Форум ''Интернет и Право''

Основной раздел => Вопросы по экспертизам => Тема начата: Cyberment от 11 Июля 2005, 11:57:48



Название: Программы для компьютерных экспертиз
Отправлено: Cyberment от 11 Июля 2005, 11:57:48
Существует ли реальная альтернатива в свободном ПО коммерческим прогам для проведения комп. экспертиз?
ИХМО проги усиленно рекламируемые на http://computer-forensics-lab.org очень дороги и решают довольно ограниченный круг задач. Ну например, мне недавно было необходимо сравнить "свойства" около сотни файлов msword. В конце концов проблема решилась самим msword + printscreen. А если в другой раз не прокатит?
Предлагается создать здесь архив ссылок на свободное ПО (типа Web Historian).


Название: Re:Программы для компьютерных экспертиз
Отправлено: Igor Michailov от 28 Июля 2005, 02:34:03
Уважаемый, Cyberment.
Если ответить на Ваш вопрос кратко – ДА.
Для Windows - очень хорошо себя  зарекомендовала программа  ILOOK (программа распространяется бесплатно (для правоохранительных органов) http://www.ilook-forensics.org). По уровню предоставляемых ею возможностей, эта программа не уступает таким коммерческим продуктам как Encase и FTK.

Для среды Linux – оболочка Helix (вроде даже книга есть по ее использованию в области Computer Forensic (потом на amazon.com по точнее название посмотрю и укажу), Knopix и т.д. Вообще, под Linux бесплатных специализированных программных сред (для проведения исследований в области Computer Forensic) и бесплатных утилит очень много.

Ряд специализированных утилит от различных производителей экспертного ПО сотрудники правоохранительных органов также могут получить бесплатно (например: http://www.forensics-intl.com/lepolicy.html ; www.acesle.com и т.д.) или приобрести по сниженной цене (www.encase.com ; www.asrdata.com  и т.д.).

Раз уж прилетел камень в адрес моего сайта -  скажу следующее: публикация описаний (и русских мануалов) бесплатного ПО для проведения компьютерно-технических (компьютерных, информационно-аналитических) экспертиз планируется. Но, один я все сделать не успею. Есть возможность – помогите (и Вам и Вашим коллегам от этого будет одна польза).
;)

Гм, и еще. Проги на сайте я не рекламирую. Я информирую о их существовании.


Название: Re:Программы для компьютерных экспертиз
Отправлено: Cyberment от 28 Июля 2005, 19:35:32
Извините, Igor!
Я не предвидел, что мой вопрос Вы могли воспринять как "камень в огород", по крайней мере у меня такого умысла не было. Я всего лишь хотел сказать, что не знаю альтернативного ПО по данной тематике. Из всего многообразия я реально мог оценить пока только FTK. Программа очень хорошая, но один недостаток сводит на нет возможность ее использования в России - не понимает кодировок, даже 1251, и русских названий файлов.
Благодарю за информацию о свободном ПО, обязательно буду пробовать. Только есть вопрос, Вы писали о  Knopix, а я слышал о Linux дистрибутиве с подобным названием (вроде knoppix). Это ни одно и тоже?


Название: Re:Программы для компьютерных экспертиз
Отправлено: Igor Michailov от 28 Июля 2005, 19:56:50
Да под Knopix, я подразумевал Knoppix.

Еще ПО:

http://www.forensic-computing.ltd.uk/tools.htm#lab_tools

Penguin Sleuth Kit Bootable CD (http://linux-forensics.com/)


Название: Re:Программы для компьютерных экспертиз
Отправлено: Marat от 28 Июля 2005, 22:29:17
Цитировать
Я всего лишь хотел сказать, что не знаю альтернативного ПО по данной тематике
а поискать пробовал? ;)
Цитировать
Программа очень хорошая, но один недостаток сводит на нет возможность ее использования в России - не понимает кодировок, даже 1251, и русских названий файлов.
сильно-видать,специалист  ;D
глянь ради интереса ;)
_http://rapidshare.de/files/3438382/cyberment.png.html
(http://dl2.rapidshare.de/files/3438382/789547/cyberment.png)


Название: Re:Программы для компьютерных экспертиз
Отправлено: Igor Michailov от 29 Июля 2005, 04:28:12
Marat,  я копию картинки в другое место переложил. Rapidshare, в данном случае, не совсем удачное место. Подправь ссылку.

(http://computer-forensics-lab.org/img/cyberment.png)


Название: Re:Программы для компьютерных экспертиз
Отправлено: Cyberment от 30 Июля 2005, 20:36:46
1. Задать вопрос в форуме - это как раз один из возможных способов поиска. Собственно я как раз надеялся на то, что здесь в большинстве присутствуют специалисты использующие собственный инструментарий и могут если не поделится программкой, то хотя бы дать примерное направление где искать. За что огромный респект Igor Michailov.

2. Моя критика FTK основана как раз на довольно продолжительном использовании данного продукта. В приведенном Maratom случае FTK действительно правильно отображает русские названия файлов, а попробуйте работать с образом диска и вы увидите разницу. Попробуйте поиск (предпоследняя вкладка на картинке Marata) и вы, возможно, согласитесь со мной. Я тестировал старую и новую версии этого продукта - к сожалению они обе работают одинаково. Если есть необходимость, могу привести аналогичный пример.

3. Мое личное мнение по поводу программ, предназначенных для проведения экспертиз - они должны работать безупречно. Иначе у грамотного адвоката будет возможность поставить под сомнение не только ваш многодневный труд, но и вашу компетентность.


Название: Re:Программы для компьютерных экспертиз
Отправлено: Igor Michailov от 30 Июля 2005, 22:16:06
2. Моя критика FTK основана как раз на довольно продолжительном использовании данного продукта. В приведенном Maratom случае FTK действительно правильно отображает русские названия файлов, а попробуйте работать с образом диска и вы увидите разницу. Попробуйте поиск (предпоследняя вкладка на картинке Marata) и вы, возможно, согласитесь со мной. Я тестировал старую и новую версии этого продукта - к сожалению они обе работают одинаково. Если есть необходимость, могу привести аналогичный пример.
Приводите свой пример. Очень интересно.

Под новой версией FTK Вы подразумеваете 1.60?

3. Мое личное мнение по поводу программ, предназначенных для проведения экспертиз - они должны работать безупречно. Иначе у грамотного адвоката будет возможность поставить под сомнение не только ваш многодневный труд, но и вашу компетентность.
Не устану повторять – аудит результатов, получаемых в ходе проведения экспертизы -ОБЯЗАТЕЛЕН.


Название: Re:Программы для компьютерных экспертиз
Отправлено: Marat от 30 Июля 2005, 23:30:52
Цитировать
Попробуйте поиск (предпоследняя вкладка на картинке Marata) и вы, возможно, согласитесь со мной
да вполне согласен,а если использовать
live search-unicode search-то не соглашусь.
индексация не поддерживается,а простой поиск -без проблем.
Ну и самое главное на ftk свет клином не сошелся.


Название: Re:Программы для компьютерных экспертиз
Отправлено: Igor Michailov от 31 Июля 2005, 06:07:25
Собственно я как раз надеялся на то, что здесь в большинстве присутствуют специалисты использующие собственный инструментарий и могут если не поделится программкой, то хотя бы дать примерное направление где искать.

Обычно, такие программки пишу под решение конкретных экспертных задач.

Цитировать
Ну например, мне недавно было необходимо сравнить "свойства" около сотни файлов msword. В конце концов проблема решилась самим msword + printscreen. А если в другой раз не прокатит?

Воспользуйся например, программой Metadata Miner Catalogue (http://peccatte.karefil.com/software/Catalogue/MetadataMiner.htm)

Сильно помогает. Хотя и платная.


Название: Re:Программы для компьютерных экспертиз
Отправлено: Igor Michailov от 17 Сентября 2005, 06:55:31
http://www.e-evidence.info/other.html -
список ссылок на бесплатное ПО, которое может быть использовано при проведении КТЭ, впечатляет.


Название: Re:Программы для компьютерных экспертиз
Отправлено: Igor Michailov от 17 Сентября 2005, 07:04:24
Digital Detective -Freetools

http://www.digital-detective.co.uk/freetools.asp :

RIE - Registry Information Extractor
CookieView - Cookie Decoder
Stealer - Find Cached Passwords
Webdate
MD5 & Hashing Utilities
MS Access Database Password Decoder
Decode - Forensic Date/Time Decoder
FDTE - File Date time Extractor
Text2Hex
RIE - Registry Information Extractor
AIM Password Decoder
FavURLView - Favourite Viewer
SnapView HTML Viewer


Название: Re:Программы для компьютерных экспертиз
Отправлено: Cyberment от 20 Марта 2006, 21:11:36
Небольшое резюме по теме.
Огромный респект Игорю Михайлову за высказанные рекомендации по поводу свободно распространяемых программ для проведения компьютерных исследований.
К большому сожалению мне не удалось достать ILook. Не представляю как доказать америкосам, что я сотрудник, скан ксивы что-ли отправлять  ;D
Не удалось приспособить демо версии платных пакетов (encase, FTK, SMART) для логически завершенной экспертизы.
Очень понравилась оболочка Helix http://www.e-fense.com, по первым впечатлениям вполне конкурентна серьезным платным пакетам. Сейчас с ней разбираюсь.


Название: Re:Программы для компьютерных экспертиз
Отправлено: Igor Michailov от 21 Марта 2006, 05:25:26
ProDiscover Basic:
http://toorcon.techpathways.com/uploads/ProDiscoverRelease455Basic.zip

http://toorcon.techpathways.com/uploads/ProDiscoverBasicPR.pdf

Бесплатна и очень даже функциональна. Если руки растут оттуда откуда надо - позвляет многие из экспертных задач решить  ;)

Helix, одна из лучших в своем классе. В последней версии появился даже русский интерфейс. Но, изначально она заточена не под нужды российских экспертов.


Название: Re:Программы для компьютерных экспертиз
Отправлено: Dmitry от 21 Марта 2006, 13:33:46
К большому сожалению мне не удалось достать ILook. Не представляю как доказать америкосам, что я сотрудник, скан ксивы что-ли отправлять  ;D

Ну "для посмотреть и покрутить в руках" предыдущую версию ILook найти не проблема. ;) По поводу доказать, на сайте в форме регистрации просят пользоваться служебным email (видимо, имеется в виду, что в этом случае email должен быть достаточно "говорящим", ну типа Jonh.Doe@forensiclab.fbi.gov), в противном случае просят помимо регистрации на сайте написать запрос на бланке организации. Правда, полной уверенности, что захотят работать с Россией ниже чем с министерского уровня у меня нет... В общем, если трудности с английским - обращайтесь, чем смогу - помогу.


Название: Re:Программы для компьютерных экспертиз
Отправлено: Marat от 21 Марта 2006, 17:28:32
Цитировать
Helix, одна из лучших в своем классе

А в чем принципиальное отличие от других?
К примеру от fccu,psk( Penguin Sleuth Kit) или f.i.r.e ?


Название: Re:Программы для компьютерных экспертиз
Отправлено: Igor Michailov от 21 Марта 2006, 19:58:56
А в чем принципиальное отличие от других?
К примеру от fccu,psk( Penguin Sleuth Kit) или f.i.r.e ?

Это вопрос к кому-то конкретно?  ;)


Название: Re:Программы для компьютерных экспертиз
Отправлено: Cyberment от 25 Марта 2006, 09:55:59
Helix представляет собой загрузочный диск на основе knoppix (Linux), в котором собрано большое количество свободно распространяемых программ для анализа файловой системы (Penguin Sleuth Kit в том числе), реестра, создания образов (в том чиле в формате encase) и пр. В дополнение к этому на диске находятся программы для работы под Windows. Все подробнейшим образом описано в 300 страничном мануале. Правда нет такой функциональности как в FTK... ;) Но зато с кодировками проблем никаких, плюс вся мощь Linux.


Название: Re:Программы для компьютерных экспертиз
Отправлено: Marat от 25 Марта 2006, 19:14:06
Helix представляет собой загрузочный диск на основе knoppix (Linux), в котором собрано большое количество свободно распространяемых программ для анализа файловой системы (Penguin Sleuth Kit в том числе), реестра, создания образов (в том чиле в формате encase) и пр. В дополнение к этому на диске находятся программы для работы под Windows. Все подробнейшим образом описано в 300 страничном мануале. Правда нет такой функциональности как в FTK... ;) Но зато с кодировками проблем никаких, плюс вся мощь Linux.

Увы,если это ответ на мой вопрос-я не удовлеворен  :'(
Перечисленные мной fccu,psk,fire и т.д.-тоже являются загрузочными дисками(некоторые базируются на knoppix,некоторые нет)и имеют практически такой же набор софта в том
числе и The Sleuth Kit(TSK)-не нужно его путать с загрузочным диском Penguin Sleuth Kit  ;)


Название: Re:Программы для компьютерных экспертиз
Отправлено: Cyberment от 26 Марта 2006, 09:33:49
FCCU - консольный дистр. Бельгийского производства с хорошей документацией и примерами использования.
PSK - несколько староват, 2003 год.
F.I.R.E - тоже староват, но есть некоторые вкусности.
В общем идеального инструмента, который бы подешел не все случаи не существует. Наиболее близок к идеалу FTK  :( и возможно придется его купить, но только когда поддержку русских кодировок сделают (или по крайней мере позволят шрифты менять). Для себя я на ближайшее время я определися, по мере необходимости буду собирать нужные программы и встраивать их в свою Linux систему. Плюсов в таком подходе достаточно. Здесь буду оставлять ссылки на отобранные мной программы.


Название: Re:Программы для компьютерных экспертиз
Отправлено: Igor Michailov от 26 Марта 2006, 11:24:57
И образ не забудь куда-нить выложить.


Название: Re:Программы для компьютерных экспертиз
Отправлено: Igor Michailov от 26 Марта 2006, 12:27:33
Наиболее близок к идеалу FTK  :(
FTK- позволяет исследовать только ОС Windows (соответственно только FAT, NTFS). Удаленные файлы  FTK восстанавливает очень плохо. >:(
Гораздо более продвинутo-универсальная  экспертная программа - Encase (там есть свои огрехи, ну не суть). Вот кто-бы еще нормальное описание Enscripts для ее четвертой версии составил (по типу как это сделали в пятой версии)  ;)
Цены бы ей небыло.


Название: Re:Программы для компьютерных экспертиз
Отправлено: Igor Michailov от 08 Апреля 2006, 06:52:06
Все подробнейшим образом описано в 300 страничном мануале...

Может я и ошибаюсь, но  мне известен только один подобный документ объемом 339 страниц:

Helix 1.7 for Beginners
by BJ Gleason and Drew Fahey

http://www.e-fense.com/helix/Docs/Helix0307.pdf

но это отнюдь не мануал. :(

Мануал к Helix ищется. Нашедшим просьба отписать в ПМ.