Порекомендуйте прогу для снятия образа жесткого диска

Доказательства и доказывание по делам о компьютерных преступлениях.
Методика расследования компьютерных преступлений. Тактика проведения
следственных действий.

Модераторы: cybercop, Ант, Igor Michailov

Порекомендуйте прогу для снятия образа жесткого диска

Сообщение rosti » Пт авг 12, 2005 6:02 am

С учетом отсутствия на сегодняшний день специальной техники и методик для исследования компьютерной информации, возникают большие трудности с исследованием жесткого диска подозреваемого.

Порекомендуйте, какую прогу для снятия образа жесткого диска лучще использовать для этих целей?
Аватара пользователя
rosti
участник
 
Сообщения: 38
Зарегистрирован: Пт авг 12, 2005 5:38 am

Re: Порекомендуйте прогу для снятия образа жесткого диска

Сообщение cybercrime » Пт авг 12, 2005 6:22 am

rosti писал(а):С учетом отсутствия на сегодняшний день специальной техники и методик для исследования компьютерной информации, возникают большие трудности с исследованием жесткого диска подозреваемого.

Порекомендуйте, какую прогу для снятия образа жесткого диска лучще использовать для этих целей?

Ну зачем так категорично по поводу отсутствия техники и методик...
Тут больше проблема в отсутсвии стандартных методик и программно-технического обеспечения для криминалистического исследования компьютерой информации.

Для анализа информации и исследования жесткого диска - вся работа должна производится только с образом диска. Сегодня самым старым и самым надёжным экспертным средством остаётся программа Disc Editor из набора Norton Utilites. :)

Для снятия образа диска я пользуюсь порограммой Acronis True Image + ноутбук + мобильный жесткий диск.

Acronis - позволяет создавать точные образ жесткого диска и/или отдельных его разделов прямо в Windows без перезагрузки в DOS.
Образ диска представляет собой файл, включающий абсолютно все данные, в том числе загрузочные записи, операционную систему, приложения, файлы с данными, фотографии и фильмы, электронную почту, обновления системы и настройки и любые другие находящиеся на диске данные.

Есть правда еще куча "забугорных" программ типа - EnCase. EnCase Forensic Edition, производства фирмы Guidance Software Inc. (США) - это программное обеспечение сбора и анализа компьютерных данных, работающее в среде Windows, предназначенное для криминалистического исследования компьютерных носителей информации и основанное на международных спецификациях и требованиях, предъявляемых к деятельности правоохранительных органов.
Аватара пользователя
cybercrime
завсегдатай
 
Сообщения: 241
Зарегистрирован: Пт июн 06, 2003 9:07 am

Re: Порекомендуйте прогу для снятия образа жесткого диска

Сообщение rosti » Вс авг 14, 2005 1:02 pm

Спасибо!

А что можно сказать о FastBloc, насколько эффективно использовать это программно-аппарат. устройство для криминалистических исследований содержимого жесткого диска?
Аватара пользователя
rosti
участник
 
Сообщения: 38
Зарегистрирован: Пт авг 12, 2005 5:38 am

Сообщение Igor Michailov » Пн авг 15, 2005 5:33 pm

Насчет FastBloc:

У нас есть два подобных устройства: одно – выполнено в виде модуля встраиваемого в системный блок, другое в виде внешнего модуля. Подключать можно жесткие диски только по шине IDE/ATA. С FastBloc’ом поставляется переходник позволяющий подключать жесткие диски форм-фактора 2,5”(в основном, используются в ноутбуках). Столкнулись с такой ситуацией, одни жесткие диски (форм-фактор 2,5”) воспринимает первый FastBloc второй в упор не видит и наоборот.

На мой взгляд, устройство не стоит тех денег (минимум 450$) которые Вы потратите на его приобретение.

Например:
Прикупив аппаратный блокиратор USB –портов ( http://www.cooldrives.com/fi800i13toid4.html )
+ внешний Mobile Rack (для жестких дисков IDE) подключаемый по USB + переходник для жестких дисков форм-фактора 2,5” + внешний Mobile Rack (для жестких дисков SATA) подключаемый по USB – Вы за 200$ получите аппаратный комплекс превышающий по своим возможностям FastBloc.
И это не учитывая то, что через аппаратный блокиратор USB можно «безопасно» подключать и другие накопители информации (флэш-накопители, цифровые видео- фото- камеры, флэш карт ридеры и т.д.).

Если у Вас много денег купите, например, ForensicPC Ultimate Write Block Kit ( http://www.forensicpc.com/proddetail.asp?prod=UWBK ). Поддерживаемые типы накопителей:
• Parallel ATA (IDE)
• Notebook Drives (жесткие диски для ноутбуков (форм-фактора 2,5”))
• Serial ATA
• SCSI 50-pin
• SCSI 68-pin
• SCSI 80-pin
• All memory card formats (карты памяти всех форматов)
• Any other SCSI or IDE Device! (другие SCSI и IDE накопители)

Насчет программы клонирования:
Я рекомендую dd (Linux). Бесплатна. Проверена. Надежна. Имеет массу функций не реализованных даже в «навороченных» коммерческих программах. Есть версии dd портированные под Windows (например, dd в Cygwin). Загрузив Linux с самозагружаемого компакт-диска и смонтировав исследуемый накопитель в режиме «только чтение» Вы можете быть уверены, что не повредите (и не внесете изменения) в данные находящиеся на этом накопителе. Образы накопителей информации, созданные данной программой (dd), поддерживаются практически всеми экспертными системами (Encase, FTK, ILook, ProDiscover и т.д.) и программами «монтировщиками» (Mount Image Pro и т.д.).

Извиняюсь перед модераторами данного форума:
Описания коммерческих программ для исследования компьютерной техники:
http://www.internet-law.ru/forum/index. ... 75;start=0

Описания бесплатных программ для исследования компьютерной техники:
http://www.internet-law.ru/forum/index. ... eadid=1287

Вопросы, пожелания, предложения: info @ computer-forensics-lab.org
Аватара пользователя
Igor Michailov
завсегдатай
 
Сообщения: 237
Зарегистрирован: Пн авг 15, 2005 5:22 pm

Мобильная система создания образов жестких дисков

Сообщение cybercrime » Вт авг 16, 2005 10:34 am

Есть еще забугорная мобильная система создания образов жестких дисков фирмы Vogon International предназначена для быстрого и эффективного копирования больших объемов данных с жестких дисков исследуемого компьютера с абсолютной гарантией целостности изымаемой информации. Носитель, на который копируются изымаемые данные, может быть, в дальнейшем, транспортирован на значительные расстояния к месту проведения компьютерно-технической экспертизы. Программное обеспечение создания образов жестких дисков было разработано Vogon и прошло отладку в течение прошлого десятилетия. Оно предполагает высокую скорость работы по созданию образов жестких дисков с одновременным выполнением всесторонней проверки копируемой информации и имеет встроенную защиту от сбоев. Информация, записанная в виде образа жесткого диска не зависит от вида файловой системы находившейся на копируемом жестком диске.

Есть вопрос!
А известны ли кому аналоги FastBloc, Vogon Internationa или иных крим. программно-аппаратных комплексов российкого или укр. производства?
Если да, то please ссылку.
Аватара пользователя
cybercrime
завсегдатай
 
Сообщения: 241
Зарегистрирован: Пт июн 06, 2003 9:07 am

Сообщение Igor Michailov » Вт авг 16, 2005 1:21 pm

Cimercrime,

В последнем Вашем сообщении мне особо понравилась фраза «…абсолютной гарантией целостности изымаемой информации».

Как там говорил Остап Бендер насчет абсолютных гарантий ? :)

Vogon International, производит много различного оборудования для крим. исследований. ;)

Российский представитель VOGON предлагал нам их (фирмы VOGON) фирменную «машинку» за 70000 евро( для примера, мобильная система создания образов жестких дисков фирмы Vogon International с блокираторами, пассворд кракерами и т.д. стоит 9500 фунтов стерлингов).

Если Вы располагаете аппаратно-программным комплексом VOGON (любой конфигурации) хотелось бы пообщаться с Вами в привате.

Насчет Вашего вопроса про FastBloc:
Насколько я понимаю ситуацию, производство подобных устройств, пока, экономически не выгодно, т.к. они закупаются в единичных экземплярах.
Аватара пользователя
Igor Michailov
завсегдатай
 
Сообщения: 237
Зарегистрирован: Пн авг 15, 2005 5:22 pm

Сообщение cybercop » Ср авг 17, 2005 8:36 am

Igor Michailov писал(а):...предлагал нам их фирменную «машинку» за 70000 евро...


Интересно: На какую категорию покупателей (по цене) рассчитан сей продукт??? :shock:

70 тыс. евро - это около 2,5 млн. рублей, что составляет месячный бюджет РОВД крупного российского города (без учета зарплаты). :!:
Последний раз редактировалось cybercop Ср авг 17, 2005 1:35 pm, всего редактировалось 1 раз.
Свой среди чужих,
Чужой среди своих.
Аватара пользователя
cybercop
Старожил
 
Сообщения: 351
Зарегистрирован: Ср янв 14, 2004 3:59 pm
Откуда: Россия

Сообщение cybercrime » Ср авг 17, 2005 10:25 am

cybercop писал(а):Интересно: На какую категорию покупателей (по цене) рассчитан сей продукт??? :shock:

70 тыс. евро - это около 2,5 млн. рублей, что составляет месячный бюджет РОВД крупного российского города (без учета зарплаты). :!:

Бюджет наших РО УМВД чуть поменьше, поэтому хватит только демо версию :)
Аватара пользователя
cybercrime
завсегдатай
 
Сообщения: 241
Зарегистрирован: Пт июн 06, 2003 9:07 am

Сообщение Marat » Вт окт 04, 2005 1:01 pm

Порекомендуйте, какую прогу для снятия образа жесткого диска лучще использовать для этих целей?

Safeback
Marat
 
Сообщения: 7
Зарегистрирован: Пн окт 13, 2003 12:09 pm

Сообщение Igor Michailov » Ср окт 05, 2005 2:58 pm

Ага. Safeback v.3
:wink:
Аватара пользователя
Igor Michailov
завсегдатай
 
Сообщения: 237
Зарегистрирован: Пн авг 15, 2005 5:22 pm

Сообщение Marat » Чт окт 06, 2005 11:00 am

Можно и v3.xx,но лучше v2.xx :wink:
Marat
 
Сообщения: 7
Зарегистрирован: Пн окт 13, 2003 12:09 pm

Сообщение rosti » Чт окт 06, 2005 12:36 pm

А можно подробнее.

Где приобрести, есть ли демо-версии.

Стоимость, а самое главное адаптация забугорнного прог. обеспечения к нашей славянской реальности. Есть ли уже реалный опыт эксплуатации правоохранительными органами.
Аватара пользователя
rosti
участник
 
Сообщения: 38
Зарегистрирован: Пт авг 12, 2005 5:38 am

Сообщение Marat » Чт окт 06, 2005 3:02 pm

Где приобрести, есть ли демо-версии.

_http://www.forensics-intl.com/safeback.html
демку получить теоретически можно,но весьма сомнительно. :cry:
Стоимость, а самое главное адаптация забугорнного прог. обеспечения к нашей славянской реальности. Есть ли уже реалный опыт эксплуатации правоохранительными органами.

2 стоит 400 с лишним,а 3 около 300 американских денег.
Что подразумевается под адаптацией я не понял,если имеется ввиду
"на шару'-то это вряд ли. :wink:
опыт эксплуатации какими органами?Нашими,так они вон norton de предлагают(сильный совет :lol: ),ежели импортными-так safeback де-факто-стандарт в этой области и одна из самых распространенных программ еще со времен принадлежности к sydex.
Marat
 
Сообщения: 7
Зарегистрирован: Пн окт 13, 2003 12:09 pm

Сообщение Igor Michailov » Чт окт 06, 2005 11:49 pm

rosti писал(а):Есть ли уже реалный опыт эксплуатации правоохранительными органами.

Все описанные программы уже опробованы в экспертных подразделениях разных стран. Некоторые фактически являются стандартами в этой области. Напр. те-же DD и Safeback (не путать с Safeback v.3 - там , вроде, какие-то нелады).
Аватара пользователя
Igor Michailov
завсегдатай
 
Сообщения: 237
Зарегистрирован: Пн авг 15, 2005 5:22 pm

Сообщение Igor Michailov » Ср окт 12, 2005 3:42 pm

Есть еще Forensic Replicator (_https://www.paraben-forensics.com/).
Аватара пользователя
Igor Michailov
завсегдатай
 
Сообщения: 237
Зарегистрирован: Пн авг 15, 2005 5:22 pm

След.

Вернуться в Уголовно-процессуальные и криминалистические аспекты

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

Рассылки Subscribe.Ru Лента "Новости Центра исследования компьютерной преступности"

cron