Опубликован: 20.02.2007 | Доступ: свободный | Студентов: 3507 / 793 | Оценка: 4.42 / 4.03 | Длительность: 40:03:00
Лекция 24:

Средства просмотра файлов и редакторы общего назначения

Quickview Plus

Для судебного следователя Quickview Plus является эквивалентом швейцарского походного армейского ножа. Quickview полезен тем, что он может просматривать много разных типов форматов файла, а также открывать сжатые файлы для отображения их содержимого в Windows. На момент написания этой книги инструмент Quickview поддерживал более 200 типов файлов (полный список смотрите на сайте http://www.jasc.com/qvp_more.asp?pf%5Fid=006).

Поскольку Quickview не является оригинальным редактором, в котором обычно создаются многие файлы, то опасность просмотра зараженных файлов смягчена. Например, представьте себе документ Microsoft Word, который содержит вредный макрос, обнаруженный среди данных, захваченных у подозреваемого. Если бы для просмотра этого документа использовался редактор Word, то он мог бы потенциально выполнить на судебном компьютере какие-либо не желательные для аналитика действия. С другой стороны, при просмотре этого документа редактор Quickview не выполняет макросы, как это сделал бы Word, и поэтому обеспечивает аналитику еще один уровень доверия и гарантии.

Редактор Quickview Plus можно загрузить с сайта компании http://www.jasc.com в качестве оценочной версии. Если вы хотите купить программу, то можете сделать это на том же сайте. Мы используем его на каждом судебном компьютере и находим, что его цена оправдана.

Реализация

Способность Quickview эффективно переключаться между файлами, несмотря на множество разных файлов, облегчается тем, что левая панель окна интерфейса выполнена в стиле Windows Explorer. Этот интерфейс делает возможным просмотр множества файлов с использованием только клавишей стрелок и TAB, которые помогают, когда время ограничено.

Чтобы передвигаться в Quickview от одной панели к другой, надо нажимать клавишу TAB. Находясь на панели дерева каталога, можно нажимать стрелки "ВВЕРХ" и "ВНИЗ", для передвижения вверх и вниз по списку каталога. Чтобы войти в нужный каталог, нажмите клавишу стрелки "ВПРАВО", чтобы войти и раскрыть его. Чтобы свернуть каталог, используйте клавишу стрелки "ВЛЕВО". Выбрав каталог, можно рассматривать файлы, нажимая клавишу TAB, до тех пор, пока фокус не перейдет к панели с содержимым каталога. Она показана в левой нижней части окна на рис. 24.3.

Интерфейс Quickview, выполненный в стиле Windows Explorer

увеличить изображение
Рис. 24.3. Интерфейс Quickview, выполненный в стиле Windows Explorer

После того как появится содержание каталога, можно нажимать стрелки "ВВЕРХ", "ВНИЗ", "ВПРАВО", "ВЛЕВО", для отображения и подсветки нужных файлов. На рис. 24.3 рассматривается файл suspiciousfile.txt. Содержимое файла видно на правой панели.

Функциональные возможности, встроенные в Quickview, позволяют определять различные типы файлов, исходя из заголовка и информации, находящейся в нижнем колонтитуле, а не только из имени файла. Это полезно для аналитика, потому что Quickview отобразит файл правильно даже в том случае, если он имеет неправильное расширение файла. Эта ситуация, похоже, часто случается во время реальных расследований, потому что подозреваемый пытается скрывать файлы. Так как обычное поведение операционной системы Windows при просмотре и редактировании файлов состоит в исследовании расширения файла и запуска связанной с ним программы, то Quickview является лучшим выбором для судебного аналитика, потому что на него не влияет расширение файла.

На рис. 24.4 продемонстрированы возможности Quickview на примере просмотра файла suspiciousfile.bin, реальные особенности которого показываются в виде изображения в формате GIF.

Панель отображения файлов редактора Quickview

увеличить изображение
Рис. 24.4. Панель отображения файлов редактора Quickview

С помощью редактора Quickview можно просматривать не только обычные файлы данных, обнаруженные во время расследования, но также информацию о системе и исполняемых файлах. Это помогает аналитику во время расследования, когда требуется инструмент для анализа. Следующие два экранных снимка показывают различные библиотеки динамической компоновки (DLL) и исполняемые файлы, найденные в системе Microsoft Windows. Пользователь обеспечивается важной информацией, касающейся расшифровки предназначения файла и лабораторных систем, которые требуются для продолжения его анализа.

Важно не обесценивать инструмент Quickview, используя его просто как инструмент для просмотра файлов в шестнадцатеричном формате. Выбирая View/View As и переключая подменю, вы можете рассматривать файл в различных режимах. На рис. 24.5 и рис. 24.6 представлен произвольный файл в формате GIF, найденный в кэше приложения Internet Explorer, который рассматривается в шестнадцатеричном и GIF-режимах.

Quickview может отображать файлы в их родном формате

увеличить изображение
Рис. 24.5. Quickview может отображать файлы в их родном формате
Quickview может отображать файлы как шестнадцатеричные файлы

увеличить изображение
Рис. 24.6. Quickview может отображать файлы как шестнадцатеричные файлы