Программа для судебных исследований "ILook Investigator"
ILook Investigator- программа для судебных исследований, используемая для анализа образов компьютерных жестких дисков. Данный продукт предоставляется по программе Electronic Crimes Program of the Internal Revenue Service. Лицензионное соглашение конечного пользователя ILook (End User License Agreement) и регистрация программы ограничивает использование ILook только сотрудниками правоохранительных органов. Исключений нет.
ILook Investigatorсоздан для исследования образов компьютерных жестких дисков, полученных любой предназначенной для этого судебной программой (также называемых: побитовая копия, посекторная копия, битовый образ) - множество судебных и коммерческих утилит производят создания образов в данных форматах. Это свойство программы может также использоваться, чтобы исследовать файлы образов, созданных такими программными продуктами, как Safeback, Encase. ILook позволяет исследовать ISO - и CIF - образы компакт-дисков, виртуальные диски VMWare.
ILook Investigator - инструмент, который должен использоваться ТОЛЬКО теми исследователями, которые прошли соответствующее обучение и имеют определенную квалификацию в области судебного восстановления данных. Это -не инструмент, который может использоваться неопытными пользователями в области судебной экспертизы на любом уровне. Без соответствующих знаний и квалификации, результаты, полученные при использовании Ilook для анализа цифровых данных, могут быть ненадежны так как не могут быть, в дальнейшем, подвергнуты проверке.
ILook Investigator использует базу данных Hashkeeper, разработанную и поддержанную Brian Deering и U.S. DOJ National Drug Intelligence Center. Кроме того, также поддерживаются базы данных хэшей от рабочей группы NIST NSRL. Пользователь может использовать любые базы данных хэшей, имеющие форму, которая выполняет критерии проекта ILook.
ILook обеспечивает следующие особенности:
Идентификация и поддержка следующих файловых систем и их вариантов:
- FAT12;
- FAT16,
- FAT32,
- FAT32x,
- VFAT,
- NTFS 4,
- NTFS 5,
- Сжатая NTFS 4,
- Сжатая NTFS 5,
- Mac HFS,
- Mac HFS +,
- Linux Ext2FS,
- Linux Ext3FS- журналируемый вариант Ext2FS,
- SCO Sys V AFS,
- SCO Sys V EAFS,
- SCO Sys V HTFS,
- CDFS, Novell Netware NWFS.
Интерфейс, аналогичный Explorer, позволяет исследователю просматривать и осуществлять навигацию по исследуемой файловой системе, как это было бы при проведении анализа на подозреваемом компьютере.
Встроенные средства позволяют извлечь все данные или часть файловой системы из исследуемого образа.
Механизм поиска может функционировать в трех режимах: стандартный, расширенный, режим индексации данных.
Имеет автономные программы поиска и индексации данных.
Имеет встроенный перекодировщик текстов.
Использует заголовки файлов для определения технологии их просмотра исследователем.
Имеет встроенный просмотрщик мультиформатных файлов.
Поддержка длинных имен файлов.
Автоматическая массовая обработка образов.
Автоматическая массовая обработка мультиобразов (образов, разделенных на части) и извлечения данных.
Имеет программы генерации словарей для подбора пароля и ключевого слова.
Имеет встроенный hex-редактор со средствами поиска.
Имеет средства восстановления удаленных файлов.
Осуществляет рутинную проверку сигнатур файлов.
Восстанавливает FAT директории.
Поддерживает хэш-анализ по алгоритмам CRC32, MD5 и SHA1.
Генерирует значения контрольных сумм для образов и данных, находящихся на диске, по алгоритмам CRC32, MD5 и SHA1.
Маркирует исследованные файлы и документирует произведенные действия.
Управление процессом исследования таково, что делает понятным проведение каждого его шага.
Имеет инструменты для исследования данных Интернет - кэша и почтовой программы (с функцией восстановления и документации произведенных действий).
Декодирует сообщения электронной почты имеющие форматы UUE и Base64.
Может обеспечивать доступ к данным исследуемого носителя в обход средств BIOS.
Создание образа осуществляется через BIOS средствами, имеющими механизмы проверки подлинности по алгоритмам MD5 / SHA1 и сжатия создаваемого образа.
Производит фильтрование файлов по разным признакам.
Производит одновременный глобальный поиск.
База данных результатов поиска содержит результаты всех осуществленных поисков в рамках проводимого исследования.
Просмотр карты раздела позволяет детально просмотреть физическое расположение любого выбранного тома.
Имеет встроенный script-язык, его компилятор и отладчик.
Сортирует файлы по виртуальным папкам.
Имеет интегрированный многофункциональный просмотрщик.
Описание актуально на: 22.05.2008.
Для уточнения технических характеристик «Программа для судебных исследований "ILook Investigator"», а также для получения информации по наличию и условиям поставки Вы можете заполнить форму запроса ниже.
Внимание! Поставка оборудования осуществляется только юридическим лицами и только по безналичному расчёту.