|
|
Экспертная система ILOOK Investigator. [1]
Данная система (разработка Elliot Spencer & the Criminal
Investigation Division of the United States Internal Revenue Service, U.S. Treasury Department) также служит задачам обеспечения производства судебной экспертизы в
сфере современных информационных технологий. Программный
комплекс ILOOK является экспертным инструментом, предназначенным для
всестороннего исследования и анализа представленной на экспертизу
компьютерной системы. Пакет программ состоит из главного исполнимого файла,
нескольких файлов, создаваемых во время работы программы, а также файла
диалоговой помощи. ILOOK функционирует
в среде на следующих 32-битных системах: WinNT или Win2K.
ILOOK используется как для экспертизы целой
компьютерной системы посредством создания побитной копии (образа) носителя
информации, так и исследования отдельных файлов различных типов.
Рассматриваемая программа может также применяться для исследования копий
(«имиджей») носителей данных, полученных с помощью программных средств Safeback,
EnCase-файлов, ISO- и CIF-копий на компакт-дисках,
виртуальных дисков VMWare, а также копий файлов подготовленных самой ILOOK.
ILOOK
имеет следующие функциональные характеристики:
- Обеспечивает проведение экспертных исследований
следующих файловых систем и их вариантов: FAT12, FAT16, FAT32, FAT32X, VFAT, NTFS4, NTFS5, NTSF 4
сжатый, NTFS 5 сжатый, Mac HFS, Mac HFS+, Linux
Ext2FS, Linux Ext3FS (вариант
Ext2FS), SCO Sys V AFS, SCO Sys V EAFS, SCO Sys V HTFS, CDFS, Novell NetWare NWFS;
- Имеет интерфейс типа Проводника Windows для осуществления
навигации по файловой системе исследуемого компьютера;
- Сервисные средства обеспечения исследования
позволяют анализировать всю файловую систему либо лишь требуемую ее
часть;
- Реализует иерархический алгоритм поиска
необходимой информации (стандартный, расширенный и индексированный
способы поиска);
- Содержит возможности проведения автономного
поиска и выявления признаков индексации данных;
- Фиксирует определенные точки и участки носителя
информации для просмотра их содержимого;
- Просматривает файлы в различных форматах и
кодировках;
- Поддерживает длинные имена файлов;
- Организует автоматизированную подготовку и
последующую обработку образа (зеркальной копии) исследуемого
носителя информации;
- Генерирует (подбирает) различные пароли в случае
нахождения парольной защиты;
- Содержит встроенный hex-редактор с
удобными средствами обеспечения поиска требуемой информации;
- Проводит диагностику сигнатуры исследуемых
файлов;
- Восстанавливает разрушенные (испорченные) таблицы
FAT;
- Анализирует данные при использовании алгоритмов CRC32, MD5 и SHA1;
- Маркирует (помечает) исследованные файлы и
документирует произведенные действия;
- Имеет инструментальные сервисные средства для
изучения cache-файлов,
полученных из Интернет,
а также e-mail-данных (с
возможностью восстановления присланных приложений и сообщений);
- Снимает защиту UUE и Base64 в электронной почте;
- Обеспечивает прямой доступ к данным исследуемого
носителя (на физическом уровне);
- Отображает настройки BIOS посредством
использования средств обслуживания MD5/SHA1;
- Обеспечивает сжатие копии (образа) содержания
исследуемого носителя данных для последующего компактного хранения;
- Производит фильтрование файлов по разным
признакам;
- Сохраняет результаты всех действий и операций,
выполненных в ходе экспертизы, в базе данных экспертного исследования;
- Представляет детальный обзор физического
расположения любого выбранного физического либо логического участка
данных посредством отображения побитовой карты исследуемого тома;
- Имеет script-язык, компилятор и функции запуска исполнимых
модулей, расширяющие возможности ILOOK;
- Классифицирует и размещает исследуемые файлы в
виртуальных папках системы;
- Имеет интегрированный многофункциональный вьюер.
Литература:
1.Усов А.И.
«Основы методического обеспечения судебно-экспертного исследования
компьютерных средств и систем» - М.: Право и закон, 2002
|
