belkasoft evidence center, руководство пользователя › download › info ›...
TRANSCRIPT
Belkasoft Web: http://ru.belkasoft.com Email: [email protected]
Belkasoft Evidence Center,
руководство пользователя
Содержимое Обзор продукта Belkasoft Evidence Center ................................................................................................ 4
Инсталляция Evidence Center...................................................................................................................... 5
Установка Belkasoft Evidence Center, Team Edition ................................................................................... 8
Правила хорошего криминалистического ПО .......................................................................................... 9
Запуск продукта ......................................................................................................................................... 10
Вход (только редакция Team Edition) ...................................................................................................... 11
Открытие дела ........................................................................................................................................... 12
Управление делами .................................................................................................................................. 13
Окна продукта ............................................................................................................................................ 14
Обозреватель дел .................................................................................................................................. 16
Свойства дела, профиля и закладки .................................................................................................... 17
Список элементов .................................................................................................................................. 18
Свойcтва элемента ................................................................................................................................ 19
Панель задач .......................................................................................................................................... 19
Результаты поиска ................................................................................................................................. 20
Предпросмотр изображений ............................................................................................................... 21
Веб-браузер............................................................................................................................................ 23
Поиск профилей ........................................................................................................................................ 24
Извлечение данных ................................................................................................................................... 27
Извлечение истории QQ ........................................................................................................................... 29
How to test? ........................................................................................................................................ 30
Поиск в истории ......................................................................................................................................... 30
Управление закладками ........................................................................................................................... 32
Экспорт истории (создание отчётов) ....................................................................................................... 33
Настройка внешнего вида отчёта ............................................................................................................. 38
Карвинг ....................................................................................................................................................... 38
Что такое карвинг .............................................................................................................................. 38
Как начать карвинг ............................................................................................................................ 39
Опции карвинга ................................................................................................................................. 40
Исследование файлов гибернации и подкачки ...................................................................................... 42
Разрешение имени MSN ........................................................................................................................... 43
Управление пользователями ................................................................................................................... 44
Анализ сетевого трафика .......................................................................................................................... 44
Извлекаемая информация браузеров ..................................................................................................... 44
Пароли браузера ....................................................................................................................................... 45
Просмотр кеша .......................................................................................................................................... 45
Подсчёт хеш-значений .............................................................................................................................. 46
Кодировка .................................................................................................................................................. 48
Дата и время .............................................................................................................................................. 48
Сортировка ................................................................................................................................................. 49
Анализ изображений ................................................................................................................................ 50
Определение лиц .................................................................................................................................. 51
Определение текста .............................................................................................................................. 54
Определение порнографии .................................................................................................................. 56
Удаление некорректно найденных лиц .................................................................................................. 57
Хранение изображений в базе данных ................................................................................................... 58
Операции над изображениями ................................................................................................................ 58
Копирование изображений в директорию ............................................................................................. 59
Фильтры ...................................................................................................................................................... 60
Управление фильтрами ............................................................................................................................ 61
Редактирование свойств фильтра ............................................................................................................ 61
Анализ видео ............................................................................................................................................. 63
Окно ошибок .............................................................................................................................................. 65
Настройки ................................................................................................................................................... 66
Основные опции .................................................................................................................................... 66
Опции изображений ............................................................................................................................. 67
Настройки видео ................................................................................................................................... 69
Монтирование образов ............................................................................................................................ 70
Ограничения демо-версии ....................................................................................................................... 70
Регистрация продукта ............................................................................................................................... 70
Типы лицензий........................................................................................................................................... 72
Обзор продукта Belkasoft Evidence Center
Belkasoft Evidence Center – флагманский продукт компании Белкасофт для осуществления цифровой криминалистики. Продукт облегчает исследователю задачи поиска, анализа и хранения цифровых улик, найденных в чатах интернет-пейджеров, историях браузеров, почтовых ящиках, изображениях, видео, социальных сетях, программах P2P и многопользовательских онлайн-играх.
Поддержаны все основные интернет-чаты: Skype, Yahoo Messenger, ICQ и т.п.; в общей сложности более, чем 100 типов программ для Windows, Linux, Mac OS X и мобильных устройств
Поддержаны все основные браузеры под ОС Windows Поддержано извлечение чатов и прочей информации, такой, как обновления статусов
Twitter, отправленных в социальные сети; P2P программ и разговоров в многопользовательских онлайн-играх
Изображения и видео-файлы анализируются на наличие порнографии, лиц и отсканированного текста
Найденная информация сохраняется в базе данных Доказательства можно разбивать по "делам" Поддержано извлечение удалённой истории (при условии, что она не перетёрта или не
удалена специальными средствами) Стандартные образы дисков в формате EnCase, SMART и DD могут быть подключены к
"делу", включая диски ОС Windows и MacOS Доступен анализ дампов оперативной памяти Благодаря наличию быстрой СУБД Microsoft SQL Server 2008, поддержана возможность
работы с большими делами (например, содержащими несколько 10-гигабайтных почтовых ящиков)
Редакция Team Edition позволяет одновременную работу нескольких пользователей
Инсталляция Evidence Center Чтобы установить Belkasoft Evidence Center, распакуйте архив, который вы скачали с сайта
Белкасофт и запустите исполняемый файл. Мастер установки поможет вам пройти все шаги
инсталляции.
Убедитесь, что имя издателя показывается как Belkasoft OOO и ответьте Yes на вопрос Windows
User Access Control:
Необходимые условия для установки
Несмотря на то, что инсталляционный пакет попытается выполнить все шаги автоматически, в
некоторых специфических случаях, в зависимости от компьютера или настроек операционной
системы, не все шаги могут быть полностью автоматизированы. В этом случае ознакомьтесь со
следующими условиями установки и убедитесь, что они выполнены:
http://belkasoft.com/bec/en/Evidence_Center_Installation.asp.
Установка СУБД Microsoft SQL Server
Если вы скачали версию с компонентой Case Management (управление делами), после притяния
лицензионного соглашения и выбора соответствующей директории для инсталляции вам будет
предложено установить базу данных для хранения информации о делах. Вы можете выбрать из
трёх опций:
Пропустить инсталляцию (выберите, если у вас уже установлен MS SQL Server 2008 R2)
Скачать и установить MS SQL Server
Установить MS SQL Server, используя заранее скачанные инсталляционные файлы
(подходит для компьютеров без доступа к интернету)
Выберите первую опцию, чтобы использовать существующий локальный SQL Server; вторую
опцию, чтобы скачать и установить MS SQL Server Express с сайта Microsoft; третья опция позволит
вам сделать то же самое на компьютере без соединения с интеретом. В последнем случае, вам
следует поместить все требуемые инсталляционные пакеты Microsoft, описанные на странице
http://belkasoft.com/bec/en/Evidence_Center_Installation.asp, в ту же директорию, где вы
разместили инсталляционные файлы Белкасофт.
Создание БД SQL Server
На этой странице инсталлятора вам будет предложено выбрать экземпляр базы данных, с
которым вы хотите работать.
Нажмите Next. Выберите любой доступный экземпляр SQL Server из списка и нажмите Install.
Инсталлятор создаст БД с именем "Case" в этом экземпляре SQL Server. Далее инсталлятор
сконфигурирует продукт на работы с этим экземпляром СУБД и созданной базой данных.
Установка Belkasoft Evidence Center, Team Edition Установка редакции Enterprise аналогична установке прочих редакций, за исключением
нескольких небольших отличий:
В начале инсталляции вам потребуется выбрать, какую часть ПО вы устанавливаете на
данный компьютер, серверную или клиентскую
Клиентская часть не будет устанавливать СУБД SQL Server, но она установит некоторые
библиотеки из состава SQL Server, чтобы продукт мог подсоединиться к удалённому
экземпляру СУБД. Поэтому, если вы устанавливаете продукт на компьютер без доступа к
интернету, вы должны поместить те же самые файлы из пакета Microsoft в директорию
установщика, как это описано на странице
http://belkasoft.com/bec/en/Evidence_Center_Installation.asp (исключая установщик самого
SQL Server)
На экране конфигурирования базы данных вам будет предложено выбрать любой
экземпляр SQL Server, доступный в вашей локальной сети. Выберите тот, который вы
использовали для серверной инсталляции (по этой причине лучше устанавливать сначала
серверную часть ПО). Если же вы устанавливаете сначала клиентскую часть, вы можете
вручную прописать путь к экземпляру сервера, который вы планируете установить позже,
как показано на картинке:
Вы можете установить клиентскую и серверную часть на одной машине, но не забудьте,
что вам требуется отдельная лицензия на каждую клиентскую инсталляцию.
Правила хорошего криминалистического ПО В англоязычном мире цифровой криминалистики есть общепринятое выражение "forensically
sound software" – набор правил, которому должно соответствовать ПО, претендующее на звание
"криминалистическое". Белкасофт прилагает все усилия, чтобы выпускаемое нами ПО
соответствовало хорошим правилам криминалистического анализа. Список ниже демонстрирует
наши основные преимущества перед ПО, которое не учитывает правила "forensically sound
software":
ПО никогда не пытается писать на носитель, которые подвергается анализу. Благодаря этому оно может работать с устройствами защиты от записи, образами дисков и дампами оперативной памяти. Ни единого бита информации не будет изменено!
Чтобы удостовериться, что исследуемая история не изменена в процессе анализа, ПО подсчитывает хеш-значения для каждого профиля, добавленного в дело. Вы можете сравнить исходное хеш-значение с текущим в любое время
ПО не требует никаких паролей или прочей информации владельца того или иного профиля. Всё извлечение данных и их расшифровка производятся без требования указать подобную информацию (кроме профилей Яху, см. далее)
ПО работает под логином аналитика на компьютере аналитика и не требует наличия на нём установленных клиентских программ, профили которых изучаются. Например, не требуется установленного Outlook, чтобы извлечь почту из почтового ящика Outlook.
o ПО никогда не подключается к интернету, поэтому будет работать даже на отсоединённых от интернета компьютерах. Существует единственное исключение: показ фотографий на картах Google Maps, от которого вы можете отказаться, если планируете работать на машине без интернета
Результаты извлечения данных повторяемы. Вы всегда можете извлечь историю заново, чтобы удостовериться, что результаты абсолютно идентичны
Запуск продукта Выберите продукт из папки меню Пуск, в которую вы его установили
Когда Windows User Access Control задаст вопрос, разрешить ли запуск продукта, ответьте "Да".
Первым экраном редакций Forensic IM Analyzer, Evidence Center и Forensic Studio Ultimate будет
экран Open Case (открыть дело).
Первым экраном редакции Enterprise будет экран Login (вход). Чтобы присоединиться к серверу в
первый раз, используйте созданный установщиком логин caseadmin с таким же паролем. В окне
User Management (управление пользователями), которое откроется после успешного входа, вы
должны создать пользователей, которые затем смогут подсоединяться к серверу с клиентских
машин.
Чтобы подсоединиться на клиентской машине, используйте логин и пароль, выданный вам
администратором серверной части продукта.
Вход (только редакция Team Edition) Когда вы запускаете продукт, он задаст вам вопрос о ваший учётной записи. Это делается для того,
чтобы обезопасить потенциально чувствительные данные. Вы должны иметь корректный логин и
пароль, чтобы иметь доступ к данным того или иного дела. В списке доступных дел вы увидите
только те дела, к которым вам был разрешён доступ.
Введите ваш логин и пароль и нажмите OK.
По умолчанию имя – caseadmin, пароль – caseadmin.
Открытие дела Чтобы начать работу с продуктом, выберите дело, с которым вы хотите работать.
Однопользовательские редакции: в окне Open Case вы увидите все дела, сохранённые в базе
данных.
Enterprise: в окне Open Case вы увидите только дела, к которым у вас есть доступ.
Вы можете либо открыть существующее дело, либо создать новое. Если вы нажмёте Cancel,
продукт закончит свою работу.
Если вы хотите, чтобы продукт автоматически открывал последнее дело, с которым вы работали,
при следующем запуске, выберите опцию "Always open last case and do not show this dialog"
(всегда открывать последнее дело и не показывать этот диалог).
Если вы хотите сменить дело, с которым вы работаете, нажмите Open Case на панели
инструментов продукта:
Вы можете также нажать New Case для создания пустого дела.
Управление делами Вы можете управлять делами с помощью того же экрана Open Case. В нём вам доступны
следующие операции:
Создать новое дело с помощью кнопки New
Переименовать выбранное дело с помощью кнопки Rename, нажатия кнопки клавиатуры
F2 или повторного нажатия на выбранную строчку
Удалить одно или несколько выбранных дел
Имейте в виду, что вы не можете удалить дело, с которым вы сейчас работаете. Однако вы
можете удалить все дела при старте продукта, до того, как вы откроете какое-либо дело.
Enterprise: вы не можете удалить дело, с которым в данный момент работает другой пользователь
(к примеру, извлекает историю внутри этого дела).
Кнопка Delete (удалить) недоступна для дел, которые не могут быть удалены в текущий момент.
Окна продукта Когда вы открываете дело, оно показывается в главном окне. Главное окно содержит несколько
частей, описанных далее. Все дочерние окна главного окна могут быть настроены на ваш вкус. Вы
можете поместить их, куда хотите, показать или скрыть их, пристыковать к любой части экрана,
упорядочить в любом порядке, сделать их автоматически скрываемыми или плавающими,
группировать их с другими окнами и так далее.
Если к вашему компьютеру подключено более одного монитора, вы можете разместить одно или
несколько окон продукта на других мониторах, что облегчит вашу работу с большими масивами
данных.
Подсказки пристыковки: вы можете пристыковать окно в любом месте главного окна.
Плавающие окна: вы можете сделать любую часть интерфейса продукта плавающей, в
частности, вы можете переместить Message List (список сообщений) на другой монитор.
Обозреватель дел Обозреватель дел (Case Explorer) показывает вам содержимое дела. Он организует информацию о
деле в виде дерева. Самый верхий узел – само дело. Под ним находятся подузлы типов историй,
например, все чаты интернет пейджеров будут сгруппированы в узле Instant Messengers. Если в
данном деле нет информации, относящейся к тому или иному типу историй, этот узел не будет
создан.
Текущие типы поддержанных историй:
Instant Messengers (интернет-пейджеры)
Browsers (браузеры)
Mailboxes (почтовые ящики)
Carved data (данные, полученные с помощью карвинга)
Network Traffic (анализ сетевого трафика)
Pictures (изображения)
Videos (видео)
Существует ещё один, специальный тип узлов, называемый Bookmarks (закладки), и он содержит
помеченные вами важные данные. Для дальнейшей информации см. "Работа с закладками".
Под узлом типа истории расположены узлы профилей. Профиль – это набор данных,
специфичный для одного пользователя некоторой программы. Например, профилем Outlook
будет являться .pst или .ost файл, содержащий один из ящиков пользователя. Профиль Skype – это
папка с некоторыми файлами, относящимися к пользователю Skype и содержащая файлы истории.
Узлы профилей могут содержать дочерние подузлы, специфичные для того или иного типа
истории. Например, профили интернет пейджеров содержат узлы "контактов" ("друзья"
владельца профиля), профили электронной почты содержат папки почтового ящика и т.д.
Вы можете запустить любые операции с делом путём выбора того или иного узла и последующим
выбором операции из главного или контекстного меню или панели инструментов. Некоторые из
доступных операций перечислены ниже:
Извлечь историю
Экспортировать историю
Искать профили
Запустить карвинг устройства
Искать историю
Удалить профиль
Следующие операции специфичны только для профилей интернет пейджеров:
Указать кодировку для профиля
Спрятать/показать контакты без истории
Сортировать контакты по различным критериям
Скопировать UIN или SN контакта
Свойства дела, профиля и закладки Окно Свойства (Properties) показывает свойства элемента, выбранного в обозревателе дел. Это
окно показывается для дела, профилей и закладок.
Для дела и закладок вы можете редактировать имя и описание.
Для профиля вы можете редактировать имя и дать комментарии.
После того, как вы изменили любое из этих полей, нажмите на кнопку Save Properties (сохранить
свойства) на панели инструментов, чтобы сохранить ваши изменения, или же просто смените
выбор узла в обозревателе дел, и ваши изменения будут сохранены автоматически.
Список элементов Список элементов (Item List) показывает вам элементы, принадлежащие узлу, выбранному в
обозревателе дел. Список элементов показывается для контактов интернет-пейджеров, подузлов
браузерных профилей, таких как Sites, Passwords, и т.д., почтовых папок, профилей изображений и
ключевых кадров, а также подузлов закладок и т.п.
Выбирая элемент в этом списке, вы можете увидеть его свойства в окне Item Properties (свойства
элемента). Вы такэе можете скопировать текст элемента, пометить его закладков и выполнить
прочие операции.
Список элементов позволяет сортировать в порядке возрастания или убывания по любой колонке,
запоминает последний выбранный вами режим сортировки. Из него вы также можете
проэкспортировать текущие выбранные элементы.
Список позволяет вам изменять ширину столбцов и запоминает ваши последние предпочтения,
связанные с этим.
Интернет-чаты, отсортированные в алфавитном порядке по тексту сообщения.
Свойcтва элемента Окно Свойства элемента (Item Properties) позволяет вам исследовать свойства выбранного
элемента в случае, если выбран ровно один.
Закладка Item text (текст элемента) показывает вам текст текущего элемента. Если вы хотите
скопировать этот текст, выберите любую часть текста с помощью мыши и нажмите Ctrl-C. Чтобы
выбрать весь текст, нажмите Ctrl-A.
Закладка Properties (свойства) показывает вам все доступные детали для данного элемента Вы
можете копировать значения свойств, используя контекстное меню.
Панель задач Окно панели задач (Task Manager) показывает вам статус задач, запущенных пользователем, таких
как поиск профилей, извлечение или экспорт истории, поиск в истории, удаление профиля и т.п.
С помощью панели задач вы можете остановить выбранную задачу нажатием кнопки Cancel task
или посмотреть лог задачи, нажав кнопку View task log. Вы можете остановить несколько или все
задачи или открыть несколько лог-файлов для нескольких задач. После остановки задачи
подождите несколько секунд, пока задача не завершит свою работу.
Панель задач показывает следующую информацию о задаче:
Имя (Task)
Прогресс (% completed)
Текущие статус (Status)
Время начала задачи (Time)
Время, прошедшее с начала задачи (Elapsed)
Вы можете настраиват ширину столбцов в этом окне. Ваши предпочтения будут сохранены
программой.
Результаты поиска Окно поиска результатов (Search Results) показывает вам все элементы, найденные в процессе
последней операции поиска. Это плоский список всех элементов, которые удовлетворяют
критериям поиска. Окно поиска содержит следующую информацию:
Иконку типа профиля (например, иконку Skype)
Текст элемента (Text)
Тип элемента (Type, например, Chat message или Favorite)
Имя профиля
Дополнительную информацию (например, автора сообщения)
С помощью окна Search Results вы можете экспортировать элементы или помечать их закладками.
Чтобы сделать это, выберите интересующие вас элементы с помощью мыши при нажатых
клавишах Ctrl или Shift и выберите соответствующий пункт контекстного меню.
Вы можете редактировать ширину столбцов в этом окне. Ваши предпочтения будут запомнены
программой
Предпросмотр изображений Окно предпросмотра изображений (Image Preview) показывает вам миниатюры всех
изображений, выбранных в списке элементов:
Вы можете открыть изображение большего размера двойным щелкчом на изображении внутри
окна Image Preview. Откроется отдельное окно Image Viewer (Просмотр изображения):
Веб-браузер Если ваше дело содержит какие-либо картинки со свойствами GPS (например, фотографии,
сделанные с помощью iPhone), окно веб-браузера (Web Browser) покажет вам такие изображения
на карте Земли с помощью сервиса Google Maps. Чтобы добиться этого, выберите интересующие
вас изображения в списке изображений (Image List), а затем нажмите Show images on Google
Maps (показать изображения на картах Google) в контекстном меню:
Через несколько секунд продукт покажет все места, где были сняты выбранные фотографии, на
картах Google внутри окна встроенного веб-браузера:
Если вы наведёте мышь на изображение шпильки (т.е. над красно-чёрной иконкой с надписью "A"
или "B" на рисунке выше), продукт подскажет вам информацию об изображении, снятом в
данном месте, с помощью всплывающего меню.
Важное замечание: чтобы эта функция могла работать, продукт должен иметь доступ к интернету.
Без доступа к интернету функция работать не будет. Чтобы убедиться, что ваши даные не
пересылаются продуктом на какие-то несанкционированные адреса, вы можете указать вашему
файрволу разрешать продукту доступ исключительно к сайту http://maps.google.com.
См. также:
Правила хорошего криминалистического ПО
Поиск профилей Перед тем, как добавить профили к делу, их сначала надо найти. Продукт позволяет вам провести
разные виды поисков профилей.
Начать поиск можно одним из следующих способов:
Нажать комбинацию клавиш Ctrl-Shift-F
Нажать на кнопку панели инструментов Search Profiles (Поиск профилей)
Выбрать Search Profiles из пункта меню Edit главного меню приложения
Выбрать Search Profiles из контекстного меню узла дела или узла типа истории в
обозревателе дел
После этого откроется мастер поиска профилей. Первый экран мастера позволяет выбрать типы
историй, которые вы хотите искать.
Вы можете выбрать все типы историй с помощью кнопки Select All (выбрать все) или только
некоторые, например, чаты AIM или почтовые ящики Outlook,.
После нажатия кнопки Next вам будет предложено указать, где следует искать истории.
Существуют следующие варианты поиска:
Everywhere (Искать везде) – в этом случае программа будет искать истории на всех
логических дисках, существующих в системе
Specific drive types (определённые типы дисков) – вы можете указать типы интересующих
вас дисков
o жёсткие диски
o съёмные диски (например, флеш-накопитель или фотоаппарат, подсоединённый к
компьютеру)
o сетевые диски (диски, доступные через локальную сеть, которым вы назначили
определённую букву или диски, подмонтированные с помощью Encase)
o диски CD/DVD
Selected drive or folder (выбранный диск или директория) – этот тип поиска подходит вам,
если вы ищете профили на конфискованном диске, подсоединённом к вашей машине
(например, через устройство блокировки записи)
Selected image file (выбранный образ) – эта опция очень удобна в случае, если у вас нет
оригинального диска, но есть его образ, сделанный одним из популярных средств
копирования дисков, такими как Encase (формат e01). Поддерживаются также форматы DD
и SMART. В текущий момент поддержаны файловые системы Windows . Currently Windows,
MacOS и Linux.
При нажатии кнопки Finish начнётся поиск профилей.
Извлечение данных Продукт позволяет вам извлечь историю без каких-либо предусловий (с единственным
исключением интернет-пейджера QQ версий 2009-2013). От вас не требуется ничего из
перечисленного для успешного извлечения данных:
знать пароль владельца профиля
работать под учётной записью владельца профиля
иметь установленные программы для чатов/просмотра интернета/электронной почты
иметь доступ "на запись" к диску с профилем (поэтому продукт корректно работает с
устройствами защиты от записи)
Всё, что вам надо сделать для извлечения истории – нажать одну кнопку. Вы можете начать
извлечение одним из следующих способов:
Выбрать опцию извлечения истории в диалоге просмотра найденных профилей (см.
"Обзор найденных профилей")
Выбрать любой профиль и нажать кнопку панели инструментов Extract history (извлечь
историю), выбрать пункт меню Extract history из контекстного меню профиля в
Обозревателе дел или из главного меню Edit.
Выбрать пункт контекстного меню узла дела или узла типа истории Extract history for all
profiles (извлечь историю для всех профилей) в Обозревателе дел:
После начала извлечения истории в окно Управления задачами (Task Manager) добавятся
отдельные задачи по извлечению истории для каждого профиля. Когда извлечение закончится,
Управление задачами будет содержать статус задачи, что позволит вам изучить лог извлечения
данных, чтобы понять причины проблем, если таковые возникли.
Иконка статуса слева от профиля показывает текущий статус извлечения:
Серый кружок означает то, что история для профила ещё не извлекалась
Зелёный кружок означает успешное извлечение историй
Красный кружок означает то, что в процессе извлечения возникли серьёзные ошибки, из-
за которых не получилось извлечь никакой информаци
Жёлтый кружок означает то, что в процессе извлечения возникли некоторые ошибки, но
какая-то история всё-таки была извлечена и доступна для просмотра
Самые частые причины некорректного извлечения историй такие:
Некоторый процесс получил монопольный доступ к файлу истории. Эта ситуация часто
возникает, когда вы тестируете продукт на вашей живой системе, например, на профиле
Firefox, почтовом ящике Outlook или истории Skype. В этом случае просто закройте эти
программы и начните извлечение заново
У вас недостаточно прав, чтобы прочесть файл
Файл истории повреждён
Файл был некорректно определён, как принадлежащий профилю некоего типа, поэтому
попытка извлечь из него историю в соответствии с данным формато не удалась. Такое
бывает, например, когда пользователь намеренно изменил имя и/или расширение какого-
либо файла.
После успешного извлечения истории она сохраняется в базе данных (если вы пользуетесь
продуктом с установленной компонентой Case Management). В этот момент можно безопасно
закрыть продукт: вся информация сохранена.
Обратите внимание, что для профилей видео операция извлечения истории приведёт к
извлечению ключевых кадров. Извлечение истории для профилей изображений не делает ничего,
кроме сброса результатов анализов, таких, как, например, поиск лиц.
Вы можете извлечь историю ещё раз для тех профилей, которые уже имеют извлечённую
историю. Это удобно в случае, когда вам надо удостовериться в повторяемости извлечении или
если профиль был изменён с прошлого раза (скорее всего, это профиль на вашей живой системе
или тестовый профиль, потому что профиль подозреваемого никогда не меняется, если вы
занимаетесь настоящей криминалистикой). Учтите, что после повторного извлечения истории все
закладки, которые были поставлены на элементы, принадлежащие данному профилю, будут
удалены.
Извлечение истории QQ В связи с нераспространённостью QQ Messenger в России эта глава не переведена.
What sets QQ history apart from other history types is that the extracting of QQ versions 2009-2013
requires additional information. For the Chinese version, please, refer to Sprite Guo's blog post.
The latest few versions of QQ messenger are very cryptic. Unlike many other messengers, QQ
2009/2010 makes it impossible to extract any history if all you have is a history file.
The following list shows what you need to successfully extract QQ 2009 or 2010 history:
1. A user's hard drive 2. History file Msg2.0.db 3. File Registry.db 4. Connection to the Internet
It is impossible to extract any history unless you these prerequisites. You cannot extract history if you have no access to the original drive. You cannot extract history without an Internet connection.
Finally, conversation extraction is possible if a user saved their password (i.e. ticked Remember my password checkbox) before you seized the computer in question, or if you know a user's password.
You will need to indicate the following in the software:
1. A drive letter for Windows installation of a user's computer. For example, if you connected a user's drive to your computer and you now have drives M, N and O for this user's logical drives, you probably should select M drive if M:\Windows exists there (or maybe N:\Windows or O:\Windows)
2. A drive letter for QQ installation. Usually, this is the same drive as for Windows installation, but some users may install their QQ messenger to another drive
3. A path to the user's registry (Software branch). This file is usually stored at a path like the following: C:\Windows\System32\config\SOFTWARE. Do not forget: it is the user's registry, not yours. If you use the drive letters above, it will probably be M:\Windows\System32\config\SOFTWARE.
When you have supplied all this data, the product will try to connect to the Internet. This is required in order to connect to a QQ server. You will have to allow such connection in your firewall or antivirus tool. In order to protect your computer, you can restrict IP addresses to only QQ server addresses:
121.14.75.64 58.60.14.37 219.133.60.36 58.60.15.39 58.251.63.61 121.14.75.50
If everything is set up correctly, the product will be able to decrypt the history.
How to test?
To test the product against new QQ, you have to create your own history as sample history from another computer will not work on yours. Do the following:
1. Install the latest QQ, do some chats. 2. Close the QQ (otherwise it will lock the history) 3. Copy your SOFTWARE file using HoboCopy, e.g.
hobocopy c:\windows\system32\config c:\Temp\Test software where c:\Temp\Test is an existing folder that you would like to copy SOFTWARE file to.
4. Run our tool, locate the history and fill out the required fields described above, using a copy of the original SOFTWARE file, as the original file is locked by Windows.
Поиск в истории Продукт позвляет вам искать некоторые события, которые могут содержаться в материалах дела.
Чтобы начать поиск, нажмите Ctrl-F или кнопку панели инструментов Search (поиск), выберите
Search history (поиск истории) в главном меню Edit или из контектного меню Обозревателя дел.
Как только вы сделали это, появится окно Search history (поиск в истории).
Доступны следующие опции поиска, которых вы можете выбрать:
Поиск слова или фразы. Эта опция поможет вам найти все события истории, которые
содержат данное слово или фразу. Поиск не учитывает пробелы и разделители, а ищет
подстроки, поэтому, если вы ищете слово "the", событие со словом "there" также будет
показано
Поиск слов из словарного файла. Выбирайте эту опцию, когда у вас есть справочный файл
со всеми интересующими вас словами. Вы можете сэкономить большое количество
времени, если создадите такой файл с тысячью "подозрительных" слов и произведёте
один поиск вместо того, чтобы делать тысячу различных поисков конкретных
подозрительных слов
Поиск регулярных выражений. Регулярные выражения – мощное средство для проведения
сложных поисков. Выбирайте эту опцию, когда вы не знаете точно, что вы ищете,
например, при поиске почтовых адресов или кредитных карт, когда вы ещё не знаете
точных адресов и номеров карт. Вы можете использовать регулярное выражение для
подобных задач: введите "\d{4}-\d{4}-\d{4}-\d{4}" для того, чтобы найти все номера
кредитных карт в истории, если они там есть.
Вы можете запустить поиск по всем профилям, содержащимся в деле, или ограничить поиск
выбранными профилями. Также есть возможность искать в закладках.
После нажатия кнопки OK поиск начнётся, и его прогресс будет отражаться в окне Управления
задачами. Найденные результаты будут показаны в окне Search Results (результаты поиска).
Управление закладками Продукт позволяет вам пометить интересные данные с помощью закладок. Закладка – это
элемент, имеющий имя и описание, который показывается в узле Bookmarks (закладки) внутри
Обозревателя дел. Закладка может содержать любое количество элементов истории, таких как
чаты, ссылки, письма и т.д., и наоборот, элемент может принадлежать любому количеству
закладок.
Закладка, называющаяся "Chat and email evidence", содержит чаты и письма
Элемент, добавленный в закладку, помечается голубым цветом, чтобы визуально выделить его в
списке:
Помеченные чаты подсвечены голубым.
Чтобы добавить один или несколько элементов в закладку, выберите их, нажмите правой кнопкой
мыши на них и выберите пункт контекстного меню Bookmark selected items. Продукт предложит
вам создать новую закладку или добавить элементы в одну из существующих.
Вы можете также потянуть выделенные элементы на узел Bookmarks внутри Обозревателя дел
(чтобы создать новую закладку) или на любую существующую закладку (чтобы добавить элементы
к этой закладке).
Перетаскивание выбранных элементов на существующую закладку добавит их к ней
Контекстное меню элементов из закладки содержит пункт Go to bookmark (переместиться к
закладке), который выберет соответствующую закладку в Обозревателе дел.
Наоборот, в контекстном меню элемента в закладке вы найдёте пункт Go to original item (перейти
к оригинальному элементу), с помощью которого мы можете выделить элемент в исходном
профиле.
Вы можете искать в закладках, экспортировать их содержимое, а также помечать закладками
результаты поиска из окна Search Results (результаты поиска).
Экспорт истории (создание отчётов) Продукт позволяет вам экспортировать историю (создавать отчёты). Эта операция доступна почти
из всех частей пользовательского интерфейса. Поддержаны различные форматы отчётов, такие
как HTML или PDF. Чтобы создать отчёт, вы можете выбрать одно из следующего:
Узел дела в Обозревателе дел
Узлы типов историй, такие как Instant Messengers, Browsers, Mailboxes, Carvers, Network
Traffic, Images, Video или узел закладок Bookmarks в Обозревателе дел
Одиночный профиль (например, профиль Skype) в Обозревателе дел
Одиночную закладку в Обозревателе дел
Один или несколько элементов в списке элементов, таком как Message List (список чатов),
URLs (список ссылок) или Bookmark List (список элементов закладки)
Один или несколько элементов в окне результатов поиска
После этого вы можете либо нажать кнопку Export History (создать отчёт) панели инструментов,
выбрать пункт меню Export History из главного меню Edit или пункт Export History из контекстного
меню Обозревателя дел. Если вы экспортируете выбранные элементы из любого списка
элементов, единственный способ начать создание отчёта выбрать пункт Export History из
контекстного меню списка элементов.
После этого появится мастер Export history:
Первый шаг мастера позволяет вам выбрать целевой формат. В настоящее время поддержаны
следующие форматы:
Plain text (текст)
HTML
XML
CSV
EML (только для почты)
На этой же странице мастера вы можете выбрать следующие опции:
Encoding (кодировка). Эта опция позволит вам выбрать целевую кодировку для текста или
формата CSV. Например, если вы экспортируете китайский текст, вы можете выбрать
Chinese Simplified. Формат по умолчанию – UTF8.
Item sorting (сортировка элементов). Вы можете отсортировать элементы по дате и
времени в порядке возрастания или убывания.
Следующая страница мастера позволяет вам задать, сколько файлов будет сгенерировано.
Доступны следующие опции:
One file (один файл). Выбирайте эту опцию, когда размер истории, которую вы
экспортируете, невелик. Иначе, если файл отчёта будет слишком велик, это может вызвать
значительные задержки при его просмотре. Например, файл HTML размером 1Mb может
"подвесить" ваш браузер на долгое время, а также привести к большому потреблению
памяти.
Separate file for every contact or mail folder (отдельный файл для каждого контакта или
почтовой папки). Выбирайте эту опцию, когда вы экспортируете интернет-чаты или
почтовую переписку. В этом случае для каждого контакта или для каждой почтовой папки
будет создан отдельный файл.
Split by items count (разбить по количеству элементов). Выбирайте эту опцию, чтобы
получить файлы отчётов определённого размера. Когда у вас есть существенное
количество истории, вы можете захотеть генерировать файлы предсказуемого размера,
например, файлы, содержащие не более 1000 сообщений. В этом случае вы можете
получить большое количество файлов, но зато они не приведут к понижению
производительности просмотрщика из-за слишком большого размера.
One file per each date (один файл на каждую дату). Выбирайте эту опцию, когда вам важно
увидеть, какие события случились в ту или иную дату.
На той же странице мастера вы можете выбрать тип группировки. Доступны следующие опции:
Do not group (не группировать). В этом случае вы увидите все события по порядку,
отсортированные по времени и дате. Например, для профиля интернет-пейджера, вы
увидите все чаты по порядку. Это удобно, когда вам требуется построить таймлайн всех
разговоров пользователя.
Group by contact or mail folder (группировать по контакту или почтовой папке). В этом
случае элементы будут сгруппированы. Например, для интернет-пейджеров, все чаты с
определённым контактом ("другом") будут сгруппированы вместе, и внутри
отсортированы по дате и времени. Затем будет представлена история со следующим
контактом и т.д. Это удобно, когда вас интересует история с тем или иным контактом.
Учтите, что некоторые из этих опций будут проигнорированы в зависимости от формата.
Например, в формате CSV невозможно произвести группировку, поэтому эта опция не будет
влиять на конечный отчёт в CSV.
На следующей странице мастера вы можете выбрать период времени, которым следует
ограничить отчёт:
На следующей странице мастера вы сможете указать целевую директорию для файлов отчёта:
Обратите внимание, что продукт создаст поддиректорию внутри выбранной директории,
названную по имени профиля (или закладки). Если продукт определит, что внутри уже существует
подобная директория, он добавит номер к имени директории, чтобы сделать имя уникальным.
Это позволит вам не беспокоиться о перетирании предыдущих результатов экспорта – этого
никогда не произойдёт.
Флажок Open file or folder after export completed (открыть файл или папку, когда завершится
экспорт) позволяет вам открыть результат экспорта с помощью программы по умолчанию.
Например, если вы выбрали экспортировать в один файл в формате HTML, по завершению
экспорта результирующий файл откроется в браузере по умолчанию.
Отчёт в формате PDF, открытый в просмотрщике PDF по умолчанию
Если вы экспортируете в несколько файлов, по окончанию экспорта будет открыт Windows Explorer
с целевой папкой, что даст вам возможность вручную выбрать любой из получившихся файлов
для дальнейшей работы.
Мастер отчётов запоминает все ваши предпочтения, поэтому в следующий раз вы можете просто
нажимать кнопку Next для генерации отчёта с теми же самыми предпочтениями. Единственное,
что вам придётся менять – это источник экспорта – профиль или набор элементов истории.
Настройка внешнего вида отчёта
Карвинг Продукт позволяет вам выполнять анализ под названием "карвинг".
Что такое карвинг
Карвинг – это последовательный побайтовый поиск различных артефактов. Во время карвинга вы
не полагаетесь на файловую структуру, потому что файлы могут быть удалены (или же вы можете
исследовать носитель, в котором файловая система в принципе отсутствует, например, образ
оперативной памяти). Вас интересуют определённые "сигнатуры" или шаблоны, которые могут
означать наличие некоторой интересной информации около места нахождения сигнатуры,
скажем, сообщение, посланное в чат. Например, Skype версии 3 имеет сигнатуру "l33l" перед
каждым текстовым сообщением, поэтому, если вы найдёте эту сигнатуру, с большой
вероятностью за ней последует сообщение чата Skype.
Сигнатура l33l предшествует сообщению чата Skype 3
Карвинг – важный вид анализа при поиске удалённой информации.
Учтите, что карвинг не является "точной" методикой, в отличие от синтаксического анализа
обычных файлов истории. Карвинг может дать неполные результаты (например, дата может быть
не найдена для сообщения чата) или так называемые "false-positive" (когда вы нашли сигнатуру,
которая, однако, не предшествует истории, которая вас интересует, например, если вы сохраните
произвольный файл с текстом "l33l" внутри, карвинг обнаружит внутри "сообщение Skype").
Продукт позволяет проанализировать с помошью карвинга жёсткий диск или образ диска, образ
памяти, файл гибернации и подкачки. Вы можете анализировать весь диск или только
выделенные/невыделенные кластеры. В случае выделенных кластеров вы можете частично найти
ту же информацию, что получена с помощью обычного анализа существующих файлов.
Как начать карвинг
Чтобы начать процесс карвинга, вы можете:
Нажать кнопку Carve Device (карвить устройство) панели инструментов
Выбрать пункт меню Carve Device из главного меню Edit или из контекстного меню
Обозревателя дел (узел дела)
Как только вы сделаете это, откроется мастер карвинга устройств.
Опции карвинга
На первой странице мастера вы можете выбрать типы историй, которые вас интересуют.
Вторая страница позволяет выбрать вам источник карвинга.
Вы можете выбрать из следующих вариантов:
Physical drive (физический диск). Выберите один из физических дисков, подключенных к
вашей системе, используя выпадающий список. Имена дисков представлены в виде
"\\.\PHYSICALDRIVE1". Каждый жёсткий диск представлен единственным элементов в
выпадающем списке.
Logical drive (логический диск). Выберите один из ваших логических дисков,
подключённых к вашей системе, используя выпадающий список. Имена дисков
представлены в виде "C:\". Каждый жёсткий диск может иметь один или несколько
логических дисков, представленных в выпадающем списке.
Drive image file (файл образа диска). Вы можете запустить карвинг на образе диска
следующих популярных криминалистических форматов:
o Encase
o DD
o SMART
Файловые системы внутри образа могут быть файловыми системами Windows, MacOS и
Linux: все версии FAT, NTFS, HFS, HFS+, ext2, ext3.
Live RAM image file (Образ RAM (оперативной) памяти). Вы можете запустить карвинг на
"плоском" образе памяти компьютера (.mem-файле). Существует множество программ,
которые вы можете использовать для захвата памяти с компьютера, например Encase, FTK
Imager и т.д. Наш продукт позволяет анализировать выход любой из этих программ.
Кроме образа памяти, вы можете также указать путь к файлу гибернации или подкачки
(hiberfil.sys и pagefile.sys). Эти два типа файлов могут включать области оперативной
памяти, записанные на жёсткий диск в процессе работы ОС Windows, поэтому являются
важным источником артефактов оперативной памяти, потому что именно в них
содержимое RAM памяти может "пережить" выключение компьютера.
Доступна опция выбора типов кластеров для анализа. Вы можете уменьшить время, требуемое
для анализа, путём поиска только в невыделенных (unallocated) кластерах (например, если вы
ищете намеренно удалённые данные). Однако, иногда карвинг выделенных кластеров также
может дать ценные результаты, например, если данные существуют внутри повреждённого
файла. Обычный анализ такого файла может завершиться некорректно вследствие повреждения
структуры, но карвинг, возможно, решит проблему. Вот почему продукт позволяет выбрать вам,
где производить карвинг: только в невыделенных кластерах, только в выделенных и везде, с
помощью опции What clusters to analyze? (какие кластеры анализировать?).
Обратите внимание, что карвинг сетевых дисков/совместно используемых сетевых ресурсов на
данный момент не поддержан. Это, в частности, относится к разделяемым папкам VMWare.
Флажок Start carving after wizard finishes (начать карвинг после завершения мастера), будучи
выбранным, позволяет начать карвинг сразу по закрытию мастера кнопкой Finish (завершить).
Если вы сняли этот флажок, выбранный источник данных (диск или образ) будет добавлен в узел
added Carved data (данные карвинга) Обозревателя дел, но информация не будет извлечена. Вы
сможете извлечь её, нажав пункт контекстного меню Extract history (извлечь историю) или пункт
Extract history из главного меню Edit.
В отличие от извлечения обычной истории для чатов и браузеров, результаты карвинга
представляются пользователю в процессе анализа, поэтому вы можете навигироваться по уже
извлечённых данным и исследовать их свойства с помощью окон Item List (список элементов) и
Item Properties (свойства элемента).
См. главу Setting Yahoo name (установка имени пользователя Yahoo), если вы ищете артефакты
Yahoo! Messenger.
Исследование файлов гибернации и подкачки Продукт позволяет вам извлечь информацию из двух важных файлов Windows: файла гибернации
и подкачки (pagefile). Два этих файла являются единственным исключением, когда оперативная
память компьютера может "пережить" выключение компьютера. Эти файлы могут содержать
артифакты оперативной, записанные на диск в процессе работы операционной системы. Если
файл гибернации в основном используется на портативных компьютерах, файл подкачки
присутствует практически на всех компьютерах, потому что он используется для виртуальной
памяти.
Чтобы извлечь информацию из этих файлов, запустите мастер карвинга и на второй странице
выберите опцию Live RAM image file (файл образа оперативной памяти):
Затем, укажите путь к интересующему вас файлу гибернации или подкачки. После нажатия кнопки
Finish указанный файл будет проанализирован с помощью карвинга на наличие артефактов
оперативной памяти, которые могут содержаться внутри. В отличие от обычного анализа файлов
на диске, не ожидайте большого количества результатов внутри оперативной памяти, потому что
этот вид памяти содержит только самые последние данные, использованные различными
программами, и даже эти данные могут быть перезаписаны другими данными весьма быстро.
Однако, даже небольшое количество последних данных гораздо лучше, чем ничего.
Учтите, что оба упомянутых файла в вашей "живой" системе заблокированы ОС Windows, поэтому
продукт не сможет проанализировать их на ней. Если вы хотите протестировать продукт, вы
должны либо скопировать файл, используя специальные инструменты наподобие Hobocopy или
подсоединить диск, содержащий другую копию Windows. Вы также можете скачать тестовый файл
гибернации и файла подкачки с сайта Белкасофт.
Разрешение имени MSN Microsoft MSN/Live Messenger хранит историю в директориях наподобие john.smith2462261469.
Число после имени пользователя на самом деле представляет собой хеш-значение почтового
адреса пользователя, и вы, возможно, заинтересованы в том, чтобы вместо числа увидеть адрес
почты, такой как, например, [email protected].
Продукт позволяет вам восстановить адрес почти с использованием алгоритма грубой силы на
основе списка известных почтовых сервисов. В большинстве случаев этого списка достаточно,
чтобы определить адрес пользователя. Продукт использует список из около 7000 сервисов,
сохранённый в файле mailservers.txt, который можно найти в директории продукта. Если вы хотите
расширить список почтовых сервисов, просто добавьте дополнительные строки к этому файлу.
Управление пользователями Эта глава относится к редакции Enterprise и будет написана несколько позже.
Анализ сетевого трафика Продукт позволяет вам открывать и анализировать файлы, содержащие перехваченный сетевой
трафик. В интернете доступно большое количество инструментов (так называемых "снифферов") ,
которые перехватывают сетевой трафик, например, WireShark. Такие инструменты могут
сохранять локальный сетевой трафик в стандартных PCAP-файлах. Наш продукт анализирует
подобные PCAP-файлы на наличие определённой активности пользователя.
Чтобы найти PCAP-файл, используйте мастер поиска историй (Search histories), как пояснено в
главе "Поиск профилей". Выберите флажок Network Traffic (сетевой трафик) на первой странице
мастера и укажите местонахождение файла на второй.
На данный момент продукт поддерживает следующие протоколы:
Oscar (используемый, например, в ICQ)
XMPP (используемый, например, в Jabber и Facebook)
Извлечение, просмотр и экспорт доступной информации производятся аналогично другим типам
информации.
Извлекаемая информация браузеров Анализ истории браузеров, поддержанный в продукте, восстанавливает следующие типы
артефактов:
Сайты, посещённые владельцем профиля
Куки
Пароли, введённые на различных экранах входа
Значения, введённые в различных полях веб-форм
Ссылки из закладок пользователя
Введённые вручную ссылки (ссылки, введённые прямо в поле адреса браузера)
Кеш (файлы, хранимые локально для того, чтобы увеличить скорость последующих
показов сайта, например, изображения)
Для того, чтобы извлечь ссылки, введённые вручную в Internet Explorer, необходимо иметь доступ
к реестру соответствующего пользователя.
Пароли браузера Продукт поддерживает извлечение паролей, введённых пользователем на различных экранах
входа сайтов в интернете. Однако, существуют некоторые ограничения на этот тип анализа:
Анализ работает для браузеров Firefox, Chrome и Opera. Safari и Internet Explorer не
поддержаны.
Если пользователь выбрал не сохранять паролей, нет никакого способа извлечь их с
помощью анализа браузеров.
Для Opera невозможно определить, какие из сохранённых значений являются логинов, а
какие – паролем, поэтому продукт пытается это угадать (и может угадать неверно).
Причиной этого является то, что Opera хранит пароли в произвольном порядке и
использует содержимое просматриваемых сайтов (недоступное продукту в момент
анализа), чтобы определить, какое из сохранённых значений должно заполнить какое
поле.
Просмотр кеша Продукт позволяет вам увидеть содержимое интернет-сайтов, которое было закешировано
браузером в момент, когда пользователь просмотривал эти сайты. Вся информация, которую
пользователь видет на своём экране, скачивается локально на компьютер, и часть этой
информации остаётся на жёстком диске продолжительное время. Типичные примеры
скачиваемой информации – html-содержимое страницы, изображения и иконки, скрипты, файлы
стилей css.
Продукт позволяет вам просмотреть закешированные элементы, если вы выделите подузел Cache
(кеш) узла браузерного профиля. Чтобы увидеть элемент выребите его в Списке элементов и
откройте закладку Cache в Свойствах элемента:
В некоторых случаях, когда на компьютере осталось достаточно информации, продукт может
показать вам то, как выглядел сайт, посещённый владельцем профиля, в момент посещения, т.е.
точно так, как его видел пользователь. Обратите внимание, что для этого используется только
локально сохранённая информация, продукт не соединяется с интернетом для просмотра.
Поэтому, даже если сайт изменился с момента посещения его пользователем или даже был
закрыт, вы всё равно можете увидеть его содержимое. Чтобы просмотреть сайт, выделите
подузел Sites (сайты) узла браузерного профила в Обозревателе дел, выберите интересующий вас
URL и переключитесь на вкладку Cache окна Свойств элемента.
Если удача на вашей стороне, и информации на компьютере достаточно для визуализации кеша,
сайт будет показан примерно так, как это выглядит на рисунке ниже:
Подсчёт хеш-значений Каждый профиль может иметь два ассоциированных хеш-значения. Одно из них – оригинальное
хеш-значение, другое – текущее.
Хеш-значения подсчитаваются с целью убедиться в том, что профили не были изменены в
процессе анализа, и доказать это третьим лицам. Если вы собираетесь использовать хеш-
значения, выберите флажок Calculate profile hash value (подсчитывать хеш-значения для профиля)
на форме Found profiles (найденные профили). Имейте, однако, в виду, что подсчёт хеш-значений
может занять длительное время, особенно для больших профилей, таких, как файл почтового
ящика Outlook или директория браузера, содержащая множество файлов. Поэтому, если вы не
собираетесь использовать хеш-значения, снимите галочку с этого флажка, чтобы убыстрить
добавления профилей к делу.
Продукт использует стандартный алгоритм MD5 для подсчёта хеш-значений. Если профиль
является директорией, хеш-значение подсчитывается для всех файлов внутри директории и
поддиректорий, потом все эти значения объединяются в одну строчку, для которой
подсчитывается окончательное хеш-значение. Поэтому, если даже один файл внутри директории
профиля изменён, всё хеш-хначение изменится. Для профиля изображений, который содержит
картинки в различных поддиректориях, хеш-значение является комбинацией всех хеш-значений
файлов изображений, принадлежащих профилю (а не всех файлов, как с профилем-директорией).
Чтобы убедиться, что профиль не изменился, выберите его в Обозревателе дел. На странице
свойств профиля вы увидите два значения:
Нажмите на кнопку Recalculate (пересчитать), чтобы указать продукту подсчитать текущее хеш-
значение выделенного профиля. Если текущее значение совпадает с оригинальным, профиль не
изменился.
В некоторых случаях продукт не сможет подсчитать хеш-значение. Это может произойти,
например, когда один из файлов профиля заблокирован. Такая ситуация возможна, если вы
тестируете продукт на вашей «живой» системе, в которой многие файлы естественным образом
блокированы системой, к примеру, ваш файл реестра, файлы Skype или Firefox.
Другая стандартная проблема возникает, когда вы копируете профиль другого пользователя на
ваш жёсткий диск и некоторые пути становятся слишком длинными, превышая лимит Windows на
максимальную длину пути. В этом случае подсчёт хеш-значений также окончится неуспехом, и
продукт покажет сообщение Failed to calculate hash (не удалось подсчитать хеш-значение) в поле
Current hash (текущее хеш-значение) Свойств профиля.
Если вы уже отсоединили диск с исходным профилем или вы переместили профиль в другое
место на диске, продукт также не сможет подсчитать текущее хеш-значение.
Кодировка Некоторые интернет-пейджеры хранят историю чатов в национальных кодировках, а не в UTF. Для
таких типов историй продукт извлечёт историю с использованием кодировки по умолчанию,
используемой в вашей системе. Однако, это может привести к некорректному отображению
текстов, если умолчательная системная кодировка не совпадает с той, которая использовалась
для чата, например, в чате использовалась китайская кодировка Chinese Simplified, тогда как на
вашем компьютере используется немецкая кодировка, потому что вы находитесь в Германии.
Чтобы указать продукту использовать правильную кодировку, нажмите правой кнопкой мыши на
интересующий вас профиль, выберите меню Encoding (кодировка) и затем выберите требуемую
кодировку из подменю. Продукт предложит вам перечитать историю, т.к. кодировка была
изменена.
Вы можете указать продукту кодировку по умолчанию (см. главу «Настройки»).
Дата и время При извлечении истории продукт всегда показывает вам дату и время в вашем локальном
времени, не в UTC или какой-либо другой временной зоне, потому что большинство интернет-
пейджеров хранят локальное время. Поэтому, если вы работаете с профилем из другой
временной зоны, мы можете получить некорректные результаты.
Например, пользователь профиля интернет-пейджера находился во временной зоне GMT+3 и
послал сообщение в 11:00 утра. Вы исследуете профиль в зоне GMT+2. Данное сообщение будет
показано вам, как посланное в 11:00, хотя в ваше временной зоне это было 10:00 утра.
Чтобы сгенерировать корректный отчёт для этого случая, вы должны изменить ваше системное
время на временную зону пользователя профиля.
Следующая версия продукта будет предоставлять возможность настроить постоянную коррекцию
времени в диалоге экспорта, как это было сделано в предыдущем продукте Forensic IM Analyzer.
Сортировка Список элементов поддерживает сортировку информации, которую он содержит. Вы можете
сортировать по любой колонке таблицы. Чтобы сделать это, нажмите на заголовок колонки.
Элементы отсортированы по дате и времени
Элементы отсоротированы по типу (сначала звонки Skype, потом чаты)
Если нажать на заголовок колонки дважды, порядок сортировки изменится («по возрастанию»
сменится на «по убыванию» и наоборот). Ваши предпочтения сортировки будут запомнены
продуктом, поэтому в следующий раз, когда вы его запустите, те же самые условия сортировки
будут применены к соответствующим данным.
Анализ изображений Продукт предоставляет следующие типы анализов, специфичных для изображений:
Определение порнографии
Определение лиц
Определение текстов
Эти анализы могут быть запущены на профилях изображений и на видео-профилях, если для тех
были извлечены ключевые кадры. Чтобы запустить любой из этих анализов, нажмите правой
кнопкой мыши на профиле изображений или видео и выберите соответствующее подменю
контестного меню Analyze images (анализировать изображения):
Имейте в виде, что исходный носитель с изображениями должен быть подсоединён к компьютеру
для проведения анализа, потому что продукт по умолчанию не хранит изображения в базе
данных. Вы также можете инструктировать продукт сохранить сохранить выбранные изображения
в базе данных (если вы пользуетесь продуктом с компонентой управления делами (Case
Management). В этом случае продукт сначала проверит наличие изображений в базе и только
затем, если его там нет, попытается прочитать файл из оригинального места хранения.
Результаты анализа хранятся в следующих подузлах узла Analysis results (результаты анализа):
Images with faces (изображения, содержащие лица)
Images with text (изображения, содержащие текст)
Porn images (изображения, содержащие порнографию)
Для всех типов анализа продукт использует нейронные сети. На текущее состояние исследований
нейронных сетей невозможно создать алгоритм, который даёт 100% корректный результат,
поэтому следует ожидать как false positives (ложные срабатывания), так и false negatives
(ложноотрицательные результаты).
См. также:
Хранение изображений в БД
Определение лиц Продукт позволяет вам определять лица на изображениях и видео. Чтобы найти лицо, выберите
интересующий вас профиль изображений или видео, нажмите на нём правой кнопкой мыши,
выберите контекстное меню Analyze images (анализировать изображения) и затем Detect faces
(найти лица), что запустит анализ.
После окончания анализа фильтр с названием Images with faces (изображения, содержащие
лица), находящийся в подузле Analysis results узла профиля в Обозревателе дел будет заполнен
изображениями, содержащими лица. Суммарное количество изображений с лицами
отображается в узле фильтра:
Анализ нашёл 22 изображения с лицами
Анализ работает с лицами, повёрнутыми анфас и в профиль. В настоящее время разработанные
научные методы детектирования выдают наилучший результат на лицах анфас. Лица,
расположенные в профиль детектируются хуже. Другие типы расположения лиц на изображении,
например, вполоборота, могут быть не найдены вообще, потому что в настоящее время не
существует надёжных алгоритмов для таких случаев. Кроме того, следующие сложности могут
препятствовать успешному распознаванию лиц:
Лицо частично повёрнуто из положения «анфас» или «в профиль»
Что-либо закрывает значимые части лица (например, солнечные очки, шарф, рука)
Плохие условия освещения
Распознавание лиц использует нейронные сети для поиска. В настоящее время, на текущее
состояние научных исследований, невозможно создать алгоритм, который выполнял бы эту
задачу со 100% корректностью, поэтому следует ожидать как false positives (ложные
срабатывания), так и false negatives (ложноотрицательные результаты). Например, алгоритм часто
некорректно определяет колени как лицо. Чтобы не допустить ложного срабатывания, продукт
применяет дополнительные типы анализов, такие как:
Определение кожи
Определение носа
Определение глаз
Определение рта
Чтобы избавиться от ложных срабатываний, вы можете отфильтровать лица, которые содержат
все эти признаки. Однако, учтите, что число ложных срабатываний и число ложноотрицательных
результатов связаны друг с другом, поэтому, если вы уменьшите количество первых, увеличится
количество вторых (поэтому вы можете пропустить некоторые изображения, на самом деле
содержащие лица).
Чтобы определить, какие признаки были определены на лица, изучите группу свойств Analysis
(анализы) в окне Свойств элемента:
Для каждого найденного лица в свойствах изображения будет создана отдельная запись с
указанием всех деталей, таких как границы лица, а также дополнительные признаки, такие как
наличие носа, рта, кожи или глаз, определённое анализом.
Продукт способен успешно различать не только настоящие лица, но даже лица, нарисованные в
стиле мультфильма:
Обратите внимание, что для определения лиц внутри видео-файла вы должны сначала запустить
извлечение ключевых кадров для него.
См. также:
Анализ видео
Определение текста Продукт позволяет находить текст на профилях изображений и видео.
Чтобы определить лицо, выберите интересующий вас профиль изображений или видео, нажмите
на нём правой кнопкой мыши, выберите пункт контестного меню Analyze images (анализировать
изображения) и затем Detect text (найти текст), что запустит соответствующий анализ.
После окончания анализа фильтр Images with text (изображения с текстом), расположенный
внутри подузла Analysis results (результаты анализа) узла профиля в Обозревателе дел, будет
заполнен изображениями с найденным текстом. Общее количество таких изображений будет
указано в узле фильтра:
Ни одного изображения с текстом не было обнаружено
Анализ работает с чётким отсканированным текстом. Он может не сработать на произвольных
текстах, таких как дорожные знаки, субтитры, текст на футболках и т.п. Пример изображения,
которое будет корректно обработано, приведён ниже:
Чтобы улучшить результаты, инструмент делает некоторые операции, такие как устранение
наклона, увеличение разрешения и прочие. Поэтому, даже небольшие и наклонённые тексты
могут быть корректно обработаны.
В настоящее время не существует технологий, которые гарантируют полную корректность
извлечения текстов. Следующие трудности могут создать препятствия для успешного
распознавания:
Значительно наклонённый текст
Слишком низкое разрешение (например, буквы высотов в 5 пикселей)
Рукописные пометки поверх напечатанного текста
Чтобы увидеть, какой текст был распознан на изображении, вы можете открыть закладку Item text
(текст элемента) или же исследовать содержимое свойства RecognizedText (распознанный текст)
внутри секции Analysis окна Свойств элемента:
Чтобы успешно распознать текст, вы должны указать язык распознавания в Настройках (по
умолчанию английский). Многоязыковое распознавание не поддерживается.
Обратите внимание, что для распознавания текста внутри видео-файла вы должны сначала
извлечь ключевые кадры.
См. также:
Настройки
Анализ видео
Определение порнографии Продукт позволяет обнаружить порнографию в профилях изображений и видео. Под словом
«порнография» для простоты подразумевается не только порнография в её формальном
определении, но и вообще любое изображения с обнажёнными людьми или обнажёнными
частями тела, занимающими существенную часть изображения.
Чтобы найти порнографию, выберите интересующий вас профиль изображений или видео,
нажмите правую кнопку, выберите пункт контекстного меню Analyze images (анализировать
изображения) и затем Detect porn (обнаружить порнографию), что запустит анализ.
После окончания анализа фильтр Porn images (порнографические изображения), содержащийся
внутри подузла Analysis results (результаты анализа) узла профиля в Обозревателе дел будут
заполнены изображениями, которые определились как порнографические. Общее число таких
изображений будет указано в узле фильтра:
43 изображения определены как порнографические
Определение порнографии использует нейронные сети для своей работы. В текущее время
невозможно создать алгоритм, который выполнял бы эту задачу со 100% корректностью, поэтому
следует ожидать как false positives (ложные срабатывания), так и false negatives
(ложноотрицательные результаты). Следующиеи сложности могут создать препятствия для
успешного нахождения порнографии:
Плохие условия освещённости
Слишком маленькая площадь обнажённой кожи
Различные графические эффекты пост-обработки изображения, такие как, например,
преобразование цветов в люминисцентные
Чтобы помочь вам найти большее количество подозрительных изображений, каждому
изображению сопоставляется вероятность того, что оно содержит порнографию. Вы можете
отсортировать список изображений по колонке Porn probability (вероятность порнографии), чтобы
получить более подозрительные изображения в начале списка.
Обратите внимание, что для обнаружения порнографии внутри видео вы должны сначала
запустить извлечение ключевых кадров.
См. также:
Настройки
Анализ видео
Удаление некорректно найденных лиц Если продукт некорретно определит лицо, вы можете удалить это лицо с помощью окна Image
Preview (предпросмотр изображения). Просто нажмите правой кнопкой мыши на некорректной
области и она исчезнет:
Если вы удалите последнее из распознанных лиц на изображении, оно будет удалено из подузла
Images with faces в следующий раз, когда вы выберете этот узел.
Хранение изображений в базе данных Обычный жёсткий диск может содержать тысячи изображений и даже сотни тысяч изображений.
Вряд ли вы заинтересованы в том, чтобы хранить все эти изображения в базе данных, но,
возможно, вы хотели бы сохранить некоторые из них. Поэтому изображения, найденные при
поиске, не хранятся в базе данных, хранятся только свойства изображения и путь на оригинальном
носителе. Поэтому вы не можете просмотреть изображение или запустить анализ, если вы
отсоединили оригинальный носитель от компьютера.
Однако, вы можете захотеть сохранить некоторые интересующие вас изображения на более
длительный период, чем у вас хранится оригинальный носитель. В этом случае вы можете
выбрать жти изображения и сохранить их в базу с помощью пункта контекстного меню Save
selected images to database (сохранить выбранные изображения в базе данных):
После того, как вы сделали это, все последующие операции с сохранёнными изображениями
будут исполняться на копии изображения из базы данных, поэтому вы можете запустить анализ
изображений даже после отсоединения оригинального носителя.
Операции над изображениями Кроме стандартных операций, содержащихся в контекстном меню любого элемента в Списке
элементов, контекстное меню изображений содержит несколько дополнительных операций:
Show selected items on Google Maps (показать выбранные элементы на Google Maps). Если
какие-либо из выбранных изображений содержат GPS-координаты, эта опция будет
доступна. Используя ей, вы можете увидеть все точки на карте, где были сделаны
выбранные фотографии. См. главу «Веб-браузер».
Show selected items on Google Earth (показать выбранные элементы на Google Earth). Если
ваш компьютер не подключён к интернету, эта опция поможет вам увидеть те же GPS-
координаты на карте. Всё, что вам нужно – это установить продукт Google Earth, который
не требует подключения к интернету для показа координат.
Export selected items to Google Earth format (экпортировать выбранные элементы в
формат Google Earth). Если у вас нет ли подключения к интернету, ни установленного
Google Earth, эта опция поможет вам увидеть желаемые координаты. Когда вы выбираете
эту опцию, продукт создаёт файл в формате Google Earth (kml-файл), который можно
скопировать на другой компьютер, где Google Earth установлен, и просмотреть нужные
координаты там.
Copy picture (скопировать изображение). Чтобы скопировать текущее изображение (а не
путь к нему, что сделает стандартный пункт Copy item text (скопировать текст эдемента),
выберите этот пункт контекстного меню.
Save selected items in database (сохранить выбранные элементы в базе данных). Этот пункт
меню сохраняет выбранные изображения в базе данных. См. главу «Хранение
изображений в базе данных».
Open in folder (открыть в директории). Вы можете выбрать одно или несколько
изображений и, когда нажмёте на этот пункт меню, Проводник Windows откроет каждую
уникальную директорию, содержащую исходное изображение (поэтому если у вас есть
три изображения в двух разных директориях, будут открыты два Проводника).
Существуют также две операции, специфичные для изображений, которые доступны через узел
профиля изображений Обозревателя дел:
Copy images to folder (скопировать изображения в директорию). Выберите этот пункт
меню, чтобы скопировать все изображения внутри профиля или фильтра в выбранную
директорию. См. главу "Копирование изображений в директорию".
Filters (фильтры). Этот пункт меню позволяет увидеть и отредактировать существующие
фильтры видео и изображений. См. главу «Фильтры».
Копирование изображений в директорию Вы можете скопировать все изображения, принадлежащие профилю изображений, видео или
фильтру, в выбранную директорию. Для этого выберите контекстное меню Copy images to folder…
(скопировать изображения в директорию) в Обозревателе дел:
Продукт откроет мастер экспорта истории на странице выбора целевой директории и затем
откроет эту директорию в Проводнике Windows, если выбран соответствующий флажок:
Выберите любую существующую директорию и нажмите Finish, чтобы начать копирование.
Фильтры Продукт предоставляет всеобъемлющие возможности фильтрации изображений и в профилях
изображений и видео. Например, вы можете сгруппировать только те изображения, которые
имеют GPS-координаты, или только порнографические изображения.
Существует несколько стандартных фильтров:
Images with faces (изображения с лицами)
Images with text (изображения с текстами)
Porn images (порнографические изображения)
Images with GPS data (изображения с GPS-координатами)
Images with metadata (изображения с метаданными)
Large images (большие изображения)
Каждый профиль содержит внутри стандартные фильтры сразу после добавления в дело
Фильтры, сгруппированные под узлом Analysis results будут заполнены только после окончания
соответствующего анализа (см. "Операции над изображениями"). Прочие фильтры будут
заполнены сразу после создания профиля (добавления его к делу), что позволяет вам сразу же
увидеть, к примеру, все крупные изображения.
Если вы захотите отредактировать стандартный фильтр или создать свой собственный, вы можете
сделать это путём выбора контекстного меню Filters… (фильтры) у узла профиля изображений или
видео (а так же их подузлов):
См. также:
Управление фильтрами
Управление фильтрами С помощью Filter Manager (Управление фильтрами) вы можете изучать, редактировать и удалять
стандартные и пользовательские фильтры:
Нажмите New filter (новый фильтр), чтобы создать пользовательский фильтр, Edit filter
(редактировать фильтр), чтобы отредактировать свойства выбранного (единственного) фильтра и
Delete filter (удалить фильтр), чтобы удалить один или несколько выбранных фильтров.
См. также:
Редактирование свойств фильтра
Редактирование свойств фильтра С помощью окна Edit Filter Properties (редактирование свойств фильтра) вы можете
отредактировать свойства существующего фильтра и создать новый пользовательский фильтр.
Например, если вы хотите ужесточить порог определения порнографического изображения, вы
можете выбрать стандартный фильтр, называющийся Porn images, в Управлении фильтрами и
нажать кнопку Edit filter (редактировать фильтр). В открывшемся окне редактирования свойств
фильтра вы можете отрегулировать значение порога:
Например, вы можете потребовать, чтобы свойство Porn detection probability (вероятность
определения порнографии) было больше или равно 0.8, чтобы уменьшить количество ложных
срабатываний. Учтите, однако, что делая это, вы также увеличиваете количество
ложноотрицательных результатов.
С помощью этого окна вы можете дать имя фильтру и добавить один или несколько критериев.
Критерий – это условие, состоящее из трёх частей:
Левая часть, являющаяся одной из стандартных свойств, таких как EXIF-свойства, свойства
файла, свойства изображения или свойства, добавляемые Evidence Center. Вы можете
выбрать любое доступное свойство из списка All properties (все свойства). Чтобы найти
свойство по имени, введите подстроку имени свойства в текстовое поле Find properties by
substring (найти свойства по подстроке).
Правая часть, которое представляет собой значение, вводимое вручную. Это может быть
строка, целое число или число с плавающей точкой, а также булево значение. Вы можете
ввести это значение в текстовом поле Value (значение).
Операция, которая может быть одной из стандартных логических операций, таких как ">="
для чисел, "contains" («содержит») для строк, "=" для булевых значений и т.д. Вы можете
выбрать операцию из выпадающего списока Operation.
Критерий можно инвертировать с помощью флажка Logical NOT (логическое НЕ). Это в
особенности полезно для строковых выражений, например, критерий "NOT Manufacturer EQUALS
Canon"(производитель НЕ является Canon) отфильтрует все изображения, сделанные камерами
любого производителя, кроме Canon.
Вы можете скомбинировать несколько критериев с помощью логических связок AND (и) и OR
(или), используя выпадающий список Combine with existing rules as: (скомбинировать с
существующими правилами как).
В примере ниже вы можете увидеть фильтр с именем Path contains "xxx" (путь содержит xxx),
который является фильтром с единственным критерием – путь к изображению должен содержать
подстроку "xxx":
Обратите внмание, что фильтры работают на уровне профиля, что значит, что каждый профиль
имеет свой собственный набор фильтров. Таким образом, если вы измените фильтр Porn images
для некоего профиля, соответствующий фильтр другого профиля не будет изменён.
Анализ видео Продукт позволяет разбивать видео на ключевые кадры. Ключевой кадр – это кадр, который
существенно отличается от предыдущего. Например, быстрое движение или полная смена сцены
может считаться существенным изменением.
Чтобы сэкономить время, вы можете исследовать только ключевые кадры, потому что остальные
кадры будут более-менее такими же. Поэтому, вам достаточно просмотреть только набор
картинок вместо того, чтобы смотреть видео целиком. Это чрезвычайно увеличивает
эффективность анализа и уменьшает эмоциональный стресс исследователя.
Чтобы извлечь ключевые кадры, установите настройки извлечения на закладке Video настроек
продукта. Затем нажмите правой кнопкой на профиле видео и выберите контекстное меню Extract
key frames (извлечь ключевые кадры):
В процессе извлечения продукт показывает уже извлечённые кадры в подузле Key frames узла
профиля видео:
Когда извлечение ключевых кадров завершено, вы можете производить такой же анализ
изображений с ключевыми кадрами, как и с обычными изображениями.
Учтите, что ключевые кадры не сохраняются в базе данных при извлечении. Вместо этого они
хранятся в директории Application Data текущего пользователя по пути наподобие:
C:\Users\ACCOUNT\Application Data\Belkasoft\Evidence Center\KeyFrames\PROFILE_NAME\frame001.jpg
После окончания работы над делом вы можете почистить эту папку, чтобы освободить место на
диске. Если вы хотите оставить некоторые выбранные кадры, вы можете сохранить их в базу
данных так же, как это делается для обычных изображений.
См также:
Настройки
Хранение изображений в базе данных
Окно ошибок Если в результате несчастного случая продукт испытывает сбой, пользователю показывается окно
Error window (окно ошибок), на котором указаны причины сбоя.
Чтобы увидеть их, нажмите на кнопку Details (детали). Используя это окно, вы можете послать
отчёт в Белкасофт. Чтобы сделать это, нажмите на кнопку Copy (скопировать), затем на кнопку
Send to support (послать в службу поддержки). Откроется ваш почтовый клиент по умолчанию и
будет создано новое письмо. Вставьте скопированные детали в письмо и отправьте. Мы ценим
вашу помощь!
Если у вас нет почты на компьютере, где вы работаете с продуктом, вы можете сохранить детали
сбоя с помощью кнопки Save (сохранить). Приложите получившийся файл к письму, посланному с
другой машины, чтобы дать нам знать о проблеме.
Надеемся, это будет на самая частая операция, которую вам предстоит совершать.
Настройки Продукт позволяет установить некоторые опции, доступные в подменю Options (опции) меню
Tools (инструменты) главного меню.
В зависимости от редакции продукта, которую вы имеете, окно опций может содержать одну или
более вкладок, включая вкладки General (основные), Image (изображение) and Video (видео).
Основные опции Закладка «основные опции» содержит следующие настройки:
Language (язык). Английский является языком по умолчанию. Прочие варианты будут
появляться по мере перевода на другие языки.
Default encoding (кодировка по умолчанию). Если вы часто работаете с историями в
некоторой кодировке, отличной от вашей системной, вы можете сэкономить время,
установив нужную кодировку по умолчанию. Например, если ваша системная кодировка
по умолчанию – немецкая, а вы работаете чаще всего с китайской, выберите Chinese
Simplified как кодировку по умолчанию. Это позволит вам не выбирать каждый раз эту
кодировку для каждого отдельного профиля.
Always open the last case (всегда открывать последнее дело). Когда эта опция выбрана,
продукт не будет спрашивать вас при старте, какое дело вы хотите открыть. Он всегда
будет открывать то, с которым вы работали в последний раз.
Log profile search folders (логгировать директории поиска профилей). Если вы
подозреваете, что продукт не обошёл все существующие директории на интересующем
вас устройстве, вы можете установить эту опцию. Когда она выбрана, продукт сохранит в
логе задачи поиска профилей все директории, которые он сумел обойти. Этот файл вы
сможете просмотреть с помощью Управления задачами по окончанию поиска. Учтите, что
лог-файл может стать весьма большим, потому что на диске могут быть тысячи
директорий.
Опции изображений Закладка опций изображения содержит следующие настройки:
Blur images detected as porn (размывать изображения, определённые как порнография).
Когда эта опция установлена, порнографические изображения будут размыты в окне
предпросмотра изображений, так что вы можете представить результаты анализа без
слишком большого количества деталей:
Обратите внимание, однако, что до того, как будет произведён поиск порнографии, все
изображения будут показаны как они есть, потому что в этот момент продукт ещё не имеет
информации о порнографии. Также заметьте, что окно Image Viewer (просмотр
изображения) всегда показывает исходное изображение (т.е., не размытое вне
зависимости от того, порнографическое оно или нет).
Show recognized faces bounds (показывать границы распознанного лица).После того, как
вы запустите анализ лиц, и он найдёт некоторые лица, продукт может подсветить
найденные лица на каждом соответствующем изображении:
Распознанные лица подсвечиваются зелёным квадратом
Do not blur recognized faces (не размывать распознанные лица). После окончания поиска
порнографии и лиц, порнографические изображения в окне предпросмотра будут
размыты за исключением области лица:
Порнографическое изображение размыто, но лицо показано как есть
Text recognition language (язык распознавания текста). Чтобы получить корректные
результаты распознавания текста, необходимо установить язык распознавания.
Следующие языки поддержаны на данный момент:
o Английский
o Русский
Прочие ящыки могут быть добавлены по запросу. Обратите внимание, что многоязыковое
распознавание не поддержано.
Face recognition mode (режим распознавания лиц). Существует три режима:
o Less false positives (меньше ложных срабатываний).В этом режиме количество
некорректно определённых лиц будет минимальным, но также уменьшится и
количество корректно определённых. Выбирайте эту опцию, когда вам важно
получить как можно меньше некорректных результатов и вы готовы смириться с
некоторой потерей некорректно не определённых лиц.
o Medium false positives (среднее количество ложных срабатываний).
o More false positives (больше ложных срабатываний). В этом режиме вы получите
больше ложных срабатываний, но зато и максимальное количество корректно
найденных лиц. Выбирайте эту опцию, когда вам важно найти максимальное
количество лиц и вы готовы смириться с тем, что количество результатов возможно
велико.
См. также:
Определение лиц
Определение текста
Определение порнографии
Анализ изображений
Настройки видео Закладка настроек видео содержит следующие опции:
Frames per second (кадров в секунду). Если вы хотите извлечь ключевые кадры быстро, вы
можете указать продукту анализировать, скажем, один кадр на 10 секунд (самое левое
значение ползунка, 0,1 кадр в секунду). Диапазон значений содержит значения от 0,1 FPS
до 50 FPS. Для подавляющего большинства видео значение 50 FPS будет равнозначно
анализу каждого кадра. Это даст наиболее точные результаты, но и потребует гораздо
большего времени.
Frames similarity (похожесть кадров). Ключевой кадр – это кадр, который существенно
отличается от предыдущего. Например, быстрое движение в кадре или полная смена
сцены может считаться существенным изменением. Вы можете настроить этот параметр,
чтобы получать больше или меньше кадров. Диапазон варьируется от 0 до 100, однако,
это число не имеет никакого естественного смысла и приведено только для удобства
настройки. Мы рекомендуем число от 70 до 75.
См также:
Анализ видео
Монтирование образов Продукт поддерживает монтирование образов в следующих форматах:
Образы EnСase (E01, Ex01)
Образы FTK (AFF и прочие AF*)
Контейнеры X-Ways (.CTR)
DD raw images
SMART images
Поддержаны образы, состоящие из несколькиз частей, если количество частей не более 99.
Вы можете указать образ в операциях поиска профилей и карвинга.
Ограничения демо-версии Продукт работает в демо-режиме, пока вы не приобретёте лицензию. Демонстрационная версия
имеет следующие ограничения:
Работает 10 дней с первого запуска
Только небольшое количество истории (не более 20 элементов) извлекается дя
контакта/почтовой папки/браузера/изображений/видео/сетевого трафика.
Чтобы сделать вашу копию полностью функциональной, пожалуйста, приобретите лицензию.
Регистрация продукта Продукт работает в демо-режиме, пока вы не приобретёте лицензию. Вы можете приобрести её
на сайте или через реселлеров Белкасофт.
Когда ваша покупка полностью оформлена, вы получите электронное письмо с лицензионной
информацией и инструкцией, как установить лицензию. Вкратце, вы должны распаковать
полученный файл с именем features.zip в директорию продукта. Архив содержит единственный
файл features.xml. На рисунке ниже показан этот файл внутри директории продукта:
Как только вы распакуете этот файл в директорию продукта, все доступные вам функциональные
возможности будут включены в момент следующего запуска продукта.
Если вы приобрели плавающую лицензию, вы также должны получить по почте USB-ключ,
который следует вставить в любой USB-порт вашего компьютера перед запуском продукта.
Вы можете проверить корректность регистрации путём выбора пункта меню About (о продукте)
главного меню Help (помощь). Если всё в порядке, окно About будет содержать имя вашей
организации в поле This product is registered to (этот продукт зарегистрирован на):
В случае, если служба поддержки попросит вас предъявить ваш лицензионный ключ , вы можете
выбрать пункт Registration information (регистрационная информация) из главного меню Help.
Следующий экран будет показан:
Вы можете скопировать ключ с помощью кнопки Copy registration key (скопировать
регистрационный ключ).
Типы лицензий Существует два типа лицензий продукта:
Плавающая лицензия. Эта лицензия позволяет вам использовать ПО на любом
компьютере, если вы вставили к него ваш USB-ключ. Ваша лицензия не привязана к
конкретному продукту, однако, программа не будет работать без USB-ключа. Так же, она
не будет работать, если вы вынете ключ в процессе работы. Эта лицензия даёт вам
максимальную гибкость, в частности, изменять конфигурацию вашего компьютера, но она
более дорогая, чем фиксированная.
Фиксированная лицензия. Чтобы сделать продукт более доступным, был предложен
механизм лицензирования, в котором лицензия привязана к определённому компьютеру,
указанному в момент покупки. Эта лицензия существенно дешевле, чем плавающая,
однако вы не можете использовать ПО на другом компьютере.Чтобы приобрести эту
лицензию, вы должны иметь Hardware ID компьютера, показываемое на окне Registration
information. Если вы переустановите свою систему или сделаете существенное изменение
конфигурации компьютера, ваш Hardware ID может измениться. В этом случае вам
придётся запрашивать новый ключ у Белкасофт. Ваш старый ключ будет дезактивирован.