National Hi-Tech Crime Unit.RU

Национальный центр по борьбе с преступлениями в сфере высоких технологий

"Forensic Assistant" ("0xFA") v1.3.2

("АРМ эксперта компьютерной экспертизы") Авторы - А.А. Бежин, И.Ю. Юрин.

English Version * Новое в программе * Приобретение программы * Отзывы пользователей

"После ознакомления с ПО остались только приятные впечатления -
все просто, понятно, функционально!"
В.А. Амелин (Южный РЦСЭ Минюста России)

Программа "Forensic Assistant" предназначена для экспертов государственных экспертных учреждений и негосударственных экспертов, проводящих компьютерные и компьютерно-технические экспертизы. Разработчики программы имеют многолетний опыт производства экспертиз и работы в сфере компьютерной безопасности, что позволило сделать программный продукт удобным для практического применения.

"Forensic Assistant" стала первой и единственной в России программой, ориентированной на нужды экспертных подразделений отечественных правоохранительных органов (ЭКЦ МВД России, ЛСЭ Минюста России, ЭКО ФСКН России), включающей в себя такой большой и уникальный комплекс возможностей, необходимых при исследовании компьютерной информации. В настоящее время программа используется правоохранительными органами ряда других стран.

Позволяет искать и анализировать криминалистически значимую информацию из:

  • баз программ обмена сообщениями по протоколу OSCAR (ICQ, ICQ Lite, &RQ, R&Q, Trillian, QIP, QIP Infium, QIP PDA, Miranda) - контакт-листы и переписка пользователей;
  • баз программ обмена сообщениями (Mail.ru Agent, Skype, Skype 4, VyPress Chat, Yahoo! Messenger) - контакт-листы и переписка пользователей [*];
  • баз обмена сообщениями игровых программ (NetSpeakerPhone, Counter-Strike);
  • баз почтовых программ (Outlook, Outlook Express, TheBat!, Opera Mail, *.eml) - письма и почтовые вложения, в том числе - в удаленном виде;
  • индексных файлов ОС Windows (index.dat) - все блоки, включая LEAK;
  • системных журналов событий (Event Logs) ОС Windows, включая Windows Vista/7 (*.evt, *.evtx) - информация о работе компьютера в сети, о подключении сменных носителей;
  • служебных файлов ОС Windows (Prefetch - *.pf, Link - *.lnk, setupapi.log, *.pbk, modemlog*, *.xml DataColl);
  • служебных файлов программ-браузеров (Internet Explorer, Opera, Firefox);
  • кэша виртуальной машины Java;
  • документов в форматах OLE2, ODF (Open Office), Office Open XML (Microsoft Office 2007), PDF - все необходимые метаданные в корректном виде;
  • графических файлов распространенных форматов - метаданные и миниатюры изображений;
  • резервных копий адресных книг и сообщений мобильных телефонов (Nokia, Samsung и др.);
  • и т.д.

    Все детектируемые программой файлы сведены в 4 основные категории по хранимой в них информации и решаемым с их помощью задачам: "Работа пользователей", "Работа в сети", "Переписка пользователей", "Описание файлов". В меню "Описание файлов" представлена информация о файлах криптографических программ (ключи шфирования, зашифрованные файлы и диски), файлах вредоносных программ (присылаемые ими отчеты и базы данных с украденной пользовательской информацией), образах дисков различных форматов (включая VmWare), базах данных (MDB, DBF, SQLite).

    Встроенные утилиты:

  • создание среза файлов по списку файлов ("чистый" список, отчет "Антивируса Касперского", отчеты программ "AvSearch" и "Архивариус 3000");
  • кодирование/декодирование информации в формате base64 (MIME);
  • кодирование/декодирование информации простейшими алгоритмами (для извлечения настроек вредоносных программ);
  • криминалистический учет номеров ICQ [*];
  • блокировка записи на USB-устройства (для Windows XP SP2+/Vista/7/8);
  • утилита "RegWalker", позволяющая осуществлять работу с неактивным реестром ОС Windows;
  • утилита "Hash Sets", позволяющая создавать базы хэшей, проводить детектирование файлов с их использованием, сравнивать группы файлов (в том числе - программу и ее дистрибутив).
  • сбор информации о подключенных дисковых устройствах;
  • автоматизированное выделение сигнатур из произвольного числа файлов;
  • модуль для инвентаризации программного обеспечения "Defacto";
  • декодирование паролей программы (Mail.ru Agent);
  • утилита для работы со считывателями магнитных пластиковых карт;

    Дополнительные возможности:

  • результаты представляются в табличной форме, доступна сортировка по любому полю таблицы и поиск текстовых строк (в том числе - по списку);
  • результаты можно экспортировать в текстовый файл (RTF) или файл программы Excel (CSV) (при этом наличие офисных приложений на компьютере эксперта не требуется) [*];
  • экспортируемые результаты адаптированы для включения в текст заключения эксперта;
  • поиск и анализ информации осуществляется, в том числе, внутри архивов 14-ти форматов;
  • обнаружение архивов, защищенных паролем, и файлов некоторых криптографических программ;
  • многоязычный интерфейс (в дистрибутив входят языковые файлы на русском и английском языках);
  • предпросмотр найденных файлов с использованием внешних утилит;
  • открытый интерфейс для подключения модулей, разработанных другими авторами (как пользователями программы, так и сторонними разработчиками);
  • проверка целостности подключаемых модулей программы;
  • возможность добавления пользователями собственных сигнатур для детектирования файлов (меню Программа -> Настройки -> Настройки модулей -> General -> Сигнатуры пользователя);
  • программа обновляется через сеть Интернет, в том числе через прокси-сервер.

    Функционал программы постоянно пополняется. Заявки на расширение функционала принимаются.

    В программу включены все возможности программы "IndexDatScan" и "File Decoder", в ближайшее время в программу будут полностью перенесены возможности из программ "OLE2 Analyser", "File Analyser" и других.

    Информация для разработчиков модулей (плагинов): Программисты, желающие самостоятельно создавать модули (плагины) для программы "Forensic Assistant" могут ознакомиться с "Руководством разработчика модулей для программы Forensic Assistant" (архив RAR, 12kb). Также доступен демонстрационный модуль с исходными текстами на языке C++ (архив RAR, 346kb).

    Комплект поставки программы: носитель информации с дистрибутивом программы и руководством пользователя в электронном виде, USB-ключ.

    Всем пользователям, использующим программу под ОС Microsoft Windows Vista или Windows 7, рекомендуем обновить драйвера электронного ключа HASP и установить последнюю версию с официального сайта компании "Aladdin".

    Регистрация программы: Свидетельство РОСПАТЕНТа №2008615641 от 27 ноября 2008 г.

    Результаты проверки файлов программой Forensic Assistant
    Forensic Assistant - детектированные файлы и меню программы - нажмите для увеличения Forensic Assistant - детектированные файлы и список утилит - нажмите для увеличения Forensic Assistant - детектированные файлы и меню программы - нажмите для увеличения Forensic Assistant - детектированные файлы и меню программы - нажмите для увеличения Forensic Assistant - Mail.ru Agent contact-list - нажмите для увеличения Forensic Assistant - Mail.ru Agent переписка пользователей - нажмите для увеличения

    От авторов:
    В настоящее время отечественная судебная компьютерно-техническая экспертиза и компьютерная экспертиза испытывают большую нехватку программных средств для автоматизации работы экспертов. Несмотря на то, что на производство экспертизы компьютера отводится порядка двух недель, средств вычислительной техники и носителей информации, приходящих на экспертизу, с каждым днем становится все больше и эксперты просто не справляются с этим потоком, поскольку их возможности не безграничны.

    Экспертиза компьютеров требуется не только тогда, когда идет расследование компьютерных преступлений. За рубежом уже давно при расследовании любых преступлений обращают внимание на содержимое компьютерных носителей информации. Сейчас и российские правоохранительные органы начинают чаще использовать судебно-экспертное исследование компьютерных средств и систем в своей практике.

    Руководитель экспертной службы при организации криминалистической экспертизы компьютерных систем все чаще вынужден задумываться над тем - как автоматизировать работу судебных экспертов и ускорить процесс производства экспертиз. На помощь ему придут специализированные программы для криминалистической экспертизы компьютерных носителей информации. Однако, ввиду узкой специализации как правило скачать бесплатно программы для компьютерно-технической экспертизы невозможно, все существующие разработки ориентированы на англоязычного пользователя и любая профессиональная программа, ориентированная на отечественных компьютерных экспертов, - это большая редкость.

    Именно поэтому предлагаемое программное обеспечение, не имеющее аналогов по своей функциональности и ориентированности на нужды профессиональных экспертов, имеет высокое признание в экспертном сообществе. Реализованные в нем методики позволяют решать большое количество экспертных задач.

    • О Центре Услуги Центра Forensic Assistant Теория КЭ Практика КЭ

    Если у Вас проблемы с отображением страниц сайта - просьба связаться с администратором сайта. При перепечатке информации, размещенной на сайте, обязательна ссылка на сайт и предоставление Центру адреса страницы или экземпляра издания с перепечатанной информацией.

    NHTCU.ru, 2012