следующая тема »

[Igor Michailov]

http://www.e-evidence.info/other.html -
список ссылок на бесплатное ПО, которое может быть использовано при проведении КТЭ, впечатляет.

[Igor Michailov]

Digital Detective -Freetools

http://www.digital-detective.co.uk/freetools.asp :

RIE - Registry Information Extractor
CookieView - Cookie Decoder
Stealer - Find Cached Passwords
Webdate
MD5 & Hashing Utilities
MS Access Database Password Decoder
Decode - Forensic Date/Time Decoder
FDTE - File Date time Extractor
Text2Hex
RIE - Registry Information Extractor
AIM Password Decoder
FavURLView - Favourite Viewer
SnapView HTML Viewer

[Cyberment]

Небольшое резюме по теме.
Огромный респект Игорю Михайлову за высказанные рекомендации по поводу свободно распространяемых программ для проведения компьютерных исследований.
К большому сожалению мне не удалось достать ILook. Не представляю как доказать америкосам, что я сотрудник, скан ксивы что-ли отправлять  
Не удалось приспособить демо версии платных пакетов (encase, FTK, SMART) для логически завершенной экспертизы.
Очень понравилась оболочка Helix http://www.e-fense.com, по первым впечатлениям вполне конкурентна серьезным платным пакетам. Сейчас с ней разбираюсь.

[Igor Michailov]

ProDiscover Basic:
http://toorcon.techpathways.com/uploads/ProDiscoverRelease455Basic.zip

http://toorcon.techpathways.com/uploads/ProDiscoverBasicPR.pdf

Бесплатна и очень даже функциональна. Если руки растут оттуда откуда надо - позвляет многие из экспертных задач решить  

Helix, одна из лучших в своем классе. В последней версии появился даже русский интерфейс. Но, изначально она заточена не под нужды российских экспертов.

[Dmitry]

К большому сожалению мне не удалось достать ILook. Не представляю как доказать америкосам, что я сотрудник, скан ксивы что-ли отправлять  

Ну "для посмотреть и покрутить в руках" предыдущую версию ILook найти не проблема. По поводу доказать, на сайте в форме регистрации просят пользоваться служебным email (видимо, имеется в виду, что в этом случае email должен быть достаточно "говорящим", ну типа Jonh.Doe@forensiclab.fbi.gov), в противном случае просят помимо регистрации на сайте написать запрос на бланке организации. Правда, полной уверенности, что захотят работать с Россией ниже чем с министерского уровня у меня нет... В общем, если трудности с английским - обращайтесь, чем смогу - помогу.

[Marat]

Helix, одна из лучших в своем классе

А в чем принципиальное отличие от других?
К примеру от fccu,psk( Penguin Sleuth Kit) или f.i.r.e ?

[Igor Michailov]

А в чем принципиальное отличие от других?
К примеру от fccu,psk( Penguin Sleuth Kit) или f.i.r.e ?

Это вопрос к кому-то конкретно?  

[Cyberment]

Helix представляет собой загрузочный диск на основе knoppix (Linux), в котором собрано большое количество свободно распространяемых программ для анализа файловой системы (Penguin Sleuth Kit в том числе), реестра, создания образов (в том чиле в формате encase) и пр. В дополнение к этому на диске находятся программы для работы под Windows. Все подробнейшим образом описано в 300 страничном мануале. Правда нет такой функциональности как в FTK... Но зато с кодировками проблем никаких, плюс вся мощь Linux.

[Marat]

Helix представляет собой загрузочный диск на основе knoppix (Linux), в котором собрано большое количество свободно распространяемых программ для анализа файловой системы (Penguin Sleuth Kit в том числе), реестра, создания образов (в том чиле в формате encase) и пр. В дополнение к этому на диске находятся программы для работы под Windows. Все подробнейшим образом описано в 300 страничном мануале. Правда нет такой функциональности как в FTK... Но зато с кодировками проблем никаких, плюс вся мощь Linux.

Увы,если это ответ на мой вопрос-я не удовлеворен  
Перечисленные мной fccu,psk,fire и т.д.-тоже являются загрузочными дисками(некоторые базируются на knoppix,некоторые нет)и имеют практически такой же набор софта в том
числе и The Sleuth Kit(TSK)-не нужно его путать с загрузочным диском Penguin Sleuth Kit  

[Cyberment]

FCCU - консольный дистр. Бельгийского производства с хорошей документацией и примерами использования.
PSK - несколько староват, 2003 год.
F.I.R.E - тоже староват, но есть некоторые вкусности.
В общем идеального инструмента, который бы подешел не все случаи не существует. Наиболее близок к идеалу FTK   и возможно придется его купить, но только когда поддержку русских кодировок сделают (или по крайней мере позволят шрифты менять). Для себя я на ближайшее время я определися, по мере необходимости буду собирать нужные программы и встраивать их в свою Linux систему. Плюсов в таком подходе достаточно. Здесь буду оставлять ссылки на отобранные мной программы.