How to become an author
Search
Write a publication
Pull to refresh

Comments 27

«читатели поделятся и своим полезным инструментарием»

Лично я, если бы был админом, поделился бы советом не заниматься не своим делом. Предположим, что админ (стрелочник) найдёт подозреваемого. И что? Владельцы бизнеса пойдут в суд, а доказательством будут слова админа? Засмеют в суде, админ — не квалифицированный эксперт. Или по понятиям, завести подозреваемого в лес и попросить раскаяться? Тогда админ становится соучастником преступления.

А если админ нашёл не того человека? Предположим, что «злоумышленник» зашел в учётную запись подозреваемого, пока тот был на обеде и быстро слил инфу? Что будет дальше — предположим, ошибка вскроется, когда подозреваемого уже вывезут в лес? Админа повезут на природу следующим?
Rating is hidden
Согласен, даже обнаружение следов ничего не доказывает. Я об этом, собственно, и написал. Ну, начальство выдало распоряжение — админу пришлось выполнять. Что оно с этим будет делать дальше, уже другое дело…
Rating is hidden
Конечно, но начальник может неправильно понять. Начальник спрашивает — кто слил инфу? Админ отвечает — с компьютера Пупкина кто-то закачивал инфу в интернет. Что слышит начальник? «Пупкин виноват, это сказал компьютер, компьютер не может ошибаться».

В таких случаях лучше сказать, что ввиду недостатков системы, сделать ничего нельзя, но вот план, чтобы такого не повторилось.
Rating is hidden
Именно. Потому следует быть крайне осторожным в формулировках.
Rating is hidden
Работаю в интернет провайдере. Пару раз довелось получать запрос от полиции (не в РФ) на предмет выдачи данных абонента, корый в период X посещал ресурс Y с IP Z.
Одно дело было достаточно серьезное, шантаж и вымогательство. Приходилось много объяснять полиции, что IP абонента никак не может напрямую связать его с преступными деянеями. Только как нить расследования, никак не больше.
Rating is hidden
Немного скепсиса от меня… Неужто полицейский сказал что-то типа «а, ну ладно» и отвалил? Разумеется, если речь не про полицейское государство, вопросы ставятся несколько иначе, но чтобы какой-то сотрудник провайдера отказал полицейскому? ДА ладно.
Rating is hidden
Так написано же, IP предоставляется как «нить расследования». Полицейский все эти увещевания просто проигнорировал, а у сотрудника провайдера совесть якобы чиста.
Rating is hidden
Нет, никто не отказывал. В законе четко прописано кто и что обязан выдавать представителям следствия и на основании каких документов. Все было предоставлено с письменным и устным пояснением, что с технической точки зрения данных не достаточно для идентификации конкретной персоны. Полиции ж тоже не выгодно хватать и тащить в суд абы кого. Я думаю, даже в РФ так.
Rating is hidden
А можно уточнить, что умеет «Magnet Encrypted Disk Detector» и не умеет «Passware Encrypted Analyzer»? Просто, достаточно часто использую именно вторую тулзу и она мне больше нравится. Она также может умеет искать шифрованные образы(Luks, TrueCrypt, VeraCrypt, BitLocker и др.)
Rating is hidden
Да почти одинаковые по возможностям. Кому что больше нравится, дело вкуса.
Rating is hidden
С LUKS и BitLocker понятно — там есть незашифрованный хэдер определенной структуры. Но в контейнерах/томах TC/VC его нет. Как это работает?
Rating is hidden
Если вы запустите этот продукт, то увидите, что делается предположение о том, что возможно это зашифровано с помощью TC, VC, etc
Rating is hidden
UFO landed and left these words here
UFO landed and left these words here

уже есть готовые решения, которые ставят на компьютеры всех пользователей специальные программы-шпоны-клиенты которые запрещают или логируют определённые действия пользователя, которые диктует сервер

Rating is hidden
Интересует практическая сторона вопроса: удалённые файлы были восстановлены с HDD или с SSD?
Rating is hidden

В русском языке есть термины "криминалистика", "криминалистическая экспертиза" — слово "форензика" (калька с некоторых других языков) употребляется только теми, кто с этими терминами не знаком. И нет, не существует нюансов смысловой разницы, потому что для несуществующего термина нет устоявшегося определения.

Rating is hidden
я не уловил, в офисе компании не установлена AD с разграничением прав пользователей и логгированием, а так же не стоит фаирволл на котором в блек-листе все что не относится к работе?
Rating is hidden
AD не было — одноранговая сеть, прокси/фаервола тоже.
Rating is hidden

Жуть какая! Всегда (последние лет 10) говорил руководству, что "восстановление последних действий никакого смысла не имеет", а если неблагонадёжный сотрудник имел злой-злой умысел и думающую голову, то тем более. В общем, если было принято решение сокращать штат, то это решение должно изначально включать риски утечки информации.

Rating is hidden
Мне кажется, такой риск существует всегда, поскольку «недовольный сотрудник» — явление, которое может быть связано не только с внезапными сокращениями. Тут нужно предпринимать меры с точки зрения информационной безопасности сильно заранее.
Rating is hidden
Несколько программ от NirSoft
eventlogsourcesview.exe
lastactivityview.exe
myeventviewer.exe
recentfilesview.exe
turnedontimesview.exe
usbdeview.exe
winlogonview.exe
По названиям понятно — показывают произошедшие события.
А так-же просмотрщики кеша популярных браузеров.
Там довольно много такого…
Rating is hidden

Вместо разношёрстных тулз можно использовать замечательный комбайн Autopsy, который не только даёт возможность всего вышеперечисленного софта, но ещё и довольно простой. По качеству рекавери где-то на уровне winhex. Одна из самых шикарных функций — timeline. Вместо анализа данных с 10 разных утилит мы получаем автоматизированную систему.

Rating is hidden
Спасибо, интересно! Надо будет изучить этот пакет.
Rating is hidden
Sign up to leave a comment.

Your account

Sections

Information

Services

Support
© 2006–2025, Habr