|
Программа "Forensic Assistant" предназначена для экспертов государственных экспертных учреждений и негосударственных экспертов, проводящих компьютерные и компьютерно-технические экспертизы. Разработчики программы имеют многолетний опыт производства экспертиз и работы в сфере компьютерной безопасности, что позволило сделать программу удобной для практического применения.
Возможности:
1. Исследование файловой структуры носителя информации;
2. Анализ файлов;
3. Составление текстовых фрагментов, включаемых в справки специалиста и заключения эксперта.
Основные направления исследования:
1. Обстоятельства работы пользователя в сети Интернет;
2. Обстоятельства работы пользователя за локальным компьютером;
3. Переписка пользователя;
4. Описание характеристик файлов;
5. Определение подключения сменных носителей, обстоятельств подготовки документов, и др.
Позволяет искать и анализировать криминалистически значимую информацию из:
- баз программ обмена сообщениями по протоколу OSCAR (ICQ, ICQ Lite, &RQ, R&Q, Trillian, QIP, QIP Infium, QIP PDA, Miranda) - контакт-листы и переписка пользователей;
- баз программ обмена сообщениями (Mail.ru Agent, Skype, Skype 4, VyPress Chat, Yahoo! Messenger) - контакт-листы и переписка пользователей;
- баз обмена сообщениями игровых программ (NetSpeakerPhone, Counter-Strike);
- баз почтовых программ (Outlook, Outlook Express, TheBat!, Opera Mail, *.eml) - письма и почтовые вложения, в том числе - в удаленном виде;
- индексных файлов ОС Windows (index.dat) - все блоки, включая LEAK;
- системных журналов событий (Event Logs) ОС Windows, включая Windows Vista/7 (*.evt, *.evtx) - информация о работе компьютера в сети, о подключении сменных носителей;
- служебных файлов ОС Windows (Prefetch - *.pf, Link - *.lnk, setupapi.log, *.pbk, modemlog*, *.xml DataColl);
- служебных файлов программ-браузеров (Internet Explorer, Opera, Firefox);
- кэша виртуальной машины Java;
- документов в форматах OLE2, ODF (Open Office), Office Open XML (Microsoft Office 2007), PDF - все необходимые метаданные в корректном виде;
- графических файлов распространенных форматов - метаданные и миниатюры изображений;
- резервных копий адресных книг и сообщений мобильных телефонов (Nokia, Samsung и др.)
Встроенные утилиты:
- создание среза файлов по списку файлов ("чистый" список, отчет "Антивируса Касперского", отчеты программ "AvSearch" и "Архивариус 3000");
- кодирование/декодирование информации в формате base64 (MIME);
- кодирование/декодирование информации простейшими алгоритмами (для извлечения настроек вредоносных программ);
- криминалистический учет номеров ICQ;
- блокировка записи на USB-устройства (для Windows XP SP2+/Vista/7/8);
- утилита "RegWalker", позволяющая осуществлять работу с неактивным реестром ОС Windows;
- утилита "Hash Sets", позволяющая создавать базы хэшей, проводить детектирование файлов с их использованием, сравнивать группы файлов (в том числе - программу и ее дистрибутив;
- сбор информации о подключенных дисковых устройствах;
- автоматизированное выделение сигнатур из произвольного числа файлов;
- модуль для инвентаризации программного обеспечения "Defacto";
- декодирование паролей программы "Mail.ru Agent".
Дополнительные возможности:
- результаты представляются в табличной форме, доступна сортировка по любому полю таблицы и поиск текстовых строк (в том числе - по списку);
- результаты можно экспортировать в текстовый файл (RTF) или файл программы Excel (CSV);
- экспортируемые результаты адаптированы для включения в текст заключения эксперта;
- поиск и анализ информации осуществляется, в том числе, внутри архивов 14-ти форматов;
- обнаружение архивов, защищенных паролем, и файлов некоторых криптографических программ;
- предпросмотр найденных файлов с использованием внешних утилит;
- проверка целостности подключаемых модулей программы;
- возможность добавления пользователями собственных сигнатур для детектирования файлов;
- обновление через сеть Интернет, в том числе через прокси-сервер.
|