Наборы инструментов, помогающие при судебном анализе

Если вы готовы, то щелкните на Next (Далее). Начинается импорт.

Когда обработка закончена, появляется главный навигационный экран FTK. Вкладки, расположенные вдоль верхней части экрана, позволяют нам выбирать анализ различных частей улик. Однако, вкладка Overview (Обзор) дает очень точный краткий обзор информации, найденной в уликах. Кроме того, эта вкладка является наиболее эффективным средством быстрого рассмотрения улик. Каждую из кнопок, расположенных под пунктами File Items (Элементы файла), File Status (Статус файла) и File Category (Категория файла) можно активизировать щелчком. Когда вы щелкаете на этих кнопках, файлы представятся аналитику в нижней половине экрана FTK.

Нажатием кнопки Evidence Items (Элементы улик) перечисляются файлы улик, которые мы импортировали для анализа. Для файла улик Tag1 имеются две строки. Третий столбец показывает, что каждая строка представляет отдельный раздел, который был обнаружен в Tag1.

увеличить изображение

Кнопка Total File Items (Общее число файлов) перечисляет все файлы, обнаруженные в пределах файла улик. Этот экран дает следователю отличный краткий обзор файлов, существующих в системе подозреваемого.

Возможно, следователь хочет быстро увидеть макет всех изображений, присутствующих в уликах. Щелкнув на Other Thumbnails (Другие макеты), можно увидеть изображения в системе и искать любую контрабанду.

увеличить изображение

Выделение электронной почты является одной из трудоемких задач для компьютерных криминалистов. Инструмент FTK старается уменьшить это бремя с помощью кнопки From E-mail (Исходящая почта). По щелчку на этой кнопке отображается вся электронная почта, которая была послана с этого компьютера, как показано на следующей иллюстрации.

увеличить изображение

Почти в каждом случае подозреваемый удаляет файлы. По щелчку на кнопке Deleted Files (Удаленные файлы) отображается список файлов, которые были удалены из системы.

увеличить изображение

Кнопка Slack/Free Space (Резервное/Свободное пространство) отображает список всего нераспределенного и резервного пространства, показанного на следующей иллюстрации. Хотя обычно вы и не ищете это пространство вручную, выбрав эту опцию, вы получите такую информацию. Однако, как вы увидите позже, имеются автоматизированные способы поиска этого пространства в файловой системе.

увеличить изображение

При большинстве расследований, особенно в процессе поиска улик для судебных дел, полезно воспроизводить все документы, имеющиеся на анализируемой машине. Кнопка Documents (Документы) демонстрирует следователю все документы. Документами являются файлы, созданные в Microsoft Office, текстовые файлы, файлы HTML и др.

Обратите внимание, что пользователь этого компьютера, очевидно, читал Web-сайты о Колумбии, Южной Америке.

Любые общие сообщения электронной почты можно найти, щелкнув на кнопке E-mail Messages (Почтовые сообщения).

увеличить изображение

Другие вкладки позволяют нам получить более детализированное представление данных. Вкладка Explore дает интерфейс, подобный Windows Explorer (Проводник), для просмотра содержимого улик.

увеличить изображение

Пропустив несколько вкладок, находим вкладку Search (Поиск), обеспечивающую такие функциональные возможности, которые делают FTK великолепным инструментом. С применением к данным полной индексации текста, поиск будет происходить почти мгновенно. Например, введем ключевые слова Johnson и Colombia, поскольку далее они будут иметь отношение к разделу "Пример из жизни". В поле Composite Search (Расширенный поиск), выбираем опцию Only Count Files With Hits On ALL Files (Учитывать только файлы с полным совпадением). Это значение указывает логическое отношение AND между всеми ключевыми словами поиска. Раскрывающийся список обеспечивает также возможность поиска с оператором OR.

Если ваши ключевые слова не приводят ко многим совпадениям, можете использовать опции расширенного поиска инструмента FTK, которые видоизменяют ключевые слова, чтобы найти слова не идентичные, но близкие к вашему критерию. Первоначально, однако, следует отключить эти опции, чтобы увидеть более узкое представление результатов.

По окончании поиска результаты будут отображены на панели, подобной показанной ранее.

Если вы не создали полный текстовой индекс для данных, когда добавляли данные к делу, вы в любое время можете выполнить живой поиск. Этот тип поиска займет значительно больше времени, но даст те же самые результаты, что и поиск с использованием предварительного индексирования.

Все действия, произведенные с уликами, будут зарегистрированы в FTK. Меню Tools (Сервис), расположенное на панели главного меню, позволяет просматривать и добавлять комментарии к файлу регистрации текущего дела.

Из-за способности инструмента FTK быстро извлекать важные данные, он представляет собой великолепный набор инструментов судебного анализа для тех, кто только начал изучать криминалистику или не имеет времени для вложения значительных ресурсов.