)


Введение в Linux для специалистов в области компьютерной безопасности и судебных экспертов. (Презентация)

Подробнее: http://computer-forensics-lab.org/lib/?cid=22


Автор:Mariusz Burdach
Перевод: Дмитрий Цирлин
Название:Криминалистический анализ работающей компьютерной системы под управлением ОС Linux.
Источник: http://computer-forensics-lab.org/ (http://computer-forensics-lab.org/)


Криминалистический анализ работающей компьютерной системы под управлением ОС Linux.

В процессе расследования и ликвидации последствий компьютерных инцидентов часто приходится сталкиваться с ситуацией, когда пользователь или администратор оставляет скомпрометированную компьютерную систему во включенном состоянии. Это дает замечательную возможность получить важную информацию, которая была бы безвозвратно утеряна при выключении системы.  Я говорю о таких вещах как запущенные процессы, открытые TCP/UDP порты, образы программ, которые были удалены с носителей, но все еще активны в ОЗУ, содержимое буферов, очередь запросов на установление сетевых соединений, список установленных соединений и программные модули, загруженные в области виртуальной памяти, зарезервированные для ядра ОС. Все эти данные могут помочь исследователю при дальнейшем поиске и анализе криминалистических следов в лабораторных условиях. Более того, если компьютерный инцидент произошел относительно недавно, мы можем восстановить почти все данные, использовавшиеся злоумышленником, и последовательность его действий...

Часть 1: http://computer-forensics-lab.org/lib/?cid=23
Часть 2: http://computer-forensics-lab.org/lib/?cid=24


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: ezhfan от 31 Май 2005, 15:23:15
Цитировать
А что бывали случаи когда сначала оформляли а потом искали?
Я так понимаю, программы по 1500$, о которых шла речь, именно этим и занимаются - помогают оформлять протокол изъятия.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 31 Май 2005, 17:13:45
Я так понимаю, программы по 1500$, о которых шла речь, именно этим и занимаются - помогают оформлять протокол изъятия.

Можно ли микроскопом забивать гвозди?
Думаю, на этот вопрос Вы бы ответили положительно!


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: ezhfan от 03 Июнь 2005, 01:04:34
Цитировать
Можно ли микроскопом забивать гвозди?
Думаю, на этот вопрос Вы бы ответили положительно!
Можно ли дверью колоть орехи? Можно ли открывать бутылку пива вилкой?
Верю в то, что с нашим законодательством любая попытка что-то упростить будет похожа на забивание гвоздей не молотком.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 03 Июнь 2005, 05:40:11
Верю в то, что с нашим законодательством любая попытка что-то упростить будет похожа на забивание гвоздей не молотком.
:'(


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Николай Николаевич Федотов от 03 Июнь 2005, 11:23:14
Естественно, результат действия всяких "хакерских", несертефицированных для применения в данной области, утилит - голая информация, не представляющая для суда никакого интереса.

А вот с этим утверждением я бы поспорил.

Во-первых. Кто в РФ уполномочен сертифицировать ПО для применения в КТЭ? Нет такого органа, нет таких положений и РД.

Во-вторых. "Хакерская" утилита и утилита от известного производителя выпускаются с совершенно одинаковыми гарантиями - "as is" и "мы ни за что не отвечаем".


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 03 Июнь 2005, 19:00:31
Да, необходим контроль получаемых при производстве экспертизы результатов. Так как, в каждом случае, на кон поставлена судьба конкретного человека.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Dimon от 05 Июнь 2005, 07:36:12
Цитировать
Данная тема закрыта в связи с нарушением правил форума http://www.internet-law.ru/forum/index.htm (http://www.internet-law.ru/forum/index.htm):
1. Не использовать заведомо ложную информацию.
...

Конечно, конечно - все описываемые продукты и названия фирм выдуманы , любые совпадения случайны.  ;D
Александр, я надеюсь, Вы шутку поняли?

Данная тема закрыта в связи с нарушением правил форума http://www.internet-law.ru/forum/index.htm (http://www.internet-law.ru/forum/index.htm):
...
2. Не присылать рекламную информацию.

Соласно ст.2 ФЗ "О рекламе" от 14 июня 1995г:
"реклама - распространяемая в любой форме, с помощью любых средств информация о физическом или юридическом лице, товарах, идеях и начинаниях (рекламная информация), которая предназначена для неопределенного круга лиц и призвана формировать или поддерживать интерес к этим физическому, юридическому лицу, товарам, идеям и начинаниям и способствовать реализации товаров, идей и начинаний..."

-Круг лиц, для кого предназначена информация, четко определен (см.выше), поэтому тема и находится в разделе форума "Компьютерные преступления", а не "Общие обсуждения" или "Беседка". Т.е. информация в ветке не предназначена для неопределенного круга лиц.

-"...и способствовать реализации товаров, идей и начинаний..." - кое-что из описываемых программных продуктов и тех.средств Вы не купите даже при очень большом желании, абы-кабы кому такие вещи не продают.

Т.е. я так понимаю, что информация в данной ветке рекламой не является (согласно существующего законодательства). Или я не прав?


Как бы мы тут ни ругались или не братались друг с дружкой, но обычно создатели форумов заинтересованы в том, чтобы у них на сайте присутствовали грамотные люди, а потому подобные вопросы обычно решаются фразами типа, ну если вам не нужно, я с этими новостями уйду на sec.......lab, где меня не только журить не будут, но еще и встретят с распростертыми объятиями :)

Но если серьезно, то


Цитата: Igor Michailov


31.05.2005

Автор:Ernest Baca
Перевод: Фомичев А.Н.
Название:Введение в Linux для специалистов в области компьютерной безопасности и судебных экспертов.
Источник: http://computer-forensics-lab.org/

Введение в Linux для специалистов в области компьютерной безопасности и судебных экспертов. (Презентация)

Подробнее: http://computer-forensics-lab.org/lib/?cid=22


Автор:Mariusz Burdach
Перевод: Дмитрий Цирлин
Название:Криминалистический анализ работающей компьютерной системы под управлением ОС Linux.
Источник: http://computer-forensics-lab.org/

Криминалистический анализ работающей компьютерной системы под управлением ОС Linux.

В процессе расследования и ликвидации последствий компьютерных инцидентов часто приходится сталкиваться с ситуацией, когда пользователь или администратор оставляет скомпрометированную компьютерную систему во включенном состоянии. Это дает замечательную возможность получить важную информацию, которая была бы безвозвратно утеряна при выключении системы.  Я говорю о таких вещах как запущенные процессы, открытые TCP/UDP порты, образы программ, которые были удалены с носителей, но все еще активны в ОЗУ, содержимое буферов, очередь запросов на установление сетевых соединений, список установленных соединений и программные модули, загруженные в области виртуальной памяти, зарезервированные для ядра ОС. Все эти данные могут помочь исследователю при дальнейшем поиске и анализе криминалистических следов в лабораторных условиях. Более того, если компьютерный инцидент произошел относительно недавно, мы можем восстановить почти все данные, использовавшиеся злоумышленником, и последовательность его действий...

Часть 1: http://computer-forensics-lab.org/lib/?cid=23
Часть 2: http://computer-forensics-lab.org/lib/?cid=24


Каким образом определяется, какая информация может быть открыта, а какая закрыта. Ведь данные книжки с большой долей уверенности можно говорить, что прочитают и представители "другой стороны", стало быть, будут знать, как замести следы в случае чего, что затруднит сбор доказательств и объективное расследование дела.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Marat от 05 Июнь 2005, 23:45:57
Цитировать
что прочитают и представители "другой стороны", стало быть, будут знать, как замести следы в случае чего, что затруднит сбор доказательств и объективное расследование дела.
На сегодняшний день,"другая сторона" знает зачастую больше  ;D
Логично предположить,что следующим будет предложение ограничить продажу криминалистического софта-только по предъявлению корочек и характеристики от начальства  ;D или
удостоверения "Юный помощник милиции"  ;D


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 06 Июнь 2005, 04:40:40
Ведь данные книжки с большой долей уверенности можно говорить, что прочитают и представители "другой стороны", стало быть, будут знать, как замести следы в случае чего, что затруднит сбор доказательств и объективное расследование дела.

Человечество, в целом, прекрасно осознает, что пить и курить вредно для здоровья. Однако, продолжает и пить и курить.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 06 Июнь 2005, 05:08:36
06.06.2005

Автор:Собецкий И.В.
Название:Организация технико-криминалистической экспертизы компьютерных систем.
Источник: http://www.securitylab.ru/41165.html (http://www.securitylab.ru/41165.html)


Организация технико-криминалистической экспертизы компьютерных систем.

"В предыдущей статье мною было проанализировано доказательственное значение лог-файлов, получаемых в ходе расследования уголовных дел о правонарушениях в сфере компьютерной информации. Однако остается ещё один не менее важный вопрос – о производстве экспертизы разного рода компьютерных систем. Такая экспертиза может потребоваться как в гражданском (в случае споров об ответственности между заказчиком и подрядчиком, о наступлении страхового случая, невиновном причинении вреда), так и в уголовном процессе (исследование техники, принадлежавшей правонарушителям либо потерпевшим, для установления истины по делу).
В то же время сейчас перед юристами и экспертами по информационной безопасности стоят многие проблемы, затрудняющие производство таких экспертных исследований и использование их результатов в гражданском и уголовном процессе.
 
Очевидно, что проводимая в рамках уголовного процесса экспертиза компьютерной техники может предоставить в распоряжение следователя и суда весомые доказательства вины (или невиновности) подсудимого. Это касается не только преступлений в сфере компьютерной информации, но и большей части преступлений экономической направленности и некоторых общеуголовных (например, незаконного распространение порнографических материалов или предметов, мошенничества, подделки документов и т.п.). Как известно, любая организованная деятельность, в том числе преступная, не может обходиться без учёта, а в современных условиях большинство видов учёта успешно автоматизировано посредством компьютерной техники. Характерным примером использования результатов технико-криминалистической экспертизы явилось дело НК «ЮКОС», когда владельцу компании М.Б. Ходорковскому были предъявлены обвинения на основании данных, полученных именно в результате экспертизы изъятых в НК компьютеров. Однако технико-криминалистическая экспертиза компьютерной техники, в отличие от многих других экспертиз, до сих пор не поставлена «на поток». Что позволено Юпитеру, не позволено быку – по сотням менее громких дел технико-криминалистическую экспертизу компьютерных систем проводить некому и некогда.
..."

Интересная, но довольно спорная как с юридической, так и с методологической точки зрения работа. Следует отметить , что обсуждение данной статьи на форуме "Интернет и Право" занимает более 13 страниц ( http://www.internet-law.ru/forum/index.php?board=9;action=display;threadid=247 ).

Подробнее: http://computer-forensics-lab.org/lib/?cid=25


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 06 Июнь 2005, 05:16:50
Как бы мы тут ни ругались или не братались друг с дружкой, но обычно создатели форумов заинтересованы в том, чтобы у них на сайте присутствовали грамотные люди, а потому подобные вопросы обычно решаются фразами типа, ну если вам не нужно, я с этими новостями уйду на sec.......lab, где меня не только журить не будут, но еще и встретят с распростертыми объятиями :)

Все было совсем не так ;D
Никаких условий- типа "ну если вам не нужно, я с этими новостями уйду на ..."- я не выдвигал.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 16 Июнь 2005, 05:34:51
16.06.2005

Выложены описания некорректных моментов работы программы Encase FE, выявленные за прошедшую неделю.

-Некорректное добавление сменных носителей в CASE.
-Неточность в работе Encase FE 4, вызванная внешней программой.
-Тест Encase FE 4.18a  для DOS.


Подробнее: http://computer-forensics-lab.org/lib/?rid=29


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Dmitry от 16 Июнь 2005, 10:29:12
-Тест Encase FE 4.18a  для DOS.

Насколько я помню, по умолчанию Encase для DOS для доступа к диску использует интерфейс INT13. Соответственно, геометрия диска определяется так, как его видит BIOS. Учитывая всевозможные варианты трансляции адресов, полученные результаты вполне ожидаемы. Вы не пробовали использовать в Encase 'Direct ATA' (кажется так это в нем обозвано) вместо 'INT13'? Кстати, даже если создана абсолютно точная копия (диск в диск, точно такая же модель) при дальнейшем исследовании в лаборатоном компьютере могут вылезти сюрпризы, если окажется, что лабораторный компьютер/OS транслирует адреса иным образом, чем это делал изъятый. При исследовании эти особенности трансляции следует учитывать, ибо может оказаться, что обнаруженная картинка "детского порно" (привет yandex) на самом деле находится в области, которая не адресуется на изъятом компьютере, а осталась там, например, от предыдущего владельца, использовавшего не DOS, a Linux.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 16 Июнь 2005, 12:15:33
Я же писал, что тестировал на четырех разных машинах. Следует отметить, что на старых контроллерах (мат.платы для процессоров Pentium, Pentium-II) Encase для DOS выдает результаты аналогичные BIOSовским, это же подтверждает и утилита от PQ. А вот на новых контроллерах (мат.платы под Pentium –IV и Athlon) – безбожно врет.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Marat от 16 Июнь 2005, 13:21:57
Цитировать
а осталась там, например, от предыдущего владельца, использовавшего не DOS, a Linux.
MAC  :)


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 04 Август 2005, 05:02:24
31.07.2005

Авторы: Капинус О.В., Михайлов И.Ю., Marat
Название: ILook Investigator.

ILook Investigator.
[/b]

ILook Investigator (http://www.ilook-forensics.org) – программа для судебных исследований, используемая для анализа образов компьютерных жестких дисков. Данный продукт предоставляется по программе Electronic Crimes Program of the Internal Revenue Service. Лицензионное соглашение конечного пользователя ILook (End User License Agreement) и регистрация программы ограничивает использование ILook только сотрудниками правоохранительных  органов. Исключений нет.                                        
                                                                                                                                                       
ILook создан для исследования образов компьютерных жестких дисков, полученных любой предназначенной для этого судебной программой (также называемых: побитовая копия, посекторная копия, битовый образ) - множество судебных и коммерческих утилит производят создания образов в данных форматах. Это свойство программы может также использоваться, чтобы исследовать файлы образов, созданных такими программными продуктами, как Safeback, Encase. ILook позволяет исследовать  ISO -  и CIF - образы компакт-дисков, виртуальные диски VMWare…

Подробнее: http://computer-forensics-lab.org/lib/?cid=34


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: ezhfan от 08 Август 2005, 10:49:40
Почитал я эту тему ещё раз... И решил поставить себе TrueCrypt, чтобы не лазили по диску различные исследователи с модными программами. :P
Хотя, есть инструменты для взлома 4096-битных и даже более сложных ключей (промышленный утюг помогает снять практически любую парольную защиту)  ;D


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 09 Август 2005, 05:08:29
09.08.2005

Авторы: Капинус О.В., Михайлов И.Ю.
Название: DIBS® Analyzer 2
Источник: http://www.dibsusa.com/products/dan2.html

DIBS® Analyzer 2
[/b]

Эффективный анализ жестких дисков, включая накопители, содержащие ОС Windows 3.11, 95, 98, ME, 2000 и NT (все версии).

Основные характеристики:

-   создает полный список файлов, находящихся на различных типах жестких дисков, включая накопители, содержащие ОС: Windows 3.11, 95, 98, ME, 2000 и NT (все версии);
-   сортирует списки файлов по атрибутам, включая название, дату, размер, расширение, начальный кластер и т.д.;
-   аккуратно производит высокоскоростной поиск по всей  поверхности жестких дисков или в их заданных областях по многочисленным критериям;
-   обеспечивает быстрое выполнение стандартных команд просмотра, сортировки и распечатки результатов поиска;
-    отображает и печатает содержание файлов как в шестнадцатеричном, так и текстовом представлении;
-   легко идентифицирует различные типы накопителей;
-   автоматически восстанавливает единичные или целые группы файлов;
-   распечатывает полученные результаты исследований в формах, предназначенных для предоставления в суд;
-   позволяет осуществлять быстрый просмотр и распечатку данных, находящихся в   зазорах файловой системы (slack space), свободных кластерах и других областях жесткого диска;
-   может использоваться для копирования,  поиска и извлечения информации, находящейся на гибких магнитных дисках;
-   сохраняет последовательность выполненных в ходе исследования операций.

...

Подробнее: http://computer-forensics-lab.org/lib/?rid=14


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 28 Август 2005, 04:58:05
Аппаратные и программные средства для исследования сотовых телефонов (ссылки на производителей):

Аппаратные средства:

Forensic Mobile Toolkit
http://www.radio-tactics.com/forensic_mobile.htm

DataPilot Cell Phone Sync Backup Software - DataPilot Secure View
http://www.susteen.com/lawenforcement.htm

Logicube CellDEK® - Computer Forensic Software For Cell Phone Data Extraction
http://www.logicubeforensics.com/products/hd_duplication/celldek.asp

Paraben's Cell Seizure ToolBox:
http://www.paraben-forensics.com/catalog/product_info.php?cPath=26&products_id=109&osCsid=20087bc6beea0acf287d0b2a596cd9fb

USB/COM Universal box :
http://www.gsm-shop.com.ua/index.php?pid=266&PHPSESSID=355fa52845bc8332f3d9d2a5354a8731

Много всякого железа для сотовых:
http://www.gsm-shop.com.ua/index.php

Digital Evidence Forensic Investigations - Mobile Phone SIM cards:
http://www.orate.co.uk/Mobiles/Forensics.html

Der Forensic Card Reader
http://www.becker-partner.de/forensic/intro_.htm

PhoneFile PRO + CardMan USB:
https://www.smartcardfocus.com/shop/ilp/se~16/ssn~/p/index.shtml

Various readers for SIM-sized smartcards:
http://www.smartcardfocus.com/shop/ilp/se~4/ssn~36230401397118103581721082005/p/index.shtml

ForensicSIM
http://www.evidencetalks.com/forensic_toolsets/mobile_phone_forensics.php

Программы:

FMA
http://fma.sourceforge.net

OPM

http://www.opm-2.com/download/download.asp?file=opm2forensic.zip

http://www.opm-2.com/download/opm2pictures.exe

http://www.opm-2.com/download/download.asp?type=language&file=opm_forensic.RUS.zip

MobilEdit
http://www.mobiledit.com/

Cell Seizure v2.0
http://www.paraben-forensics.com/catalog/index.php?cPath=25

PhoneBase 2
http://www.phonebase.info/

.XRY
http://www.msab.com/en/product.jsp?categoryId=25&productId=25

BKForensics:

Software: BKForensics will begin the release of their cell phone software in
late fall of 2005

L-extractor: Conduct a logical dump of cell phones with this
software.

P-extractor Suite: Obtain a physical dump of cell phones. The
hardware/software is manufacturer specific.

smstractor: Extraction of SMS from the flash file will be a click away.
Examiners will have the ability to identify and extract SMS messages
from the physical dump of a cell phone.

Pictractor: Extract and resolve images residing in the physical flash
files of a cell phone.

MMStractor: Have the ability to extract "MMS" messages from a cell
phone

More: http://www.bkforensics.com/product.html

TULP2G - The Netherlands Forensic Institute (NFI) Distribution
Before contacting the Netherlands Forensic Institute, be sure to contact  the local NFI partner in your country because they may be able to solve your problem. If this doesn't  work, you can reach the developers of TULP using e-mail at the following address:
tulp2g@holmes.nl
or snail:
Netherlands Forensic Institute
Digital Technology department
Laan van Ypenburg 6
2497 GB Den Haag
The Netherlands
Tel. +31 (0)70 888 6666
http://tulp2g.sourceforge.net/
http://sourceforge.net/project/showfiles.php?group_id=119389

Вот здесь описания разного экспертного ПО (платного и бесплатного), в том
числе для исследования сотовых телефонов:
http://www.forensic-computing.ltd.uk/tools.htm#phone_investigation

http://www.e-evidence.info/cellular.html


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 21 Сентябрь 2005, 20:20:56
21.09.2005

Ранее (http://www.internet-law.ru/forum/index.php?board=9;action=display;threadid=1175;start=0), мы уже анонсировали описание программы SMART (Storage Media Analysis Recovery Toolkit) . Сейчас на русском языке доступно:

SMART. Руководство пользователя.

Поздравляем! Если Вы читаете этот текст, то это значит, что Вы совершили переход в следующее поколение научного исследования данных – Linux и SMART для Linux! Linux выбран в качестве платформы не только для исследования выключенных компьютерных систем, но и для анализа работающих. SMART для Linux дает Вам все возможные преимущества использования Linux для исследования данных, включая:

- поддержку более сорока типов файловых систем;
- возможность подключения исследуемых накопителей в режиме «только чтение»;
-возможность мониторинга и записи произведенных действий;
- поддержку множества сетевых протоколов.

Используя SMART для Linux, Вы знаете, что Вы управляете процессом исследования в безопасной среде. Вы будете работать более эффективно, имея преимущество превосходного управления оперативной памятью вашей системы в Linux и пользуясь многозадачностью SMART для Linux.


Подробности по ссылке : http://computer-forensics-lab.org/lib/?cid=39 (http://computer-forensics-lab.org/lib/?cid=39)


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 02 Октябрь 2005, 10:28:47
02.10.2005

Авторы: Капинус О.В., Михайлов И.Ю., Marat, Sundries Ltd.
Источник: http://www.accessdata.com

Программные продукты фирмы AccessData
[/b]

AccessData Ultimate Toolkit
Набор утилит для расследующих компьютерные преступления.
Все, что Вам нужно, есть в одном пакете. Ultimate Toolkit – это полный набор программного обеспечения от фирмы AccessData.

Подробнее: http://computer-forensics-lab.org/lib/?cid=40

AccessData Forensic Toolkit
 Найди, организуй и проанализируй компьютерные доказательства.
Forensic Toolkit предлагает правоохранительным органам и профессионалам корпоративной безопасности возможность осуществлять полную и исчерпывающую экспертную проверку компьютера.

Подробнее: http://computer-forensics-lab.org/lib/?cid=19

AccessData Password Recovery Toolkit
Восстановите утерянные или забытые пароли.
Password Recovery Toolkit дает Вам возможность восстанавливать пароли для хорошо известных приложений.

Подробнее: http://computer-forensics-lab.org/lib/?cid=41

AccessData Registry Viewer
Анализируйте и расшифровывайте данные реестра.
AccessData Registry Viewer позволяет Вам просматривать отдельные файлы реестра Windows, создает отчеты и дает доступ к ключу "Protected Storage System Provider".

Подробнее: http://computer-forensics-lab.org/lib/?cid=42

AccessData Distributed Network Attack
Используйте праздное время для работы.
Гарантированное восстановление утерянных паролей для продуктов Office 97/2000, включая Word и Excel. Теперь включает в себя дешифровку файлов Adobe Acrobat (PDF)! AccessData Distributed Network Attack работает, когда Вы отдыхаете.

Подробнее : http://computer-forensics-lab.org/lib/?cid=43

AccessData WipeDrive
Уничтожьте полностью данные, находящиеся на  жестком диске.
Знаете ли Вы, что когда Вы удаляете файл, форматируете диск или разбиваете на разделы жесткий диск, ваши данные не удаляются? Используя WipeDrive, Вы можете удалить ВСЕ Ваши данные, получив заслуженное душевное спокойствие.

Подробнее : http://computer-forensics-lab.org/lib/?cid=44


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 15 Декабрь 2005, 05:16:32
14.12.2005
Добавлены описания книг по теме «Computer Forensic»:
(http://computer-forensics-lab.org/img/image003.jpg)
Privacy Protection and Computer Forensics, Second Edition

By Michael Caloyannides
Hardcover  /  October 2004  /  1580538304
Подробнее: http://computer-forensics-lab.org/lib/?cid=48

(http://computer-forensics-lab.org/img/image004.jpg)
File System Forensic Analysis
By Brian Carrier
Paperback  /  March 2005  /  0321268172
Подробнее: http://computer-forensics-lab.org/lib/?cid=49

(http://computer-forensics-lab.org/img/image005.jpg)
Incident Response: Computer Forensics Toolkit
By Douglas Schweitzer
Paperback  /  April 2003  /  0764526367
Подробнее: http://computer-forensics-lab.org/lib/?cid=50

(http://computer-forensics-lab.org/img/image006.jpg)
Windows Forensics and Incident Recovery
By Harlan Carvey
Paperback  /  July 2004  /  0321200985
Подробнее: http://computer-forensics-lab.org/lib/?cid=51

(http://computer-forensics-lab.org/img/image007.jpg)
Digital Evidence and Computer Crime, 2nd Edition
By Eoghan Casey
Paperback  /  February 2004  /  0121631044
Подробнее: http://computer-forensics-lab.org/lib/?cid=52

(http://computer-forensics-lab.org/img/image008.jpg)
Investigating Child Exploitation and Pornography : The Internet, Law and Forensic Science
By Eoghan Casey & Monique Ferraro
Hardcover  /  October 2004  /  0121631052
Подробнее: http://computer-forensics-lab.org/lib/?cid=53

(http://computer-forensics-lab.org/img/image009.jpg)
Cyber Crime Investigator's Field Guide
By Bruce Middleton
Paperback  /  November 2001  /  0849311926
Подробнее: http://computer-forensics-lab.org/lib/?cid=54

(http://computer-forensics-lab.org/img/image010.jpg)
Computer Forensics: Computer Crime Scene Investigation
By John R. Vacca
Paperback  /  May 2002  /  1584500182
Подробнее: http://computer-forensics-lab.org/lib/?cid=55

(http://computer-forensics-lab.org/img/image011.jpg)
Computer Forensics Jumpstart
By Michael Solomon, Neil Broom, Diane Barrett
Paperback  /  November 2004  /  078214375X
Подробнее: http://computer-forensics-lab.org/lib/?cid=56

(http://computer-forensics-lab.org/img/image012.jpg)
Computer and Intrusion Forensics
By George Mohay, Alison Anderson, Byron Collie, Olivier de Vel, Rod McKemmish
Hardcover  /  April 2003  /  1580533698
Подробнее: http://computer-forensics-lab.org/lib/?cid=57

(http://computer-forensics-lab.org/img/image013.jpg)
Scene of the Cybercrime
By Debra Littlejohn Shinder, Ed Tittel
Paperback  /  August 2002  /  1931836655
Подробнее: http://computer-forensics-lab.org/lib/?cid=58

(http://computer-forensics-lab.org/img/image014.jpg)
Effective Incident Response Team
By Julie Lucas, Brian Moeller
Paperback  /  September 2003 /  0201761750
Подробнее: http://computer-forensics-lab.org/lib/?cid=59

(http://computer-forensics-lab.org/img/image015.jpg)
Anti-Hacker Tool Kit, Second Edition
By Mike Shema and Bradley C. Johnson
Paperback  /  June 2002/  0072230207
Подробнее: http://computer-forensics-lab.org/lib/?cid=60

(http://computer-forensics-lab.org/img/image016.jpg)
Cyber Forensics: A Field Manual for Collecting, Examining, and Preserving Evidence of Computer Crimes
By Albert J. Marcella Jr & Robert S. Greenfield
Paperback  /  January 2002  /  0849309557
Подробнее: http://computer-forensics-lab.org/lib/?cid=61

(http://computer-forensics-lab.org/img/image017.jpg)
Incident Response and Computer Forensics, Second Edition
by Chris Prosise, et all
Paperback  /  June 2001 /  0072131829
Подробнее: http://computer-forensics-lab.org/lib/?cid=62

(http://computer-forensics-lab.org/img/image018.jpg)
Crime and the Internet
By David Wall (Editor)
Paperback  /  December 2001  /  0415244293
Подробнее: http://computer-forensics-lab.org/lib/?cid=63

(http://computer-forensics-lab.org/img/image019.jpg)
Computers: Systems, Terms and Acronyms, 14th Edition
By M. Susan Hodges
Paperback  /  April 2003  /  096684226X
Подробнее: http://computer-forensics-lab.org/lib/?cid=64

(http://computer-forensics-lab.org/img/image020.jpg)
Internet Forensics
By Robert Jones
Paperback  /  October 2005  /  059610006X
Подробнее: http://computer-forensics-lab.org/lib/?cid=65


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: XOXX от 27 Декабрь 2005, 13:06:56
Когда же появится что0нибудь достойное (без повторяющихся из книги в книгу деклараций, с обширными практическми рекомендациями) на великом и могучем...


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 27 Декабрь 2005, 17:20:11
Когда же появится что0нибудь достойное (без повторяющихся из книги в книгу деклараций, с обширными практическми рекомендациями) на великом и могучем...
С учетом "зачихов" сделанных Усовым-Россинской в книге "Судебная компьютерно-техническая экспертиза" - никогда ( ибо - "нельзя объять необъятное").

А если рассматривать вопросы в рамках решения задач направления которое на Западе называют "Cоmputer Forensic", то это уже  есть. Например, хороший  перевод книги: "Incident Response and Computer Forensics, by Chris Prosise, et all ". С него и советую начать.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: XOXX от 27 Декабрь 2005, 19:39:22
Снимим маски, коллега!  ;D Присланную тобой книгу уже читаю все (Малашкевич тоже побежал и купил). Еще раз с новым годом тебя! ;)


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 01 Январь 2006, 15:23:27
01.01.2006

"Эта книга посвящается всем сотрудникам правоохранительных органов, которые должны тщательно исследовать огромные объемы данных с помощью устаревшего оборудования, при слабой подготовке, и при отсутствии времени."
Кевин Мандиа, Крис Проспис

(http://computer-forensics-lab.org/img/image022.jpg)

Защита от вторжений. Расследование компьютерных преступлений.
Кевин Мандиа, Крис Проспис
Изд. «ЛОРИ» /  2005  /  585582229Х  

Подробнее : http://computer-forensics-lab.org/lib/?cid=68


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 02 Январь 2006, 21:08:44
02.01.2006

Автор : Меджевитдин П.В.
Название : Некоторые характеристики и специальные метки компакт-дисков.

Подробнее: http://computer-forensics-lab.org/lib/?cid=69


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 03 Январь 2006, 07:37:33
03.01.2006

Автор : Тарановский Л. О.
Название : Краткое описание конструкции современных HDD.

Подробнее: http://computer-forensics-lab.org/lib/?cid=71

Автор : Тарановский Л. О.
Название : Диагностика неисправностей HDD IDE.

Подробнее: http://computer-forensics-lab.org/lib/?cid=70

Автор : Тарановский Л. О.
Название : Что делать, если не загружается операционная система?

Подробнее: http://computer-forensics-lab.org/lib/?cid=74

Автор : Тарановский Л. О.
Название : Ремонт HDD IDE. Низкоуровневый формат.

Подробнее: http://computer-forensics-lab.org/lib/?cid=73

Автор : Тарановский Л. О.
Название : Процедура HDD Low Level Format системного BIOS.

Подробнее: http://computer-forensics-lab.org/lib/?cid=72


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 04 Январь 2006, 07:13:24
04.01.2006

Авторы: Капинус О.В., Михайлов И.Ю.
Название: Artemis


Подробнее: http://computer-forensics-lab.org/lib/?cid=75


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 05 Январь 2006, 07:08:47
05.01.2006
Добавлены описания книг:
(http://computer-forensics-lab.org/img/image023.jpg)
Защита от хакеров. Анализ 20 сценариев взлома.

Майк Шиффман
Издательский дом «Вильямс» /  2002  /  5845903181
Подробнее: http://computer-forensics-lab.org/lib/?cid=76

(http://computer-forensics-lab.org/img/image024.jpg)
Анти-хакер. Средства защиты компьютерных сетей.
К.Дж.Джонс, М.Шема, Б.с.Джонсон
СП ЭКОМ /  2003  /  5957000140
Подробнее: http://computer-forensics-lab.org/lib/?cid=77

(http://computer-forensics-lab.org/img/image025.jpg)
Судебно-экспертное исследование компьютерных средств и систем.
А.И. Усов
ЭКЗАМЕН /  2003  /  5946924109
Подробнее: http://computer-forensics-lab.org/lib/?cid=78

(http://computer-forensics-lab.org/img/image026.jpg)
Судебная компьютерно-техническая экспертиза.
Е.Р. Россинская, А.И. Усов
«Право и закон» /  2001  /  5785800705
Подробнее: http://computer-forensics-lab.org/lib/?cid=79


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 07 Январь 2006, 15:38:04
07.01.2006

Название: RAID - массивы. 13 способов  их дублирования. (Презентация)
Перевод: Капинус О.В., Михайлов И.Ю., Sundries Ltd.



Описаны приемы судебного дублирования RAID-массивов.

Подробнее: http://computer-forensics-lab.org/lib/?cid=80


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 09 Январь 2006, 12:35:58
09.01.2006

Авторы:Kimberly Stone, Richard Keightley
Название: Эффективность экспертного исследования Windows XP
Перевод: Фомичев А.Н.


Часть 1 Тестирование: Windows XP как платформа для работы эксперта
Часть 2 Экспертный анализ Windows XP

Подробнее: http://computer-forensics-lab.org/lib/?rid=35


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 10 Январь 2006, 05:20:29
10.01.2006

Название: Encase Enterprise Edition
Перевод: Фомичев А.Н.


Краткое описание.

Подробнее: http://computer-forensics-lab.org/lib/?rid=23


Название: Методика P2 фирмы Paraben
Перевод:Капинус О.В., Михайлов И.Ю.


Подробнее: http://computer-forensics-lab.org/lib/?rid=37

Авторы: Капинус О.В., Михайлов И.Ю.
Название: Обнаружение стеганографических данных в графических файлах формата JPEG


Подробнее: http://computer-forensics-lab.org/lib/?cid=84

Автор: Меджевитдин П.В.
Название: Должны ли "взрываться" компакт-диски?


Подробнее: http://computer-forensics-lab.org/lib/?cid=85


Авторы: Капинус О.В., Михайлов И.Ю.
Название: Экспорт метаданных файлов из дела в программе Encase FE.


Подробнее: http://computer-forensics-lab.org/lib/?cid=86


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 11 Январь 2006, 21:20:50
11.01.2006

Название: Оценка данных, находящихся в удалённых файлах и перезаписанных «поверх» другими файлами.
Перевод: Храмов С.А.



Данное описание показывает: как легко могут быть ошибочно истолкованы сведения о файлах, которые были удалены, либо удалены и перезаписаны «поверх» другими файлами...

Подробнее: http://computer-forensics-lab.org/lib/?cid=88


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 05 Февраль 2006, 19:07:58
05.02.2006

Название: FastBloc®2


Описаны аппаратные блокираторы записи семейства FastBloc®2 фирмы Guidance Software. А именно:

FastBloc®2 Field Edition (FFE)
FastBloc®2 Lab Edition (FLE)
и... Adaptor Kit (FaFK) ;)


Подробнее : http://computer-forensics-lab.org/lib/?rid=23

Название: ForensicPC Ultimate Write Block Kit

Описан комплект аппаратных блокираторов записи ForensicPC Ultimate Write Block Kit.

Подробнее: http://computer-forensics-lab.org/lib/?cid=90


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 05 Март 2006, 07:30:57
Если Вы не можете скачать тот или иной материал с сайта «Компьютерно-техническая экспертиза» - сообщите мне об этом по электронной почте: info@computer-forensics-lab.org , или воспользуйтесь формой обратной связи http://computer-forensics-lab.org/lib/feedback.php. Интересующий Вас материал будет выслан на указанный Вами адрес электронной почты.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: XOXX от 10 Апрель 2006, 16:10:08
Коллеги подскажите источники с описательными частями экспертиз по исследованию вредоносных программ...или что-либо похоже...


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 11 Апрель 2006, 08:00:04
Коллеги подскажите источники с описательными частями экспертиз по исследованию вредоносных программ...или что-либо похоже...

В целом, как описать носитель и файл, я думаю, сам догадаешься. А далее по типу как написано здесь: Усов А.И. Судебно-экспертное исследование компьютерных средств и систем, стр.328-349.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 26 Май 2006, 18:51:19
26.05.2006

Автор : Олег Зайцев
Название : Методики обнаружения вредоносного ПО.


В данной статье описаны базовые методики анализа компьютера, доступные даже начинающему пользователю. Описанные утилиты позволяют провести анализ компьютера и решить типовые задачи, связанные с выявлением вредоносных программ без применения антивируса.

Подробнее: http://computer-forensics-lab.org/lib/?cid=91


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 27 Май 2006, 08:00:35
27.05.2006

Автор: Nathan Weilbacher
Перевод: Храмов С.А.
Название : Доказательственное значение .LNK файлов.


"В конце прошлого лета в наш адрес обратилась одна юридическая фирма, представляющая клиента, подозревающего, что один из его служащих завладел конфиденциальными сведениями до его увольнения. Нам был передан ноутбук, использованный указанным служащим, список ключевых слов, сообщены временные рамки и инструкции о поиске любых свидетельств того, что данный служащий скопировал конфиденциальные сведения на сменный носитель. Конечно, обстоятельства данного случая были более многочисленны, однако я буду касаться только тех, которые имеют значение для рассматриваемого в статье аспекта..."

Подробнее: http://computer-forensics-lab.org/lib/?cid=92


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 03 Июнь 2006, 03:52:39
03.06.2006

На сайте создан новый раздел "Задачи".
Если у Вас есть интересные материалы - присылайте.

Задача №1
Источник: http://www.cftco.com/demo.htm


Это простое практическое упражнение, моделирующее обычные  проблемы, с которыми может столкнуться судебный эксперт.

Вы - судебный эксперт и Вас  наняла частная компания, чтобы расследовать очевидную кражу очень большой суммы денег одним служащим - Клосом Мейнсом. Владелец компании, Ив Бен Дьюпт, сказал, что он уволил г-на Мейнса на прошлой неделе. Г-н Мейнс взял свой ноутбук с собой, но г-н Дьюпт сказал, что он нашел дискету в столе г-на Мейнса после того, как г-н Мейнс ушёл. Г-н Дьюпт сказал, что он  защитил от записи дискету, которую он нашел и затем  просмотрел её. Он увидел, что один из документов, "C.doc", выглядит странно. Он думает, что г-н Мейнс датировал этот документ задним числом. Г-н Дьюпт хочет, чтобы Вы исследовали дискету и определили, был ли документ "C.doc" датирован задним числом. Если Вы сможете доказать, что "C.doc" был записан задним числом, г-н Дьюпт говорит, что он сможет подать в суд на г-на Мейнса и попытаться арестовать его активы, чтобы возвратить свои деньги. Вы приняли аванс  1000 $, чтобы начать работу.

 

Подробнее: http://computer-forensics-lab.org/lib/?rid=39

Присылайте Ваши ответы на задачу к нам на e-mail: info@computer-forensics-lab.org. Самые полные и интересные мы опубликуем.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 03 Июнь 2006, 07:03:22
03.06.2006

Задача №2
Источник: http://www.honeynet.org/scans/scan24/


Извлечение и анализ данных с флоппи-диска.

Полицейский отчет: 28-летний Джо Джейкобс был арестован вчера по обвинению в продаже запрещённых наркотиков студентам средней школы. К местному полицейскому, который выдавал себя за студента средней школы, он  подошел на автостоянке средней школы Смит Хилл. Джейкобс спросил тайного сотрудника полиции, не хотел бы он купить немного марихуаны. Прежде, чем сотрудник полиции смог ответить, Джейкобс достал немного марихуаны из своего кармана и показал офицеру. Джейкобс сказал офицеру: «Ты только глянь на эту дурь, Колумбийцы не смогли бы вырастить её лучше! Мой поставщик не только продает её мне напрямую, он выращивает её сам»

Джейкобса часто видели околачивающимся на различных автостоянках средней школы около 2:30 после полудня, время, когда обычно заканчиваются занятия в школе. Руководители различных средних школ вызвали полицию относительно присутствия Джейкобса в их школе и обратили внимание на увеличение потребление наркотиков среди студентов с момента его появления.

Полицейские нуждаются в вашей помощи. Они хотят провести расследование и определить, продавал ли Джо Джейкобс наркотики студентам в других школах, помимо школы Смит Хилл. Проблема в том, что ни один студент не хочет давать свидетельские показания и помочь полиции. На основе замечаний Джо относительно колумбийцев, полиция заинтересована найти поставщика/производителя марихуаны для Джо.

Джейкобс отрицал, что он продавал наркотики в какой-либо другой школе, кроме Смит Хилл и отказывается назвать полиции имя своего поставщика/производителя наркотика. Джейкобс также отказывается признать заявление, которое он сделал тайному сотруднику полиции прямо перед своим арестом. После выдачи ордера на обыск и обыска дома подозреваемого, полиция смогла получить небольшое количество марихуаны. Полиция также конфисковала один гибкий диск, но никаких компьютеров и/или других носителей не было в доме.

Полиция создала образ гибкого диска подозреваемого и предоставила Вам его копию. Они хотели бы, чтобы Вы исследовали гибкий диск и дали ответы на интересующие ее вопросы. Полиция хотела бы, чтобы Вы обратили особое внимание на любую информацию, которая могла бы доказать, что Джо Джейкобс в действительности продавал наркотики в других средних школах, помимо школы Смит Хилл. Они также хотели бы, чтобы Вы провели расследование и определили, если возможно, кто является поставщиком Джо Джейкобса.

Объявленный залог Джейкобса установлен в размере 10 000 $. Боясь, что он может скрыться из города, полиция хотела бы посадить его в тюрьму как можно скорее. Пожалуйста, предоставьте полиции убедительные доказательства, состоящие из полученных Вами данных, относящиеся к вопросам, где полученные данные расположены на диске, использованных процессах, методов и любых действиях, которые подозреваемый, возможно, предпринял, чтобы преднамеренно удалить, скрыть и/или изменить данные на гибком диске.
Удачи!

Подробнее: http://computer-forensics-lab.org/lib/?rid=39

Присылайте Ваши ответы на задачу к нам на e-mail: info@computer-forensics-lab.org. Самые полные и интересные мы опубликуем.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 09 Август 2006, 18:11:05
09.08.2006

Mount Image Pro. Руководство пользователя  на русском языке(для версии 1.05).


Введение в Mount Image Pro

Mount Image Pro - утилита для судебных экспертов и специалистов по восстановлению данных, которая может монтировать образы накопителей как логические диски в ОС  Windows.  


Особенности
•   Новое! Отображение свойств образов  (файл-образы накопителей) EnCase и SMART в детальном представлении программы Проводник Windows.
•   Новое! Отображение свойств образов EnCase и SMART при наведении указателя мыши на образ.
•   Новое! Отображение свойств образов EnCase и SMART в панели «Свойства» (“Properties”) программы Проводник  Windows
•   Монтирование файлов-образов EnCase® . Поддержка версий 2, 3 и 4, включая сжатые, и образы, защищённые паролём.
•   Монтирование файлов-образов SMART .
•   Монтирование файлов-образов в формате raw, например, созданных с использованием программы “dd” в Linux.
•   Лёгкое управление мульти-сегментными образами (образами накопителей, разделенных на несколько фрагментов). Образы в формате Raw можно разместить на нескольких дисках и в сети.
•   Отображение имён дисков на любых или на всех разделах в образе.
•   Отображение целых образов как единое логическое имя диска для исследования неиспользованного / неразделенного (“Unused/Non partitioned”) дискового пространства.
•   Монтирование файловых систем NTFS, FAT, FAT16, FAT32.
•   Совместимость с драйверами файловых систем третьих фирм таких, как Linux EXT2 или EXT3.
•   Просмотр сжатых файлов и папок без необходимости восстанавливать образ на физический носитель.
•   Работа с «физическими» (образ всего накопителя) и «логическими» (образ логического раздела) образами.
•   Поддержка режима доступа «только для чтения» (“Read-Only ”) для защиты целостности данных. Образы EnCase ® всегда отображаются в режиме «только для чтения» (“Read-Only”).
•   Простое и удобное использование правой кнопки мыши  в программе Проводник  Windows для работы с образами.
•   Широкие параметры командной строки для работы с исполняемым  файлом.
•   Полная поддержка сети. Монтирование образов с центрального сервера.

...

Подробнее : http://computer-forensics-lab.org/lib/?rid=41


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 20 Август 2006, 17:16:51
Понравился, содержанием, вот этот ресурс:
FILExt - The File Extension Source
http://filext.com/
Советую обратить внимание.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 21 Октябрь 2006, 19:38:57

Wanted - a second hand Safeback 2 and licence (or new if the price is right). Anyone in the market for selling one please contact me (info @ computer-forensics-lab.org).


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Urix от 28 Октябрь 2006, 20:03:47
Игорь! Первая заповедь эксперта - не измени! Если мне что-то надо проанализировать, то я обычно подключаю жесткий диск к компу с unix-ом, монтирую как read only и смотрю этот девайс. Все прозрачно и ничего изменить нельзя. А second hand - это секонд хэнд.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 28 Октябрь 2006, 20:36:03
Спасибо. Я в курсе, и за свойства UNIX/Linux и за свойства программ DD, DCFLDD. Однако кроме первой заповеди есть и другие, например : получаемые результаты должны быть воспроизводимы, т.е. необходимо делать копии тремя- четырьмя программами, чтобы быть уверенным, что используемая программа дает правильный и воспроизводимый результат... ну и т.д. подробности в ПМ.

Кроме того, Safeback 2, предназначена не для блокирования записи на исследуемый носитель, а для его судебного дублирования в среде DOS. Описание того, как сделать под DOS судебную загрузочную дискету встречал неоднократно. Программные блокираторы записи под эту ОС существуют, причем, бесплатные (для сотрудников правоохранительных органов).


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 06 Ноябрь 2006, 07:45:11
06.11.2006

Mount Image Pro v.2. Руководство пользователя на русском языке (для версии 2.02).


Mount Image Pro – утилита, которая может монтировать файл-образы (как физических накопителей, так и логических разделов) как логические диски в ОС  Windows. Поддерживаются следующие типы образов (файл-образов):

•   Образы, созданные программой  EnCase® - все версии, включая сжатые и защищённые паролём образы;
•   Образы, созданные  программой SMART®;
•   Образы в формате Raw (созданные такими программами, как “dd” в Linux); и
•   Образы ISO.

Программа Mount Image Pro, прежде всего, используется судебными экспертами, следователями, адвокатами и отдельными лицами, чтобы получить быстрый и полный доступ к содержимому образа. Mount Image Pro освобождает от  покупки дорогого судебного программного обеспечения, необходимого для просмотра содержимого образов. Она отображает все файлы, содержащиеся в образе, как файлы, расположенные на логическом диске в ОС Windows.

...

Подробнее: http://computer-forensics-lab.org/lib/?rid=41

Скачать пробную версию программы Mount Image Pro v.2 (работает в полнофункциональном режиме в течении 30 дней) можно по адресу: http://www.mountimage.com/


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 11 Ноябрь 2006, 15:21:14
Mount Image Pro v.2. Файл справки на русском языке.
http://computer-forensics-lab.org/lib/?cid=99


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Urix от 11 Ноябрь 2006, 16:51:25
В статье про linux есть серьезная ошибка: отсутствует описание дампа ядра из памяти COREDUMP.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 11 Ноябрь 2006, 22:01:02

Насчет обнаружения ошибки: Буду благодарен если Вы сможете ее подробнее описать написав мне в ПМ. Возможно это не наша ошибка а автора исходного текста. Ведь наша работа - это только перевод англоязычной статьи.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 15 Ноябрь 2006, 20:15:47
Ответ на задачу №1 опубликованную 03.06.2006.
http://computer-forensics-lab.org/lib/?cid=93


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 18 Ноябрь 2006, 08:18:26
SMS в помощь криминалистам
Источник:http://www.fictionbook.ru/author/kompyuterra/kompyuterra_650_jurnal_kompyuterra_n_30_ot_22_avgusta_2006_goda/
kompyuterra_kompyuterra_650_jurnal_kompyuterra_n_30_ot_22_avgusta_2006_goda.html

В Великобритании запущен интересный научно-исследовательский проект, цель которого – разработать эффективные методы выявления характерных лингвистических структур в SMS-сообщениях для надежного установления автора послания. Короткие текстовые сообщения, отправляемые и хранимые с помощью сотовых телефонов, ныне часто фигурируют в судах и уголовных расследованиях при доказательстве вины или, напротив, алиби подозреваемых. Поэтому ученые факультета судебно-медицинской психологии в Университете Лестера, где начато новое исследование, надеются обобщить уже имеющиеся практические результаты и выработать новые технологии анализа, что должно стать серьезным подспорьем в работе криминалистов.
   Одним из толчков, побудивших исследователей к более глубокому изучению проблемы, стало нашумевшее дело об убийстве эссекской школьницы Дэниэл Джонс (Danielle Jones), где анализ SMS сыграл решающую роль в установлении преступника. Пятнадцатилетняя девочка исчезла летом 2001 года; расследование вывело детективов полиции на ее дядю Стюарта Кэмпбела (Stuart Campbell), которого обвинили в похищении и убийстве племянницы. В качестве главного алиби, выдвинутого защитой для доказательства невиновности Кэмпбела, послужили два SMS-послания, отправленные с телефона девочки уже после ее исчезновения и снимающие подозрения с дяди. Подробный анализ SMS-текстов в телефоне Джонс, сделанный лингвистами криминалистической экспертизы, показал существенные различия в написании слов и речевых конструкций сообщений, отправлявшихся до и после пропажи девочки. Это позволило доказать, что два ключевых для следствия SMS были отправлены с телефона племянницы самим Кэмпбелом, дабы обеспечить себе алиби. На основании этого и других доказательств Стюарт Кэмпбел был признан виновным и осужден на пожизненное заключение.
   Нынешнее SMS-исследование Лестерского университета рассчитано на полгода и проводится с привлечением сотни добровольных помощников-испытуемых, набранных в Интернете. Каждому из участников предлагается анонимно отправить десять кратких сообщений произвольного содержания. Получив таким образом около тысячи SMS-текстов, ученые намерены с их помощью проверить наработанные технологии анализа для установления авторства. В сравнении с обычными письмами для SMS эта задача существенно упрощается, поскольку краткие телефонные записки отличаются неформальным использованием языка и общепринятых правил письма. Благодаря этому ярко проявляются индивидуальные различия пишущих, а значит, и упрощается установление авторства. Более того, у ученых есть веские основания полагать, что, отточив уже имеющиеся методики анализа, со временем станет возможным надежно устанавливать также пол и примерный возраст автора послания. – Б.К.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 02 Декабрь 2006, 14:08:03
Что должен иметь в чемодане эксперт выезжающий на осмотр компьютерной техники? Мнения. Пожелания. Практические советы.

Вот, для примера, что берет с собой американский полицейский, выезжая на осмотр компьютерной техники:

КАБЕЛИ
SATA
IDE
USB
Сетевой кабель компьютер-компьютер
Parallel
USB mini connectors
Кабели для подключения питания  HDD
Firewire 400 / 800
Кабели для подключения HDD ноутбуков
SCSI

АДАПТЕРЫ
2,5->3,5 IDE
1,8->3,5 IDE
USB ->3.5 IDE
SATA ->3,5 IDE

АКСЕССУАРЫ
Записная книжка с пронумерованными страницами
Ручки и карандаши
Антистатические мешки
Пакеты, для упаковки сотовых телефонов
Маркеры
Бланки
Бирки
Ярлыки
Запасные элементы питания
Скотч
Упаковочные пакеты

ОБОРУДОВАНИЕ
Фонарик
Блокиратор записи
Ноутбук и сумка
Универсальный адаптер питания для ноутбука
Внешний бокс (Firewire/USB) для подключения HDD
Цифровая камера
Дополнительные носители для цифровой камеры (принято использовать компакт-диски)
Антистатический мат
Hardcopy II (устройство для автономного дублирования HDD)
Портативные: клавиатура, мышь и сенсорная панель
Чистые дискеты
USB 2.0 PCMCIA карта
Набор инструментов
Электронный ключ Encase
HDD  для ноутбука с предустановленной Windows XP
PCI карта с контроллером IDE
Дополнительные HDD (предварительно подвергнутые специальной очистке) или переносной RAID-массив
Чистые CD-R / DVD-R
Ремень на запястье для снятия статического электричества
Лупа
Фотовспышка

ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ
FIRE (загрузочный CD)
Helix (загрузочный CD)
Coroners ToolKit
cygwin
Found Stone Tools
Sysinternal Tools
Encase загрузочный CD или дискета
WinPE
Компакт диски с базами хэшей (Hash Sets)


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Николай Николаевич Федотов от 04 Декабрь 2006, 12:55:53
Что должен иметь в чемодане эксперт выезжающий на осмотр компьютерной техники? Мнения. Пожелания. Практические советы.
Вот, для примера, что берет с собой американский полицейский, выезжая на осмотр компьютерной техники:
...

Прикольно. Ещё забыли добавить - фургон для перевозки всего перечисленного.

Наш специалист, выезжая для осмотра, вполне может ограничиться бумагой для опечатывания техники, пузырьком клея и парой омоновцев.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 04 Декабрь 2006, 13:53:00
Прикольно. Ещё забыли добавить - фургон для перевозки всего перечисленного.

Наш специалист, выезжая для осмотра, вполне может ограничиться бумагой для опечатывания техники, пузырьком клея и парой омоновцев.
Два омоновца, по грузоподъемности, вполне заменят специалисту  фургон.  ;D
Да и что там тяжелого? Ноутбук? Пара НЖМД? ;) Крим.чемодан  тяжелее будет.

Если серьезно:
1)Бумаги и пузырька недостаточно для изъятия техники (это всем было говорено уже неоднократно).
2)Я  себе не представляю как вообще можно выпускать специалиста на что-то серьезное с описанным Вами оснащением. :(



Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 17 Январь 2007, 20:33:56
Коллеги, есть проблема: чем посмотреть логи StrongDC++? Существуют ли для этого специальные утилиты?  ???


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: gur от 25 Январь 2007, 23:09:49
Ребята!
Очень срочно нужно Ваше профессиональное мнение о EnCase Forensic Edition, версия 5.00, производство фирмы Guidance Software Inc. – это софт для сбора и анализа компьютерных данных, предназначенное для криминалистического исследования компьютерных носителей информации. США сначала использовали только для себя, а потом решили поставить на комерч. основу. Мне нужно знать его преимущества и недостатки, есть ли отечественные аналоги, полностью его заменяющие? Если нужна более полная характеристика этого софта, то могу сбросить.


 


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 25 Январь 2007, 23:26:03
София, обращайтесь ко мне в ПМ. Я участвую в официальной программе GSI по тестированию Encase 6.

24 января 2007 года анонсирован выпуск Encase Forensic 6.2

Пятерку уже снимают с продаж (или Вам  пытаются продать залежалый товар)?  ;)


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 25 Январь 2007, 23:44:22
Очень срочно нужно Ваше профессиональное мнение о EnCase Forensic Edition, версия 5.00, производство фирмы Guidance Software Inc. – это софт для сбора и анализа компьютерных данных, предназначенное для криминалистического исследования компьютерных носителей информации. США сначала использовали только для себя, а потом решили поставить на комерч. основу. Мне нужно знать его преимущества и недостатки, есть ли отечественные аналоги, полностью его заменяющие?
Encase Forensic Edition  разработан  Guidance Software - одной из старейших фирм занимающихся разработкой софта для судебного исследования комьютерных систем. Число пользователей программы превышает 12.000 во всем мире. Существует локальная (Forensic Edition)  и сетевая (Enterprise Edition) версии программы. Программа адаптирована на различные национальные языкы (в том числе и на русский). Зарегистрированным пользователям доступна документация на русском языке. Программа динамично развивается. Появляются новые возможности. В Encase 6  заложена масса новых пока не реализованных возможностей.

Из минусов. В России, можно купить только в одной фирме (о том, что можно купить только у них фирма знает поэтому дерет за программу даже не три а десять шкур). Довольно много ошибок даже в англоязычной версии программы. Поддержка (суппорт) оставляет желать лучшего (т.е. сообщаешь им об ошибке программы - ошибку записывают в соответствующий реестр, причем, об этой ошибке знаешь только ты и суппорт, другие пользователи об этом ничего не знают).

Из плюсов. Это ФОРУМ (доступен только легальным пользователям). Сами пониматете такое сборище судебных экспертов - уникальный опыт для любого страждущего специфических знаний. На нем можно найти ответы как на повседневные вопросы , возникающие при производстве судебных компьютерных  экспертиз, так и на вопросы которые нам  еще только предстоит решать.

Русских аналогов нет.

Дополнительно почитать:
EnCase Forensic Edition- Программно-аппаратные средства для криминалистического исследования компьютерных носителей информации.
http://www.aimtech.ru/products/encase.html

Купить можно в фирме:
http://www.aimtech.ru/
ООО "Целевые Технологии"
Россия, 119606, г. Москва,просп. Вернадского 84, корп. 2
Тел./факс: (095) 436-0138, (095) 436-0265, (095) 436-0365, (095) 436-0054
aimtech@aimtech.ru, aimtek@mars.rags.ru


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 25 Январь 2007, 23:49:56
Для сведения - реальные цены на Encase
(http://www.forensicdata.ca/pages/product_template.php?p_id=35)
EnCase® Forensic (EF) Version 5

Government/Law Enforcement:
$2,400 EnCase Forensic Software

Corporate:
$3,600 Base price with 1 yr. SMS*
$4,080 Base price with 2 yrs. SMS*
$4,440 Base price with 3 yrs. SMS*

Corporate Deluxe (with current/future modules):
$4,539 Base price with 1 yr. SMS*
$6,052 Base price with 2 yrs. SMS*
$6,586 Base price wiht 3 yrs. SMS*

(*SMS - EnCase License Software Maintenance & Support)

 

EnCase® Forensic (EF) Upgrades

EnCase® Forensic (EF) Version 4 upgrade to V5:
$750 Corp / $550 Govt

EnCase® Forensic (EF) Version 3 upgrade to V5:
$1,345 Corp / $945 Govt

EnCase® Forensic (EF) Version 2 upgrade to V5:
$1,745 Corp / $945 Govt

 

EnCase® Forensic Premium License Support Program (PLSP)

Government/Law Enforcement:
$2,400 1 payment (3 years support)
$1,000 3 yearly payments (3 years support)

Corporate:
$3,000 1 payment (3 years support)
$1,250 3 yearly payments* (3 years support)

 

EnCase® Professional Suite (Pro Suite)

(Includes: VFS, PDE & EDS)

Government/Law Enforcement:
$716

Corporate:  
$895

 

EnCase® Field Intelligence Model (FIM)

Contact FDR for details

 

EnCase® FastBloc2 Series

FastBloc2 Field Edition (FE) in Pelican Case    $664.95

FastBloc2 Field Edition (FE) with Adaptors in Pelican Case  $1,044.95

FastBloc2 Lab Edition (LE) with Firewire 800 Controller Card  $550.91

FastBloc Software Edition (SE) $475 Corp / $380 Govt

 

EnCase® Modules

EnCase Virtual File System (VFS):
$355 Corp / $295 Govt

EnCase Pysical Disk Emulator (PDE):
$355 Corp / $295 Govt

EnCase Decryption Suite (EDS):
$450 Corp / $360 Govt

EnCase Fastbloc2 Software Editioni (SE):
$475 Corp / $380 Govt

EnCase CD/DVD:
$250 Corp / $200 Govt


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 25 Январь 2007, 23:53:41
Учебные учреждения могут купить Encase  по сниженной цене:
$2,400 для EnCase Forensic Software

С Encase  можно купить довольно интересное аппаратное устройство для блокирования записи на исследуемый носитель:
FastBloc 2
Подробнее: http://computer-forensics-lab.org/lib/data/89.pdf


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Urix от 26 Январь 2007, 00:40:50
Цитировать
Учебные учреждения могут купить Encase  по сниженной цене:
$2,400 для EnCase Forensic Software
Игорь! Не в обиду. Спичками торговать не пробовали? ;) ;D

Если серьезно, то ничего хорошего я в этой лабуде не увидел. Как Вы будете доверять результатам работы этой программы, если Вы не контролируете ее работу? Анекдот про то как Петька вернулся из Англии миллионером из-за того, что в Англии верят джентельменам на слово, знаете? Мы все-таки не в Англии.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: gur от 26 Январь 2007, 00:49:01
Купить можно в фирме:
http://www.aimtech.ru/
ООО "Целевые Технологии"
Да, кстати!
Именно она и пытается продать старую версию! ;)


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 26 Январь 2007, 06:13:13
Игорь! Не в обиду. Спичками торговать не пробовали?
Urix, хотите прикол ? Когда я последний раз созванивался с Целевыми технологиями  (года два назад) они просили за Encase   600 тысяч рублей. Чувствуете разницу: 2400долларов и 600 тысяч рублей?

Если серьезно, то ничего хорошего я в этой лабуде не увидел.
А какой версии была лабуда?

Как Вы будете доверять результатам работы этой программы, если Вы не контролируете ее работу?
Для этого надо взять пару штук программ сторонних производителей и прогнать  по тем-же задачам. Если ответы совпадают, значит программа не врет.

Именно она и пытается продать старую версию!
А кроме них в России Encase никто не продает. Монополисты.

Учтите. В 2004 году происходила смена версий:  Encase 4  на Encase 5 (как сейчас происходит смена Encase  5 на  Encase 6 ). При этом, продавали Encase 5 но почему-то в комплектах шел электронный ключ для Encase 4 (который естественно с Encase 5 не работал). Фирма (Guidance Software) была готова поменять ключ но только следующим образом: покупатель высылает им ключ от четвертой версии, они присылают ключ для пятой (сами понимаете пока письмо в Америку дойдет, пока обратно - месяца два-три пройдет (если еще почтовое отправление не потеряют)).


Что еще можно добавить про Encase: ее создателем был Andrew Rosen. Как он сам говорил на некоторых форумах, через определенное время он понял тупиковость идеи создания судебных программ функционирующих в среде Windows. Однако к тому времени Encase  уже превратилась в серъезный коммерческий проэкт, поэтому у Andrew возникли проблемы с руководством и он был вынужден уволиться из Guidance Software. Andrew  основал свою фирму – ASR Data  (www.asrdata.com) и выпускает судебное програмное обеспечение, функционирующее в среде Linux, для исследования компьютерных систем - SMART.  В 2004 году на международной конференции HTCIA программа SMART  получила заслуженое признание экспертного сообщества.

Скачать ознакомительную версию программы можно тут:
http://www.asrdata2.com/
Форум :
http://smartforensics.net/forum/
Описание программы на руcском:
http://computer-forensics-lab.org/lib/?cid=18
Руководство пользователя к программе SMART на русском языке:
http://computer-forensics-lab.org/lib/?cid=39


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Urix от 26 Январь 2007, 11:55:07
Цитировать
А какой версии была лабуда?
Не помню. Меня версия не интересовала. Интересовала функциональность. Года три-чктыре назад было. Смотрел я ее и ничего нового для себя не увидел. Еще в прошлом веке на perl-е у меня инструментарий получше был. Правда, без графики в командной строке, медленноват, но ведь можно было потратить время и переписать в бинарники с подключаемыми модулями и с открытой архитектурой. И вирусняк, кстати, отлавливался и лечился. И всякие неожиданности тоже ловились, вроде двойной метки. И битые диски восстанавливались неплохо. А уж восстанавливала инфу не хуже тирамисы, а местами получше. И альтернативы бы ей не было. Но это уже, похоже, проехали.
Цитировать
Для этого надо взять пару штук программ сторонних производителей и прогнать  по тем-же задачам. Если ответы совпадают, значит программа не врет.
Не самы лучший способ доказательства правильности работы программы.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 26 Январь 2007, 12:24:24
Не самы лучший способ доказательства правильности работы программы.
Таки Вы знаете способ лучше? Предлагайте.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 26 Январь 2007, 12:35:19
Не помню. Меня версия не интересовала. Интересовала функциональность. Года три-чктыре назад было. Смотрел я ее и ничего нового для себя не увидел.
С тех пор много воды утекло.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Urix от 26 Январь 2007, 12:47:59
Цитировать
Таки Вы знаете способ лучше? Предлагайте.
Изучить раздел теории программирования "Доказательство правильности программ". ;)

Деньги и мозги понятия несовместимые. Продукт коммерческий, след., закрытый. Бороться с "черным ящиком" еще та задача.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 26 Январь 2007, 22:43:07
Бороться с "черным ящиком" еще та задача.
Это да.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Schtirliz от 27 Январь 2007, 16:33:30
На мой взгляд, тема лучшего программного обеспечения для исследования носителей, обсуждаемая выше не в полной мере освещена со всех сторон. Давайте не будем забывать про такие вещи, как удобство, относительная простота использования, автоматизированность процессов, механизм составления отчетов по результатам исследования. Это далеко не маловажные вещи. А работать в командной строке может кому-то и нравится, но посмотрел бы я на того эксперта, у которого на потоке экспертизы стоят, а он вручную по частям собирает отчет по проделанной работе. Ужасная картина…Человек не компьютер и ему свойственно что-то забывать, а если надо будет учесть большой объем разноплановой ключевой информации, то процент человеческой ошибки возрастает в разы.
Также не стоит забывать, что не все люди программисты по образованию и призванию, тем более связанные с экспертизой, а с учетом планок зарплат в гос. структурах о таких людях можно вообще мечтать.
Дальше по порядку – закрытость исходников программ. ИМХО – это не вопрос конечного эксперта:
1) Пользуешься тем ПО, которое есть в наличии – банально, но факт;
2) Если есть желание и время в чем-то разобраться – разбирайся, но обычно нет или первого или второго или все вместе.
3) И вообще – вопрос сертификации исследовательских АПК на территории России имеет место быть!!!


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Николай Николаевич Федотов от 28 Январь 2007, 05:38:27
Также не стоит забывать, что не все люди программисты по образованию и призванию, тем более связанные с экспертизой, а с учетом планок зарплат в гос. структурах о таких людях можно вообще мечтать.
...
3) И вообще – вопрос сертификации исследовательских АПК на территории России имеет место быть!!!
Вопрос в связи с двумя процитированными отрывками. А кто, по-вашему, должен сертифицировать? Те, кто мечтает или те, о ком мечтают?


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Urix от 28 Январь 2007, 05:44:23
Цитировать
посмотрел бы я на того эксперта, у которого на потоке экспертизы стоят, а он вручную по частям собирает отчет по проделанной работе.
А хорошо бы иметь такого робота, который бы делал сам экспертизы и ничего не забывал. А эксперт лежал бы дома у себя на печи, в носу ковырял и зря-плату получал. Лепота! "По щучьему велению, по моему хотению, сделайся экспертиза (трупа,следов,дисков и т.д.) сама".
Цитировать
Давайте не будем забывать про такие вещи, как удобство
Неудобно только срать на потолке - говно за шиворот сваливается. За каждой экспертизой судьба человека, а то и не одного. Если эксперт оправдывает свое равнодушие, некомпетентность, нежелание работать маленькой зарплатой, то  это симптоматика второй стадии болезни Паркинсона (непризавита). Законы Паркинсона найдите и прочитайте для ясности. В общем, сколько волка не корми, а у слона яйца все равно больше и в чужих руках х.. всегда толще. Обследование NYPD по случаю немерянного повышения зарплат  в прошлом веке это показало.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 28 Январь 2007, 05:50:11
3) И вообще – вопрос сертификации исследовательских АПК на территории России имеет место быть!!!
Гы. У меня ни разу в суде не спросили сертифицирован ли мой АПК или нет.

А в чем вопрос? Есть АПК и деньги - обращайтесь. Сертифицируют.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Николай Николаевич Федотов от 28 Январь 2007, 14:12:06
А в чем вопрос? Есть АПК и деньги - обращайтесь. Сертифицируют.
Ага, сертифицируют. По требованиям электробезопасности. Или на соответствие ТУ, которые я сам и написал.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 28 Январь 2007, 14:32:55
Ага, сертифицируют. По требованиям электробезопасности.  
Сертификата по электробезопасности достаточно.

В суде спросят эксперта: "Ваш АПК сертифицирован?".
Эксперт с чистой совестью ответит : "Сертифицирован".

Думаете суд будет дальше разбираться какой сертификат имеется на АПК и т.д.?


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 04 Февраль 2007, 08:02:48
Источник: http://www.foto.piter.com/book_about.phtml?id=978546901311

(http://www.foto.piter.com/covers/46901311l.jpg)


Криминалистический анализ файловых систем
Оригинальное название: File System Forensic Analysis, Brian Carrier
Автор(ы):    Кэрриэ Б.  .
Раздел:    Компьютерная литература
Серия:    Для профессионалов
Тема:    Операционные системы. Общие вопросы
Издание:    1-е, 2006 год
ISBN:    5-469-01311-1
Формат:   17x24 см
Объем:    480 стр.
Переплет:    твердая обложка

Содержание

Предисловие

От издательства

Введение

Структура книги

Ресурсы

Благодарности

Часть I. Основы

Глава 1. Основы цифровых расследований

Цифровые расследования и улики

Процесс анализа места цифрового преступления

Фаза сохранения системы

Фаза поиска улик

Фаза реконструкции событий

Общие рекомендации

Анализ данных

Типы анализа

Необходимые и вспомогательные данные

Инструментарий эксперта

EnCase (Guidance Software)

Forensic Toolkit (Access Data)

ProDiscover (Technology Pathways)

SMART (ASR Data)

The Sleuth Kit/Autopsy

Итоги

Библиография

Глава 2. Основные принципы работы компьютеров

Организация данных

Двоичная, десятичная и шестнадцатеричная запись

Размеры данных

Строковые данные и кодировка символов

Структуры данных

Флаги

Процесс загрузки

Процессор и машинный код

Местонахождение загрузочного кода

Технологии жестких дисков

Геометрия и внутреннее устройство жесткого диска

Интерфейс ATA/IDE

Типы адресации секторов

BIOS и прямой доступ

Диски SCSI

Итоги

Библиография

Глава 3. Снятие данных с жесткого диска

Введение

Общая процедура снятия данных

Уровни снятия данных

Тесты программ снятия данных

Чтение исходных данных

Прямой доступ или BIOS?

Режимы снятия данных

Обработка ошибок

Область HPA

DCO

Аппаратная блокировка записи

Программная блокировка записи

Запись снятых данных

Выбор приемника

Формат файла образа

Сжатие файла образа

Сетевое снятие данных

Хеширование и целостность данных

Практический пример с использованием dd

Источник

HPA

Приемник

Обработка ошибок

Криптографическое хеширование

Итоги

Библиография

Часть II. Анализ томов

Глава 4. Анализ томов

Введение

Общие положения

Концепция тома

Общая теория разделов

Использование томов в UNIX

Общая теория объединения томов

Адресация секторов

Основы анализа

Методы анализа

Проверка целостности

Получение содержимого разделов

Восстановление удаленных разделов

Итоги

Глава 5. Разделы на персональных компьютерах

Разделы в DOS

Общий обзор

Основные концепции MBR

Концепция расширенного раздела

Структуры данных

Факторы анализа

Итоги

Разделы Apple

Общий обзор

Структуры данных

Факторы анализа

Итоги

Съемные носители

Библиография

Глава 6. Разделы в серверных системах

Разделы BSD

Общий обзор

Структуры данных

Факторы анализа

Итоги

Сегменты Sun Solaris

Общий обзор

Структуры данных Sparc

Структуры данных i386

Факторы анализа

Итоги

Разделы GPT

Общий обзор

Структуры данных

Факторы анализа

Итоги

Библиография

Глава 7. Многодисковые тома

RAID

Уровни RAID

Аппаратная реализация RAID

Программная реализация RAID

Общие замечания по поводу анализа

Итоги

Объединение дисков

Общий обзор

Linux MD

Linux LVM

Microsoft Windows LDM

Библиография

Часть III. Анализ файловых систем

Глава 8. Анализ файловых систем

Что такое файловая система?

Категории данных

Необходимые и вспомогательные данные

Методы анализа и категории данных

Категория данных файловой системы

Методы анализа

Категория данных содержимого

Общие сведения

Методы анализа

Методы надежного удаления

Категория метаданных

Общая информация

Методы анализа

Категория имен файлов

Общие сведения

Методы анализа

Методы надежного удаления

Категория прикладных данных

Журналы файловой системы

Методы поиска на прикладном уровне

Восстановление файлов на прикладном уровне

Сортировка файлов по типу

Конкретные файловые системы

Итоги

Библиография

Глава 9. FAT: основные концепции и анализ

Введение

Категория файловой системы

Методы анализа

Факторы анализа

Сценарий анализа

Категория содержимого

Алгоритмы выделения

Методы анализа

Факторы анализа

Сценарий анализа

Категория метаданных

Алгоритмы выделения

Методы анализа

Факторы анализа

Сценарии анализа

Категория данных имен файлов

Алгоритмы выделения

Методы анализа

Факторы анализа

Сценарии анализа

Общая картина

Создание файлов

Пример удаления файла

Прочее

Восстановление файлов

Определение типа файловой системы

Проверка целостности данных

Итоги

Библиография

Глава 10. Структуры данных FAT

Загрузочный сектор

Структура FSINFO

FAT

Записи каталогов

Записи каталогов для длинных имен файлов

Итоги

Библиография

Глава 11. NTFS: основные концепции

Введение

Все данные — файлы

Концепции MFT

Содержимое записи MFT

Адреса записей MFT

Файлы метаданных файловой системы

Атрибуты записей MFT

Заголовки атрибутов

Содержимое атрибутов

Стандартные типы атрибутов

Другие концепции атрибутов

Базовые записи MFT

Сжатые атрибуты

Шифрование атрибутов

Индексы

B-деревья

Атрибуты индексов NTFS

Программы анализа

Итоги

Библиография

Глава 12. NTFS: анализ

Категория данных файловой системы

Файл $MFT

Файл $MFTMirr

Файл $Boot

Файл $Volume

Файл $AttrDef

Тестовый образ

Методы анализа

Факторы анализа

Сценарий анализа

Категория данных содержимого

Кластеры

Файл $Bitmap

Файл $BadClus

Алгоритмы выделения

Структура файловой системы

Методы анализа

Факторы анализа

Сценарий анализа

Категория метаданных

Атрибут $STANDARD_INFORMATION

Атрибут $FILE_NAME

Атрибут $DATA

Атрибут $ATTRIBUTE_LIST

Атрибут $SECURITY_DESCRIPTOR

Файл $Secure

Тестовый образ

Алгоритмы выделения

Методы анализа

Факторы анализа

Сценарий анализа

Категория имен файлов

Индексы каталогов

Корневой каталог

Ссылки на файлы и каталоги

Идентификаторы объектов

Алгоритмы выделения

Методы анализа

Факторы анализа

Сценарий анализа

Категория прикладных данных

Дисковые квоты

Журналы файловых систем

Журнал изменений

Общая картина

Создание файла

Пример удаления файла

Разное

Восстановление файлов

Проверка целостности данных

Итоги

Библиография

Глава 13. Структуры данных NTFS

Базовые концепции

Маркеры

Записи MFT (файловые записи)

Заголовок атрибута

Стандартные атрибуты файлов

Атрибут $STANDARD_INFORMATION

Атрибут $FILE_NAME

Атрибут $DATA

Атрибут $ATTRIBUTE_LIST

Атрибут $OBJECT_ID

Атрибут $REPARSE_POINT

Атрибуты и структуры данных индексов

Атрибут $INDEX_ROOT

Атрибут $INDEX_ALLOCATION

Атрибут $BITMAP

Структура данных заголовка индексного узла

Структура данных обобщенного индексного элемента

Структура данных индексного элемента каталога

Файлы метаданных файловой системы

Файл $MFT

Файл $Boot

Файл $AttrDef

Файл $Bitmap

Файл $Volume

Файл $ObjId

Файл $Quota

Файл $LogFile

Файл $UsrJrnl

Итоги

Библиография

Глава 14. Ext2 и Ext3: концепции и анализ

Введение

Категория данных файловой системы

Общие сведения

Методы анализа

Факторы анализа

Сценарий анализа

Категория содержимого

Общие сведения

Алгоритмы выделения

Методы анализа

Факторы анализа

Сценарий анализа

Категория метаданных

Общие сведения

Алгоритмы выделения

Выделение индексных узлов

Методы анализа

Факторы анализа

Сценарий анализа

Категория данных имен файлов

Общие сведения

Алгоритмы выделения

Методы анализа

Факторы анализа

Сценарии анализа

Категория прикладных данных

Журналы файловой системы

Сценарий анализа

Общая картина

Пример создания файла

Пример удаления файла

Разное

Восстановление файлов

Проверка целостности данных

Итоги

Библиография

Глава 15. Структуры данных Ext2 и Ext3

Суперблок

Таблица дескрипторов групп

Битовая карта блоков

Индексные узлы

Расширенные атрибуты

Запись каталога

Символическая ссылка

Хеш-деревья

Структуры данных журнала

Итоги

Библиография

Глава 16. UFS1 и UFS2: концепции и анализ

Введение

Категория данных файловой системы

Общие сведения

Методы анализа

Факторы анализа

Категория содержимого

Общие сведения

Алгоритмы выделения

Методы анализа

Факторы анализа

Категория метаданных

Общие сведения

Алгоритмы выделения

Методы анализа

Факторы анализа

Категория данных имен файлов

Общие сведения

Алгоритмы выделения

Методы анализа

Факторы анализа

Общая картина

Создание файла

Пример удаления файла

Разное

Восстановление файлов

Проверка целостности данных

Итоги

Библиография

Глава 17. Структуры данных UFS1 и UFS2

Суперблок UFS1

Суперблок UFS2

Сводка групп цилиндров

Дескриптор группы UFS1

Дескриптор группы UFS2

Битовые карты блоков и фрагментов

Индексные узлы UFS1

Индексные узлы UFS2

Расширенные атрибуты UFS2

Записи каталогов

Итоги

Библиография

Приложение. The Sleuth Kit и Autopsy

The Sleuth Kit

Программы для работы с диском

Программы для работы с томами

Программы файловой системы

Программы поиска

Autopsy

Режимы анализа

Библиография

Алфавитный указатель

Перевод малость кривоват, полиграфия на нуле. Тем не менее, само содержание...


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Urix от 04 Февраль 2007, 08:33:48
Насчитал как минимум пять видов FS, которые не отражены в книге, но достаточно распространены. Например VFS (Veritas FS), AFS (Acer FS), IBM, FFS (Fast FS), FFS2 и т.д.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 04 Февраль 2007, 09:03:33
Насчитал как минимум пять видов FS, которые не отражены в книге, но достаточно распространены. Например VFS (Veritas FS), AFS (Acer FS), IBM, FFS (Fast FS), FFS2 и т.д.
Напишите дополнение к книге. Некоторые Вам спасибо скажут. ;)


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Urix от 04 Февраль 2007, 12:46:47
Цитировать
Напишите дополнение к книге. Некоторые Вам спасибо скажут.
Я обычно доки и код читаю. А потом применяю на практике полученную инфу. Дополнять книгу смысла не вижу - слишком большой объем работы, которую кто-то должен оплачивать. Я не миллионер и девичья фамилия моей жены тоже не Рокфеллер. И потом, угнаться за развитием техники просто невозможно. Любая выпущенная книга - это уже в лучшем случае вчерашний день, если не позавчерашний. А надо жить хотя бы сегодняшним, не говоря в идеале о завтрашнем.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 15 Февраль 2007, 19:00:20
Именно она и пытается продать старую версию! ;)
С мест поступают сведения, от коллег, что те кто проплатил поставку пятой версии, сейчас, получают шестую (т.е. фирма Целевые Технологии прекратила поставку пятерки а по проплаченным ранее контрактам поставляют более новую версию программы Encase FE).


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: gur от 16 Февраль 2007, 23:40:12
С мест поступают сведения, от коллег, что те кто проплатил поставку пятой версии, сейчас, получают шестую (т.е. фирма Целевые Технологии прекратила поставку пятерки а по проплаченным ранее контрактам поставляют более новую версию программы Encase FE).
Не знаю почему, но мой коллега почему-то безума именно от 5-ой версии и хочет пригласить в МИФИ разработчика для усовершенствования этой проги. Если есть контакты будем Вам очень благодарны!!! ;) :D


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: gur от 16 Февраль 2007, 23:44:22
Напишите дополнение к книге. Некоторые Вам спасибо скажут. ;)
Мне очень интересно Ваше мнение о книге с практической точки зрения.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 17 Февраль 2007, 05:54:47
Не знаю почему, но мой коллега почему-то безума именно от 5-ой версии и хочет пригласить в МИФИ разработчика для усовершенствования этой проги. Если есть контакты будем Вам очень благодарны!

"Вы не любите кошек?
Вы просто не умеете их готовить!"

Или, может у него нет шестерки? ;)

Подробности в PM.

Мне очень интересно Ваше мнение о книге с практической точки зрения.

Какова практическая ценность Букваря?
 ;)


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 17 Февраль 2007, 06:09:01
АНОНС.

(Источник: http://www.nhtcu.ru/)
В течении февраля 2007 года будет выпущена книга
А.Б. Нехорошев, М.Н. Шухнин, И.Ю. Юрин, А.Н. Яковлев
Практические основы компьютерно-технической экспертизы

Объем - 266 страниц. Ориентировочная стоимость одного экземпляра книги - 200 рублей.

Предварительные заявки на приобретение книги принимаются на e-mail: info@nhtcu.ru


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 17 Февраль 2007, 06:41:37
Согласно плана разработки темы "Криминалистическое исследование сотовых телефонов", осуществлен перевод Руководства пользователя программы SIMCon (версия для правоохранительных органов).


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 17 Февраль 2007, 08:32:10
Согласно плана разработки темы "Криминалистическое исследование сотовых телефонов", осуществлен перевод документа Уэйн Дженсен (Wayne Jansen) Рик Эйерс (Rick Ayers) Судебные программные средства для исследования SIM-карт.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: gur от 19 Февраль 2007, 23:24:03
Какова практическая ценность Букваря?
 ;)
Ну, если это основы основ, то значит, необходимо обязательно взять.  ;)


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: gur от 28 Февраль 2007, 01:24:55
Кто-нибудь знает систему i2, предназначенную для аналитического обеспечения деятельности правоохранительных органов, государственных структур и коммерческих организаций, а также помощи руководителям в принятии решений?
i2 предоставляет возможность простого сбора данных из разнородных источников и их обработки с помощью системы визуальных запросов по принципу "нарисуй вопрос — получи картинку-ответ".
Мне интересно как работает эта система и где в данный момент она интегрирована и используется? Какие результаты?


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 28 Февраль 2007, 22:00:25
Кто-нибудь знает систему i2, предназначенную для аналитического обеспечения деятельности правоохранительных органов, государственных структур и коммерческих организаций, а также помощи руководителям в принятии решений?
i2 предоставляет возможность простого сбора данных из разнородных источников и их обработки с помощью системы визуальных запросов по принципу "нарисуй вопрос — получи картинку-ответ".
Мне интересно как работает эта система и где в данный момент она интегрирована и используется? Какие результаты?
Сайт разработчика http://www.i2.co.uk/
Кое-чего из демок покачать можно тут http://www.dataexpert.nl/

А еще они вот эту штуку делают - Analyst's Notebook  ::)

Поиск дистрибутива и т.д. идет тут http://forum.ru-board.com/topic.cgi?forum=35&topic=15368&start=0#lt
часть ссылок живая


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: gur от 01 Март 2007, 14:20:14
Спасибо Игорь!
А вы знаете где уже применяется? Какие результаты?


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 01 Март 2007, 18:15:21
Спасибо Игорь!
А вы знаете где уже применяется? Какие результаты?

Не имею сведений о использовании этого ПО  и соответственно о результатах его использования.  :(

Если что-то узнаете - дайте мне знать. Заранее, премного благодарен.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: CyberCop от 01 Март 2007, 19:58:39
Согласно плана разработки темы "Криминалистическое исследование сотовых телефонов", осуществлен перевод документа Уэйн Дженсен (Wayne Jansen) Рик Эйерс (Rick Ayers) Судебные программные средства для исследования SIM-карт.
Согласно плана разработки темы "Розыск похищенных сотовых и спутниковых радиотелефонных аппаратов" по заказу ВНИИ МВД РФ осуществлена подготовка учебно-практического пособия с грифом "ДСП"...  ;)


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 01 Март 2007, 21:14:12
по заказу ВНИИ МВД РФ осуществлена подготовка учебно-практического пособия с грифом "ДСП"...  ;)
Знаем. Знаем. Гриф наложен для того чтобы никто не прочитал.
 ;D ;D ;D  :P :P :P


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 01 Март 2007, 21:40:39
Источник: http://www.nhtcu.ru/

Новости:
28 февраля 2007

- вышло в свет учебно-методическое пособие "Практические основы компьютерно-технической экспертизы" (авторы - А.Б. Нехорошев, М.Н. Шухнин, И.Ю. Юрин, А.Н. Яковлев, объем - 266 страниц). Принимаются заказы (http://www.nhtcu.ru/contacts.html) на приобретение книги. Стоимость одного экземпляра книги - 200 рублей.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: gur от 02 Март 2007, 01:44:21
Если что-то узнаете - дайте мне знать. Заранее, премного благодарен.
ОК! конечно ;)
я знаю что  РЕДТЕХ совместно с ФСБ, МВД ещё в 2001 году(!) планировали внедрить эту систему у себя. поэтому я и интересуюсь какие были получены результаты от внедрения (меня особо заинтриговало насчёт картинки вопроса и картинки ответа), может быть кто знает? В ФСБ точно нет, может быть в МВД?  ::)


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 02 Март 2007, 05:16:56
В МВД точно нет.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Bratec_Greem от 09 Март 2007, 11:19:24
Информацию по ПО компании i2 можно получить на сайте www.rdtex.ru
Официальный партнер.

Продукт широко применяется в правохранительных органах и различных службах безопасности на территории РФ.



Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 09 Март 2007, 17:55:50
Продукт широко применяется в правохранительных органах...
Каких?  ??? "Огласите весь список..." ;D

Сколько искал - никто их не использует. Видели. У народа вродь как даже демки есть. Но, никто не использует.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Bratec_Greem от 09 Март 2007, 18:30:50
вы наверное не совсем в курсе...
сейчас i2 очень широко используеться и в МВД и в.....
и в КФМ и в СБ крупных коммерческих и гос организациях.
интересно где вы искали????
думаю то же МВД вряд ли будет на всех углах кричать что и где оно использует.
А про демки... это все враньё...
есть взломанные версие 10 летний давности, на английском языке.
Про них все все знают, но к реальному использованию они вряд ли будут пригодны.
Обращайтес - i2@rdtex.ru
дадим и демо и раскажем что к чему.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 09 Март 2007, 18:56:17
Обращусь. Обязательно.  ;) ;D

Цитировать
сейчас i2 очень широко используеться и в МВД...
Я в министерстве спрашивал. В самом. Сказали, что слышали о таком но не пользуем ;)


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Bratec_Greem от 10 Март 2007, 01:23:29
насколько я в курсе все МИНИСТЕРСТВО автоматизирует СТИС там вы спрашивали?
работаю с i2 уже больше 5 лет так что если это не сон я уверен что в основных правоохранительных органах i2 используеться в том или ином виде!
пиШИТЕ!


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Антон Серго от 10 Март 2007, 01:32:54
Коллеги, по возможности сосредоточтесь на конструктивной беседе, а частный разговор и/или рекламу прошу направить в приватное общение.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 15 Март 2007, 18:33:13
Дата: 15.03.2007г
Источник: Национальный центр по борьбе с преступлениями в сфере высоких технологий (http://www.nhtcu.ru/)

(http://www.nhtcu.ru/pics/book01.jpg)

А.Б. Нехорошев, М.Н. Шухнин, И.Ю. Юрин, А.Н. Яковлев
"Практические основы компьютерно-технической экспертизы"


Учебно-методическое пособие (объемом 266 страниц) вышло в свет в феврале 2007 года и открыло серию "Новые экспертные технологии", издаваемую Центром. Принимаются заказы  (http://www.nhtcu.ru/contacts.html) на приобретение книги. Стоимость одного экземпляра книги - 200 рублей.

Оглавление:
Раздел 1. Методические основы комплексной компьютерно-технической и технико-криминалистической экспертизы документов
1.1. Теоретические основы комплексной компьютерно-технической и технико-криминалистической экспертизы документов
1.2. Технико-криминалистическое исследование документов на бумажном носителе информации: установление способа печати
1.3. Технико-криминалистическое исследование документов на бумажном носителе информации: анализ шрифтов
1.4. Технико-криминалистическое исследование документов на бумажном носителе информации: выявление в структуре текста особенностей работы прикладных программ
1.5. Технико-криминалистическое исследование документов на бумажном носителе информации: выявление исполнительских признаков
1.6. Предпосылки установления исполнителя документа, подготовленного с помощью персонального компьютера
1.7. Компьютерно-техническое исследование содержимого машинного носителя информации: решаемые задачи
1.8. Компьютерно-техническое исследование содержимого машинного носителя информации: установление накопителей данных, которые подключались к системному блоку ПК
1.9. Компьютерно-техническое исследование содержимого машинного носителя информации: поиск файлов, содержащих текст (графическое изображение) или его фрагменты
1.10. Компьютерно-техническое исследование содержимого машинного носителя информации: установление обстоятельств подготовки файлов
1.11. Компьютерно-техническое исследование содержимого машинного носителя информации: анализ файлов шрифтов
1.12. Методические рекомендации по сопоставлению документов на традиционных и машинных носителях
Раздел 2. Методические основы производства компьютерно-технической экспертизы по установлению обстоятельств работы пользователя в сети Интернет
2.1. Аппаратно-программные особенности подключения пользователя к сети Интернет и работы с ее ресурсами
2.2. Программное обеспечение, используемое для решения экспертных задач, и рекомендации по его применению
2.3. Алгоритм решения типовой экспертной задачи по установлению обстоятельств работы пользователя в сети Интернет
Раздел 3. Методические основы исследования предположительно вредоносных программ
3.1. Теоретические и практические аспекты функционирования вредоносных программ
3.2. Методические рекомендации по исследованию исполнимых (PE) файлов
3.3. Методические рекомендации по поиску предположительно вредоносных программ, недетектируемых антивирусными программами
3.4. Методические рекомендации по проведению эксперимента по установлению функций предположительно вредоносной программы
Раздел 4. Описание пакета прикладных программ для решения задач судебной компьютерно-технической экспертизы
4.1. Программное обеспечение для выявления файлов, структура которых не соответствует заявленному формату
4.2. Программное обеспечение для извлечения метаданных текстовых документов посредством анализа структуры файлов на низком уровне
4.3. Программное обеспечение для автоматизированного поиска журналов работы сетевых программ и баз сообщений, для автоматизированного поиска программ, имеющих функции работы с сетью
4.4. Программное обеспечение для выявления модификаций исполнимых файлов


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 15 Март 2007, 18:36:57
Дата: 15.03.2007г
Источник: Национальный центр по борьбе с преступлениями в сфере высоких технологий (http://www.nhtcu.ru/)

(http://www.nhtcu.ru/pics/book02.jpg)

А.Н. Яковлев, И.Ю. Юрин, М.Н. Шухнин
"Контрафактное программное обеспечение: профессиональный подход"

Учебно-методическое пособие (объемом 80 страниц) вышло в свет в марте 2007 года и продолжило серию "Новые экспертные технологии", издаваемую Центром. Книга подготовлена авторами, имеющими многолетний практический опыт противодействия неправовым методам использования программного обеспечения, а также опыт противодействия неправовым методам борьбы с компьютерным пиратством. Материал книги будет полезен сотрудникам правоохранительных органов, адвокатам, судьям и простым пользователям ПК. Принимаются заказы (http://www.nhtcu.ru/contacts.html) на приобретение книги.

Оглавление:
Введение
1. Правовые аспекты противодействия обороту контрафактного программного обеспечения
2. Наиболее распространенные схемы лицензирования программного обеспечения
3. Наиболее распространенные способы защиты экземпляров программ от неправомерного использования
4. Наиболее распространенные способы неправомерной установки экземпляров программ
5. Использование методов и средств традиционной криминалистики при производстве исследований и экспертиз машинных носителей информации и их упаковки
6. Использование методов и средств компьютерной экспертизы при производстве исследований и экспертиз машинных носителей информации с предположительно контрафактными экземплярами программ
Заключение
Список литературы
Приложения


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 13 Май 2007, 16:40:37
На выставке "Связь-Экспокомм" будет представлено оборудование для производства компьютерных экспертиз и исследований компании ICS (www.icsforensic.com). В том числе:

Специализированная Переносная Лаборатория RM3
Мульти-интерфейсное средство извлечения и анализа данных в условиях выезда на место расследования ("полевых условиях")

ImageMASSter Solo-3 Forensic
Легкое, портативное, высокоскоростное устройство точного копирования жестких  дисков.

LinkMASSter II
Устройство LinkMASSter II является компьютерным средством, разработанным для получения данных с неразобранного компьютера и копирования имиджа его жесткого диска через интерфейсы FireWire или USB.

DriveLock Firewire/USB
Устройство Firewire/USB Drive Lock производства ICS является быстрым, портативным и надежным решением используемым для просмотра или анализа накопителей на жестких магнитных дисках, стандарта IDE, с защитой его содержимого от каких-либо изменений. Устройство Firewire/USB Drive Lock обеспечивает абсолютную защиту данных любого IDE накопителя, подключенного через него к компьютеру, позволяет быстро и надежно провести его анализ в среде Windows.

IM 4008
Семейство копировщиков накопителей на жестких магнитных дисках (НЖМД) Image MASSter 4000, применяемое ведущими производителями ПК и большими корпорациями, позволяет пользователю копировать данные с одного НЖМД  на 8 НЖМД одновременно со скоростью до 2 ГБ/Мин или уничтожать данные (производить санацию диска) до 9 НЖМД одновременно со скоростью до 3 ГБ/Мин.

Image MASSter WipeMASSter
Полное уничтожение информации на жестком диске. Одновременно без потерь скорости очищает до 9 дисков со скоростью до 3 (для одного цикла) Гб/Мин.
Соответсвует требованием стандарта МО США 5220.22-M.

и т.д.


 
Вас ждут на выставке "Связь-Экспокомм"  (http://www.sviaz-expocomm.ru/) с 14 по 18 мая 2007 года  по адресу:
Экспоцентр на Красной Пресне
 Компания:
US DEPARTMENT OF COMMERCE
US COMMERCIAL SERVICE
Павильон 8
Холл 3
Стенд 83B42
Тел.+7-495-5026112


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 17 Май 2007, 17:55:54
17.05.2007г
Название: Руководство пользователя программы SIMCON.
Перевод: Д.С. Бочков, О.В. Капинус, И.Ю. Михайлов.


Данный документ является переводом справки программы SIMCon v1.2 © InsideOut
Forensics (версия для правоохранительных органов).

Подробнее : http://computer-forensics-lab.org/lib/?cid=101


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 17 Май 2007, 17:59:53
17.05.2007г
Авторы: Уэйн Дженсен, Рик Эйерс
Название: Судебные программные средства для исследования SIM-карт.
Перевод: Д.С. Бочков, О.В. Капинус, И.Ю. Михайлов.


Сотовые телефоны и другие портативные устройства, включающие в себя
функции сотового телефона ( например, смартфоны), повсеместно распространены.
Помимо телефонных звонков, сотовые телефоны позволяют пользователям выполнять
другие задачи, например: отправлять текстовые сообщения и управлять записями
телефонной книги. Когда мобильные телефоны и устройства сотовой связи вовлечены в
преступления или другие инциденты, судебным экспертам требуются инструментальные
средства, которые позволяют провести надлежащий поиск и быстрое исследование
данных, содержащихся в этих устройствах. Для устройств, соответствующих стандартам
Глобальной Системы Мобильной Связи (Global System of Mobile communication),
некоторые данные, типа набранных номеров, текстовых сообщений и записей телефонной
книги, сохраняются на Модуле Идентификации Абонента (Subscriber Identity Module,
SIM-карте). Эта статья дает представление о состоянии области судебных программных
средств для исследования SIM-карт.

Подробнее : http://computer-forensics-lab.org/lib/?cid=100


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 19 Май 2007, 07:38:50
.XRY- аппаратно-программный комплекс для криминалистического исследования сотовых телефонов

Информация по версии 3.0 программы .XRY.

Перевод: Д.С. Бочков, О.В. Капинус, И.Ю. Михайлов.
Подробнее: http://computer-forensics-lab.org/lib/?cid=102  

.XRY SIM-карты.
Перевод: Д.С. Бочков, О.В. Капинус, И.Ю. Михайлов.
Подробнее: http://computer-forensics-lab.org/lib/?cid=103

.XRY SIM id Cloner.
Перевод: Д.С. Бочков, О.В. Капинус, И.Ю. Михайлов.
Подробнее: http://computer-forensics-lab.org/lib/?cid=104

.XRY Руководство пользователя.
Перевод: Д.С. Бочков, О.В. Капинус, И.Ю. Михайлов.
Подробнее: http://computer-forensics-lab.org/lib/?cid=105

.XRY Часто задаваемые вопросы.
Перевод: Д.С. Бочков, О.В. Капинус, И.Ю. Михайлов.
Подробнее: http://computer-forensics-lab.org/lib/?cid=106

Файл для локализации программы .XRY на русский язык.
Подготовлен: Д.С. Бочков, О.В. Капинус, И.Ю. Михайлов.
Подробнее: http://computer-forensics-lab.org/lib/?cid=107


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 21 Май 2007, 18:08:00
Аппаратные комплексы Intelligent Computer Solutions

Специализированная Переносная Лаборатория RM3
Мульти-интерфейсное средство извлечения и анализа данных в условиях выезда на место расследования...
Подробнее: http://computer-forensics-lab.org/lib/?cid=113

LinkMASSter II
Устройство LinkMASSter II является компьютерным средством, разработанным для получения данных с неразобранного компьютера и копирования имиджа его накопителя на жестких магнитных дисках (далее, НЖМД) через интерфейсы FireWire или USB.
Подробнее: http://computer-forensics-lab.org/lib/?cid=112

Image MASSter WipeMASSter
Полное уничтожение информации на накопителях на жестких магнитных дисках (далее, НЖМД). Одновременно без потерь скорости очищает до 9 НЖМД со скоростью до 3 (для одного цикла) Гб/мин. Соответсвует требованием стандарта МО США 5220.22-M.
Подробнее: http://computer-forensics-lab.org/lib/?cid=111

ImageMASSter Solo-3 Forensic
Легкое, портативное, высокоскоростное устройство точного копирования накопителей на жестких магнитных дисках.
Подробнее: http://computer-forensics-lab.org/lib/?cid=110

IM 4008
Семейство копировщиков накопителей на жестких магнитных дисках (НЖМД) Image MASSter 4000, применяемое ведущими производителями ПК и большими корпорациями, позволяет пользователю копировать данные с одного НЖМД на 8 НЖМД одновременно со скоростью до 2 ГБ/Мин или уничтожать данные (производить санацию накопителей) до 9 НЖМД одновременно со скоростью до 3 Гб/мин.
Подробнее: http://computer-forensics-lab.org/lib/?cid=109

DriveLock Firewire/USB
Устройство Firewire/USB Drive Lock, производства ICS, является быстрым, портативным и надежным решением, используемым для просмотра или анализа накопителей на жестких магнитных дисках, стандарта IDE, с защитой его содержимого от каких-либо изменений.
Подробнее: http://computer-forensics-lab.org/lib/?cid=108


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 02 Июнь 2007, 17:15:17
Аппаратные комплексы Intelligent Computer Solutions

ImageMASSter Solo-3 Forensic Kit
ImageMASSter Solo-3 Forensic Kit - комплект технических средств для копирования данных.
Подробнее: http://computer-forensics-lab.org/lib/?cid=116

Адаптер Travelstar Hitachi
Дополнительная опция для устройства Solo-3.
Подробнее: http://computer-forensics-lab.org/lib/?cid=114

Устройство Write Protect Card Reader
Устройство чтения флэш-накопителей с защитой от записи.
Подробнее: http://computer-forensics-lab.org/lib/?cid=115


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 18 Август 2007, 16:21:01

Автор: Марк Менз (Mark Menz)
Название: Ловушки Времени (оригинальное название: Wrinkle in Time)

Подробнее: http://computer-forensics-lab.org/lib/?cid=117


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 18 Август 2007, 16:22:41

Авторы: Капинус О.В., Михайлов И.Ю.
Название: Encase Forensic Edition. Быстрый старт. Часть 1.


Подробнее: http://computer-forensics-lab.org/lib/?cid=118


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 18 Август 2007, 16:24:54
Название: SIM-КАРТЫ: ПРОТОКОЛЫ ОБМЕНА ДАННЫМИ
Большинство пользователей редко думают о том, что их мобильный телефон представляет собой замечательное вычислительное устройство, позволяющее им совершать телефонные звонки, обмениваться текстовыми сообщениями или играть в он-лайн игры. Модуль идентификации абонента ( далее SIM- карта), в мобильном телефоне, фактически, является полноценным микрокомпьютером с операционной и файловой системой. Протоколы обмена данными, используемые между мобильным оборудованием или устройством чтения карт и SIM- картой, – это комбинация типов протоколов, которые должны быть знакомыми любому, кто изучал эталонную модель взаимодействия открытых систем (“Open Systems  Interconnection”, далее OSI), то есть, уровни управления передачей данных и прикладные уровни (хотя, модель T=0 смешивает уровни). Эта статья пытается в общих чертах описать устройство этих протоколов и способ их использования...

Подробнее: http://computer-forensics-lab.org/lib/?cid=119

Название:Общие характеристики файловой системы модуля идентификации абонента (SIM-карты)
Раньше на вопрос « У кого есть мобильный телефон?» лишь несколько человек отвечали положительно, сегодня же более уместен вопрос «У кого нет мобильного телефона?» или даже « У кого несколько мобильных?». Действительно, нужно лишь зайти в местный торговый центр, чтобы увидеть буквально сотни людей, держащих очень маленькое электронное устройство рядом с ухом, или мигающие голубые индикаторы на телефонных трубках, чтобы понять, что мобильные телефоны стали неотделимой частью современного общества.

Эта статья пытается предоставить краткий обзор общей структуры файловой системы модуля идентификации абонента или смарт-карты, которая присутствует в мобильных телефонах GSM. В статье будет обсуждаться схема расположения структуры файлов и некоторые команды, используемые мобильным оборудованием, чтобы обратиться к этой файловой системе...

Подробнее: http://computer-forensics-lab.org/lib/?cid=120

Авторы:Фабио Цасадеи (Fabio Casadei), Антонио Саволди (Antonio Savoldi), Паоло Губиан (Paolo Gubian)
Название:Судебная экспертиза и SIM-карты: Краткий обзор

В настоящее время существует много инструментов для извлечения данных из SIM-карт. К сожалению, большинство из них является патентованными, или их использование разрешено только правоохранительным органам, а это противоречит тесту Даубера (Daubert test) на доступность результатов исследований научному сообществу. В этой статье мы представляем инструмент с открытым исходным текстом для извлечения данных из SIM- и USIM- карт, который способен извлечь данные из всей доступной памяти карт и все нестандартные файлы, имеющиеся в каждой SIM-карте...

Подробнее: http://computer-forensics-lab.org/lib/?cid=121


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 18 Август 2007, 17:12:06

Авторы: Уэйн Дженсен, Рик Эйерс, Николас Силлерос, Ронан Даниеллу
Название:Судебные инструментальные средства для работы с сотовыми телефонами: Краткий обзор и анализ.  (Отчёт Национального института стандартов и технологий США)


Сотовые телефоны и другие портативные устройства, включающие в себя возможности сотового телефона ( например, карманный персональный компьютер (“Personal Digital Assistant”, далее « КПК»)) употребляются повсеместно. Помимо телефонных звонков, некоторые телефоны позволяют пользователям выполнять дополнительные задачи, такие как: обмен текстовыми сообщениями (“Short Message Service”, далее “SMS”), передача мультимедиа-сообщений (“Media Messaging Service”, далее “ММS”), мгновенный обмен сообщениями (“Instant Messaging”, далее “IM”), электронная почта, просмотр веб-страниц, и основные операции по управлению личной информацией (“Personal Information Management”, далее “PIM”) ( например, телефонная и записная книга). Телефоны с функциями КПК, которые часто называют смартфоны, предоставляют пользователям объединенные возможности сотового телефона и КПК. В дополнение к сетевым услугам и основным приложениям PIM можно управлять более обширной информацией о встречах и контактах, просматривать электронные документы, давать презентации и выполнять другие задачи.

Все, кроме самых простых телефонов, позволяют пользователям загружать дополнительные приложения, сохранять и обрабатывать личную и конфиденциальную информацию независимо от типа компьютера ( настольного или портативного) и, при желании, позднее синхронизировать результаты. Вследствие постоянного  развития цифровых технологий, возможности этих устройств продолжают быстро улучшаться. Когда мобильные телефоны и устройства сотовой связи вовлечены в преступление или другие инцидентны, судебным экспертам требуются инструментальные средства, с помощью которых можно провести надлежащий поиск и быструю экспертизу данных, содержащихся на устройстве. В этом отчёте предоставлен краткий обзор и описание  возможностей и ограничений текущего судебного программного обеспечения, предназначенного для клонирования, экспертизы и составления отчётов о данных, обнаруженных на сотовых портативных устройствах...

Подробнее: http://computer-forensics-lab.org/lib/?cid=122


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 18 Август 2007, 17:33:29

Авторы: Уэйн Дженсен, Рик Эйерс
Название: Руководство по судебной экспертизе сотовых телефонов. (Рекомендации Национального института стандартов и технологий США)


Судебная экспертиза сотовых телефонов – это наука, которая имеет дело с получением цифровых доказательств из мобильного телефона на законных, с правовой точки зрения, условиях, используя общепринятые методы. Мобильные телефоны, в особенности те, что
обладают усовершенствованными техническими характеристиками, представляют собой относительно новое явление, которое классическая судебная компьютерно-техническая экспертиза не охватывает.

Целью данного руководства является попытка устранить этот пробел, проведя тщательное изучение мобильных телефонов и объяснив связанные с ними технологии и их взаимосвязь с судебными процедурами. Оно охватывает телефоны с более важными
функциональными возможностями, чем простая передача речевых сигналов и текстовых сообщений, а также их технические и рабочие характеристики. Кроме того, это руководство рассматривает процедуры изъятия, сохранения, освидетельствования,
анализа и представления цифровой информации, содержащейся в сотовых телефонах, а также имеющиеся судебные программные средства, необходимые для выполнения этих действий. Цель данного руководства: помочь организациям установить соответствующие
нормы и методики, применяемые к сотовым телефонам, и подготовить судебных экспертов к противодействию неожиданным  обстоятельствам, затрагивающими сотовые телефоны.

Подробнее: http://computer-forensics-lab.org/lib/?cid=123


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 18 Август 2007, 18:12:19
Руководство по использованию программы Stegdetect.
Stegdetect-программа, детектирующая стеганографические данные в графических файлах.

Подробнее: http://computer-forensics-lab.org/lib/?cid=124


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 18 Август 2007, 18:16:53

Автор: Гари Кесслер
Название:Стеганография для судебного исследователя. Краткий обзор.


Стеганография - искусство тайного или скрытого письма. Цель стеганографии – тайная передача информации – скрыть существование сообщения от третьих лиц. Эта статья предназначена как углубленное техническое введение в стеганографию для тех, кто незнаком с этой областью. Она адресована судебным исследователям, которые нуждаются в практическом понимании стеганографии, не копаясь в математике, хотя в ней приведены ссылки на некоторые проводимые сейчас исследования для людей, которым нужны дополнительные подробности. Несмотря на то, что эта статья и предоставляет исторический контекст для стеганографии, основное внимание уделяется цифровым приложениям, сосредотачиваясь на скрытии информации в изображениях или звуковых файлах передаваемым по компьютерным сетям. Также, будут представлены примеры программных средств, которые используют стеганографию для скрытия данных в других файлах, и примеры программного обеспечения для обнаружения таких скрытых файлов.

Подробнее: http://computer-forensics-lab.org/lib/?cid=129


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 18 Август 2007, 18:26:14
Название: Руководство пользователя программы StegAlyzerAS
Программа StegAlyzerAS - самый передовой цифровой судебный инструмент анализа, применяющийся для обнаружения цифрового стеганографического программного обеспечения на исследуемых носителях. Программа StegAlyzerSS предназначена для использования компьютерными исследователями, как дополнение к традиционной цифровой судебной практики. Это приложение не восстанавливает удаленные файлы или именованные потоки данных. Компьютерный исследователь должен использовать традиционные судебные утилиты для выполнения этих задач перед использованием программы StegAlyzerAS.
Буквы AS в названии программы StegAlyzerAS означают - Поиск Артефактов (Artifact Search). Артефакты цифровых стеганографических приложений можно распознать, сканируя файловую систему, а также реестр операционной системы Windows – возможность, не встречающаяся в других цифровых инструментах стегоанализа. Программа StegAlyzerAS позволяет производить поиск файлов, используя хэш-значения MD5, SHA-1 и SHA-256, которые хранятся в уникальной базе данных контрольных сумм, распространяемой вместе с программой StegAlyzerAS. После того, как цифровое стеганографическое приложения было обнаружено, существует возможность детектировать файлы, которые, возможно, были использованы в качестве стего-контейнеров, а также скрытую информацию, содержащуюся в них.

Подробнее: http://computer-forensics-lab.org/lib/?cid=127

Название: Руководство пользователя программы StegAlyzerSS
StegAlyzerSS – это цифровой судебный инструмент анализа, предназначенный расширить возможности традиционного компьютерного исследования, позволяя компьютерному специалисту просматривать исследуемые носители на присутствие шестнадцатеричных последовательностей байтов или сигнатур определенных стеганографических приложений. После того, как известная сигнатура обнаружена, существует возможность извлечь информацию, скрытую с помощью ассоциированного приложения.
Программа StegAlyzerSS расширяет возможность поиска сигнатур, также позволяя специалисту использовать более традиционные методы «слепого» поиска для установления, может ли информация быть скрыта в потенциальных файлах-контейнерах.

Подробнее: http://computer-forensics-lab.org/lib/?cid=128

Название: Лицензионное соглашение на право использования программы StegAlyzerAS
Подробнее: http://computer-forensics-lab.org/lib/?cid=125

Название: Лицензионное соглашение на право использования программы StegAlyzerSS
Подробнее: http://computer-forensics-lab.org/lib/?cid=126


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 18 Август 2007, 18:54:04
Судебные программные средства фирмы Paraben Corporation. Краткий обзор.

Chat Examiner


Он-лайн общение - это не только фаза передачи. Все больше и больше людей общаются через чат. При этом, они оставляют цифровые улики. Вам, как исследователю, необходим специализированный инструмент для анализа логов чата. Chat Examiner - еще один специализированный компонент коллекции программ Paraben P2 Forensic Collection, который добавляет мощную программу в Ваш инструментарий. Вы способны найти  данные разных чатов, содержащихся в анализируемом образе. А именно: ICQ, Yahoo, MSN, Trillian, Hello, Skype или Miranda...

Подробнее: http://computer-forensics-lab.org/lib/?cid=130

Case Agent Companion

Программа Case Agent Companion Paraben's разработана для оптимизации времени исследователей, работающих с образами накопителей. Он имеет встроенную утилиту просмотра, поддерживающую свыше 225 форматов файлов. Поиск и генератор отчетов делают Case Agent Companion одним из самых мощных инструментов данного рода. Case Agent Companion совместим с технологией P2 Examination Technology фирмы Paraben, что сделает Ваше исследование более быстрым, качественным и эффективным...

Подробнее: http://computer-forensics-lab.org/lib/?cid=131

Decryption Collection Enterprise

Фирма Paraben рада представить пакет программ Decryption Collection Enterprise Edition. Эта новая версия теперь поддерживает EFS, 2003 Server и Lotus Notes дополнительно к возможностям, включенным в версию Standard Edition. Включена также поддержка QuickBooks 2003 и Peachtree 2004. Главная особенность пакета - способность использовать сетевую обработку данных на 16-ти компьютерах. Это позволяет Вам получить преимущество мощной мультикомпьютерной обработки методом последовательного перебора паролей (brute force) или перебором по словарю...

Подробнее: http://computer-forensics-lab.org/lib/?cid=132

Decryption Collection Standard

Подробнее: http://computer-forensics-lab.org/lib/?cid=133

Device Seizure

Цифровая экспертиза, с эволюцией программы Device Seizure, совершила гигантский шаг вперед. Объединив технологии PDA Seizure & Cell Seizure, фирма Paraben предоставила исследователям мощный инструмент экспертизы портативных устройств. В отличие от программ обработки данных, используемых в судебных исследованиях, Device Seizure имеет свои корни в цифровой экспертизе, базируясь на: PDD (Palm DD для командной строки); восстановлении удаленных данных; обеспечивая полное сохранение данных для определенных моделей сотовых телефонов; осуществляя дублирование данных на логическом или физическом уровне; дублирование данных из КПК; доступ к данным, передаваемым по дата-кабелю; расширенной генерацией отчетов; организацией доступа к телефону через инфракрасный порт и Blootooth. Ваш инструментарий не будет полон без Device Seizure, которая поддерживает Symbian 6.0, а также, большинство устройств на других платформах...

Подробнее: http://computer-forensics-lab.org/lib/?cid=134


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 18 Август 2007, 20:42:21
Судебные программные средства фирмы Paraben Corporation. Краткий обзор.

E-mail Examiner


E-mail Examiner – это один из самых полнофункциональных инструментов для криминалистического правильного анализа электронной почты. E-mail Examiner восстанавливает больше активных и удаленных сообщений электронной почты, чем другие ведущие программные продукты. Программа не только восстанавливает сообщения электронной почты в удаленных папках, но и восстанавливает удаленные письма из удаленных элементов баз электронной почты. Используя систему закладок и расширенные особенности поиска, включающие  поиск составных слов и сложных фраз, исследование электронной почты становится простым и всеобъемлющим.

Программа способна обрабатывать файлы AOL 9.0, PST и еще свыше 14 других типов файлов электронной почты. Добавьте в ваш инструментарий еще одну полезную утилиту...

Подробнее: http://computer-forensics-lab.org/lib/?cid=135


Forensic Replicator

Информация, содержащаяся на электронных носителях информации, как правило, является ключевым доказательством при проведении расследований преступлений совершенных в сфере высоких технологий. Forensic Replicator может дублировать данные с большого ряда электронных носителей: от накопителей на гибких магнитных дисках до накопителей на жестких магнитных дисках. Образы могут быть сжаты, разбиты на сегменты и, в дальнейшем, считаны в большинстве популярных экспертных программ анализа данных.

Фирма Paraben рекомендует использовать аппаратное средство блокирования записи  Paraben Lockdown, потому что Windows производит запись на любое устройство при его подключении в этой операционной системе. Paraben Lockdown имеет интерфейс Firewire или USB и позволяет быстро и безопасно клонировать накопители на жестких магнитных дисках стандарта IDE в среде ОС Windows. При использовании Forensic Replicator вы получаете победоносную комбинацию программного обеспечения и аппаратных средств для дублирования анализируемых накопителей...

Подробнее: http://computer-forensics-lab.org/lib/?cid=136


Forensic Sorter

Сортировка данных – эффективный путь обнаружить то, что вы ищете. Forensic Sorter классифицирует данные по 14 различным категориям, восстанавливает удаленные файлы, и отфильтровывает данные, методом FOCH (filter out common hashes), делая Ваше исследование проще в управлении, быстрее в обработке и проще для поиска необходимой Вам информации. Программа сохраняет Вам часы рабочего времени, благодаря применению эффективной классификации и процесса сортировки...

Подробнее: http://computer-forensics-lab.org/lib/?cid=137

NetAnalysis

Исследование компьютерной информации может охватывать гигабайты данных. Однако иногда обнаруживаются небольшие ключевые кусочки данных в кеш - файлах браузеров или в разделе Hystory операционной системы. NetAnalysis это идеальный инструмент для обработки таких данных. Мощный поиск, фильтр и идентификация данных делают эту программу прекрасным средством обработки данных, относящихся к работе пользователя в сети Интернет...

Подробнее: http://computer-forensics-lab.org/lib/?cid=138

Network E-mail Examiner

Используя Network E-mail Examiner, вы можете тщательно проанализировать базы электронных писем Microsoft Exchange (EDB), Lotus Notes (NSF) и  GroupWise. Больше вам не надо долго и упорно сидеть над процессом восстановления. Просто прогоните основной архивный файл и следуйте инструкциям и… эврика! вы нашли искомое письмо. Программа разработана для работы «из рук в руки». С программой E-mail Examiner, все выходные данные совместимы и могут быть просто загружены для решения более сложных задач...

Подробнее: http://computer-forensics-lab.org/lib/?cid=139


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 18 Август 2007, 20:55:12
Судебные программные средства фирмы Paraben Corporation. Краткий обзор.

P2 eXplorer


Программа P2 eXplorer фирмы Paraben позволяет вам монтировать исследуемый образ и анализировать его так, как будто это один из накопителей, установленный в Вашем компьютере. Это означает не просто монтирование для просмотра логических файлов. Монтирование восстанавливает образ, сохраняя освобожденные области, частично поврежденные и удаленные данные. P2X прост в использовании и, что очень важно, бесплатен для зарегистрированных пользователей любой их программ коллекции P2 Forensic Collection...

Подробнее: http://computer-forensics-lab.org/lib/?cid=140

Registry Analyzer

Программа Registry Analyzer еще один компонент коллекции программ фирмы Paraben P2 Forensic Collection. Реестр  Windows может содержать тысячи записей. Просмотр, анализ и отчет по этим файлам – унылое занятие. Теперь у вас всегда под рукой еще один инструмент, разработанный для этой задачи. Фирма Paraben купила у MiTeC в мае 2005 года программу Windows Registry Analyzer. После интеграции ее в нашу коллекцию судебных программ P2 Forensic Collection, мы выпустили релиз под новым именем «Paraben's Registry Analyzer».Теперь и дальше мы будем обновлять, и улучшать эту программу...

Подробнее: http://computer-forensics-lab.org/lib/?cid=141

SIM Card Seizure

Paraben взяла компоненты клонирования и анализа SIM карт из программы Cell Seizure и выпустила специализированную утилиту  - SIM Card Seizure. SIM Card Seizure включает в себя саму программу, а также картридер Forensic SIM Card Reader. Если Вы уже приобрели программы Cell Seizure и Cell Seizure Toolbox,то Вам уже не нужна программа SIM Card Seizure, т.к. они уже содержат в себе компоненты клонирования и анализа SIM карт. Программа предназначена только для клонирования данных SIM карт без изучения всех данных, содержащихся в сотовом телефоне. В стоимость SIM Card Seizure включена 60 дневная подписка на получение обновлений программы.

SIM Card Seizure имеет встроенную поддержку Unicode для чтения данных на  различных языках (Арабский, Китайский и Русский). Она сводит все сохраненные на SIM карте данные в следующий  список, который, возможно, содержит ценные факты (см. Международный Реестр Цифровых Улик /International Journal of Digital Evidence/ http://www.ijde.org/docs/03_spring_art1.pdf)...

Подробнее: http://computer-forensics-lab.org/lib/?cid=142


Text Searcher

Вы часто сохраняете данные при проведении анализа, если вы проводите полный поиск с определенными условиями в исследуемом тексте? Text Searcher фирмы Paraben быстрая, мощная и многофункциональная утилита поиска текста, которая сделает любой анализ эффективно и качественно. Эта программа входит в линейку парадигм фирмы Paraben, согласно которой каждый исследователь должен использовать лучшие средства для получения достоверных результатов...

Подробнее: http://computer-forensics-lab.org/lib/?cid=143


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 20 Август 2007, 10:34:18
Дата: 2007-07-27
Название: Экспертиза под угрозой
Источник: http://www.web-hack.ru/archive/news.php?go=1689


Программное обеспечение, которое служит для осуществления экспертизы в полиции и суде, не безопасно, согласно сообщениям исследователей из iSec Partners Inc. Компания безопасности из Сан-Франциско провела прошлые шесть месяцев, изучая две программы: Guidance Software Inc.'s EnCase и open-source продукт под названием Sleuth Kit. Они обнаружили приблизительно дюжину ошибок, которые могли использоваться, чтобы удалять программы или возможно даже устанавливать неправомерное программное обеспечение на машине, согласно сообщению Алекса Стамоса (Alex Stamos), исследователя из iSec. Группа раскроет немного информации о уязвимостях на конференции BlackHat на следующей неделе в Лас Вегасе и наглядно продемонстирирует их перед публикой.

Подробности: http://isecpartners.com/files/iSEC-Breaking_Forensics_Software-Slides.BH2007.pdf


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 20 Август 2007, 11:56:04
Копии экспертиз

Экспертиза №1
Экспертиза системных блоков
Подробнее: http://computer-forensics-lab.org/lib/?cid=26

Экспертиза №2
Экспертиза НГМД
Подробнее: http://computer-forensics-lab.org/lib/?cid=31

Экспертиза №3
Экспертиза сотового телефона
Подробнее: http://computer-forensics-lab.org/lib/?cid=33

и...

Экспертиза №5 :)
Доступ к данным на НЖМД
Подробнее: http://computer-forensics-lab.org/lib/?cid=144


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 20 Август 2007, 13:58:17
Судебные аппаратно-программные средства фирмы Vogon International.

Vogon International. Термины и Условия Торговли.

Подробнее: http://computer-forensics-lab.org/lib/?cid=145

Мобильная система создания образов накопителей на жестких магнитных дисках фирмы Vogon International.

Мобильная система создания образов накопителей на жестких магнитных дисках фирмы Vogon International предназначена для быстрого и эффективного копирования больших объемов данных с накопителей на жестких магнитных дисках исследуемого компьютера с абсолютной гарантией целостности изымаемой информации. Носитель, на который копируются изымаемые данные, может быть, в дальнейшем, транспортирован на значительные расстояния к месту проведения судебного компьютерного исследования. Программное обеспечение создания образов накопителей на жестких магнитных дисках было разработано Vogon и прошло отладку в течение прошлого десятилетия. Оно предполагает высокую скорость работы по созданию образов накопителей с одновременным выполнением всесторонней проверки копируемой информации и имеет встроенную защиту от сбоев. Информация, записанная в виде образа накопителя на жестких магнитных дисках не зависит от вида файловой системы находившейся на копируемом носителе и признается судами как  доказательство того, что она находилась на накопителе, на жестком магнитном диске компьютера злоумышленника.
Дополнительный набор программных инструментов позволяет получить доступ, обрабатывать и исследовать информацию в пределах созданного образа накопителя на жестких магнитных дисках.
Дополнительные аппаратные средства мобильной системы создания образов накопителей на жестких магнитных дисках фирмы Vogon International позволяют автоматически создавать копию полученного образа накопителя на жестких магнитных дисках для проведения судебного исследования.

Подробнее: http://computer-forensics-lab.org/lib/?cid=146

Комплекс Mobile Imaging System фирмы Vogon International.

Комплекс Mobile Imaging System разработан для быстрого и эффективного сбора и обработки больших объемов компьютерных данных с абсолютной гарантией их целостности. Его можно безопасно транспортировать в специализированном транспортном контейнере в удаленные пункты, нуждающиеся в полноценном оборудовании для проведения компьютерных исследований.

Подробнее: http://computer-forensics-lab.org/lib/?cid=147

Password Cracker POD фирмы Vogon International.

Ситуация, с которой часто сталкивается профессиональный компьютерный исследователь - это накопитель на жестких магнитных дисках заблокированный паролем. Эта ситуация возникает, когда пароль, установленный владельцем, полностью блокирует доступ к накопителю на жестких магнитных дисках, и к нему возможно получить доступ, только используя правильный пароль. Дело обстоит так, даже если этот накопитель на жестких магнитных дисках смонтирован на другой переносной компьютер.
Используя модуль Password Cracker POD компании Vogon, можно снять защиту с накопителя на жестких магнитных дисках, предварительно  просмотреть содержимое  накопителя, в соответствии с правилами получения доказательств (используя нашу технологию  блокирования записи вместе с программным обеспечением для расследования GenTree компании Vogon) и клонировать диск. В конце процесса можно восстановить пароль накопителя, используя модуль Password Cracker POD, и вернуть накопитель на жестких магнитных дисках в его первоначальное состояние.

Подробнее: http://computer-forensics-lab.org/lib/?cid=148

VICAR

Программа VICAR была разработана специально для обеспечения дополнительной уверенности в доказательной целостности полученного файл-образа. Она поможет в идентификации дефектных файл-образов либо локально, либо в сетевой судебной экспертизе. Она работает со всеми стандартными форматами образов файлов, включая Vogon, UNIX dd и EnCase.

Подробнее: http://computer-forensics-lab.org/lib/?cid=149


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 20 Август 2007, 14:18:43
Судебные аппаратно-программные средства фирмы Vogon International.

Mobile Forensic Workstation
(Мобильный программно-аппаратный комплекс для проведения компьютерных исследований фирмы Vogon International).


Комплекс Mobile Forensic Workstation разработан для быстрого и эффективного сбора и обработки больших объемов компьютерных данных, с абсолютной гарантией их целостности.

Подробнее: http://computer-forensics-lab.org/lib/?cid=150

Laboratory Based Imaging System
(Лабораторная система клонирования фирмы Vogon International).

Подробнее: http://computer-forensics-lab.org/lib/?cid=151

Laboratory Based Forensic Workstation
(Лабораторный программно-аппаратный комплекс для проведения компьютерных исследований фирмы Vogon International).

Подробнее: http://computer-forensics-lab.org/lib/?cid=152

Аппаратные и программные средства для судебного дублирования фирмы Vogon International.

В статье описаны:
-Аппаратные средства блокирования записи: Система Vogon VBus; IDE Disk Imaging POD; SCSI Disk Imaging POD; S-ATA Disk Imaging POD; PCMCIA Imaging POD;
-Password Cracker POD;
-Программное обеспечение для судебного дублирования SDi32.

Подробнее: http://computer-forensics-lab.org/lib/?cid=153


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 20 Август 2007, 14:37:14
Судебные аппаратно-программные средства фирмы Vogon International.

Программное обеспечение фирмы Vogon International для проведения исследования компьютерных средств.


Статья содержит разделы:
Программное обеспечение для исследования GenTree: Введение.
Программное обеспечение для исследования GenTree: Просмотр файлов.
Программное Обеспечение для Исследования GenTree: Поиск.
Программное обеспечение для исследования GenTree: Отображение по требованию.

Подробнее: http://computer-forensics-lab.org/lib/?cid=154

Обработка данных

Статья содержит разделы:
Отображение файловой системы: Программное обеспечение для обработки GenX: Введение.
Отображение файловой системы: Программное обеспечение для обработки GenX: Дополнительная информация.
Индексирование текста: Программное обеспечение для обработки GenText: Введение.
Индексирование текста: Программное обеспечение для обработки GenText: Дополнительная информация.

Подробнее: http://computer-forensics-lab.org/lib/?cid=155

Vogon Forensic Software
(Программное обеспечение для проведения компьютерных экспертиз компании Vogon - Версия 7).


Компания Vogon International объявила о возможности немедленного приобретения 7-ой версии своего программного обеспечения для проведения компьютерных экспертиз. Предназначенное для удовлетворения требований правительства, правоохранительных органов и коммерческих организаций, оно предлагает мощный ряд программных средств клонирования, обработки и исследования, чтобы дать возможность исследователям бороться с компьютерными преступлениями и глобальным терроризмом. Оно, также, является важным инструментом для больших корпоративных пользователей и финансовых фирм.
Программное обеспечение компании Vogon чрезвычайно надёжно и дает возможность получить точные (зеркальные) образы даже самых больших накопителей. Исследователи теперь могут, в соответствии с правилами получения доказательств, клонировать и проводить поиск по полному диапазону носителей данных, включая:

-Накопители на жестких магнитных дисках;
-RAID массивы;
-Ленточные накопители;
-CD и DVD диски;
-Карты памяти.

Как и в предыдущих версиях, 7 версия включает механизм быстрого поиска графических и текстовых файлов, поддерживающий поиск среди удаленных файлов, зазорах файловой системы, удалённых разделов, отформатированные накопители и повреждённые файловые системы.
Чтобы расширить область исследования, поиск теперь может быть выполнен по более широкому набору языков, включая арабский язык, русский и другие наборы кириллических символов.
Программное обеспечение компании Vogon предоставляет самый быстрый текстовый поиск посредством предварительной обработки всей информации на диске и создания базы данных, организованной по типам файлов, например документы, электронная почта, изображения и т.д.

Подробнее: http://computer-forensics-lab.org/lib/?cid=156

Услуги по компьютерным исследованиям компании Vogon International.

Компания Vogon International предоставляет широкий ряд услуг, касающихся  исследования и управления инцидентами, связанных с компьютерами. Является ли компьютер неотъемлемой или побочной частью Вашей проблемы, с нашими опытными специалистами Вы будете чувствовать себя спокойно в различных ситуациях, от начального обнаружения факта по делу до успешных судебных процедур и выполнения, дисциплинарных мер.
Группа компьютерных специалистов компании Vogon подготовлена и имеет опыт во всех областях компьютерного исследования. Они используют новейшие криминалистические инструменты и методы, чтобы проводить исследования с наибольшей эффективностью и скоростью. Поддерживаемые непревзойденной технической поддержкой, свойственной компании Vogon, наши специалисты могут быстро и надлежащим образом обнаружить то важное доказательство, которое считалось уничтоженным.
Группа компьютерных специалистов компании Vogon сможет помочь Вам в случаях воровства данных компании, получения сообщений по электронной почте, содержащих вредоносные вложения, оскорблений в сети Интернет или любых других инцидентах, связанных с компьютерами.
Компьютерные исследования могут быть связаны с секретной информацией и наши специалисты всегда заботятся об осторожности и абсолютной конфиденциальности. Мы часто предпринимаем тайные расследования, где важно, чтобы все исследования, на месте происшествия, осуществлялись после окончания стандартного рабочего дня.
Работая напрямую с нашими клиентами, у нас есть достоверный послужной список восстановления важных доказательств, которые нельзя было найти, используя обычные методы. Наших специалистов часто вызывают для дачи свидетельских показаний в суде, в обстоятельствах, которые требуют объективного и независимого мнения по сложным техническим вопросам.
Многие годы компания Vogon предоставляла компьютерные криминалистические лабораторные услуги и услуги по проведению компьютерных экспертиз правоохранительным органам, юристам, военным и клиентам из коммерческого сектора.

Подробнее: http://computer-forensics-lab.org/lib/?cid=157


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 03 Сентябрь 2007, 11:16:46
Анонс: ООО «Национальный центр по борьбе с преступлениями в сфере высоких технологий» реализует издательский проект «НОВЫЕ ЭКСПЕРТНЫЕ ТЕНХНОЛОГИИ»

В рамках проекта готовятся к изданию:
Яковлев А.Н. Расследование преступлений в сфере высоких технологий: в помощь следователю. Учебно-методическое пособие.


О преступлениях в сфере высоких технологий рассказывает автор, в течении 9-ти  лет выполнявший компьютерные экспертизы по собо сложным уголовным делам, в том числе при совместном расследовании «компьютерных» преступлений Следственным комитетом при МВД России и правоохранительными органами зарубежных стран; разработавший в соавторстве примерную и рабочую программу «Судебная компьютерно-техническая экспертиза» переподготовки и повышения квалификации по специальности 030502 «Судебная экспертиза» (2002 год), программу переподготовки мировых и федеральных судей «Преступления с использованием новых информационных технологий: особенности получения доказательств и исследования хи в суде» (2004 год), участвовавший в подготовке учебного пособия «Основы расследования преступлений в сфере компьютерной информации»  по зпаказу Центра обеспечения кадровой работы МВД России для дистанционного обучения сотрудников следственных подразделений МВД России (декабрь 2006 года). В пособие вошли наиболее интересные и востребовнные следственной практикой материалы.

По вопросам приобретения обращаться (после появления информации на сайте www.nhtcu.ru): 410028, Россия, г.Саратов, ул.М.Горького, д.18
Тел. (8452) 766071
Факс. (8452) 721622
Электронная почта: info@nhtcu.ru


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 08 Сентябрь 2007, 23:06:14
Фундаментальное руководство по расследованию компьютерных происшествий для Windows.

http://www.microsoft.com/rus/technet/security/guidance/disasterrecovery/computer_investigation/08013562-8f01-4ad5-a5de-a8901f590df3.mspx


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 09 Сентябрь 2007, 12:37:08
Статья
Компьютерные экспертизы и Windows Vista

http://www.securitylab.ru/analytics/297496.php


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 10 Сентябрь 2007, 04:30:58
Инструменты безопасности с открытым исходным кодом
11. Лекция: Судебные средства


Все средства и методы, ранее описанные в этой книге, при правильной реализации и бдительной поддержке сделают вашу сеть весьма безопасной. Но даже если все сделать верно, нельзя гарантировать абсолютную безопасность сети. Если атакующий достаточно настойчив или удачлив, он иногда сможет проникнуть внутрь. Внешние злоумышленники способны эксплуатировать еще не опубликованные уязвимости или поймать вас в окне между объявлением уязвимости и наложением корректирующей заплаты. Коварный сотрудник может применить для проникновения физические средства, такие как физический доступ к серверу или кража пароля. Могут использоваться и средства морально-психологического воздействия, чтобы с помощью излишне предупредительного сотрудника обойти все ваши меры безопасности и получить несанкционированный доступ. Что же делать, если, несмотря на все ваши приготовления, сеть или система оказались скомпрометированы?

При условии, что вас не выгнали с работы, это еще не конец света. Взломам подвергаются даже информационные системы самых крупных в мире компаний с огромным персоналом компьютерной безопасности, поэтому в этом нет ничего постыдного. Однако, теперь ваша задача - решить головоломку, определить, как все произошло, заделать дыры в безопасности и, если необходимо, выследить злоумышленников и принять дополнительные меры. В этом может помочь ряд средств с открытыми исходными текстами. Они называются судебными средствами, так как вы пытаетесь определить, что произошло, на основе доступных вам свидетельств.

Обзор лекции

Изучаемые концепции:

-Применение судебных средств
-Концепции реагирования на инциденты
-Подготовка к судебному расследованию
-Догматы надлежащего судебного расследования

Используемые инструменты:

Fport, lsof, dd, файлы журналов UNIX и Windows, Sleuth Kit, Autopsy Forensic Browser и The Forensic Toolkit

Подробнее: http://www.intuit.ru/department/security/secopen/11/1.html


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 10 Сентябрь 2007, 04:44:44
Глубокий анализ данных, Эпизод 1: foremost

Есть ситуации: ваша флешка начинает помирать, диск плохо читается и на нём важные данные, или вы пришли к какому-нибудь недругу и подозреваете, что у него на винчестере есть данные, которые вам нужны, а он их показывать не хочет. В общем, вопрос: как выдрать файлы из труднодоступных носителей?
Решение: имеется класс программ "судебного анализа данных" (forensic analisys), позволяющих без шума и пыли (и ректальной имплантации горячих паяльников) выудить данные, даже если они хитро записаны.

Продолжение: http://mydebianblog.blogspot.com/2007/01/1-foremost.html

Глубокий анализ данных, Эпизод 2: The Sleuth Kit

Продолжая тему о программах анализа данных, в этом посте пойдёт речь о семействе утилит судебного анализа (forensic analys) The Sleuth Kit. В дистрибутив Debian оно пока не входит (в Sarge v3.1r1 во всяком случае), но это не мешает скачать сырцы с сайта проекта и собрать самостоятельно.

Продолжение: http://mydebianblog.blogspot.com/2007/01/2-sleuth-kit.html

Глубокий анализ данных, Эпизод 3: повреждённые разделы

Проблема: флеш-накопитель или винчестер не монтируются, в логах соообщения о повреждении таблицы разделов - что делать?
Решение: программа Testdisk может серьёзно помочь в деле восстановления убитых разделов в Линукс.


Продолжение: http://mydebianblog.blogspot.com/2007/02/3.html


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 15 Декабрь 2007, 23:14:54
Enscript for RAM Analysis
http://www.forensiczone.com/ram/Enscript/index_Enscript.htm


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 22 Январь 2008, 20:08:31
Источник: http://www.nhtcu.ru/teor_jur.html

(http://computer-forensics-lab.org/img/kte01.jpg)

Вышел в свет первый номер журнала "Компьютерно-техническая экспертиза".
Содержание номера:

Слово редактора
Теория компьютерно-технической экспертизы
    Шухнин М.Н. Комплекс экспертиз и комплексная экспертиза (на примере расследования отдельного преступления)
    Юрин И.Ю. Особенности экспертного исследования IRC-ботов, используемых для построения зомби-сетей
    Нехорошев А.Б. Классификация объектов СКТЭ (попытка формализации)
    Яковлев А.Н. Формальные границы пределов компетенции экспертов компьютерно-технической и компьютерной экспертизы
    Юрин И.Ю. Способы установления первоначального имени PE-файла
Экспертное программное обеспечение
    Капинус О.В., Михайлов И.Ю. EnCase: быстрый старт
    Быков А.В. Анализатор исполнимых файлов формата PE
    Юрин И.Ю. Сравнение программ, используемых для анализа файлов index.dat
Из экспертной практики
    Алёшкин А.В. Раскрытие незаконного доступа в Интернет, осуществленного с использованием стороннего компьютера
Информационная безопасность
    Гари Кесслер. Стеганография для судебного исследователя. Краткий Обзор. (Перевод: Капинус О.В., Михайлов И.Ю., Бочков Д.С.)
    Юрин И.Ю. Поисковые системы и информационная безопасность
    Проценко Л.Л. Обнаружение скрытых PE-файлов в ресурсах PE-файла
Техническая документация
    Юрин И.Ю. Формат файлов index.dat
Книжная полка
Из зала суда

По вопросам приобретения журнала и подписки на 2008 год обращайтесь по адресу info@nhtcu.ru .


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 16 Март 2008, 11:04:09
Документация по EnCase:
Путеводитель по языку EnScript.

http://computer-forensics-lab.org/forum/index.php


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 02 Апрель 2008, 04:43:41
Forensic Assistant v1.0. Авторы - А.А. Бежин, И.Ю. Юрин.

Программа предназначена для поиска и анализа криминалистически значимой информации: баз программ обмена сообщениями (ICQ, &RQ, Trillian, QIP, Miranda), баз почтовых программ (Outlook, TheBat!, Mail.ru Agent), системных журналов, индексных файлов (index.dat), кэша программ-браузеров (Internet Explorer, Opera) и т.д. Результаты представляются в табличной форме, с возможностью экспорта в текстовый файл или файл программы Excel. Функционал программы постоянно пополняется.

В программу включены все возможности программы "IndexDatScan" и "File Decoder", в ближайшее время в программу будет перенесен функционал из программ "OLE2 Analyser" и "File Analyser".

Статус программы: распространяется на коммерческой основе, по вопросам приобретения обращаться в Центр (info@nhtcu.ru).


DeFacto v1.0.10. Авторы - В.Г. Коршунов (ООО "ИнфоБис"), И.Ю. Юрин.

Программа "DeFacto" предназначена для инвентаризации программного обеспечения, которое было проинсталлировано на НЖМД. При этом анализируются как программные файлы на диске, так и файлы реестра, что позволяет выявлять ранее установленные, но некорректно (т.е. частично) удаленные программы. Анализируется реестр как активный (т.е. из-под загруженной ОС), так и пассивный (т.е. с подключенного диска). Результаты проверки представляются в виде таблицы, в которую сведены сведения об авторе, названии программы, ее рыночной стоимости, статусе (коммерческая, условно-бесплатная, бесплатная), и могут быть сохранены в файл. Определяются и дополнительные сведения - серийный номер, адрес регистрации, дата установки и другие. Имеется встроенный просмотрщик реестра (в том числе - неактивного), а также справочник по программному обеспечению.

Статус программы: распространяется на коммерческой основе, по вопросам приобретения обращаться в Центр (info@nhtcu.ru).

Источник: http://nhtcu.ru/


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 08 Июнь 2008, 04:40:10
Источник: http://www.nhtcu.ru/teor_jur.html

(http://computer-forensics-lab.org/img/kte02.jpg)

Вышел в свет второй номер журнала "Компьютерно-техническая экспертиза" №1 (2) за 2008 год.

Содержание номера:

Слово редактора
Теория компьютерно-технической экспертизы
    Денявский А.В. К вопросу о классификации современных электронных устройств и отнесении их к ЭВМ
Экспертное программное обеспечение
    Коршунов В.Г. Программная реализация инструмента для аудита программного обеспечения
Экспертное аппаратное обеспечение
    Марван Аль-Заруни. Знакомство с программаторами для мобильных телефонов и обсуждение их использования в судебных экспертизах мобильных телефонов (Перевод: Бочков Д.С., Капинус О.В., Михайлов И.Ю.)
Техническая документация
    Марсел Бреувсма, Мартин де Йонг, Курт Клавер, Рональд ван дер Кнейф, Марк Рулофс. Судебное восстановление данных из флеш-памяти (Перевод: Бочков Д.С., Капинус О.В., Михайлов И.Ю.)
Из экспертной практики
    Яковлев А.Н. Технико-криминалистическая характеристика мобильных телефонов как существенный фактор, предопределяющий особенности расследования некоторых видов преступлений и производства судебной компьютерной экспертизы
    Грачев О.В., Пузов Р.А., Решетов И.С. Выявление криминалистически значимой информации при исследовании сотовых телефонов с измененными IMEI
Информационная безопасность
    Быков А.В. Безопасность мобильных устройств на базе ОС Windows CE
Книжная полка
    Юрин И.Ю. Комментарии к книге "Форензика - компьютерная криминалистика"
    Обзор книжных новинок
Работа над ошибками
Из зала суда


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 26 Июль 2008, 10:02:39
http://www.guidancesoftware.ru - сайт разработчиков Encase на русском!!!


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 27 Июль 2008, 07:49:04
Авторы: Марсел Бреувсма, Мартин де Йонг, Курт Клавер, Рональд ван дер Кнейф и Марк Рулофс
Название: Судебное восстановление данных из флэш-памяти.


Современные судебные инструментальные средства для исследования встроенных систем, таких как мобильные телефоны и КПК, обычно выполняют извлечение данных на логическом уровне и не учитывают тип носителя во время анализа данных. В данной статье предлагается низкоуровневый подход для судебной экспертизы флэш-памяти, и описываются три низкоуровневых метода клонирования данных для создания полных копий памяти запоминающих устройств на базе флэш-памяти. Представлены результаты изучения файловых систем, в котором использовались карты памяти, имеющие USB – интерфейс, более чем 45 марок и моделей. Показаны способы создания полных копий их  флэш-памяти и действия, необходимые для преобразования извлечённых данных в формат, понятный обычным судебным инструментальным средствам для анализа носителей. Обсуждены артефакты, вызванные операциями характерными для флэш-памяти, типа: стирание блоков или «выравнивание изнашивания»; даны указания по расширенному восстановлению данных и анализу данных, извлеченных из флэш-памяти.

Подробнее : http://computer-forensics-lab.org/lib/?cid=159


Автор : Марван Аль-Заруни
Название: Знакомство с программаторами для мобильных телефонов и обсуждение их использования в судебных экспертизах мобильных телефонов.


В статье даётся обзор программаторов для мобильных телефонов, рассматривается их использование для обслуживания телефонов, их незаконное применение и их использование в судебных экспертизах мобильных телефонов. Обсуждаются виды программаторов и различия между ними. В статье также рассматриваются недостатки традиционного программного обеспечения для работы с мобильными телефонами и подчёркивается необходимость использования программаторов в судебных экспертизах мобильных телефонов для компенсации этих недостатков. Далее в статье анализируются проблемы и меры предосторожности при использовании программаторов в судебных экспертизах мобильных телефонов. Предлагаются способы тестирования программаторов и инструменты для анализа необработанных данных (шестнадцатеричных дампов памяти), полученных с мобильных телефонов с помощью программаторов.

Подробнее : http://computer-forensics-lab.org/lib/?cid=160


Название: Документация по Encase : Путеводитель по языку EnScript.

Что такое EnScript?
EnScript - это язык программирования , созданный для того, чтобы пользователь с некоторым знанием программирования мог применять EnCase в соответствии со своими потребностями, автоматизировать задачи и даже создавать полностью функциональные приложения. С момента своего появления во второй версии EnCase язык EnScript превратился в эффективный объектно-ориентированный язык с наследованием, виртуальными функциями, отражением типов и потоковой моделью. EnScript также поддерживает COM- библиотеки других приложений, позволяя автоматизировать задачи обработки документов и делая возможным удаленный поиск данных через DCOM ( распределенную компонентную объектную модель).

Подробнее : http://computer-forensics-lab.org/lib/?cid=161


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 01 Декабрь 2008, 21:28:28
Источник: http://www.nhtcu.ru/teor_jur.html

(http://computer-forensics-lab.org/img/kte03.jpg)

Вышел в свет третий номер журнала "Компьютерно-техническая экспертиза" №2 (3) за 2008 год.

Содержание номера:

Слово редактора

Теория компьютерно-технической экспертизы
* Яковлев А.Н. Организация данных на накопителе на жестких магнитных дисках на низком уровне
* Юрин И.Ю. Определение даты создания исполнимого PE-файла
* Капинус О.В., Михайлов И.Ю., Юрин И.Ю. Российские программы обмена короткими сообщениями: "Mail.ru Agent"
* Ахметзянов М.Л. Кардшаринг НТВ+
* Юрин И.Ю. Определение MAC-адресов сетевых устройств

Информационная безопасность
* Быков А.В. Уязвимости программного обеспечения при обработке PE-файлов

Хроника судебных дел


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 02 Декабрь 2008, 07:12:51
Russian IM- applications: «Mail.ru Agent»

Olga Kapinus, Igor Michailov, Igor Yurin

Introduction
For the last year we have received several messages from our foreign colleagues, in which they asked for help in the research of history, created by the IM-applications, which had been developed by the Russian manufacturers, such as «Mail.ru Agent», «Rambler ICQ», «IceIM», «QIP», «QIP Infinium», «&RQ», «&ML», etc.
There is practically no information about these programs in English and most widespread foreign programs for forensic researches do not support history formats of IM-applications created by the Russian developers.   The given cycle of articles aims at compensating of informational vacuum on methods and means of forensic research of the IM-applications, created by the Russian developers and widely used on the territory of the post-Soviet area as well as by the emigrants, natives of Russia, who live abroad and use IM-applications to communicate with their relatives, friends, acquaintances, who live in the homeland.

More… http://computer-forensics-lab.org/Forensic_Analysis_Mail_Ru_Agent.pdf


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 07 Декабрь 2008, 16:12:16
На сайте создан новый раздел, посвященный программным продуктам фирмы Oxygen Software ( www.oxygen-forensic.com/ru ).
http://computer-forensics-lab.org/lib/?rid=48

В разделе помещены статьи:
Мобильный Криминалист 2. Краткое описание продукта.
Описание программы Мобильный криминалист 2.
http://computer-forensics-lab.org/lib/?cid=165

Презентация. Извлечение информационных улик из телефонов, смартфонов и КПК.
Представлена интереснейшая информация по смартфонам. Советую прочитать всем желающим разбираться в теме судебного исследования мобильных телефонов и смартфонов.
http://computer-forensics-lab.org/lib/?cid=164

Список уникальных возможностей “Мобильного Криминалиста”
или "Почему эксперты и правоохранительные службы выбирают "Мобильный Криминалист 2"?

Описаны возможности программы Мобильный криминалист 2.
http://computer-forensics-lab.org/lib/?cid=163

Мобильный Криминалист 2. Установка и использование агента для подключения.
Мобильный криминалист 2 по хитрому внедряет Агента подключения. Мне не встречались другие судебные программные продукты, для исследования мобильных телефонов, которые это делают также.
http://computer-forensics-lab.org/lib/?cid=162


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: guru от 09 Декабрь 2008, 03:02:42
а что есть новенького по расследованию компьютерного мошенничества в банках?
мне для сборника Транстелекомовского нужно.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 09 Декабрь 2008, 07:25:12
К сожалению, у меня нет. Кроме того, что, по слухам, центральную полосу России захлестнула волна кардерства. Кардеров не просто много. Их очень много. П/о ловят иногда особо наглых или молодых и не опытных.

Спрошу у коллег. Если будет что-то новенькое - отпишу в личные сообщения.



Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 09 Декабрь 2008, 18:03:31
МОБИЛЬНЫЙ КРИМИНАЛИСТ 2 – НАЧАЛО РАБОТЫ

(http://computer-forensics-lab.org/img/MK2.jpg)

Основная информация
Мобильный Криминалист 2 - программа для судебно-технической экспертизы сотовых телефонов, смартфонов и КПК. Использование расширенных пользовательских протоколов и программного интерфейса приложения в телефоне дает возможность извлекать гораздо больше данных в сравнении с программными продуктами, использующими стандартные протоколы, особенно это касается данных в смартфонах.

Мобильный Криминалист 2 позволит Вам извлечь максимум информации из большого количества мобильных устройств. Эта программа сыграла значительную роль в области расследования криминальных и других преступлений во многих странах и широко используется правительственными учреждениями, полицией, армией, таможенными и налоговыми службами, а также другими органами государственной власти.

Текущая версия поддерживает следующие секции: Телефонная книга, Календарь, Сообщения, Файловый браузер, Журнал и Хронология событий. Пожалуйста, обратите внимание, что количество секций и объем извлеченных данных зависит от конкретной модели телефона.

Вы можете получить данные о:
•Общей информации телефона и данных SIM-карты (контакты и сообщения)
•Списке контактов (включая мобильные, стационарные и номера факса, почтовые и электронные адреса, фотографии контактов и другую информацию)
•Входящих/исходящих/пропущенных звонках
•Информации групп абонентов
•Данных органайзера (встречи, напоминания, звонки, годовщины и дни рождения, дела)
•Текстовых заметках (только в версии 1)
•Сообщениях SMS (сообщения, отчеты, папки, удаленные сообщения с некоторыми ограничениями)
•Мультимедиа сообщениях (только в версии 1)
•E-mail сообщениях и папках (только в версии 1)
•Счётчике трафика GPRS, EDGE, CSD, HSCSD, Wi-Fi
•Фото и картинках галереи
•Видеоклипах и фильмах
•Голосовых записях и аудиоклипах
•Всех файлах внутренней памяти телефона и карты памяти, включая установленные приложения и их данные
•Базе данных FM радиостанций (как часть Файлового браузера)
•Хронологии событий: просмотр всех основных событий в хронологическом порядке с географическими координатами (например, для событий SMS сообщений).

Подробнее: http://computer-forensics-lab.org/lib/?cid=166


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: guru от 11 Декабрь 2008, 03:55:13
К сожалению, у меня нет. Кроме того, что, по слухам, центральную полосу России захлестнула волна кардерства. Кардеров не просто много. Их очень много. П/о ловят иногда особо наглых или молодых и не опытных.
да, правда. я в последнее время даже картами не расплачиваюсь (закрыла ещё услугу интернет банкинга), только если заграницей.
Спрошу у коллег. Если будет что-то новенькое - отпишу в личные сообщения.
буду очень Вам благодарна, время у меня ещё много ;)


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Draft от 11 Декабрь 2008, 13:55:41
Мобильный Криминалист 2 позволит Вам извлечь максимум информации из большого количества мобильных устройств. Эта программа сыграла значительную роль в области расследования криминальных и других преступлений во многих странах и широко используется правительственными учреждениями, полицией, армией, таможенными и налоговыми службами, а также другими органами государственной власти.


Можно уточнить - в каких "!многих" и о какой полиции речь идет?


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 11 Декабрь 2008, 16:40:58
Ответ от пользователя Oleg Fedorov ( http://www.internet-law.ru/forum/index.php?action=viewprofile;user=oxygensoftware ,  из-за глюков форума он не может ответить сам):

1. МК2 на данный момент применяется в США, Германии, Великобритании, Канаде, Швеции, Финляндии, Дании, Польше, России и других странах.
 
2. О полиции тех же самых стран :-)


Мой комментарий для Draft : да-да. В России тоже есть полиция. ;)


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Draft от 11 Декабрь 2008, 19:54:45
Спасибо  8)


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 16 Декабрь 2008, 06:00:15
Источник: _http://www.nhtcu.ru/teor_jur.html

(http://computer-forensics-lab.org/img/kte04.jpg)

Вышел в свет четвертый номер журнала "Компьютерно-техническая экспертиза" №3 (4) за 2008 год.

Содержание номера:

Слово редактора (А.Н. Яковлев)

Теория компьютерно-технической экспертизы
* Яковлев А.Н. Организация данных на накопителе на жестких магнитных дисках на низком уровне (окончание)
* Гортинский А.В. Методические рекомендации по судебно-экспертному исследованию баз данных "1С:Предприятие" версии 7.7. и 8.х
* Юрин И.Ю. Расшифровка кода троянских программ, написанных на языке JavaScript

Техническая документация
* Коршунов В.Г. Анализ кода продукта для ОС Microsoft Windows

Экспертное программное обеспечение
* Бежин А.А. Использование технологии "Hash Sets" при экспертном исследовании компьютерных носителей информации

Информационная безопасность
* Баулин В.В. Рекомендации по исследованию журналов событий ОС Windows
* Говядинова Л.А. Автоматизированный поиск web-ресурсов запрещенного и нежелательного содержания, определение степени их принадлежности к тематике и контроль динамики их развития

Комплексная экспертиза
* Шухнин М.Н., Федулов О.И., Ковалюх Е.А. Критерии определения возраста лиц, запечатленных на порнографических изображениях несовершеннолетних

Книжная полка
Из зала суда


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Draft от 16 Декабрь 2008, 12:36:01
Как же это все заполучить в Украину (и предыдущие номера)? Первая попытка не удалась  8)


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 16 Декабрь 2008, 16:53:12
Как же это все заполучить ...и предыдущие номера
ИМХО. Предыдущих номеров может и не оказаться в наличии.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: VPZ от 16 Декабрь 2008, 18:52:38
Как же это все заполучить в Украину (и предыдущие номера)? Первая попытка не удалась  8)
Самого первого номера (за 2007 год) в наличии уже нет. Есть номера 1-3 за 2008 год. По вопросам приобретения можно обратиться по эл. почте, указанной на сайте журнала. Хотя сразу должен отметить, что пересылка журнала в Украину обходится дороже стоимости самого журнала (насколько я помню). Как говорится, "за морем телушка - полушка, да рубль перевоз". Хотя, если было бы желание - то возможности найдутся.

А вообще, самый простой способ (бесплатно!) получить номер журнала - это написать в него статью. :-)


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 16 Декабрь 2008, 20:50:50
Источник: http://computer-forensics-lab.org/forum/viewtopic.php?t=249

Специальное предложение для экспертных организаций Беларуси!

ООО "Национальный центр по борьбе с преступлениями в сфере высоких технологий" и ООО "ИнфоБиС" (http://www.defacto-com.ru) объявляют о специальной акции, направленной на поддержку правоохранительных органов Беларуси.

Государственные экспертные организации Беларуси могут получить бесплатные бессрочные лицензии на полнофункциональные программные продукты "Defacto" и "Forensic Assistant"!

Описание программ - http://computer-forensics-lab.org/forum/viewtopic.php?t=157 и http://computer-forensics-lab.org/forum/viewtopic.php?t=156

Для получения программ необходим официальный запрос от государственного экспертного учреждения и в последующем заключение договора на предоставление программного обеспечения.

Предложение ограничено!

По всем вопросам можно обращаться по электронной почте info@nhtcu.ru

P.S. Предложение может быть расширено на другие страны СНГ.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Draft от 17 Декабрь 2008, 11:56:19
Как же это все заполучить в Украину (и предыдущие номера)? Первая попытка не удалась  8)
Самого первого номера (за 2007 год) в наличии уже нет. Есть номера 1-3 за 2008 год. По вопросам приобретения можно обратиться по эл. почте, указанной на сайте журнала. Хотя сразу должен отметить, что пересылка журнала в Украину обходится дороже стоимости самого журнала (насколько я помню). Как говорится, "за морем телушка - полушка, да рубль перевоз". Хотя, если было бы желание - то возможности найдутся.

А вообще, самый простой способ (бесплатно!) получить номер журнала - это написать в него статью. :-)

Дело не в стоимости пересылки. Она вроде в районе 200 руб. - дело в механизме оплаты 8) Что касаемо статьи - могу обзорную касаемо ответственности за гиперссылки, но это не совсем профиль журнала. Иначе - так лень писать 8)


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 17 Декабрь 2008, 12:19:27
Я не имею к ООО "Национальный центр по борьбе с преступлениями в сфере высоких технологий" никакого отношения. Но, могу пояснить: 200 рублей - это стоимость номера. Пересылка оплачивается отдельно. За последнюю неделю стоимость пересылки на Украину подорожала в 4 раза.  :( Кроме того, говорят, существуют проблемы с пересылкой чего-либо на Украину.
Ну и оплата конечно. Если вы не можете осуществить банковский перевод на рублевый счет... то это проблема. Как вариант (лично для вас) я могу осуществить за вас банковский перевод на их счет, если вы сможете возместить мне затраты, скажем, яндекс-рублями.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Draft от 17 Декабрь 2008, 12:32:47
Конечно смогу. Не смею и просить об этом, хотя было бы замечательно. Вел переписку с редакцией, но как то она затихла. Посколько собственно яндекс-кошелька нет, то могу предложить вариант отправки реквизитов карты для пополнения оного. Перевод рублей вроде возможен по системе банковских платежей. Тут только возникает вопрос ближайшего удобного банка для их получения.
ПС Кроме того, хотелось бы их же А.Б. Нехорошев, М.Н. Шухнин, И.Ю. Юрин, А.Н. Яковлев "Практические основы компьютерно-технической экспертизы"
ППС Реквизиты яндекс-платежа готов сбросить сегодня же  8)

Спасибо в любом случае


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 17 Декабрь 2008, 12:50:08
ППС Реквизиты яндекс-платежа готов сбросить сегодня же  8)
не торопитесь, они еще неделю счет выставлять будут.  ;D


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Draft от 17 Декабрь 2008, 12:53:08
Аааа.. Я думал это мне показалось, что они медлительны, а оказывается на самом деле  8) Спасибо. Буду ждать


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 17 Декабрь 2008, 18:42:03
2 Draft,
проверьте личные сообщения.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: VPZ от 17 Декабрь 2008, 20:39:19
Я думал это мне показалось, что они медлительны, а оказывается на самом деле  8)
Угу. На самом. Ждите журналы года через два.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 29 Май 2009, 18:12:24
Яковлев А.Н. Электронные документы как доказательства при расследовании экономических и налоговых преступлений

Использование компьютерной техники для обеспечения документооборота организаций нередко воспринимается сотрудниками правоохранительных органов как обстоятельство, осложняющее раскрытие и расследование преступлений. Это верно только отчасти – в силу неподготовленности части сотрудников органов дознания и следствия к работе в новых условиях, поскольку большая часть доказательственной и ориентирующей информации содержится в компьютерных файлах, которые в свою очередь находятся на компьютерных носителях, вследствие чего эта информация становится недоступной для непосредственного восприятия и оценки. Наряду с проблемами технического характера на этапе предварительного следствия следователи начинают сталкиваться с навязываемым им стороной защиты "компетентным" мнением о том, что компьютерная информация даже при условии ее процессуально корректного документирования не может быть использована в качестве доказательства по делу. Кроме того, лица, осуществляющие дознание и следствие, сталкиваются с проблемами методического и организационного характера, которые связаны с необходимостью назначения экспертиз, объектами которых выступают компьютерные файлы или документы, подготовленные с помощью компьютерной техники.

Подробнее: http://www.computer-forensics-lab.org/lib/?cid=167


Яковлев А.Н. О проблеме отнесения средств новых информационных технологий к ЭВМ // В сб. материалов конференции «Раскрытие и расследование преступлений, сопряженных с использованием средств вычислительной техники: проблемы, тенденции, перспективы», Москва, МГУ им. М.В. Ломоносова, 2005.

Хрестоматийный случай, произошедший на Волжском автомобильном заводе в августе 1983 года в г. Тольятти, когда программистом были умышленно внесены изменения в программу ЭВМ, что привело к сбоям в работе сборочного конвейера завода, интересен не столько тем, что манипуляциями с программой заводу был нанесен ущерб 1 млн. руб. в ценах 1983 г., но и тем, что следственная бригада Прокуратуры РСФСР так и не смогла адекватно соотнести сущность деяния с теми составами преступлений, которые имелись в действовавшем тогда УК РСФСР. Среди составов преступлений не нашлось ни одного, который бы в полной мере отвечал расследуемой ситуации. Программист был наказан по одной из "традиционных" статей УК РСФСР, и из этого случая можно сделать два вывода. Первый. В борьбе с преступностью, если она совершенствуется быстрее уголовно-правовых норм, вполне допустимо применять наиболее подходящие нормы "старого" права. Второй. Изменение средств и способов совершения преступлений должно как можно быстрее сопровождаться адаптацией к ним норм уголовного кодекса.

Подробнее: http://www.computer-forensics-lab.org/lib/?cid=168

Шухнин М.Н., Яковлев А.Н. Комплексная экспертиза в расследовании изготовления и распространения детской порнографии // КриминалистЪ, № 1, 2008.

Изготовление и распространение порнографических материалов, содержащих изображения несовершеннолетних (детской порнографии), практически всегда осуществляется с использованием современных компьютерных технологий обработки и передачи информации. Это приводит к тому, что при производстве компьютерной экспертизы по различным уголовным делам эксперт, исследуя содержимое графических файлов, подчас сталкивается с изображениями откровенно сексуального характера и в соответствии с положениями п. 4 ч. 3 ст. 57 УПК РФ, ч. 2 ст. 204 УПК РФ может в рамках экспертной инициативы указывать на них в своем заключении.
После получения такого заключения эксперта перед следователем встает задача квалификации преступления по ст. 242.1 УК РФ – изготовление и оборот материалов или предметов с порнографическими изображениями несовершеннолетних, для чего представляется целесообразным назначение комплексной экспертизы с привлечением экспертов следующих специальностей: искусствоведческая экспертиза, компьютерная экспертиза, портретная экспертиза, судебно-медицинская экспертиза, сексологическая экспертиза.

Подробнее: http://www.computer-forensics-lab.org/lib/?cid=169


Яковлев А.Н. Противодействие обороту контрафактного программного обеспечения: проблемы и решения // КриминалистЪ, № 1, 2008.

В отличие от прошлых лет, когда Россия была одним из лидеров компьютерного пиратства, сегодня очевиден и необратим процесс возврата страны в русло формирования цивилизованного рынка программного обеспечения. Связано это, на наш взгляд, в первую очередь со становлением системы правового обеспечения государственной политики информатизации страны.
В период 1992-1996 годов в России были приняты нормативные правовые акты, заложившие основу правового регулирования отношений, возникающих при осуществлении деятельности, связанной с использованием информационных технологий: закон РФ «О правовой охране программ для электронных вычислительных машин и баз данных» (1992 г.), закон РФ «Об авторском праве и смежных правах» (1993 г.), Федеральный закон «Об информации, информатизации и защите информации» (1995 г.), Уголовный кодекс РФ с главой 28 «Преступления в сфере компьютерной информации» и Федеральный закон «Об участии в международном информационном обмене» (1996 г.). Помимо этих документов был разработан всего один документ концептуального характера – Концепция правовой информатизации России (1993 г.).
1997-1999 годы были годами накопления практического опыта применения нового законодательства, осмысления необходимости регулирования иных стремительно формирующихся отношений, поиска баланса между уголовно-правовыми и административными мерами борьбы с правонарушениями в информационной сфере.

Подробнее: http://www.computer-forensics-lab.org/lib/?cid=170

Яковлев А.Н. Формальные пределы компетенции экспертов компьютерно-технической и компьютерной экспертизы // Компьютерно-техническая экспертиза, № 1, 2007. С. 76-79. ISSN 1996-188Х.

Вопрос о пределах компетенции экспертов компьютерно-технической и компьютерной экспертизы может показаться участникам судопроизводства не актуальным, поскольку аналогичный вопрос применительно к деятельности экспертов традиционной экспертизы разрешен давно и в деталях. Сегодня многие (если не все) следователи, адвокаты, прокуроры, судьи искренне считают, что относительно молодая экспертиза, объектом которой являются любые виды программного обеспечения, данных в цифровой форме, их носителей и аппаратных средств, при помощи которых такое программное обеспечение функционирует, не получила устоявшегося наименования, что и отражает содержимое различных постановлений о назначении экспертизы. Каких только словосочетаний там нет! «Аппаратно-программная экспертиза», «программно-компьютерная», «компьютерная криминалистическая» – список множится с каждым днем. Вот только «правильные» названия экспертизы присутствуют лишь от случая к случаю.

Подробнее: http://www.computer-forensics-lab.org/lib/?cid=171

Яковлев А.Н. Технико-криминалистическая характеристика мобильных телефонов как существенный фактор, предопределяющий особенности расследования некоторых видов преступлений и производства судебной компьютерной экспертизы // Компьютерно-техническая экспертиза, № 1, 2008. С. 54-70. ISSN 1996-188Х.

Мобильные телефоны достаточно давно являются объектом компьютерно-технической экспертизы (далее – СКТЭ). Являясь сложным компьютеризированным устройством, чрезвычайно распространенным, они были то предметом правового спора между потребителем и продавцом по поводу недостатков устройства, то инструментом мошенничества в сфере сотовой связи. И если первоначально правовые проблемы, связанные с приобретением, эксплуатацией мобильных телефонов, не требовали решения вопроса отнесения мобильного телефона к информационным компьютерным средствам, то в последующем этот вопрос стал достаточно болезненным как для граждан, так и для правоохранительной системы в целом. Причиной тому послужила особая функциональность современных моделей мобильных телефонов и сложившаяся судебная практика правовой оценки наиболее спорных операций над мобильными телефонами – смены номера IMEI путем перепрошивки их программного обеспечения (далее – ПО).

Подробнее: http://www.computer-forensics-lab.org/lib/?cid=172


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 30 Май 2009, 04:37:34
Капинус О.В., Михайлов И.Ю., Юрин И.Ю.

Русские IM-приложения: «Mail.ru Agent».


За последний год мы получили несколько сообщений от наших западных коллег, в которых они просили помощи в исследовании history, созданных IM- приложениями, разработанными российскими производителями, таких как «Mail.ru Agent», «Rambler ICQ», «IceIM», «QIP», «QIP Infinium», «&RQ», «&ML». Об этих программах практически полностью отсутствует информация на английском языке, а наиболее  распространенные западные программы для судебных исследований не поддерживают форматы history IM-приложений, созданных российскими разработчиками. Данный цикл статей призван компенсировать информационный вакуум о методах и средствах криминалистического исследования IM- приложений, созданных российскими разработчиками и широко используемыми как на территории постсоветского пространства, так и эмигрантами, выходцами из России, проживающими на западе и использующими IM- приложения для общения с родственниками, друзьями, знакомыми, проживающими на родине.

Подробнее: http://www.computer-forensics-lab.org/lib/?cid=173


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 10 Сентябрь 2009, 20:03:55
Суханов Максим


Linux для судебных экспертов: «подводные камни»  монтирования файловых систем


Введение

Судебный дистрибутив Linux — дистрибутив Linux, предназначенный для решения
широкого спектра задач при проведении судебных компьютерных и компьютерно-
технических экспертиз. Как правило, данные дистрибутивы используются для решения следующих задач:

– Предварительное исследование носителей данных (например, для определения
установленной операционной системы);
– Создание точных копий исследуемых носителей данных;
– Полное исследование носителей данных, включая, например, поиск файлов по
ключевым словам и анализ журналов работы операционной системы.

Кроме того, судебные дистрибутивы Linux могут включать в себя программы для
исследования сетевого трафика и копирования энергозависимых данных (например, содержимого оперативной памяти) с работающей системы.

Подробнее: http://www.computer-forensics-lab.org/lib/?cid=174


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: pvp от 09 Октябрь 2009, 17:05:40
Кстати, только что обнаружил еще один "подводный камень" линукса -- когда запустил программу DeFacto под Wine на Ubuntu. Она мне обнаружила единственный коммерческий продукт -- Windows Vista.  :o
А ведь кто-то из неискушенных работнегов милиции может и поверить...  ;D


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: roland740 от 10 Октябрь 2009, 13:22:50
Кстати, только что обнаружил еще один "подводный камень" линукса -- когда запустил программу DeFacto под Wine на Ubuntu. Она мне обнаружила единственный коммерческий продукт -- Windows Vista.  :o
А ведь кто-то из неискушенных работнегов милиции может и поверить...  ;D

Здесь уже обсуждалось http://www.internet-law.ru/forum/index.php?board=9;action=display;threadid=3770;start=70  
это так Wine детектируется Дефакто , .


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Vladimir Korshunov от 16 Октябрь 2009, 09:07:33
Кстати, только что обнаружил еще один "подводный камень" линукса -- когда запустил программу DeFacto под Wine на Ubuntu. Она мне обнаружила единственный коммерческий продукт -- Windows Vista.  :o
А ведь кто-то из неискушенных работнегов милиции может и поверить...  ;D

В версии Defacto 1.60, в том числе, сделали и корректное обнаружение Wine: http://defacto-com.ru/index.php?page=demo


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: x.org от 16 Октябрь 2009, 10:50:49
Flash plugin пометьте как бесплатный…


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: De Nada от 09 Ноябрь 2009, 19:31:44
COFEE утёк в сеть... :D

На ДураЛексе уже есть эта новость.
Правда, поначалу выложили копию с битым инсталлятором, но потом поправились (жалко, что Взорыч выложил кривулю).
Будет интересно опробовать хвалёную тулзу... :)

upd: О! Взорыч дополнил новость про COFEE: оказывается, инсталлятор не "битый", а "хитрый" - к нему нужен спецэкстрактор... О как! :D


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 09 Ноябрь 2009, 19:43:25
COFEE утёк в сеть... :D
Ещё даже не открыв ветку я догадался о чем будет оставлено вами сообщение.  ;D


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: De Nada от 09 Ноябрь 2009, 19:49:25
А вот Ваш этот смайлик - это Вы смеётесь надо мною или просто радуетесь событию? :P


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 09 Ноябрь 2009, 20:15:34
А вот Ваш этот смайлик - это Вы смеётесь надо мною или просто радуетесь событию? :P
Я радуюсь тому, что смог предугадать о чем вами будет размещено сообщение.

А COFEE  у меня и так был.

Альфа и бета версии COFEE раздавали практически всем желающим, кто не поленился отослать запрос в Microsoft.

IMHO. Ажиотаж вокруг COFEE мне кажется несколько наигранным.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: De Nada от 09 Ноябрь 2009, 20:22:34
Цитировать
А вот Ваш этот смайлик - это Вы смеётесь надо мною или просто радуетесь событию? :P
Я радуюсь тому, что смог предугадать о чем вами будет размещено сообщение.

А COFEE  у меня и так был.

Альфа и бета версии COFEE раздавали практически всем желающим, кто не поленился отослать запрос в Microsoft.

Запрос, конечно, дело хорошее, но, полагаю, кому попало они Кофе слать не должны были, так? Вы, часом, не в качестве официала запрашивали у них (ну там, как матёрый экспертище из толстой солидной лавки :) )? Не факт, что мне, например, они что-либо прислали бы...

IMHO. Ажиотаж вокруг COFEE мне кажется несколько наигранным.

Вы это имхуете на основании личного опыта работы с данным продуктом? А что с ним не так?



Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 09 Ноябрь 2009, 21:49:53
Запрос, конечно, дело хорошее, но, полагаю, кому попало они Кофе слать не должны были, так?
Слали кому попало.

Вы, часом, не в качестве официала запрашивали у них (ну там, как матёрый экспертище из толстой солидной лавки :) )?
Официально запрашивать возможности не имею. Запрос был неофициальный. С левого мыла.

Вы это имхуете на основании личного опыта работы с данным продуктом?
В настоящее время, это не совсем качественный продукт. В своей экспертной практике, я им не пользуюсь.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: KNN от 11 Ноябрь 2009, 19:21:36
А что есть кофе? ???


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 11 Ноябрь 2009, 20:25:01
А что есть кофе? ???
Об этом пару дней на каждом углу в Рунете рассказывают.

Например, тут (http://ru.wikipedia.org/wiki/Cofee).


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 19 Декабрь 2009, 20:29:12
Суханов Максим
Linux для судебных экспертов: проблемы загрузки доверенной системы.


Данная работа является продолжением цикла статей «Linux для судебных экспертов» и раскрывает проблемы, возникающие в процессе загрузки некоторых судебных дистрибутивов на основе Ubuntu (Debian).

Подробнее: http://computer-forensics-lab.org/lib/?cid=175


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 24 Декабрь 2009, 19:14:13
Suhanov Maxim. Linux for computer forensic investigators: «pitfalls» of mounting file systems.
http://www.computer-forensics-lab.org/pdf/Linux_for_computer_forensic_investigators.pdf

Suhanov Maxim. Linux for computer forensic investigators: problems of booting trusted operating system.
http://www.computer-forensics-lab.org/pdf/Linux_for_computer_forensic_investigators_2.pdf


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 16 Февраль 2010, 18:43:30
Автор: Вехов Виталий Борисович.

Основы криминалистического учения об исследовании и использовании компьютерной информации и средств ее обработки: монография

(http://computer-forensics-lab.org/img/vehov2.jpg)

Монография представляет собой одну из первых работ, в которой обобщены актуальные проблемы исследования и использования компьютерной информации и средств ее обработки в целях совершенствования борьбы с преступностью.
Исходя из имеющихся тенденций и выявленных закономерностей развития компьютерных технологий, анализа деятельности отечественных и зарубежных правоохранительных органов, а также криминалистически значимых сведений о генезисе преступлений в сфере компьютерной информации в книге излагаются концептуальные основы учения об исследовании и использовании компьютерной информации и средств ее обработки как частной криминалистической теории. Обосновываются ее предмет, объект, структура, за-дачи и место в системе криминалистики. Исследуются связи с существующими криминалистическими учениями. Формулируются основные положения и понятийный аппарат. Определяются перспективные направления развития.
Издание предназначается для студентов (курсантов, слушателей), аспирантов (адъюнктов) и преподавателей юридических образовательных учреждений, а также научных сотрудников и практических работников правоохранительных органов.

Подробнее (http://computer-forensics-lab.org/lib/data/userfiles/vehov.doc).


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Антон Серго от 16 Февраль 2010, 20:10:07
Автор: Вехов Виталий Борисович.

Основы криминалистического учения об исследовании и использовании компьютерной информации и средств ее обработки: монография
Поздравляем!


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 16 Февраль 2010, 20:32:10
Поздравляем!
Книга 2008г.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Антон Серго от 17 Февраль 2010, 01:12:35
Ну, все-равно...


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Сергей Середа от 17 Февраль 2010, 22:26:13
Автор: Вехов Виталий Борисович.

Основы криминалистического учения об исследовании и использовании компьютерной информации и средств ее обработки: монография
...

А как её можно заполучить?


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 20 Апрель 2010, 03:52:42
На днях, черканул мне писмичишко разработчик утилиты ForensicFramer Александр Купер (Alexander Kuiper). В письме он рассказывает, что разработал утилиту для анализа P2P клиентов - PeerLab.

Список поддерживаемых утилитой клиентов (237 клиентов 2791 версий):
2Peer, AA File Share, ABC, Addax, aimini P2P software, Aimster, AirDC++, Alliance, aMule, ANts P2P, Anubis P2P, ApexDC++, appleJuice, Ares Galaxy, Ares Galaxy Download Client, Ares Galaxy Lite, Ares Gold, Artemis, Artic Torrent, AudioGalaxy Rhapsody, AudioGalaxy Satellite, audioGnome, AXEPTool, Azureus, Azureus Vuze, BadBlue PE, BearFlix, BearShare, BearShare Gold, BearShare Lite, BearShare Premium P2P, BearShare Professional, BearShare Test, BitAnarch, BitBuddy, BitComet, Bitlord, BitSpirit, BitTornado, BitTorrent, BitTorrent++, BitTyrant, BLAckFLAg, Blitzi Bitcollider, Blubster, Burst Plus!, Burst!, Cabos, Chinafinder, Crux P2P, CuteMX, CZDC, dbgo, DC++, Deepnet Explorer, Deluge, DexterWire, Diet Kazaa, Direct Connect, DreaMule, eAnt, Easy File Sharing Web Server, easyMule, eDonkey Plus, eDonkey2000, eFileGo, eMule, eMule Applejuice, eMule eF-Mod, eMule Espana Mod, eMule File Swap, eMule iONiX, eMule Lite, eMule Morph Most Wanted, eMule MorphXT, eMule PhoeniX, eMule Plus, eMule ScarAngel, eMule Sivka, eMule Titandonkey, eMule TK4 Mod, eMule Vista Edition, eMule X Mod, eMule Xtreme Mod, eMule+Ultra, emule2rt, eMuleFuture, Enhanced CTorrent, Epicea, eXeem Lite, ExoSee, Fast Torrent, File Bus, Filenavigator, FileShare, Filetopia, Flash! Torrent, Flylink DC++, FolderShare, Freenet, Frost, FrostWire, Furthur, G3 Torrent, GigaTribe, Gnotella, Gnucleus, GnucleusLAN, GNUnet, Google Hello, Grouper, Gullishare, Halite, Hamachi, Hybrid Share, Hydranode, i2p, I2Phex, iMesh, iMesh Light, Imesh PRO, Imesh Turbo, jMule, Kazaa, Kazaa Light Resurrection, Kazaa Lite, Kazaa Media Desktop, KCeasy, KCeasy Portable, Konspire, LDC++, LemonWire, LH-ABC, Libox, LimeWire, LimeWire Download Client, LimeWire Music, LimeWire PRO, LimeWire Turbo, LittleShot, lopster, Lphant, Mammoth, Manolito, MFC MUTE, Minitasking, MLDonkey, MooPolice, MoorHunt, Morpheus, Morpheus Professional, Movie Torrent, MP3 Rocket, MP3 Wolf, MUTE, My Kazaa Gold, myNapster, myTunes Redux, Nakido Flag, Napigator, Napshare, Napster, NetXfer, Newtella, Nodezilla Agent, Nova Torrent, OneSwarm, Opera Unite, Osiris, Overnet, OvernetClc, Pando, Peer2Mail, PeerAware, Peerguardian, PeerWeb DC++, Perfect Dark, Phex, Pixvillage, PTC, Pulsarr, Pump, QNext, Rapigator, Remobo, Retroshare, RevConnect, Rodi, Rufus, SababaDC, Share, Shareaza, Shareaza Lite, ShareazaPlus, SongSpy XE, Sopcast, Soulseek, Sour Exchange, Stealthnet, Steganos Secure Filesharing, StrongDC++, Sumi, SunshineUN, Swaptor, TekNap, The Owner Free File System, Toadnode, TopBT, TorenKey, Torrent Episode Downloader, Torrent Search, Torrent Search Expert, Torrent Swapper, Torrentmonster, TorrenTopia, Tribler, Trusty Files, Trusty Files Pro, TurboBT, TurboWire, uTorrent, VIP-Torrent, Vuze, Waste, WinMX, WinMX Music, Winny, WinZO, WiPeer, WWW File Share Pro, XBT Client, xmule2 ui web, xmule2 ui wx, Xnap, XoLoX, Yaga Share, zK++, Zultrax P2P

Дополнительную информацию о программе можно найти на сайте http://www.kuiper.de/ .


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Сергей Середа от 20 Апрель 2010, 10:19:19
На днях, черканул мне писмичишко разработчик утилиты ForensicFramer Александр Купер (Alexander Kuiper). В письме он рассказывает, что разработал утилиту для анализа P2P клиентов - PeerLab.
...
Дополнительную информацию о программе можно найти на сайте http://www.kuiper.de/ .

По сути, инструмент лишь упрощает выборку данных о загруженных/отданных в пиринговой сети файлах - сканирует логи, формируемые программами-клиентами пиринговых сетей... (Хотя у меня сформировалось подозрение, что ещё и умеет по хэшам отлавливать в логах нужные фильмы/программы/файлы)
С одной стороны, ничего себе программа, а с другой - если экспертизы клиентов p2p не поточные, то всё это можно и вручную сделать, не особо напрягаясь, да и в "поточном" случае можно собственными скриптами обходиться (жалко ведь ? 79 ;)).
Вот если бы у неё база клиентов в онлайне обновлялась и под каждый клиент плагин был с автоматическим обновлением - другое дело.


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 20 Апрель 2010, 17:12:32
(жалко ведь ? 79 ;)).
нисколько.


Название: Re: Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 23 Сентябрь 2011, 09:59:39
На форуме создан новый раздел Исследование цифровых изображений (http://computer-forensics-lab.org/forum/viewforum.php?f=89): Консультации по вопросам исследования цифровых изображений (выявление фактов внесения в изображения и их метаданные изменений, выявление ретуши, улучшение качества изображений и т.п.).


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Neadmin от 11 Октябрь 2012, 20:29:53
По поводу Cofee. Писал пару лет назад письмо, на которое мне, естественно, не ответили. Очень хочется попробовать прогу в учебном процессе использовать. Есть у кого? Поделитесь?


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Igor Michailov от 12 Октябрь 2012, 02:54:36
Чем Helix не устроил?


Название: Re:Криминалистическое обеспечение расследования компьютерных преступлений
Отправлено: Neadmin от 12 Октябрь 2012, 07:27:16
1) Не хотелось бы предоставлять возможность курсантам грузиться на всех ПК с CD. Если с созданием загрузочной флешки возможны сложно, то загрузочный CD создать для большинства не проблема. Тем более, даю материалы по Alkid и LexPex в основном по клонированию дисков в Акронис (естественно только теорию, иначе после каждого занятия переустанавливать систему придется). А при наличии хотя бы одного экземпляра Cofee можно было бы на одном ПК демонстрацию устроить.
2) Судя по описанию cofee, это "интерактивный извлекатель доказательств из компьютеров" и "способна создавать целостные данные из фрагментарных доказательных элементов таким образом, чтобы их можно было представить в суде". Т.е. более функциональна по сравнению с Helix. 
3) Загрузочный Helix и загрузочная флешка Cofee, что по Вашему целесообразнее давать курсантам? Экспертов не готовим, потому навыков работы "ручками" не даем. Тем более, что на ознакомление с каждой темой по тематическим дисциплинам дается всего пара занятий. Сколько, по-Вашему, необходимо времени, чтобы ознакомиться с Helix по сравнению с Cofee?
Ну и 4) Если хочется пощупать office2010, то зачем предлагать OO?