следующая тема »

[Igor Michailov]

Wanted - a second hand Safeback 2 and licence (or new if the price is right). Anyone in the market for selling one please contact me (info @ computer-forensics-lab.org).

[Urix]

Игорь! Первая заповедь эксперта - не измени! Если мне что-то надо проанализировать, то я обычно подключаю жесткий диск к компу с unix-ом, монтирую как read only и смотрю этот девайс. Все прозрачно и ничего изменить нельзя. А second hand - это секонд хэнд.

[Igor Michailov]

Спасибо. Я в курсе, и за свойства UNIX/Linux и за свойства программ DD, DCFLDD. Однако кроме первой заповеди есть и другие, например : получаемые результаты должны быть воспроизводимы, т.е. необходимо делать копии тремя- четырьмя программами, чтобы быть уверенным, что используемая программа дает правильный и воспроизводимый результат... ну и т.д. подробности в ПМ.

Кроме того, Safeback 2, предназначена не для блокирования записи на исследуемый носитель, а для его судебного дублирования в среде DOS. Описание того, как сделать под DOS судебную загрузочную дискету встречал неоднократно. Программные блокираторы записи под эту ОС существуют, причем, бесплатные (для сотрудников правоохранительных органов).

[Igor Michailov]

06.11.2006

Mount Image Pro v.2. Руководство пользователя на русском языке (для версии 2.02).

Mount Image Pro – утилита, которая может монтировать файл-образы (как физических накопителей, так и логических разделов) как логические диски в ОС  Windows. Поддерживаются следующие типы образов (файл-образов):

•   Образы, созданные программой  EnCase® - все версии, включая сжатые и защищённые паролём образы;
•   Образы, созданные  программой SMART®;
•   Образы в формате Raw (созданные такими программами, как “dd” в Linux); и
•   Образы ISO.

Программа Mount Image Pro, прежде всего, используется судебными экспертами, следователями, адвокатами и отдельными лицами, чтобы получить быстрый и полный доступ к содержимому образа. Mount Image Pro освобождает от  покупки дорогого судебного программного обеспечения, необходимого для просмотра содержимого образов. Она отображает все файлы, содержащиеся в образе, как файлы, расположенные на логическом диске в ОС Windows.

...

Подробнее: http://computer-forensics-lab.org/lib/?rid=41

Скачать пробную версию программы Mount Image Pro v.2 (работает в полнофункциональном режиме в течении 30 дней) можно по адресу: http://www.mountimage.com/

[Igor Michailov]

Mount Image Pro v.2. Файл справки на русском языке.
http://computer-forensics-lab.org/lib/?cid=99

[Urix]

В статье про linux есть серьезная ошибка: отсутствует описание дампа ядра из памяти COREDUMP.

[Igor Michailov]

Насчет обнаружения ошибки: Буду благодарен если Вы сможете ее подробнее описать написав мне в ПМ. Возможно это не наша ошибка а автора исходного текста. Ведь наша работа - это только перевод англоязычной статьи.

[Igor Michailov]

Ответ на задачу №1 опубликованную 03.06.2006.
http://computer-forensics-lab.org/lib/?cid=93

[Igor Michailov]

SMS в помощь криминалистам
Источник:http://www.fictionbook.ru/author/kompyuterra/kompyuterra_650_jurnal_kompyuterra_n_30_ot_22_avgusta_2006_goda/
kompyuterra_kompyuterra_650_jurnal_kompyuterra_n_30_ot_22_avgusta_2006_goda.html

В Великобритании запущен интересный научно-исследовательский проект, цель которого – разработать эффективные методы выявления характерных лингвистических структур в SMS-сообщениях для надежного установления автора послания. Короткие текстовые сообщения, отправляемые и хранимые с помощью сотовых телефонов, ныне часто фигурируют в судах и уголовных расследованиях при доказательстве вины или, напротив, алиби подозреваемых. Поэтому ученые факультета судебно-медицинской психологии в Университете Лестера, где начато новое исследование, надеются обобщить уже имеющиеся практические результаты и выработать новые технологии анализа, что должно стать серьезным подспорьем в работе криминалистов.
   Одним из толчков, побудивших исследователей к более глубокому изучению проблемы, стало нашумевшее дело об убийстве эссекской школьницы Дэниэл Джонс (Danielle Jones), где анализ SMS сыграл решающую роль в установлении преступника. Пятнадцатилетняя девочка исчезла летом 2001 года; расследование вывело детективов полиции на ее дядю Стюарта Кэмпбела (Stuart Campbell), которого обвинили в похищении и убийстве племянницы. В качестве главного алиби, выдвинутого защитой для доказательства невиновности Кэмпбела, послужили два SMS-послания, отправленные с телефона девочки уже после ее исчезновения и снимающие подозрения с дяди. Подробный анализ SMS-текстов в телефоне Джонс, сделанный лингвистами криминалистической экспертизы, показал существенные различия в написании слов и речевых конструкций сообщений, отправлявшихся до и после пропажи девочки. Это позволило доказать, что два ключевых для следствия SMS были отправлены с телефона племянницы самим Кэмпбелом, дабы обеспечить себе алиби. На основании этого и других доказательств Стюарт Кэмпбел был признан виновным и осужден на пожизненное заключение.
   Нынешнее SMS-исследование Лестерского университета рассчитано на полгода и проводится с привлечением сотни добровольных помощников-испытуемых, набранных в Интернете. Каждому из участников предлагается анонимно отправить десять кратких сообщений произвольного содержания. Получив таким образом около тысячи SMS-текстов, ученые намерены с их помощью проверить наработанные технологии анализа для установления авторства. В сравнении с обычными письмами для SMS эта задача существенно упрощается, поскольку краткие телефонные записки отличаются неформальным использованием языка и общепринятых правил письма. Благодаря этому ярко проявляются индивидуальные различия пишущих, а значит, и упрощается установление авторства. Более того, у ученых есть веские основания полагать, что, отточив уже имеющиеся методики анализа, со временем станет возможным надежно устанавливать также пол и примерный возраст автора послания. – Б.К.

[Igor Michailov]

Что должен иметь в чемодане эксперт выезжающий на осмотр компьютерной техники? Мнения. Пожелания. Практические советы.

Вот, для примера, что берет с собой американский полицейский, выезжая на осмотр компьютерной техники:

КАБЕЛИ
SATA
IDE
USB
Сетевой кабель компьютер-компьютер
Parallel
USB mini connectors
Кабели для подключения питания  HDD
Firewire 400 / 800
Кабели для подключения HDD ноутбуков
SCSI

АДАПТЕРЫ
2,5->3,5 IDE
1,8->3,5 IDE
USB ->3.5 IDE
SATA ->3,5 IDE

АКСЕССУАРЫ
Записная книжка с пронумерованными страницами
Ручки и карандаши
Антистатические мешки
Пакеты, для упаковки сотовых телефонов
Маркеры
Бланки
Бирки
Ярлыки
Запасные элементы питания
Скотч
Упаковочные пакеты

ОБОРУДОВАНИЕ
Фонарик
Блокиратор записи
Ноутбук и сумка
Универсальный адаптер питания для ноутбука
Внешний бокс (Firewire/USB) для подключения HDD
Цифровая камера
Дополнительные носители для цифровой камеры (принято использовать компакт-диски)
Антистатический мат
Hardcopy II (устройство для автономного дублирования HDD)
Портативные: клавиатура, мышь и сенсорная панель
Чистые дискеты
USB 2.0 PCMCIA карта
Набор инструментов
Электронный ключ Encase
HDD  для ноутбука с предустановленной Windows XP
PCI карта с контроллером IDE
Дополнительные HDD (предварительно подвергнутые специальной очистке) или переносной RAID-массив
Чистые CD-R / DVD-R
Ремень на запястье для снятия статического электричества
Лупа
Фотовспышка

ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ
FIRE (загрузочный CD)
Helix (загрузочный CD)
Coroners ToolKit
cygwin
Found Stone Tools
Sysinternal Tools
Encase загрузочный CD или дискета
WinPE
Компакт диски с базами хэшей (Hash Sets)