Николай Николаевич Федотов
|
|
« Ответ #30 : 03 Июня 2005, 11:23:14 » |
|
Естественно, результат действия всяких "хакерских", несертефицированных для применения в данной области, утилит - голая информация, не представляющая для суда никакого интереса.
А вот с этим утверждением я бы поспорил. Во-первых. Кто в РФ уполномочен сертифицировать ПО для применения в КТЭ? Нет такого органа, нет таких положений и РД. Во-вторых. "Хакерская" утилита и утилита от известного производителя выпускаются с совершенно одинаковыми гарантиями - "as is" и "мы ни за что не отвечаем".
|
|
|
Записан
|
|
|
|
Igor Michailov
|
|
« Ответ #31 : 03 Июня 2005, 19:00:31 » |
|
Да, необходим контроль получаемых при производстве экспертизы результатов. Так как, в каждом случае, на кон поставлена судьба конкретного человека.
|
|
|
Записан
|
Юридические консультации.
Помощь в составлении жалоб и ходатайств.
Заверение контента сайтов, Интернет-страниц, электронной почты.
|
|
|
Dimon
Участник
Офлайн
Сообщений: 802
No comments
|
|
« Ответ #32 : 05 Июня 2005, 07:36:12 » |
|
Конечно, конечно - все описываемые продукты и названия фирм выдуманы , любые совпадения случайны. Александр, я надеюсь, Вы шутку поняли? Соласно ст.2 ФЗ "О рекламе" от 14 июня 1995г: "реклама - распространяемая в любой форме, с помощью любых средств информация о физическом или юридическом лице, товарах, идеях и начинаниях (рекламная информация), которая предназначена для неопределенного круга лиц и призвана формировать или поддерживать интерес к этим физическому, юридическому лицу, товарам, идеям и начинаниям и способствовать реализации товаров, идей и начинаний..." -Круг лиц, для кого предназначена информация, четко определен (см.выше), поэтому тема и находится в разделе форума "Компьютерные преступления", а не "Общие обсуждения" или "Беседка". Т.е. информация в ветке не предназначена для неопределенного круга лиц. -"...и способствовать реализации товаров, идей и начинаний..." - кое-что из описываемых программных продуктов и тех.средств Вы не купите даже при очень большом желании, абы-кабы кому такие вещи не продают. Т.е. я так понимаю, что информация в данной ветке рекламой не является (согласно существующего законодательства). Или я не прав? Как бы мы тут ни ругались или не братались друг с дружкой, но обычно создатели форумов заинтересованы в том, чтобы у них на сайте присутствовали грамотные люди, а потому подобные вопросы обычно решаются фразами типа, ну если вам не нужно, я с этими новостями уйду на sec.......lab, где меня не только журить не будут, но еще и встретят с распростертыми объятиями Но если серьезно, то 31.05.2005 Автор:Ernest Baca Перевод: Фомичев А.Н. Название:Введение в Linux для специалистов в области компьютерной безопасности и судебных экспертов. Источник: http://computer-forensics-lab.org/Введение в Linux для специалистов в области компьютерной безопасности и судебных экспертов. (Презентация) Подробнее: http://computer-forensics-lab.org/lib/?cid=22Автор:Mariusz Burdach Перевод: Дмитрий Цирлин Название:Криминалистический анализ работающей компьютерной системы под управлением ОС Linux. Источник: http://computer-forensics-lab.org/Криминалистический анализ работающей компьютерной системы под управлением ОС Linux. В процессе расследования и ликвидации последствий компьютерных инцидентов часто приходится сталкиваться с ситуацией, когда пользователь или администратор оставляет скомпрометированную компьютерную систему во включенном состоянии. Это дает замечательную возможность получить важную информацию, которая была бы безвозвратно утеряна при выключении системы. Я говорю о таких вещах как запущенные процессы, открытые TCP/UDP порты, образы программ, которые были удалены с носителей, но все еще активны в ОЗУ, содержимое буферов, очередь запросов на установление сетевых соединений, список установленных соединений и программные модули, загруженные в области виртуальной памяти, зарезервированные для ядра ОС. Все эти данные могут помочь исследователю при дальнейшем поиске и анализе криминалистических следов в лабораторных условиях. Более того, если компьютерный инцидент произошел относительно недавно, мы можем восстановить почти все данные, использовавшиеся злоумышленником, и последовательность его действий... Часть 1: http://computer-forensics-lab.org/lib/?cid=23Часть 2: http://computer-forensics-lab.org/lib/?cid=24 Каким образом определяется, какая информация может быть открыта, а какая закрыта. Ведь данные книжки с большой долей уверенности можно говорить, что прочитают и представители "другой стороны", стало быть, будут знать, как замести следы в случае чего, что затруднит сбор доказательств и объективное расследование дела.
|
|
|
Записан
|
|
|
|
Marat
Посетитель
Офлайн
Сообщений: 62
С любовью к ближнему
|
|
« Ответ #33 : 05 Июня 2005, 23:45:57 » |
|
что прочитают и представители "другой стороны", стало быть, будут знать, как замести следы в случае чего, что затруднит сбор доказательств и объективное расследование дела. На сегодняшний день,"другая сторона" знает зачастую больше Логично предположить,что следующим будет предложение ограничить продажу криминалистического софта-только по предъявлению корочек и характеристики от начальства или удостоверения "Юный помощник милиции"
|
|
|
Записан
|
|
|
|
Igor Michailov
|
|
« Ответ #34 : 06 Июня 2005, 04:40:40 » |
|
Ведь данные книжки с большой долей уверенности можно говорить, что прочитают и представители "другой стороны", стало быть, будут знать, как замести следы в случае чего, что затруднит сбор доказательств и объективное расследование дела.
Человечество, в целом, прекрасно осознает, что пить и курить вредно для здоровья. Однако, продолжает и пить и курить.
|
|
|
Записан
|
Юридические консультации.
Помощь в составлении жалоб и ходатайств.
Заверение контента сайтов, Интернет-страниц, электронной почты.
|
|
|
Igor Michailov
|
|
« Ответ #35 : 06 Июня 2005, 05:08:36 » |
|
06.06.2005Автор:Собецкий И.В. Название:Организация технико-криминалистической экспертизы компьютерных систем. Источник: http://www.securitylab.ru/41165.htmlОрганизация технико-криминалистической экспертизы компьютерных систем. "В предыдущей статье мною было проанализировано доказательственное значение лог-файлов, получаемых в ходе расследования уголовных дел о правонарушениях в сфере компьютерной информации. Однако остается ещё один не менее важный вопрос – о производстве экспертизы разного рода компьютерных систем. Такая экспертиза может потребоваться как в гражданском (в случае споров об ответственности между заказчиком и подрядчиком, о наступлении страхового случая, невиновном причинении вреда), так и в уголовном процессе (исследование техники, принадлежавшей правонарушителям либо потерпевшим, для установления истины по делу). В то же время сейчас перед юристами и экспертами по информационной безопасности стоят многие проблемы, затрудняющие производство таких экспертных исследований и использование их результатов в гражданском и уголовном процессе. Очевидно, что проводимая в рамках уголовного процесса экспертиза компьютерной техники может предоставить в распоряжение следователя и суда весомые доказательства вины (или невиновности) подсудимого. Это касается не только преступлений в сфере компьютерной информации, но и большей части преступлений экономической направленности и некоторых общеуголовных (например, незаконного распространение порнографических материалов или предметов, мошенничества, подделки документов и т.п.). Как известно, любая организованная деятельность, в том числе преступная, не может обходиться без учёта, а в современных условиях большинство видов учёта успешно автоматизировано посредством компьютерной техники. Характерным примером использования результатов технико-криминалистической экспертизы явилось дело НК «ЮКОС», когда владельцу компании М.Б. Ходорковскому были предъявлены обвинения на основании данных, полученных именно в результате экспертизы изъятых в НК компьютеров. Однако технико-криминалистическая экспертиза компьютерной техники, в отличие от многих других экспертиз, до сих пор не поставлена «на поток». Что позволено Юпитеру, не позволено быку – по сотням менее громких дел технико-криминалистическую экспертизу компьютерных систем проводить некому и некогда. ..." Интересная, но довольно спорная как с юридической, так и с методологической точки зрения работа. Следует отметить , что обсуждение данной статьи на форуме "Интернет и Право" занимает более 13 страниц ( http://www.internet-law.ru/forum/index.php?board=9;action=display;threadid=247 ). Подробнее: http://computer-forensics-lab.org/lib/?cid=25
|
|
|
Записан
|
Юридические консультации.
Помощь в составлении жалоб и ходатайств.
Заверение контента сайтов, Интернет-страниц, электронной почты.
|
|
|
Igor Michailov
|
|
« Ответ #36 : 06 Июня 2005, 05:16:50 » |
|
Как бы мы тут ни ругались или не братались друг с дружкой, но обычно создатели форумов заинтересованы в том, чтобы у них на сайте присутствовали грамотные люди, а потому подобные вопросы обычно решаются фразами типа, ну если вам не нужно, я с этими новостями уйду на sec.......lab, где меня не только журить не будут, но еще и встретят с распростертыми объятиями Все было совсем не так Никаких условий- типа "ну если вам не нужно, я с этими новостями уйду на ..."- я не выдвигал.
|
|
|
Записан
|
Юридические консультации.
Помощь в составлении жалоб и ходатайств.
Заверение контента сайтов, Интернет-страниц, электронной почты.
|
|
|
Igor Michailov
|
|
« Ответ #37 : 16 Июня 2005, 05:34:51 » |
|
16.06.2005Выложены описания некорректных моментов работы программы Encase FE, выявленные за прошедшую неделю. -Некорректное добавление сменных носителей в CASE. -Неточность в работе Encase FE 4, вызванная внешней программой. -Тест Encase FE 4.18a для DOS. Подробнее: http://computer-forensics-lab.org/lib/?rid=29
|
|
|
Записан
|
Юридические консультации.
Помощь в составлении жалоб и ходатайств.
Заверение контента сайтов, Интернет-страниц, электронной почты.
|
|
|
Dmitry
Участник
Офлайн
Пол:
Сообщений: 630
Я не юрист, и даже не сын его.
|
|
« Ответ #38 : 16 Июня 2005, 10:29:12 » |
|
-Тест Encase FE 4.18a для DOS.
Насколько я помню, по умолчанию Encase для DOS для доступа к диску использует интерфейс INT13. Соответственно, геометрия диска определяется так, как его видит BIOS. Учитывая всевозможные варианты трансляции адресов, полученные результаты вполне ожидаемы. Вы не пробовали использовать в Encase 'Direct ATA' (кажется так это в нем обозвано) вместо 'INT13'? Кстати, даже если создана абсолютно точная копия (диск в диск, точно такая же модель) при дальнейшем исследовании в лаборатоном компьютере могут вылезти сюрпризы, если окажется, что лабораторный компьютер/OS транслирует адреса иным образом, чем это делал изъятый. При исследовании эти особенности трансляции следует учитывать, ибо может оказаться, что обнаруженная картинка "детского порно" (привет yandex) на самом деле находится в области, которая не адресуется на изъятом компьютере, а осталась там, например, от предыдущего владельца, использовавшего не DOS, a Linux.
|
|
|
Записан
|
|
|
|
Igor Michailov
|
|
« Ответ #39 : 16 Июня 2005, 12:15:33 » |
|
Я же писал, что тестировал на четырех разных машинах. Следует отметить, что на старых контроллерах (мат.платы для процессоров Pentium, Pentium-II) Encase для DOS выдает результаты аналогичные BIOSовским, это же подтверждает и утилита от PQ. А вот на новых контроллерах (мат.платы под Pentium –IV и Athlon) – безбожно врет.
|
|
|
Записан
|
Юридические консультации.
Помощь в составлении жалоб и ходатайств.
Заверение контента сайтов, Интернет-страниц, электронной почты.
|
|
|
|
|