2013. március hónap bejegyzései

Szakértői eszközök 2. CAINE 4.0

Megjelent a kedvenc és ráadásul ingyenes Forensic eszköz 4.0 verziója.

A legnagyobb változtatás Windows oldalon történt. AZ új verzióban a Windows-os tool -ok bekerültek egy Nirsoft indító keretrendszerbe (NirLauncher), innen indítható az FTK Imager és a Sysinternals eszközök.

 

Frissült a Kernel a 3.2.0-38 verzióra.
Új szoftverek:

  • LibreOffice 4.0.1 
  • Sqliteman
  • Remote Filesystem Mounter 
  • sdparm 
  • netdiscover

Javítások:

  • netcat
  • GHex

 

 



Helix

Szakértői eszközök 1. Helix

A Helix az e-fense cég jó öreg szakértői eszköze.
2008-ban még teljesen ingyenesen elérhető volt az 1. verzió később a letöltést csak a fizetős fórumon keresztül tette elérhetővé az e-fense.

Jelenleg a Helix3_2009r1 verzió ingyenesen elérhető és jogszerűen használható amennyiben regisztrálunk az E-Fense weblapján.  https://www.e-fense.com/store/

A Helix-et boot CD-ként használva kényelmesen megoldható a vizsgált eszköz merevlemezeinek hálózaton keresztüli imagelése. A live linux rendszer ezen kívül hasznos informatikai szakértői szoftvereket tartalmaz, amik még az eltelt évek ellenére is hasznosak lehetnek.

A Linux-os eszközök mellet a CD hasznos Windows-os szoftvereket is tartalmaz, melyek élő MS Windows-os rendzerek vizsgálatához nyújtanak nagy segítséget.

A Helix3 Pro teljesen új kezelő felületet kapott, de csak a fizetős fórum előfizetői számára érhető el.

h3proLarge1 h3proLarge2 h3proLarge3

Az e-fense 2009-ben startégiai partnerségre lépett az AccessData-val, ez gyakorlatilag a cég és a Helix végét is jelentette, gyakorlatilag ez után semmi új fejlesztése nem jelent meg a cégnek és egy időre még a Helix weblap is elérhetetlenné vált.

 



volvo_fokusz1

Digitális kép feldolgozás 1. Fókusz problémák

Az igazságügyi szakértői munka során gyakran találkozik az ember digitális képállományokkal. Dominánsan bizonyos témájú képeket kell megtalálni a vizsgált adathordozókon, esetleg scannelt dokumentumokat elemezni. Ezekben a feladatokban túl sok szakmai kihívás nem nagyon van, inkább mechanikus adatkinyerésről és feldolgozásról van szó.

Az igazán érdekes és izgalmas feladat a sérült vagy értékelhetetlen minőségű képekből az adott üggyel kapcsolatos információ kinyerése. A népszerű helyszínelő  vagy krimi / scifi sorozatokat nézve az emberben könnyen hamis és irreális elvárások fogalmazódnak meg a műszakilag lehetséges “adatkinyerésekkel” kapcsolatban. A filmekben teljesen elfogadott dolog, hogy percek alatt törnek fel jelszavakat, műholdról készült képekbe belenagyítva pattanásokat számolunk és apró tetovált feliratokat olvasunk el a főhős füle mögött. Ez a tudományos-fantasztikus filmekben a fantasztikus komponens… A valóság nem ennyire egyszerű és szép… Egy adott digitális állomány tartalmaz bizonyos információmennyiséget, többet viszont, ha megfeszülünk akkor sem tudunk kinyerni, vagyis egy 15×15 pixeles képből soha nem fogunk a felbontást növelve rendszámfeliratokat olvasni, hiába növeljük a kép felbontását interpolációval, az adott kép részletgazdagsága attól semmit nem fog nőni, tehát plusz információt nem fogunk kapni!

Igazságügyi szakértőként ezek a tények eléggé elszomorítóak, mivel  például egy bűnügynél igen jól jönne sokszor néhány rendszám, vagy egy bankrablásnál nem jönne rosszul, ha a sötét és elmosódott képből mégis csak ki tudnánk hámozni a rabló vonásait. Szerencsére a fényképek sokszor több információt rejtenek mint amit alapból feltételezne a legtöbb ember.

Példaként vizsgáljunk meg néhány gyakori problémát.

Fókusz probléma

Igen gyakran készül fotó a számunkra fontos eseményről, de technikailag rossz beállításokkal. A fókusz nem megfelelő beállítása a fényképezőn elmosódott fotót fog eredményezni, ahol ugyan látjuk pacaként az eseményeket, de alaphelyzetben mégsem megyünk semmire az elmosódott életlen képpel.

Az alábbi képen egy fókuszálatlan autóképet látunk. A szemfülesebbek az autó típusát kapásból megmondják még a színét is igen jó közelítéssel meg tudjuk határozni. Egy bűncselekmény vagy szabálysértés esetében azonban igen fontos lenne tudnunk a rendszámot is. Ennek kinyerése a képből elsőre eléggé esélytelennek tűnik.

volvo_fokusz1

Azért ne adjuk fel rögtön nagyítsuk ki a rendszámot. Az alábbi képen ez látható:

volvo_fokusz_rendsz1

Hát legyünk őszinték elsőre elkeserítőnek tűnnek a szakértő esélyei…

Szerencsére a jó öreg 2-d Fourier transzformáció ebben az esetben igen jól jön, a Wiener szűrési eljárás ezen alapul. A Wiener filter segítségével a szakértő esélyei már jobban alakulnak :-)

Kíváncsiaknak egy link az eljárásról: http://www.clear.rice.edu/elec431/projects95/lords/wiener.html
Matek szakosoknak: http://en.wikipedia.org/wiki/Wiener_filter

Alkalmazzuk tehát a Wiener szűrőt az elmosódott képen… némi piszmogás és próbálkozás, paraméterezés után alább látható az eredmény.

volvo_fokusz2 

Itt azért már felvidul az eddig pesszimista szakértő arca… Lehet a sört bontani, fröccsöt tölteni…

 volvo_fokusz_rendsz2

A fenti kinagyított rendszámkép azért már bőségesen elegendő képi információt tartalmaz a hatóság munkájához. ;-)