03-05-2008, 01:24
|
|
|
חבר מתאריך: 03.01.02
הודעות: 2,577
|
|
שלום לך,
א.אין בעד מה,אנחנו פה בשביל ללמוד וגם לסייע כל אחד בתחומו.
ב.לגבי שיטת ניהול הקבצים-מערכות מסוג XP לרוב יהיו מאותחלות בשיטת NTFS,אפשר לראות את זה ע"י קליק ימני על אחד הכוננים ואז-"מאפינים" ולראות מה רשום ב-file system או להצבע על הכונן ולהסתכל מה כתוב בצד שמאל של המסך.
אופציה נוספת דרך Computer Management-Disk Management שבלוח הבקרה:
[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://www.doublehammer.com/winxp/images/xp_disk_management.jpg]
ג.לגבי הספר-תשלח לי את מספר ה-IM\ICQ בהודעה פרטית ואשלח לך בכיף.
ד.הסיפור שלך הוא מאוד מוזר וקשה לי להבין את התמונה הכוללת,אני לא אכנס לפרטיותך ואהיה ככל שאפשר טכני נטו אבל לפי מה שהבנתי ממך(תקן אותי אם אני טועה) אתה מדבר על קבצים מאוד ספציפים.
באילו סיומות הם? אני שואל זאת מאחר שלדוגמה במידה ואתה חושד שהעתיקו ל-DOK(דיסק או קי)
קבצי תמונות,תחפש עליו או על הדיסק שאתה חושב שהעתיקו אילו את התמונות קבצי Thumbs.dll
או למשל אם מדובר בקבצי EXE שהואמריץ באופן קבוע ניתן לנתח את תיקית Prefetch.
לפני שאתה חושב לעשות את כל הצעדים האלו-האם ביצעת חיפוש פשוט על אותו דיסק\מחשב?
חיפשת קבצים מוסתרים? האם אתה חושב במישהו?אם כן עד כמה מיומן הוא?
(למשל היום ניתן להחביא קבצים בתוך קבצי תמונה\קול וכו').
האם אתה חושד שהוא מחק לאחר ביצוע ההעתקה את הקבצים?אם כן יש לנסות לבצע Data Recovery לדיסק.
האם בדקת על המחשב החשוד שלא מותקנות עליו תוכנות הצפנה או יישומי אבטחה שונים(לרוב עם סיומת exe).
באופן עקרוני בארגונים בטחוניים וכו' משכפלים עם אמצעי חומרה ע"מ להעתיק את המידע במדויק ביט לביט ,בתור משתמש בייתי אין לך צורב בהעתקה כה מדוייקת , מספיק להשתמש בתוכנה צד שלישי כדוגמת Ghost .
יש גם הרבה תוכנות Freeware כאלו,הכוונה חינמיות.
בד"כ לא מבצעים חקירות על גבי הדיסק עצמו על מנת לא לדרוס מידע בטעות.
יחידות לפשעי מחשב וכו' משכפלות את הדיסק מאחר שהדבר ישמש כראייה משפטית ומבחינת החוק הראייה אמורה להיות קבילה בבית המשפט.
כל עו"ד צעיר שמייצג פשעי מחשב הדבר הראשון שהוא טוען זה שהחוקר הפליל אותו ו"השתיל" לו ראייות,לכן משכפלים בין היתר את הדיסק.
ד.לגבי ה-USBDeview זה בסדר,התוכנה לא משנה ערכים ב-Registry אלא רק לוקחת ממנו נתונים ומציגה אותם בצורה ברורה יותר,עדיף מאשר לבדוק ידנית:
http://www.niiconsulting.com/checkm.../usb-forensics/
אם מדובר במשהו רציניתמיד תוכל גם להשתמש בשירותי חברה המתמחה בחקירות מחשב,ניתוח מדיה מגנטית ושחזורה:
http://www.tictac.co.il/forensic.html
|