Вернуться   Форум сотрудников МВД > Форум МВД > Профессиональные вопросы сотрудников полиции > Эксперты и экспертиза > Специальные экспертизы и исследования
Забыли пароль?

Важная информация

Специальные экспертизы и исследования Специальные экспертизы и исследования

Ответ
 
Опции темы Опции просмотра
Старый 13.03.2009, 10:09   #41
Igor Michailov
Член клуба - ветеран ФСКН
 
Аватар для Igor Michailov

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Темы крим.чемодан эксперта КТЭ
здесь
http://www.expert.aaanet.ru/forum/viewtopic.php?t=38
и здесь
http://computer-forensics-lab.org/fo...p?t=16&start=0

Цитата:
Сообщение от теоретик Посмотреть сообщение
Интересно, что из перечисленного реально имеется в наличии и используется при ОМП?
Лично у меня:
"1.ноутбук с ЖД большой емкости, дисководом, приводом СD-ROM " - ноутбук есть, но без дисковода, есть внешний дисковод + внешние жесткие диски большой емкости
"2. Соединительные кабели" - есть
"3. портативный принтер" -нет
"4. загрузочные носители с "исследовательским" и сервисным ПО, а т.ж. чистые" - есть
"5. внешний винчестер с ПО" - есть и не один
"6. фото-видео камера" - есть фото.
"7. ПО общего и спец. назначения (текстовый и табл. ред.,диагностические программы, программы сбора инф. о файловой системе, антивирус, программы определения настроек аппаратуры и программ ...)" -есть.
"8. упаковочный материал в достаточном количестве." - есть.

В настоящее время есть большая вероятность, что мы отойдем от использования ноутбуков, заменив их переносными компьютерами.
__________________
Есть одна только врожденная ошибка — это убеждение, будто мы рождены для счастья.
(с) А.Шопенгауэр
Igor Michailov вне форума   Цитировать выделенный текст Ответить с цитированием
Реклама Место СВОБОДНО для Вашей рекламы ;-)
Promotional Bot
 
Робот Форума
 
Регистрация: 06.02.2006
Реклама Реклама от Яндекса

Promotional Bot 
__________________
  Я очень хочу разместить здесь Вашу рекламу... 
Старый 17.03.2009, 20:00   #42
Chr-

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Igor_Mich, а можно ссылочку по поводу исследования вредоносных программ? Заранее спасибо.
  Цитировать выделенный текст Ответить с цитированием
Старый 18.03.2009, 02:44   #43
Igor Michailov
Член клуба - ветеран ФСКН
 
Аватар для Igor Michailov

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Цитата:
Сообщение от Chr- Посмотреть сообщение
Igor_Mich, а можно ссылочку по поводу исследования вредоносных программ? Заранее спасибо.
Гугл в помощь.
_http://rapidshare.com/files/148448507/Malware.rar
или
_http://rapidshare.com/files/152556539/Malware_Forensics_Investigating_and_Analyzing_Mali cious_Code__netbks.com.rar
(это ссылки на одну и туже книгу)

Книжка на английском, объем более 600 стр.

Тех кто занимается исследованием ботнетов наверняка заинтересует статья: BlackEnergy DDoS Bot Analysis http://atlas-public.ec2.arbor.net/do...t+Analysis.pdf
__________________
Есть одна только врожденная ошибка — это убеждение, будто мы рождены для счастья.
(с) А.Шопенгауэр
Igor Michailov вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 18.03.2009, 03:51   #44
Igor Michailov
Член клуба - ветеран ФСКН
 
Аватар для Igor Michailov

Информация недоступна.
По умолчанию Re: Методики производства компьютерной судебной экспертизы

Цитата:
Сообщение от Chr- Посмотреть сообщение
Например, был поражён вопросом: "К чему относится устройство зелёного цвета прямоугольной формы?".
Правильный ответ:
К объективной реальности данной нам в ощущениях.
__________________
Есть одна только врожденная ошибка — это убеждение, будто мы рождены для счастья.
(с) А.Шопенгауэр
Igor Michailov вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 18.03.2009, 08:39   #45
Сотрудник ФСБ

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

автор, а ФСКН занимается компьютерной преступностью?

я провожу экспертизы на базе одной оч уважаемой ком. компании
а туда привозим изъятое

интересно поговорить про ботнеты, особенно если есть какая конкретика в авторстве того же блэкенерджи
оценить и реализовать сможем
  Цитировать выделенный текст Ответить с цитированием
Старый 18.03.2009, 09:23   #46
Horatio Caine

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Ботнеты, это имхо предмет и вопрос вирусологии. Специализируются, по идее, в Авасте люди (наверное, Игорь тоже). А жертвами, являемся все мы, ибо спам ежедневно все получают тоннами, расходы на инфраструктуру возрастают.
Точка уязвимости ботнетов, это reference point. А вы по какой части - отловить авторов, проанализировать конкретный ботнет какой-то,
подавить сеть, или провести экспертизу для суда?

На форуме, много говорят о рости преступности и офисном планктоне.
Огромное количество планктона в москве, было занято в сфере IT
и аутсорсинга. И почему то никто не подумал про рост кибер преступности, фишинга, скриммеров, порно индустирии незаконной.

Меня например озадачивает сайт fishki [точка] net
Там в галереях, одни и те же девушки, глаза испуганные иногда.
Если девчонки сами снимаются, это их выбор. Но если заставляют,
знаете, паспорта отбирают иногда и т.д. я бы нашел и удушил гадов,
собственноручно.
  Цитировать выделенный текст Ответить с цитированием
Старый 18.03.2009, 15:11   #47
Igor Michailov
Член клуба - ветеран ФСКН
 
Аватар для Igor Michailov

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Цитата:
Сообщение от Сотрудник ФСБ Посмотреть сообщение
автор, а ФСКН занимается компьютерной преступностью?
Компьютерная преступность лежит вне сферы интересов ФСКН. Однако, с другой стороны, лично я , делаю компьютерные экспертизы для ЯНАО и ХМАО, т.к. на территории этих округов нет ни экспертных подразделений Минюста, ни соответствующих экспертов в экспертных подразделениях МВД. Поэтому сказать, что я не занимаюсь производством экспертиз по компьютерным преступлениям я тоже не могу.

В США есть организация DEA. Это америкосовский аналог ФСКН. DEA располагает одной из сильнейших, в области компьютерных судебных исследований, экспертных служб США. Аналогичная ситуация, на мой взгляд, сейчас складывается и в России. ФСКН имеет достаточно квалифицированных экспертов, в области компьютерных экспертиз. Кроме того, ФСКН закупается специализированное оборудование которое, на сегодняшний день, не может себе позволить купить ни МВД ни Минюст.
__________________
Есть одна только врожденная ошибка — это убеждение, будто мы рождены для счастья.
(с) А.Шопенгауэр
Igor Michailov вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 18.03.2009, 16:32   #48
Сотрудник ФСБ

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Цитата:
Сообщение от Horatio Caine Посмотреть сообщение
А вы по какой части - отловить авторов, проанализировать конкретный ботнет какой-то,
подавить сеть, или провести экспертизу для суда?
отловить и подавить
или взять под контроль
  Цитировать выделенный текст Ответить с цитированием
Старый 18.03.2009, 20:35   #49
Horatio Caine

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Цитата:
Сообщение от Сотрудник ФСБ Посмотреть сообщение
отловить и подавить
или взять под контроль
Отловить - местных спамеров, контрольной закупкой. Выверты с вебманями, левыми паспортами и тп, думаю все равно отслеживаются. У нас в РФ никто экономический эффект от спама не считал, но думаю, огромен.

Подавление, если Вы изучили структуру ботнета, думаю не надо стеснятся, а просить западных содействовать. dyndns, dnsalias или другие способы указания на рефернс поинт, вырубаются локально фильтрацией трафика, либо все таки каким-то механизмом взаимодействия с полицией тех стран. Пообщайтесь с провайдерами,
может какой-то официальный BlackList ФСБ введите и рекомендуйте
пользовать. В принципе, Norton, McAfee ведут их.

Кроме того, считаю, может помочь какой-то частотный анализ обращений, логи провайдеров по активности портов и сайтов анализировать специальными программами, может в real-time. Если компьютеры абонентов СТРИМ массово что-то передают на динамический адрес в мозамбике или в любом блек-листнунтом пуле адресов, то расследовать, как они на него выходят (то есть, как они IP резолвят), как то-так, и блеклистить. Коммерческие антивирусные компании, конечно имеют мощные эвристические анализаторы паранормальных активностей приложений, но у них нет такой возможности, как в рил-тайме анализировать логи провайдеров. Потому, блек лист ФСБ по ботнетам, был бы считаю просто крайне эффективной мерой.

Весь пул динамических адресов Московского частного сектора Комстар Директа (Стрим то бишь), многие провайдеры западные хорошо знают,
и всю активность подавляют. Например, попробуйте mail relay сделать публичный через GoDaddy.

Ботнеты - тема в принципе хорошо проработанная. История норвежской полиции, Теленора, известны. Думаю, что вполне приемлимо и даже необходимо техническое сотрудничество с полицейскими структурами других стран, в плане вылова, ибо это уже глобальный вызов, только национальными мерами с ним трудно бороться, в силу физической недостижимости орудия преступления.

Много написал, если вкратце, думаю. такие меры
- Обмен информацией с полицией других стран по ботнетам, структуре и особенностям
- Эвристический анализ трафика больших провайдеров в рил-тайме
- Официальный блек-лист сайтов и пулов адресов ФСБ для провайдеров и антивирусных компаний, так что бы они в обновления включали
  Цитировать выделенный текст Ответить с цитированием
Старый 18.03.2009, 21:10   #50
Сотрудник ФСБ

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

напомните статьи для спамеров и организаторов ддос кроме как 273

по ботнетам
знаком с людьми, занимающимися защитой от ддос (под их защитой крупнейшие проекты)
они видят ботнет и его поворот на новый ресурс
но!
практически невозможно получить бота - зараженные ПЭВМ, как правило, находятся не в России (моральные пацаны по России не работают)
либо бот получает команды в шифрованном виде с сайта не в нашем сегменте

например, как в истории с Kido
боты есть, сайты с кот. идет управление, есть
эпидемия поражает воображение: инфицированы ПЭВМ в сетях министерств и ведомств, банков и градообразующих предприятий, практически полностью выводя из строя на несколько дней всю работу

а сделать ничего нельзя
  Цитировать выделенный текст Ответить с цитированием
Старый 18.03.2009, 21:24   #51
Horatio Caine

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Цитата:
Сообщение от Сотрудник ФСБ Посмотреть сообщение
например, как в истории с Kido
боты есть, сайты с кот. идет управление, есть
эпидемия поражает воображение: инфицированы ПЭВМ в сетях министерств и ведомств, банков и градообразующих предприятий, практически полностью выводя из строя на несколько дней всю работу
а сделать ничего нельзя
Kido (Conflicker) попал даже на компьютеры британских атомных подлодок, за голову создателя Microsoft предложила 250,000 долларов.
Дезинфекцию от самой свежии версии Kido качать тут http://www.bdtools.net/

По поводу спаммеров и статей, смотря что рекламировать. С юристами посоветуйтесь, под статью можно и подвести.

Почитал по BlackEnergy статейку. Там botnet использует уязвимости PHP и MySQL, то есть по сути, паразитируют на низкой культуре IT безопасности, известные эксплоиты, там нет какой-то космической технологии запредельной.

Может Вам какую-то специализированную машинку поисковую сделать, которая будет на уязвимости сайты тестировать, ну и проводить с провайдерами беседы, также заставлять их меры профилактики вводить.
  Цитировать выделенный текст Ответить с цитированием
Старый 18.03.2009, 21:33   #52
Igor Michailov
Член клуба - ветеран ФСКН
 
Аватар для Igor Michailov

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Цитата:
Сообщение от Horatio Caine Посмотреть сообщение
По поводу спаммеров и статей, смотря что рекламировать. С юристами посоветуйтесь, под статью можно и подвести.
В конце концов, даже Аль Капоне посадили не за его темные делишки а за неуплату налогов.
__________________
Есть одна только врожденная ошибка — это убеждение, будто мы рождены для счастья.
(с) А.Шопенгауэр
Igor Michailov вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 18.03.2009, 21:36   #53
Horatio Caine

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Цитата:
Сообщение от Igor_Mich Посмотреть сообщение
Тех кто занимается исследованием ботнетов наверняка заинтересует статья: BlackEnergy DDoS Bot Analysis http://atlas-public.ec2.arbor.net/do...t+Analysis.pdf
One of the main features the BlackEnergy bot author likes to promote in forums is that the bot can target more than one IP address per hostname. The authors promote that this feature is designed for targets that use DNS load balancing and ensures that their bots target all hosts for the attack. Also, the bot author has used a runtime encrypter to thwart antivirus detection.

Другими словами, господа авторы ходят и хвалятся своими изделями в форумах? У меня сомения кстати, что настоящий автор будет трепать, ибо рекламные бюджеты такие у интернет компаний, что это реальная угроза жизни. Но имеет смысл с пристрастием допросить тех, кто это
http://forum.xeka.ru/f4/ пишет.
  Цитировать выделенный текст Ответить с цитированием
Старый 18.03.2009, 21:43   #54
J7

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Цитата:
Сообщение от Chr- Посмотреть сообщение
Igor_Mich, а можно ссылочку по поводу исследования вредоносных программ? Заранее спасибо.
Нехорошев А.Б., Шухнин М.Н., Юрин И.Ю., Яковлев А.Н. Практические основы компьютерно-технической экспертизы: учебно-методическое пособие. – Саратов: Издательство «Научная книга», 2007. – 252 с. – (Новые экспертные технологии). ISBN 5-9758-0360-3. В книге смотреть
Раздел 3. Методические основы исследования предположительно вредоносных программ (стр. 183)
3.1. Теоретические и практические аспекты функционирования вредоносных программ (стр. 183)
3.2. Методические рекомендации по исследованию исполнимых (PE) файлов (стр. 192)
3.3. Методические рекомендации по поиску предположительно вредоносных программ, недетектируемых антивирусными программами (стр. 206).
3.4. Методические рекомендации по проведению эксперимента по установлению функций предположительно вредоносной программы (стр. 211).
Книгу можно заказать у И.Ю. Юрина, он на форуме тоже присутствует под этим ником (и не ником тоже).
  Цитировать выделенный текст Ответить с цитированием
Старый 18.03.2009, 21:50   #55
Asterisk

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Цитата:
Сообщение от Яковлев А.Н. Посмотреть сообщение
Книгу можно заказать...
А скачать...?
  Цитировать выделенный текст Ответить с цитированием
Старый 18.03.2009, 21:52   #56
J7

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Цитата:
Сообщение от Сотрудник ФСБ Посмотреть сообщение
интересно поговорить про ботнеты
И.Ю. Юрин по делу "балаковских хакеров" исследовал боты. Так что опыт есть, вопросы - к нему...
В ходе последней экспертизы выявили две ботнет сети в не так далеко расположенных западных странах (исследуемый компьютер оказался нечто вроде центра управления). Может - кому это нужно? Только - сугубо официально...
  Цитировать выделенный текст Ответить с цитированием
Старый 18.03.2009, 21:56   #57
Igor Michailov
Член клуба - ветеран ФСКН
 
Аватар для Igor Michailov

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Цитата:
Сообщение от Asterisk Посмотреть сообщение
А скачать...?
Мне кажется проще у Яковлева А.Н., как у одного из авторов, выпросить экземплярчик. С автографами всего авторского коллектива.
__________________
Есть одна только врожденная ошибка — это убеждение, будто мы рождены для счастья.
(с) А.Шопенгауэр
Igor Michailov вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 18.03.2009, 22:16   #58
J7

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Цитата:
Сообщение от Сотрудник ФСБ Посмотреть сообщение
практически невозможно получить бота - зараженные ПЭВМ, как правило, находятся не в России
"Не в России" спят и видят, как бы совместно над этими экземплярами ботов поколдовать. То же NHTCU Великобритании постоянно жалуется, что боты есть, а совместной работы по ним - нет. А у нас - наоборот проблемы - ботов нет...

---------- Ответ добавлен в 22:08 ----------Предыдущий ответ был в 22:02 ----------

Цитата:
Сообщение от Сотрудник ФСБ Посмотреть сообщение
а сделать ничего нельзя
Дайте бота Юрину (профессиональный криптограф, эксперт компьютерной экспертизы, специализирующийся на исследовании вредоносных программ) - и ждите результата. Так никто не обращался никогда. А у нас тема исследования предположительно вредоносных программ уже давно преподается на обучающих сборах экспертов в Саратове... Юрин и преподает эту тему. Пользуйтесь! Но - нет обращений...

---------- Ответ добавлен в 22:12 ----------Предыдущий ответ был в 22:08 ----------

Цитата:
Сообщение от Asterisk Посмотреть сообщение
А скачать...?
А остатки тиража куда девать, выпущенного на средства юринского центра по борьбе с преступлениями в сфере высоких технологий? Вот в чем и закавыка...

---------- Ответ добавлен в 22:13 ----------Предыдущий ответ был в 22:12 ----------

Цитата:
Сообщение от Igor_Mich Посмотреть сообщение
у Яковлева А.Н., как у одного из авторов, выпросить экземплярчик. С автографами всего авторского коллектива.
Хорошая идея! Нужно подумать!

---------- Ответ добавлен в 22:16 ----------Предыдущий ответ был в 22:13 ----------

Horatio Caine, мне очень близок по духу Ваш подход. Но вот беда - у силовых структур нет воли задавить все это. А умение задавить - давно уже есть. Есть подготовленные опера, следователи, эксперты, даже судьи (сам готовил три, кажется, группы) - а воли "сверху" - нет... Вот в чем проблема Государства Российского...
  Цитировать выделенный текст Ответить с цитированием
Старый 28.03.2009, 19:39   #59
AlexAn

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Коллеги есть у кого-нибудь, инфа по исследованию айфонов, очень надо, может ссылочки.
  Цитировать выделенный текст Ответить с цитированием
Старый 28.03.2009, 23:47   #60
J7

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Цитата:
Сообщение от AlexAn Посмотреть сообщение
есть у кого-нибудь, инфа по исследованию айфонов
Давайте на исследование айфон и вопросы по нему - будет инфа...
  Цитировать выделенный текст Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Быстрый переход


Часовой пояс GMT +3, время: 08:31.

Rambler's Top100 Рейтинг@Mail.ru Яндекс цитирования

Работает на vBulletin® версия 3.8.3.
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd. Перевод: zCarot