Мы уже рассказывали о том, каким образом современная экспертиза работает с данными и техникой с помощью таких аппаратно-программных комплексов, как VogonInternationalи некоторых других. Внимания заслуживает также и такое мощное средство разгадывания «компьютерных загадок» и расследования компьютерных преступлений, как технология Энкейс, или EnCase, от компании Guidance Software (Гайдэнс Софтвэ).
Guidance Software, на данный момент, и уже продолжительное время, входит в ряд ведущих разработчиков инструментария для работы компьютерной экспертизы. Значительная, заметная часть разработок – это программные средства и программы для обучения компьютерных экспертных специалистов. Кроме того – инструменты для проведения полного спектра исследований в области компьютерной экспертизы разного типа.
С помощью программных инструментов и технологий EnCaseForensic у нас есть возможность и проводить исследования разного типа на любой стадии, и выдавать научно точные, различного типа, экспертные заключения. Что и предлагает вам компания и экспертная сеть АНО «Судебный эксперт», работающая с компьютерными и иными экспертными исследованиями на всей территории Российской федерации, а также на территории стран СНГ.
У нас компьютерные экспертные исследования, благодаря большому опыту и высокой квалификации нашей организации, проводятся с учетом – а это очень важно, важнее, чем иногда кажется – всех нормативов, которые существуют в судебной и юридической практике в отношении проведения всех этапов компьютерной экспертизы. Начиная от сбора и изъятия материалов исследования, продолжая правильной работой с информацией, правильным копированием и сохранением, обработкой данных. И заканчивая правильным представлением различных материалов суду, представлением доказательств, правильным составлением заключений, и выступлениями в суде, которые защитят интересы и права наших клиентов.
Надо сказать, что с помощью программных комплексов компании Guidance Software и специальных технологий EnCaseForensic можно обучать специалистов компьютерной экспертизы. И проводить аттестации специалистов через специальные сертификационные экзамены. Любые сертифицированные эксперты и вообще любые специалисты могут получить сертификат эксперта от работающей во всем мире компании Guidance Software в области компьютерной экспертизы и информационных технологий.
Что же такое EnCase – технология и программы для проведения всех этапов компьютерной экспертизы
Это и программные, и аппаратные средства – помимо специальных программ предусмотрена собственная технология доступа к источникам и носителям данных с помощью устройства FastBloc. Как и программные инструменты EnCase, FastBloc работает в среде MSWindows, в ней отображает полученные результаты. И дает возможность полностью корректно – с экспертной и юридической точки зрения – обеспечить доступ к носителям информации и к информации, которая на них находится, провести исследование и копирование не нарушая состояние первоначальных носителей данных и находящейся на них информации.
Копирование информации с первоначальных носителей, согласно правилам компьютерных экспертиз, производится определенным образом, с фиксацией всех шагов, при сохранении первоначальной информации и носителей именно в том виде, в каком они были изъяты или получены для проведения экспертизы. Технологические средства EnCaseосновываются в работе на так называемой Case-методологии, которая отвечает за сохранность первоначального состояния носителя и информации – объектов исследования – в процессе и после проведения экспертизы.
Эти и другие правила обязательны в проведении компьютерных экспертиз в России, от их точного соблюдения зависит реакция суда на полученные результаты и заключения, и во многих случаях точность нашего результата. Путем соблюдения всех нормативов, экспертных и юридических, мы создаем условия для создания заключений, которые могут использоваться как юридически верные доказательства.
Технологические возможности программных комплексов Encase и Case-методологии
Как полагают многие специалисты, занимающиеся компьютерными исследованиями, системы EnCase и их методология – это возможность подходить к компьютерной экспертизе и ее проведению творчески, и более разнообразно, чем при работе с другими инструментами для подобных исследований. Российские и многие зарубежные эксперты имеют опыт работы с уже давно выпущенными версиями комплексов EnCase, которые отлично справляются со своими задачами на новых информационных носителях, в работе с новыми операционными системами, новыми типами файлов и новыми типами ситуаций, которые сегодня приходится рассматривать компьютерной экспертизе.
Давайте для более точного понимания возможностей этой технологии, рассмотрим задачи, которые она предлагает решать:
- возможность глубокой настройки и создания собственных инструментов на базе EnCase. Собственный макроязык программирования, встроенный в системы EnCase, так называемый ESCRIPT, приспособлен для написания программ и фильтров, настраивающих работу EnCaseи расширяющих ее возможности. Таким образом, создаются пути для применения в работе на EnCaseсамых современных методов и работы в современных условиях;
- конечно, анализ и поиск информации на различно форматированных носителях, старых и новых форматов, на разных аппаратных платформах, в разных средах с точки зрения операционных систем, на разных типах стационарных и сменных носителей. Различного типа жесткие и сменные диски и прочие типы носителей;
- при работе с графическими изображениями дает большие возможности распознавать графические файлы, автоматически отмечать их, производить их автоматическое копирование;
- корректные технологии точного зеркального копирования содержания носителей на специально предназначенные для экспертных исследований стендовые диски;
- различные гибкие операции по работе с зеркальными копиями жестких дисков и их содержания, с копиями логических томов и разделов;
- RAID-массивы и работа с ними в разном направлении – поддерживается;
- для криминалистов и экспертного исследования бывает очень важно без внесения изменений в носители и данные предварительно и быстро просмотреть информацию, содержащуюся на носителе. Для этого в EnCase существуют специальные технологии. Материалы останутся неприкосновенны, в то же время вы сможете быстро проверить носители на присутствие каких-то значимых данных;
- с помощью собственных аппаратных инструментов марки FastBloc к жестким дискам любого типа можно настроить безопасный и корректный во всех отношениях доступ.
Это сфера вопросов и решаемых задач, относящаяся к работе с носителями, доступу к ним, их анализу, к настройке всей системы EnCase для более продуктивной работы, и к использованию EnCase в современных компьютерных экспертизах. Отдельный, обязательно интересующий специалистов по компьютерной экспертизе, раздел работы любого комплекса такого рода – это его возможности по работе с файлами и файловыми системами.
Самая разнообразная работа с файлами с помощью программ EnCase, и компьютерная экспертиза
Возможности компьютерной экспертизы, разного направления, судебной или внесудебной, часто зависят от возможностей используемых программных комплексов в отношении работы с файлами и файловыми системами. Насколько гибкой может быть настройка и работа с файлами, насколько быстро может вестись анализ файловой структуры, типов и содержания файлов – от всего этого зависит, будут ли связаны или наоборот свободны руки экспертов в решении поставленных перед ними задач.
Надо сказать, что в АНО «Судебный эксперт» успешно выполняются все поставленные экспертам задачи, так как в этой работе используются разные средства, разные программные и аппаратные комплексы и инструменты. Не только производства Guidance Software в лице технологии и методов и устройств EnCase, но и VogonInternational, и других компаний и марок, производящих специальные средства, которыми успешно пользуются компьютерные эксперты и в России, и в США, Азии, Европе.
В отношении работы с файлами инструменты EnCase от Guidance Software обладают следующими возможностями, все из которых реализуются без нарушения состояния носителей и первоначально полученной нами информации:
- выяснение содержимого любых файлов, определение дат их создания и изменения и других атрибутов;
- настолько же быстрый поиск в файлах и на копиях содержимого носителей криминалистически значимой информации, информации, обладающей какими-то признаками, информации определенного типа или вида;
- быстрый поиск ключевых и искомых слов, текста, алфавитно-цифровых данных в содержимом файлов, без запуска файлов, и без риска и возможности изменить структуру файловой системы, привести в действие механизмы защиты и другие программы;
- особо углубленный поиск с помощью такого синтаксического средства как UNIX GREP;
- быстрый поиск, копирование, выделение, исследование таких файлов, как сжатые, скрытые, архивированные, файлы, зарегистрированные в реестре ОС, системных файлов разных типов и других файлов по специальным или распространенным признакам;
- на основании любых параметров и атрибутов, в том числе и временных меток – сортировка файлов и их отбор;
- при работе с электронной почтой и сообщениями, передаваемыми другими способами – нахождение и анализ присоединенных файлов разного типа, формата;
- EnCase предлагает пользоваться удобным графическим интерфейсом, отображающим поиск и результаты поиска криминалистически значимой информации, отображающим содержание файлов. Также с помощью этого интерфейса EnCase можно исследовать и наглядно видеть произошедшие с файлами изменения, если это интересует экспертов – то за определенные промежутки времени;
- возможность в графическом виде отображать для изучения расположение на копии носителя всей информации и всех файлов. Отображение структуры секторов и кластеров. С графическим и информационным отображением местоположения любых файлов;
- для удобной работы экспертизы – возможность отмечать интересующие файлы или фрагменты содержания файлов для быстрого доступа в дальнейшем с помощью ссылок;
- отметка, выделение, копирование, перенос и экспорт файлов, частей файловой структуры и дерева папок, отдельных фрагментов файлов;
- исследовательская работа с сигнатурами различных файлов, возможность расширять и модифицировать библиотеку сигнатур файлов, содержащуюся в EnCase;
- специальное построение библиотек и структур файлов и их форматов и типов для удобства экспертной работы и автоматического распознавания информации;
- возможность изучения содержания файлов, которые создает операционная система, таких как spooler-файлы, slack-файлы, swap-файлы, и другие. А также удаленные, помещенные в корзину и другие;
- для удобства исследования содержимое любых файлов с помощью комплекса может просматриваться в Hex-виде, в текстовом редакторе и в других видах;
- в системе EnCase предусмотрены удобные средства, помогающие по окончании работы создать отчет о проведенных операциях, подробный, с датами и временем, что очень хорошо помогает в создании юридически и экспертно правильных заключений и представлении информации судебным и другим специальным инстанциям.
Интерфейс. Важные и удобные для эксперта особенности программных инструментов EnCase
Для экспертов, не близко знакомых с работой в этой области и разнообразными ее нюансами, может быть полезно на примерах объяснить, о каких возможностях в различных пунктах этого списка шла речь. Но для этого нужно было бы создавать специальные подробные технические материалы, что не является нашей целью на этом сайте. Определим одно из главных преимуществ этой программы. Нам кажется, что удобство EnCase во многом объясняется удобством ее графических интерфейсов – видов отображения содержимого копий носителей и содержимого любых файлов, и других данных.
Когда мы говорим о возможности «творчески» вести исследования с помощью пакета EnCase, то имеется в виду возможность настраивать программу изнутри с помощью макроязыка, и возможность настраивать работу с программой и данными, в том числе – получаемыми данными – снаружи, сточки зрения оперативного интерфейса для разных операций и случаев. К тому же для современных экспертов это более удобно, если информация показывается в удобном и комфортном для глаз виде «пользовательского интерфейса». Например, в интерфейсе EnCase есть следующие возможности:
С помощью опции CaseTab вы можете представить изучаемые файлы почти так же, как это делается в стандартном проводнике Windows Explorer. Если слева вы получите дерево папок и файлов, то справа – информацию о закладках типа Report, Timeline, Gallery, Table. С помощью команды ViewFileStructure очень просто «не прикасаясь к информации» просматривать содержание архивных и сжатых файлов.
На основании самых разных признаков и атрибутов можно систематизировать файлы и отображать их таблицы в виде удобного графического интерфейса в верхней части окна программы с помощью функции TableView. Она же подразумевает в нижней части окна отображение физического диска с точки зрения его содержания.
С помощью KeywordsTab можно очень удобно работать с интересующими вас ключевыми словами, их категориями и поиском. С возможностью выбора кодировок искомой информации, формирования в новых вкладках новых категорий ключевых слов для дальнейшей работы.
Таблица закладок BookmarksTab предлагает собрать в виде таблицы закладок ссылки на все найденные совпадения. Ссылки можно распределять в разные папки, закладки (таблицу закладок) можно организовывать по-разному, и назначать разный вид представления закладок: Report, Timeline, Gallery, и Table. Эти режимы предназначены для отображения разных типов файлов, просматривания их временных отметок по действиям с файлами – с возможностью настройки интересующих вас временных периодов.
Собственный макроязык ESCRIPT в версии EnCase 3 стал более мощным – теперь можно создавать собственные инструменты для экспертизы через работу с box-диалогами. Однако вам желательно иметь для этого познания в области Java и С++. Работа с ESCRIP запускается клавишей F9 или командой RunScript.
Для того чтобы получить отчет о проделанной работе и видеть, как формируются такие отчеты в EnCase– достаточно обратиться к команде ReportView. Ну а для того, чтобы получить первые бесплатные консультации по интересующей вас проблеме в области компьютерных технологий, данных, компьютерных преступлений, программ, копий, действий с компьютерами и информацией, средствами связи – обращайтесь прямо сейчас в АНО «Судебный эксперт».
Мы по всем правилам и быстро проведем первые консультации, и затем – сертифицированное клиентоориентированное исследование данных, компьютерных систем, носителей информации, техники, на предмет доказывания любых действий, которые вас интересуют, или выяснения других подробностей и информации.