Компьютерная экспертиза - Страница 3

Igor Michailov · 13.03.2009, 10:09

Темы крим.чемодан эксперта КТЭ
здесь
http://www.expert.aaanet.ru/forum/viewtopic.php?t=38
и здесь
http://computer-forensics-lab.org/fo...p?t=16&start=0

Цитата:

Сообщение от теоретик

Интересно, что из перечисленного реально имеется в наличии и используется при ОМП?

Лично у меня:
"1.ноутбук с ЖД большой емкости, дисководом, приводом СD-ROM " - ноутбук есть, но без дисковода, есть внешний дисковод + внешние жесткие диски большой емкости
"2. Соединительные кабели" - есть
"3. портативный принтер" -нет
"4. загрузочные носители с "исследовательским" и сервисным ПО, а т.ж. чистые" - есть
"5. внешний винчестер с ПО" - есть и не один
"6. фото-видео камера" - есть фото.
"7. ПО общего и спец. назначения (текстовый и табл. ред.,диагностические программы, программы сбора инф. о файловой системе, антивирус, программы определения настроек аппаратуры и программ ...)" -есть.
"8. упаковочный материал в достаточном количестве." - есть.

В настоящее время есть большая вероятность, что мы отойдем от использования ноутбуков, заменив их переносными компьютерами.

17.03.2009, 20:00

Igor_Mich, а можно ссылочку по поводу исследования вредоносных программ? Заранее спасибо.

Igor Michailov · 18.03.2009, 02:44

Цитата:

Сообщение от Chr-

Igor_Mich, а можно ссылочку по поводу исследования вредоносных программ? Заранее спасибо.

Гугл в помощь.
_http://rapidshare.com/files/148448507/Malware.rar
или
_http://rapidshare.com/files/152556539/Malware_Forensics_Investigating_and_Analyzing_Mali cious_Code__netbks.com.rar
(это ссылки на одну и туже книгу)

Книжка на английском, объем более 600 стр.

Тех кто занимается исследованием ботнетов наверняка заинтересует статья: BlackEnergy DDoS Bot Analysis http://atlas-public.ec2.arbor.net/do...t+Analysis.pdf

Igor Michailov · 18.03.2009, 03:51

Цитата:

Сообщение от Chr-

Например, был поражён вопросом: "К чему относится устройство зелёного цвета прямоугольной формы?".

Правильный ответ:
К объективной реальности данной нам в ощущениях.

18.03.2009, 08:39

автор, а ФСКН занимается компьютерной преступностью?

я провожу экспертизы на базе одной оч уважаемой ком. компании
а туда привозим изъятое

интересно поговорить про ботнеты, особенно если есть какая конкретика в авторстве того же блэкенерджи
оценить и реализовать сможем

18.03.2009, 09:23

Ботнеты, это имхо предмет и вопрос вирусологии. Специализируются, по идее, в Авасте люди (наверное, Игорь тоже). А жертвами, являемся все мы, ибо спам ежедневно все получают тоннами, расходы на инфраструктуру возрастают.
Точка уязвимости ботнетов, это reference point. А вы по какой части - отловить авторов, проанализировать конкретный ботнет какой-то,
подавить сеть, или провести экспертизу для суда?

На форуме, много говорят о рости преступности и офисном планктоне.
Огромное количество планктона в москве, было занято в сфере IT
и аутсорсинга. И почему то никто не подумал про рост кибер преступности, фишинга, скриммеров, порно индустирии незаконной.

Меня например озадачивает сайт fishki [точка] net
Там в галереях, одни и те же девушки, глаза испуганные иногда.
Если девчонки сами снимаются, это их выбор. Но если заставляют,
знаете, паспорта отбирают иногда и т.д. я бы нашел и удушил гадов,
собственноручно.

Igor Michailov · 18.03.2009, 15:11

Цитата:

Сообщение от Сотрудник ФСБ

автор, а ФСКН занимается компьютерной преступностью?

Компьютерная преступность лежит вне сферы интересов ФСКН. Однако, с другой стороны, лично я , делаю компьютерные экспертизы для ЯНАО и ХМАО, т.к. на территории этих округов нет ни экспертных подразделений Минюста, ни соответствующих экспертов в экспертных подразделениях МВД. Поэтому сказать, что я не занимаюсь производством экспертиз по компьютерным преступлениям я тоже не могу.

В США есть организация DEA. Это америкосовский аналог ФСКН. DEA располагает одной из сильнейших, в области компьютерных судебных исследований, экспертных служб США. Аналогичная ситуация, на мой взгляд, сейчас складывается и в России. ФСКН имеет достаточно квалифицированных экспертов, в области компьютерных экспертиз. Кроме того, ФСКН закупается специализированное оборудование которое, на сегодняшний день, не может себе позволить купить ни МВД ни Минюст.

18.03.2009, 16:32

Цитата:

Сообщение от Horatio Caine

А вы по какой части - отловить авторов, проанализировать конкретный ботнет какой-то,
подавить сеть, или провести экспертизу для суда?

отловить и подавить
или взять под контроль

18.03.2009, 20:35

Цитата:

Сообщение от Сотрудник ФСБ

отловить и подавить
или взять под контроль

Отловить - местных спамеров, контрольной закупкой. Выверты с вебманями, левыми паспортами и тп, думаю все равно отслеживаются. У нас в РФ никто экономический эффект от спама не считал, но думаю, огромен.

Подавление, если Вы изучили структуру ботнета, думаю не надо стеснятся, а просить западных содействовать. dyndns, dnsalias или другие способы указания на рефернс поинт, вырубаются локально фильтрацией трафика, либо все таки каким-то механизмом взаимодействия с полицией тех стран. Пообщайтесь с провайдерами,
может какой-то официальный BlackList ФСБ введите и рекомендуйте
пользовать. В принципе, Norton, McAfee ведут их.

Кроме того, считаю, может помочь какой-то частотный анализ обращений, логи провайдеров по активности портов и сайтов анализировать специальными программами, может в real-time. Если компьютеры абонентов СТРИМ массово что-то передают на динамический адрес в мозамбике или в любом блек-листнунтом пуле адресов, то расследовать, как они на него выходят (то есть, как они IP резолвят), как то-так, и блеклистить. Коммерческие антивирусные компании, конечно имеют мощные эвристические анализаторы паранормальных активностей приложений, но у них нет такой возможности, как в рил-тайме анализировать логи провайдеров. Потому, блек лист ФСБ по ботнетам, был бы считаю просто крайне эффективной мерой.

Весь пул динамических адресов Московского частного сектора Комстар Директа (Стрим то бишь), многие провайдеры западные хорошо знают,
и всю активность подавляют. Например, попробуйте mail relay сделать публичный через GoDaddy.

Ботнеты - тема в принципе хорошо проработанная. История норвежской полиции, Теленора, известны. Думаю, что вполне приемлимо и даже необходимо техническое сотрудничество с полицейскими структурами других стран, в плане вылова, ибо это уже глобальный вызов, только национальными мерами с ним трудно бороться, в силу физической недостижимости орудия преступления.

Много написал, если вкратце, думаю. такие меры
- Обмен информацией с полицией других стран по ботнетам, структуре и особенностям
- Эвристический анализ трафика больших провайдеров в рил-тайме
- Официальный блек-лист сайтов и пулов адресов ФСБ для провайдеров и антивирусных компаний, так что бы они в обновления включали

18.03.2009, 21:10

напомните статьи для спамеров и организаторов ддос кроме как 273

по ботнетам
знаком с людьми, занимающимися защитой от ддос (под их защитой крупнейшие проекты)
они видят ботнет и его поворот на новый ресурс
но!
практически невозможно получить бота - зараженные ПЭВМ, как правило, находятся не в России (моральные пацаны по России не работают)
либо бот получает команды в шифрованном виде с сайта не в нашем сегменте

например, как в истории с Kido
боты есть, сайты с кот. идет управление, есть
эпидемия поражает воображение: инфицированы ПЭВМ в сетях министерств и ведомств, банков и градообразующих предприятий, практически полностью выводя из строя на несколько дней всю работу

а сделать ничего нельзя

18.03.2009, 21:24

Цитата:

Сообщение от Сотрудник ФСБ

например, как в истории с Kido
боты есть, сайты с кот. идет управление, есть
эпидемия поражает воображение: инфицированы ПЭВМ в сетях министерств и ведомств, банков и градообразующих предприятий, практически полностью выводя из строя на несколько дней всю работу
а сделать ничего нельзя

Kido (Conflicker) попал даже на компьютеры британских атомных подлодок, за голову создателя Microsoft предложила 250,000 долларов.
Дезинфекцию от самой свежии версии Kido качать тут http://www.bdtools.net/

По поводу спаммеров и статей, смотря что рекламировать. С юристами посоветуйтесь, под статью можно и подвести.

Почитал по BlackEnergy статейку. Там botnet использует уязвимости PHP и MySQL, то есть по сути, паразитируют на низкой культуре IT безопасности, известные эксплоиты, там нет какой-то космической технологии запредельной.

Может Вам какую-то специализированную машинку поисковую сделать, которая будет на уязвимости сайты тестировать, ну и проводить с провайдерами беседы, также заставлять их меры профилактики вводить.

Igor Michailov · 18.03.2009, 21:33

Цитата:

Сообщение от Horatio Caine

По поводу спаммеров и статей, смотря что рекламировать. С юристами посоветуйтесь, под статью можно и подвести.

В конце концов, даже Аль Капоне посадили не за его темные делишки а за неуплату налогов.

18.03.2009, 21:36

Цитата:

Сообщение от Igor_Mich

Тех кто занимается исследованием ботнетов наверняка заинтересует статья: BlackEnergy DDoS Bot Analysis http://atlas-public.ec2.arbor.net/do...t+Analysis.pdf

One of the main features the BlackEnergy bot author likes to promote in forums is that the bot can target more than one IP address per hostname. The authors promote that this feature is designed for targets that use DNS load balancing and ensures that their bots target all hosts for the attack. Also, the bot author has used a runtime encrypter to thwart antivirus detection.

Другими словами, господа авторы ходят и хвалятся своими изделями в форумах? У меня сомения кстати, что настоящий автор будет трепать, ибо рекламные бюджеты такие у интернет компаний, что это реальная угроза жизни. Но имеет смысл с пристрастием допросить тех, кто это
http://forum.xeka.ru/f4/ пишет.

18.03.2009, 21:43

Цитата:

Сообщение от Chr-

Igor_Mich, а можно ссылочку по поводу исследования вредоносных программ? Заранее спасибо.

Нехорошев А.Б., Шухнин М.Н., Юрин И.Ю., Яковлев А.Н. Практические основы компьютерно-технической экспертизы: учебно-методическое пособие. – Саратов: Издательство «Научная книга», 2007. – 252 с. – (Новые экспертные технологии). ISBN 5-9758-0360-3. В книге смотреть
Раздел 3. Методические основы исследования предположительно вредоносных программ (стр. 183)
3.1. Теоретические и практические аспекты функционирования вредоносных программ (стр. 183)
3.2. Методические рекомендации по исследованию исполнимых (PE) файлов (стр. 192)
3.3. Методические рекомендации по поиску предположительно вредоносных программ, недетектируемых антивирусными программами (стр. 206).
3.4. Методические рекомендации по проведению эксперимента по установлению функций предположительно вредоносной программы (стр. 211).
Книгу можно заказать у И.Ю. Юрина, он на форуме тоже присутствует под этим ником (и не ником тоже).

18.03.2009, 21:50

Цитата:

Сообщение от Яковлев А.Н.

Книгу можно заказать...

А скачать...?

18.03.2009, 21:52

Цитата:

Сообщение от Сотрудник ФСБ

интересно поговорить про ботнеты

И.Ю. Юрин по делу "балаковских хакеров" исследовал боты. Так что опыт есть, вопросы - к нему...
В ходе последней экспертизы выявили две ботнет сети в не так далеко расположенных западных странах (исследуемый компьютер оказался нечто вроде центра управления). Может - кому это нужно? Только - сугубо официально...

Igor Michailov · 18.03.2009, 21:56

Цитата:

Сообщение от Asterisk

А скачать...?

Мне кажется проще у Яковлева А.Н., как у одного из авторов, выпросить экземплярчик. С автографами всего авторского коллектива.

18.03.2009, 22:16

Цитата:

Сообщение от Сотрудник ФСБ

практически невозможно получить бота - зараженные ПЭВМ, как правило, находятся не в России

"Не в России" спят и видят, как бы совместно над этими экземплярами ботов поколдовать. То же NHTCU Великобритании постоянно жалуется, что боты есть, а совместной работы по ним - нет. А у нас - наоборот проблемы - ботов нет...

---------- Ответ добавлен в 22:08 ----------Предыдущий ответ был в 22:02 ----------

Цитата:

Сообщение от Сотрудник ФСБ

а сделать ничего нельзя

Дайте бота Юрину (профессиональный криптограф, эксперт компьютерной экспертизы, специализирующийся на исследовании вредоносных программ) - и ждите результата. Так никто не обращался никогда. А у нас тема исследования предположительно вредоносных программ уже давно преподается на обучающих сборах экспертов в Саратове... Юрин и преподает эту тему. Пользуйтесь! Но - нет обращений...

---------- Ответ добавлен в 22:12 ----------Предыдущий ответ был в 22:08 ----------

Цитата:

Сообщение от Asterisk

А скачать...?

А остатки тиража куда девать, выпущенного на средства юринского центра по борьбе с преступлениями в сфере высоких технологий? Вот в чем и закавыка...

---------- Ответ добавлен в 22:13 ----------Предыдущий ответ был в 22:12 ----------

Цитата:

Сообщение от Igor_Mich

у Яковлева А.Н., как у одного из авторов, выпросить экземплярчик. С автографами всего авторского коллектива.

Хорошая идея! Нужно подумать!

---------- Ответ добавлен в 22:16 ----------Предыдущий ответ был в 22:13 ----------

Horatio Caine, мне очень близок по духу Ваш подход. Но вот беда - у силовых структур нет воли задавить все это. А умение задавить - давно уже есть. Есть подготовленные опера, следователи, эксперты, даже судьи (сам готовил три, кажется, группы) - а воли "сверху" - нет... Вот в чем проблема Государства Российского...

28.03.2009, 19:39

Коллеги есть у кого-нибудь, инфа по исследованию айфонов, очень надо, может ссылочки.

28.03.2009, 23:47

Цитата:

Сообщение от AlexAn

есть у кого-нибудь, инфа по исследованию айфонов

Давайте на исследование айфон и вопросы по нему - будет инфа...

17.03.2009, 20:00	#42
Chr- Информация недоступна.	Re: Компьютерная экспертиза Igor_Mich, а можно ссылочку по поводу исследования вредоносных программ? Заранее спасибо.

18.03.2009, 08:39	#45
Сотрудник ФСБ Информация недоступна.	Re: Компьютерная экспертиза автор, а ФСКН занимается компьютерной преступностью? я провожу экспертизы на базе одной оч уважаемой ком. компании а туда привозим изъятое интересно поговорить про ботнеты, особенно если есть какая конкретика в авторстве того же блэкенерджи оценить и реализовать сможем

18.03.2009, 09:23	#46
Horatio Caine Информация недоступна.	Re: Компьютерная экспертиза Ботнеты, это имхо предмет и вопрос вирусологии. Специализируются, по идее, в Авасте люди (наверное, Игорь тоже). А жертвами, являемся все мы, ибо спам ежедневно все получают тоннами, расходы на инфраструктуру возрастают. Точка уязвимости ботнетов, это reference point. А вы по какой части - отловить авторов, проанализировать конкретный ботнет какой-то, подавить сеть, или провести экспертизу для суда? На форуме, много говорят о рости преступности и офисном планктоне. Огромное количество планктона в москве, было занято в сфере IT и аутсорсинга. И почему то никто не подумал про рост кибер преступности, фишинга, скриммеров, порно индустирии незаконной. Меня например озадачивает сайт fishki [точка] net Там в галереях, одни и те же девушки, глаза испуганные иногда. Если девчонки сами снимаются, это их выбор. Но если заставляют, знаете, паспорта отбирают иногда и т.д. я бы нашел и удушил гадов, собственноручно.

18.03.2009, 21:10	#50
Сотрудник ФСБ Информация недоступна.	Re: Компьютерная экспертиза напомните статьи для спамеров и организаторов ддос кроме как 273 по ботнетам знаком с людьми, занимающимися защитой от ддос (под их защитой крупнейшие проекты) они видят ботнет и его поворот на новый ресурс но! практически невозможно получить бота - зараженные ПЭВМ, как правило, находятся не в России (моральные пацаны по России не работают) либо бот получает команды в шифрованном виде с сайта не в нашем сегменте например, как в истории с Kido боты есть, сайты с кот. идет управление, есть эпидемия поражает воображение: инфицированы ПЭВМ в сетях министерств и ведомств, банков и градообразующих предприятий, практически полностью выводя из строя на несколько дней всю работу а сделать ничего нельзя

28.03.2009, 19:39	#59
AlexAn Информация недоступна.	Re: Компьютерная экспертиза Коллеги есть у кого-нибудь, инфа по исследованию айфонов, очень надо, может ссылочки.