Вернуться   Форум сотрудников МВД > Форум МВД > Профессиональные вопросы сотрудников полиции > Эксперты и экспертиза > Специальные экспертизы и исследования
Забыли пароль?

Важная информация

Специальные экспертизы и исследования Специальные экспертизы и исследования

Ответ
 
Опции темы Опции просмотра
Старый 26.10.2019, 15:23   #421
Igor Michailov
Член клуба - ветеран ФСКН
 
Аватар для Igor Michailov

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Хочу напомнить, что уже на следующей неделе состоится Belka Day Moscow 2019.

Мероприятие пройдет 31 октября в гостинице "Садовое кольцо" по адресу: проспект Мира, 14, стр. 2

Программа мероприятия:

нажмите здесь для просмотра скрытого текста
10-00 - 10-15: Вступление, открытие, агенда
10-15 - 11-00: Belkasoft Evidence Center 2020: что новенького? Мария Хрипун, Белкасофт
11-00 - 12-00: Я подцепил вредоносное ПО. Как? Расследование инцидентов с Belkasoft Олег Скулкин, Group IB / Артур Цой, Белкасофт
12-00 - 12-15: Кофе
12-15 - 13-15: В деле о наркотиках изъят iPhone. Как снять данные и проанализировать его? Михаил Виноградов, Белкасофт
13-15 - 14-00: Новые подходы к снятию данных со смартфонов: MediaTek и получение информации через протокол MTP Артур Цой, Белкасофт
14-00 - 15-00 Обед
15-00 - 15-45: Облачный атлас в 2019 или как быть криминалисту в Российских облачных инфраструктурах. Анатолий Тыкушин, Group IB
15-45 - 16-00: Кофе
16-00 - 16:30: Элкомсофт
16:30 - 17:00: Проблемы удалённой цифровой криминалистики. Михаил Виноградов, Белкасофт
17:00 - 18:00: Закрывающие речи, призы, тусовка


Для регистрации, пишите на почту forensic @ lan-project.ru
__________________
Есть одна только врожденная ошибка — это убеждение, будто мы рождены для счастья.
(с) А.Шопенгауэр
Igor Michailov вне форума   Цитировать выделенный текст Ответить с цитированием
Реклама Место СВОБОДНО для Вашей рекламы ;-)
Promotional Bot
 
Робот Форума
 
Регистрация: 06.02.2006
Реклама Реклама от Яндекса

Promotional Bot 
__________________
  Я очень хочу разместить здесь Вашу рекламу... 
Старый 30.10.2019, 17:53   #422
Йог
Частенько бываю!
 
Регистрация: 18.09.2019
Адрес: Уфа
Сообщений: 50
Сказал(а) спасибо: 0
Поблагодарили 1 раз в 1 сообщении
По умолчанию Re: Компьютерная экспертиза

В наши Уфени такие люди не приезжают. Жаль, конечно. С эплом интересно было бы послушать чего они там намутили
Йог вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 21.12.2019, 13:43   #423
Igor Michailov
Член клуба - ветеран ФСКН
 
Аватар для Igor Michailov

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Вебинар по снятию данных с iOS устройств без джейлбрейка

Как вы знаете, начиная с версии 9.8, Belkasoft Evidence Center позволяет пользователям снимать полную системную копию iOS-устройств без джейлбрейка. Кроме того, обновленный продукт поддерживает джейлбрейк “checkra1n”.

Если вы желаете узнать больше о данных возможностях BEC, приглашаем вас на вебинар, который состоится во вторник, 24-го декабря, в 13:00 по московскому времени.

Записаться на вебинар можно по ссылке: https://belkasoft.com/ru/webinar
__________________
Есть одна только врожденная ошибка — это убеждение, будто мы рождены для счастья.
(с) А.Шопенгауэр
Igor Michailov вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 22.01.2020, 10:24   #424
karlagash
Новичок

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Всем здравствуйте! Может кто подскажет что случилось с форумом computer-forensics-lab.org? Не могу туда попасть
karlagash вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 22.01.2020, 18:23   #425
Igor Michailov
Член клуба - ветеран ФСКН
 
Аватар для Igor Michailov

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Ведутся профилактические работы.
__________________
Есть одна только врожденная ошибка — это убеждение, будто мы рождены для счастья.
(с) А.Шопенгауэр
Igor Michailov вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 05.03.2020, 10:09   #426
karlagash
Новичок

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Всем здравствуйте! Может подскажете
Поступил телефон BQ-5058 STRIKE POWER EASY, характеристики из Инета: Android 7.0 Mediatek MT6580M.
По факту суицида малолетки, на телефоне пароль, пароль никто не знает. У следствия большие надежды именно на телефон. Малолетний был вполне нормальным, положительно характеризовался, прилежно учился, в общем ничто не предвещало. Но свой телефон никому не давал, в последнее время много времени в нем сидел.
Отладки нет, загрузчик заблокирован. Мобильный криминалист и UFED результата не дают. В стоковом recovery сделал backup, получилось три файла userdata_*.backup. В линуксе преобразовал в *.img, но данный образ не монтируется. В винде не распаковывается (было такое что в линуксе монтировать образ не получается, но в винде 7zip-ом нормально распаковывается).
Вопрос: что-нибудь можно сделать с полученным бэкапом userdata_*.backup или *.img? В каком направлении искать способы прочитать данные? JTAG/ChipOFF - у нас нет такой возможности.
Заранее благодарен!
karlagash вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 10.03.2020, 06:41   #427
carbon_falcon
Я тут все знаю!

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

karlagash, сразу отмечу, я не эксперт КТЭ, мой хлеб - ПД ИТР и ЗГТ, поэтому может скажу не совсем правильную мысль, нарушающую процедуру (и потому неприменимую).
Если файл распаковывается как архив, есть смысл распаковать его на чистый отформатированный носитель достаточного объёма и искать через Autopsy на этом носителе: изображения и файлы по ключевым словам и по расширению.
задняя мысль: Если 7-зип не распаковывает архив, проблема в несовместимости словарей архиваторов. Можно попробовать открыть этот архив с помощью FAR Manager, к примеру.
Или может даже сам образ может быть к Autopsy подключен без распаковки.
СМС и данные в памяти СИМ-карты можно считать с помощью другого чистого устройства.
Но есть ещё один ход мыслей, ведь нужна переписка? Устанавливаете контакты погибшего в социальных сетях, через опрос знакомых, а всё, что позволяет доступ восстановить, я полагаю, на руках? Вот только не знаю, допустимо с процессуальной точки зрения восстановление доступа, скажем, к ВК, путём высылки СМС-подтверждения на СИМ-карту.
Ну и честно сказать, не знаю, поможет это в случае с телеграмом, или другими популярными мессенджерами, т.к. не являюсь их абонентом и не в курсе процедур восстановления доступа.
carbon_falcon вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 10.03.2020, 07:30   #428
Igor Michailov
Член клуба - ветеран ФСКН
 
Аватар для Igor Michailov

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Цитата:
Сообщение от karlagash Посмотреть сообщение
но данный образ не монтируется. В винде не распаковывается (было такое что в линуксе монтировать образ не получается, но в винде 7zip-ом нормально распаковывается).
Если я правильно понял, то вы сделали копию зашифрованной партиции DATA. Поэтому она и не монтируется.

Цитата:
Сообщение от karlagash Посмотреть сообщение
JTAG/ChipOFF - у нас нет такой возможности.
В применении этих методов нет смысла, так как Android 7 шифрует данные по умолчанию. Все, что вы сможете получить с их помощью - ту же зашифрованную партицию DATA.
__________________
Есть одна только врожденная ошибка — это убеждение, будто мы рождены для счастья.
(с) А.Шопенгауэр
Igor Michailov вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 10.03.2020, 11:24   #429
Клевер
Член клуба
 
Аватар для Клевер

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Цитата:
Сообщение от karlagash Посмотреть сообщение
В каком направлении искать способы прочитать данные?
Правильно ниже написали:
Цитата:
Сообщение от carbon_falcon Посмотреть сообщение
путём высылки СМС-подтверждения на СИМ-карту.
Ватсап должен синхронизироваться, если конечно стояли соответствующие галки в нём (по дефолту стоят), получите всю переписку. Вконтакт точно также восстановите. С телегой посложнее, но тоже может получиться.
А что касается:
Цитата:
Сообщение от carbon_falcon Посмотреть сообщение
допустимо с процессуальной точки зрения восстановление доступа
так это был несовершеннолетний. С согласия его законных представителей (родителей), всё будет законно.
__________________
Кто хочет - ищет способы.
Кто не хочет - ищет причины.
Клевер вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 11.03.2020, 03:57   #430
carbon_falcon
Я тут все знаю!

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Цитата:
С согласия его законных представителей (родителей), всё будет законно.
Я просто в том смысле говорю, что не посчитает ли суд это методом, изменившим доказательство. Насчёт этого у меня по понятным причинам опыта нет, т.к. если к каким-то сведениям требуется восстановить доступ, как правило это я делаю по приказу владельца информации, и ни протоколирование, ни возможность незначительных потерь информации роли не играет (владелец уже счастлив, что хоть что-то уцелело).
carbon_falcon вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 11.03.2020, 10:07   #431
Клевер
Член клуба
 
Аватар для Клевер

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Цитата:
Сообщение от carbon_falcon Посмотреть сообщение
не посчитает ли суд это методом, изменившим доказательство
А, Вы в этом смысле. Ну это вряд-ли. Для того и существуют эксперты, имеющие специальные познания, чтобы суд опирался на их мнение. Если эксперт сказал: "переписка достоверная", скорее всего суд именно так и будет считать. Хотя бывают и исключения, конечно.
__________________
Кто хочет - ищет способы.
Кто не хочет - ищет причины.
Клевер вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 22.03.2020, 21:15   #432
Igor Michailov
Член клуба - ветеран ФСКН
 
Аватар для Igor Michailov

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Криминалистический анализ резервных копий HiSuite

Игорь Михайлов рассказывает, что делать, если вы не можете извлечь данные из смартфона на Android стандартными способами.

https://habr.com/ru/company/group-ib/blog/491122/
__________________
Есть одна только врожденная ошибка — это убеждение, будто мы рождены для счастья.
(с) А.Шопенгауэр
Igor Michailov вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 26.03.2020, 12:30   #433
karlagash
Новичок

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Ознакомился со статьей из вышеприведенной ссылки. По Huawei и Xiaomi сам к этому пришел.
А вот что с другими делать? К примеру, бэкап через Smart Switch от Самсунга МК и UFED не понимают.
А вот еще одна засада. У Xiaomi есть возможность создавать "второе пространство", которое можно настроить чтобы оно никак себя не выдавало. Этакая виртуальная машина. А также делать клоны приложений. Так вот HiSuite сразу говорит что клоны не бекапирую.
Сегодня вот буквально, имел знакомство с INOI 2 Lite, Андроид 8.1. Устройство без пароля, но загрузчик заблокирован и все, только сброс. МК пасует, UFED - вообще такого уродца не знает. Вижу файлы (например, contacts2.db), а ничего с ними поделать не могу
karlagash вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 26.03.2020, 20:27   #434
Igor Michailov
Член клуба - ветеран ФСКН
 
Аватар для Igor Michailov

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Цитата:
Сообщение от karlagash Посмотреть сообщение
К примеру, бэкап через Smart Switch от Самсунга МК и UFED не понимают.
Это связано с тем, что компания постоянно изменяет алгоритм шифрования бэкапов. На сегодня, известно, что Samsung изменяла алгоритм шифрования как минимум 5 раз. Исследователи просто не успевают разбирать эти алгоритмы и внедрять их поддержку в криминалистические продукты. Но есть простое и недорогое решение - рутированный старый самсунг. Ему делается hard reset. Затем на устройство накатывается бэкап Smart Switch. Затем можно извлечь из него данные хоть МК, хоть UFED, хоть Белкой.
__________________
Есть одна только врожденная ошибка — это убеждение, будто мы рождены для счастья.
(с) А.Шопенгауэр
Igor Michailov вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 27.03.2020, 01:21   #435
Igor Michailov
Член клуба - ветеран ФСКН
 
Аватар для Igor Michailov

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Цитата:
Сообщение от karlagash Посмотреть сообщение
У Xiaomi есть возможность создавать "второе пространство", которое можно настроить чтобы оно никак себя не выдавало.
Если вам удастся снять физический дамп,то второе пространство вы увидите. Будь оно даже и зашифрованным.
__________________
Есть одна только врожденная ошибка — это убеждение, будто мы рождены для счастья.
(с) А.Шопенгауэр
Igor Michailov вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 30.03.2020, 14:31   #436
Igor Michailov
Член клуба - ветеран ФСКН
 
Аватар для Igor Michailov

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Немного информации о ярлыках Windows и о их исследовании при реагировании на компьютерные инциденты:

Токсичные ярлыки в Windows: старый артефакт, не забытый хакерами, но частично забытый криминалистами


https://habr.com/ru/company/group-ib/blog/493906/
__________________
Есть одна только врожденная ошибка — это убеждение, будто мы рождены для счастья.
(с) А.Шопенгауэр
Igor Michailov вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 14.04.2020, 11:24   #437
Igor Michailov
Член клуба - ветеран ФСКН
 
Аватар для Igor Michailov

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Статья по анализу криминалистических артефактов, оставляемых на компьютере банковским трояном QBot (QakBot)

Forensic Walkthrough: QBot Infection
https://cyberforensicator.com/2020/0...bot-infection/
__________________
Есть одна только врожденная ошибка — это убеждение, будто мы рождены для счастья.
(с) А.Шопенгауэр
Igor Michailov вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 24.04.2020, 10:11   #438
Igor Michailov
Член клуба - ветеран ФСКН
 
Аватар для Igor Michailov

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Статья рассказывающая где хранит криминалистические артефакты мессенджер Microsoft Teams https://cyberforensicator.com/2020/0...r-perspective/
__________________
Есть одна только врожденная ошибка — это убеждение, будто мы рождены для счастья.
(с) А.Шопенгауэр
Igor Michailov вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 29.04.2020, 11:38   #439
Igor Michailov
Член клуба - ветеран ФСКН
 
Аватар для Igor Michailov

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Windows 10 - это захватывающий воображение мир, в котором эксперты по компьютерной криминалистике открыли и продолжают открывать новые криминалистические артефакты. Олег Скулкин в своей статье Reconstructing User Activity for Forensics with FeatureUsage рассказывает о таких артефактах как: FeatureUsage, AppBadgeUpdated, AppLaunch, AppSwitched, ShowJumpView, TrayButtonClicked.

Ссылка: https://www.group-ib.com/blog/featureusage
__________________
Есть одна только врожденная ошибка — это убеждение, будто мы рождены для счастья.
(с) А.Шопенгауэр
Igor Michailov вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 29.04.2020, 12:38   #440
Igor Michailov
Член клуба - ветеран ФСКН
 
Аватар для Igor Michailov

Информация недоступна.
По умолчанию Re: Компьютерная экспертиза

Статья о новой уязвимости для iPhone и о том какие перспективы она открывает перед компьютерными экспертами.

Сheckm8, или новые горизонты извлечения данных из iPhone


https://www.anti-malware.ru/analytic...ta-from-iPhone
__________________
Есть одна только врожденная ошибка — это убеждение, будто мы рождены для счастья.
(с) А.Шопенгауэр
Igor Michailov вне форума   Цитировать выделенный текст Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Быстрый переход


Часовой пояс GMT +3, время: 13:52.

Rambler's Top100 Рейтинг@Mail.ru Яндекс цитирования

Работает на vBulletin® версия 3.8.3.
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd. Перевод: zCarot