Komentarze do Blog informatyków śledczych

Skomentuj EDRM – Przetworzenie danych, którego autorem jest Kamil Borkusewicz

Kamil Borkusewicz — Fri, 02 Mar 2012 20:16:08 +0000

bardzo ciekawy artykuł
pozdrawiam

Skomentuj EDRM – Pozyskanie i Zabezpieczenie danych, którego autorem jest Mateusz Hajnysz

Mateusz Hajnysz — Fri, 02 Mar 2012 15:38:01 +0000

Dziękuję bardzo za komentarz i cenne uwagi. Na pewno zgadzam się w kontekście uzupełnienia niniejszego tematu. Praktyka Legal Hold, chętnie wykorzystywana w krajach, w których system prawny jest bardziej rozwinięty (prawo precedensowe, eng. common law), jest również coraz częściej stosowana w Polsce, przynajmniej w kontekście samych założeń. W naszym dotychczasowym doświadczeniu były to głównie przypadki dotyczące firm, które są notowane na amerykańskiej giełdzie i podlegają regulacjom Securities and Exchange Commission (SEC). Lokalnie natomiast bardzo często wykorzystywane jest wspomniane przez Pana wstrzymanie polityki retencyjnej, czyli np. dyski wykorzystywane cyklicznie do przechowywania kopii zapasowych danych z serwerów plików oraz poczty elektronicznej zostawały wyłączone z procesu archiwizacji i przekazywane nam do zabezpieczenie. W ich miejsce natomiast zostały wprowadzane świeże dyski.
Tak jak Pan wspomniał, szczególnie istotne jest zapewnienie, że pozyskane i zabezpieczone dane są nienaruszone i podczas ewentualnej prezentacji wyników w sądzie musimy być w stanie to wykazać.

Skomentuj Volatility 2.0, którego autorem jest Adam Ziaja

Adam Ziaja — Fri, 10 Feb 2012 16:33:23 +0000

w wersji 2.1_alpha możliwa jest już analiza pamięci Linux
http://tech.adamziaja.com/search?q=volatility

Skomentuj EDRM – Pozyskanie i Zabezpieczenie danych, którego autorem jest mkraqu

mkraqu — Tue, 07 Feb 2012 15:48:17 +0000

Panie Mateuszu,
Przyjemnie podany trzeci etap EDRM.
W gestii drobnego uzupełnienia:
Trzeci etap zwany jest „Preservation and Collection”. Niezależnie od tłumaczenia, jakie przyjmiemy dla pierwszego członu ważne jest wskazanie jego celu, a mianowicie ochrona wybranych danych (w bardzo wolnym tłumaczeniu: izolacja oraz ochrona danych w sposób umożliwiający ich użycie jako wiarygodnych ). Ten etap to wykorzystanie możliwości (prawnych i technicznych) środków mający na celu „zamrozić” dane przed ich faktycznym zabezpieczeniem. Ma to kluczowe znaczenie przy większych projektach, kiedy sam etap zabezpieczania danych może trwać dość długi okres czasu.
Prawne możliwości to np. Legal Hold (to pojęcie polecam jako temat osobnego wpisu na blogu), techniczne to np. wstrzymanie polityki retencyjnej. Oczywiście gama możliwości zależna jest od systemu prawnego w jakim funkcjonujemy i technicznych możliwości klienta. Nie da się ukryć, że charakter sprawy również będzie miał ogromny wpływ na gamę środków, jakie zostaną zastosowane.
Jako ciekawostkę dodam, że na samym etapie zabezpieczania zasobów serwerowych przydatne okazuje się krótkoterminowe wstrzymanie polityki kopii zapasowych.

Pozdrawiam serdecznie i czekam na etap czwarty.
Mkraqu

Skomentuj FTK Imager 3.0, którego autorem jest Adam Ziaja

Adam Ziaja — Fri, 03 Feb 2012 15:24:17 +0000

Witam, szkoda, że praktycznie wszystkie opisywane narzędzia są pod system Windows, a nie Linux .

Skomentuj Carving – podstawy, którego autorem jest Adam Ziaja

Adam Ziaja — Fri, 03 Feb 2012 15:22:14 +0000

Witam, w praktyce niestety wystarczy jednokrotne nadpisanie danych i są nie do odzyskania, więc wystarczy, że ktoś ma chodź elementarne pojęcie o tym to usunie je nie do odzyskania, oczywiście dochodzi tutaj jeszcze np. pod Linux swap, pliki tymczasowe itd, dlatego zawsze należy nadpisać wolną przestrzeń .

Skomentuj Weryfikacja zabezpieczonego obrazu – dlaczego ważna i jak ją przeprowadzić? – komentarz, którego autorem jest Adam Ziaja

Adam Ziaja — Fri, 03 Feb 2012 15:12:37 +0000

Witam, co do ostatniego punktu to z pewnością pokazanie więcej praktyki .

Skomentuj Odzyskiwanie skasowanych wiadomości z archiwum PST – ScanPST, którego autorem jest Rafał Sz.

Rafał Sz. — Fri, 20 Jan 2012 08:48:50 +0000

Witam serdecznie.
W przypadku przypadkowego usunięcia poczty opisany problem pomógł odzyskać utracone maile.
Bardzo dziękuję za konkretny artykuł

Skomentuj Odzyskiwanie skasowanych wiadomości z archiwum PST – ScanPST, którego autorem jest Krzysztof K

Krzysztof K — Fri, 19 Aug 2011 13:59:54 +0000

Witam.

Ogromnie dziękuję za te informacje. Dzięki nim odzyskałem większość wiadomości z Outlook 2003.
Po przeinstalowaniu systemu operacyjnego i Outlook’a 2003 na nowo i wskazaniu dotychczasowego pliku pst jako głównego magazynu poczty, to Outlook po uruchomieniu nie wyświetlał żadnej wiadomości! ;-(
Plik *.pst nie był ruszany (znajdował się na innej partycji) i miał rozmiar około 1 GB.

Analizując całą sytuacje i możliwe przyczyny utraty wiadomości mam podejrzenie, że może wiadomości utraciłem w wyniku włączenia w Outlooku funkcji archiwizacji… A plik archiwum.pst znajdował się w domyślnej lokalizacji (na partycji systemowej) i przez reinstalacje został usunięty.
Na szczęście dzięki Pana poradzie udało się je odzyskać.

Pozdrawiam i dziękuję bardzo.

Skomentuj Wyszukiwanie ukrytych/skasowanych partycji cz. 1 – wprowadzenie, którego autorem jest buy silver

buy silver — Tue, 19 Apr 2011 17:12:28 +0000

Format tabeli partycji rozumiany przez EFI nazywa si GPT GUID.Partition Table . Program partycjonuj cy ktory rozumie GPT nazywa si . parted wi c jest to narz dzie z ktorego b dziemy korzystali poni ej..Dodatkowo EFI potrafi czyta tylko system plikow FAT wi c takiego formatu.nale y u y dla partycji rozruchowej gdzie elilo zainstaluje j dro…