Акция 2021: Оплачиваем написание статей на кардинг тематику. Подробности
Перейти к содержанию
Искать в
  • Ещё...
Поиск результатов, которые содержат...
Поиск результатов в...

Crypter

Пользователи
  • Публикаций

    10
  • Зарегистрирован

  • Посещение

Репутация

0 Neutral

Информация о Crypter

Посетители профиля

Блок последних пользователей отключён и не показывается другим пользователям.

  1. Нажимаем правой кнопкой мыши по «Мой компьютер» > «Управление»; В меню слева выбираем «Диспетчер устройств»; В появившемся списке устройств раскрываем «Сетевые адаптеры» > находим нужную сетевую карту > кликаем правой кнопкой мыши > свойства; Переходим на вкладку «Дополнительно» > кликаем по «Network Address» > меняем переключатель в положение «Значение» и вписываем новый MAC-адрес; Знайте! Присвоение чужих MAC-адресов противозаконно. =)
  2. Теория Во-первых, узнать IP адрес по UIN (номеру аси) просто так не получится. Все дыры надо полагать уже давно пофиксены, а передача обычных сообщений итак идет через центральный сервер. Максимум, что тут можно узнать — это адрес ICQ сервера, но кому это нужно? Другое дело, например, другие более ресурсоемкие сервисы. В частности — передача файла другому пользователю. Пускать файлы через какой-нибудь один сервер очень накладно, поэтому файлы передаются напрямую. Вот во время такой передачи и можно узнать IP адрес человека, с которым общаешься. Полагаю, что с другими мессенджерами будь то msn/live messanger, mail.ru и другие дела обстоят так же. Что касается самого ICQ, тот тут тоже малую роль играет, какой у собеседника клиент. Протокол остается один и тот же, как для R&Q, так и для Miranda. Единственное что, в новых версиях Qip Infium по-умолчанию включена отправка файла через центральный сервер, но это несущественно, если файл будете отправлять вы. Многие мессенджеры предупреждают пользователя о том, что он раскрывает свой айпи, когда передает файл, но разве кто-то читает эти сообщения? Когда вы последний раз задумывались о том, что «светите» IP адресом во время передачи файла? Точно так же большинство других пользователей никогда не обращает внимания на подобные предупреждения. Практика Итак, к более практической части. Для начала вам нужно скачать и установить программу для перехвата всего траффика, который проходит через ваши сетевые интерфейсы. Отличная программа для этого — Wireshark. Бесплатная, open-source и вобще очень удобная. После установки вам, возможно, потребуется ее немного настроить — это не очень сложно. Затем, отключите все, что использует интеренет соединение, чтобы не забивать отчет лишними записями. Оставьте только IM-клиент: асю, квип, миранду, что там у вас. Включите запись в Wireshark'e. Не смотря на отключенные программы, наверняка программа будет регистрировать какую-то фоновую активность. Вы можете разглядеть пакеты от мессенджера — уведомления о том, что кто-то стал онлайн, сменил статус, набирает вам сообщение, такое. Когда вы привыкнете более-менее к этому потоку информации, начните передавать файл. Как только пользователь-жертва начнет этот файл принимать, вы сразу заметите возросшее количество записей в Wireshark'e. Зная свой айпи адрес, легко увидеть ip адрес того, с кем так активно «общается» ваш компьютер в данный момент. Вот и все. Как уговорить пользователя передать вам файл На самом деле, по-моему это довольно просто. Подавляющее большинство пользователей и так принимает файлы без всяких вопросов, достаточно хотя бы немного заинтересовать человека. Так, что если вы умеете вести беседу немного лучше, чем спам-бот, все будет хорошо. Если хотите узнать IP адрес какого-нибудь айтишника, прикиньтесь бедной глупой девушкой, у которой что-нибудь с компьютером и — о, чудо! — «я сфотографировала эту непонятную надпись на фотоаппарат и могу прислать фотографию». Мало кто откажется помочь. Так же можете помнить о том, что не обязательно, чтобы файл присылали вы. Можно и чтобы собеседник вам что-нибудь отправлял. Ну что же, пробуйте
  3. Если уже было - не пинайте по печени и по репе))) Как (тбфу тьфу тьфу) паранок, я подумал, что покупать мопеды постоянно - плохо (ибо жадный), и палевно (ибо продают иногда то что мы выбрасываем после нехороших дел на улице). Выход у меня нарисовался сам собой - заковырять мопед Итак смена IMEI (полное обнуление) 3G модема ZTE MF 626 Часть первая - Разлочка модема и Обнуление IMEI Что нам надо - модем + пару софтин из сети. Сражу скажу что тема не моя а нагуглена обсосана и практикована. В тему вставлю свои замечания жирным шрифтом. Исходные данные: - модем ZTE MF626 от БиЛайн - содержание файла PCUI.VN в модеме .. для полной ясности .. вот такое: Integrate version: $BLN_RU_P673M3V1.0.0B08 Windows version: $RUBLPCMANAGERV1.0.0B10 $RUBLPCMANAGERV1.0.0B09 Mac version: $BEELINEPC_MacM08V1.0.0B10 $BEELINEPC_MacM08V1.0.0B08 Linux version: $ $ BD_OUTER version: $BD_BLNP673M3V1.0.0B04 MODEM_MODEL version: $MF626 PCB version: $P673M3-2.0.0 (эти данные можно вытащить плагином EFS для Total Commmander) Компутер = настольный (не ноут .. для успешной прошивки это иногда оказывается важным), винда = ХР СП3. (я использовал ноут и все окейно) Задача: научить сей модем общаться со всеми СИМ-ками .. в том числе и с обычными СИМ-ками Билайна, которые не были изначально заточены на общение с этим модемом. (по итогам ставится патч который разблокирует эти модемы и позволяет легко менять IMEI) Работа с СИМ-ками НЕ БиЛайна далась очень легко: Запускаем QPST_v2.7_build_301, убираем из файловой системы модема файлы CD_STARTUP_FLAG и FLAG_NO_DOWNLOAD, и не пользуемся БИДома, а любым альтернативным Менеджером Соединений .. или вообще просто руками организовываем новое Сетевое Подключение .. в любом случае связь устанавливается и не рвется через 2 минуты, как раньше. Но такое положение вещей на понятие "разлочка" мяфко говоря не канает. Работа с СИМ-ками БиЛайна никак не возможна. Варианты с подсовыванием разных файлов в модем не помогла никак. Попытки использовать различные варианты программ БИДома – тоже безрезультатно. (тут афтор загонялся по работе с другими симками билайна звонковыми) Для того, чтобы все-таки победить эту железяку, нужна прошивалка .. MF626_M02_Upgrade_Tool или MF626_UpdateTool_GLOBE_PHV1.2 Подойдет любая. Но простое штатное использование любой из них к положительному результату просто так может не привести. В сети много комментариев на тему "получилось/не получилось". Я тоже сначала пробовал разные версии. На удачу, типо а вдруг свезет. Не свезло. Пришлось расковыривать все действия-злодействия с точки зрения операционной системы .. мы в винде или где?! ёпырст! Хватит действовать на угад! Основной и главный затык в работе прошивалки в моем случае явилась не возможность перехода в режим Download. В процессе прошивки после создания резервной копии модем переводится в режим Download и появляется в системе как новое USB-устройство с идентификатором 19D2-0016-04 вместо прежнего 19D2-0016-00. Поскольку идентификатор изменился, драйвер не видит устройство и утилита прошивки останавливается с диагностикой Download failed. Правильная полная последовательность действий такая (на примере моей программы БИДома) 1) Втыкаем 1-й раз модем .. ждем пока установится БИДома .. закрываем ее .. нам изначально были нужны только драйверы нашего модема. 2) идем в Program Files, находим папку в которой установлены драйвера .. .drivers32bitWNET. Копируем драйвера в укромное место для сохранности. 3) находим в этой папке такой файл: zteusbdiag.inf 4) открываем файл, находим там верхнюю строчку: %ZTEDevice0016% = ZTEportInstall6k, USBVID_19D2&PID_0016&MI_00 и заменяем ее на: %ZTEDevice0016% = ZTEportInstall6k, USBVID_19D2&PID_0016&MI_04 сохраняемся и закрываем файл. Таким образом мы подготовили "кривые" драйвера на будущее, но пока их не устанавливали. (это я проебал но все получилось ) 5) идем в диспетчер устройств и запоминаем на каком COM-порте висит устройство: ZTE Diagnostic Interface нашего модема .. это будет какой-то "COM **" 6) запускаем прошивальщик, ждем когда он дойдет до DownLoad mode fail! и встанет .. вылезает табличка об ошибке .. пусть пока висит! 7) Вылезет Мастер нового оборудования. Не закрываем его .. пусть ждет. Запускаем в папке с нашими "кривыми" драйверами (пункт 4) файл USBDriverInstaller_x86.exe , вылезет окно установки с предупреждением, в этом окне жмем "все равно продолжить" .. установка завершится. 9) В открытом Мастере нового оборудования выбираем установить драйвер из указаного места, жмем далее, потом выбираем внизу: Не выполнять поиск - Я сам выберу нужный драйвер - жмем далее - выбираем в списке COM и LTP, потом выбору предстанет два драйвера на этот порт, выбираем тот в котором есть слово Diagnostic, заканчиваем установку драйвера. После того как дравер на порт встанет, идем в диспетчер устройств, находим там устройство ZTE Diagnostic Interface, заходим в его свойства и в настройках порта ставим его на тот порт который запоминали в пункте 5) .. там будет написано, что этот порт занят .. все равно жмем ОК, не смотря на предупреждения винды. Все это время прошивальщик все еще висит с ошибкой Download failed. (у меня он уже не висел а просто вывалил еще одну ошибку, я продолжил делать как тут и есть) Жмем ОК на окошке об ошибке. Передергиваем модем, прошивальщик снова уходит на начало своей работы – ищет подходящее устройство, находит, прошивка благополучно доходит почти до конца. 10) Тут не бояццо!!! В конце прошивки компутер вылетает с синим экраном (экран смерти). Так ведь нас об этом предупреждали, когда мы руками подсовывали уже занятый СОМ-порт 11) Перезагружаем компутер 12) Теперь модем прошит, но в нем нет файлов автозапуска. Чтобы завершить прошивку до конца - снова запускаем прошивальщик, он прошивает модем полностью, в конце выдает время прошивки. Ура! Все готово! 13) По желанию. Чтобы при подключении модема в проводнике не появлялся дополнительный диск – берем QPST_v2.7_build_301 и убираем из файловой системы модема файлы CD_STARTUP_FLAG и FLAG_NO_DOWNLOAD. (тем же плагином EFS для Total Commmander) 14) Чистим реестр от всех старых следов модема. Для этого удаляем вот такие ветки: HKEY_LOCAL_MACHINESYSTEMControlSet001EnumUSBV id_19d2&Pid_0016&MI_00 HKEY_LOCAL_MACHINESYSTEMControlSet001EnumUSBV id_19d2&Pid_0016&MI_01 HKEY_LOCAL_MACHINESYSTEMControlSet001EnumUSBV id_19d2&Pid_0016&MI_02 HKEY_LOCAL_MACHINESYSTEMControlSet001EnumUSBV id_19d2&Pid_0016&MI_03 HKEY_LOCAL_MACHINESYSTEMControlSet001EnumUSBST ORCdRom&Ven_ZTE&Prod_USB_SCSI_CD-ROM&Rev_2.31 HKEY_LOCAL_MACHINESYSTEMControlSet001EnumUSBST ORDisk&Ven_ZTE&Prod_MMC_Storage&Rev_2.31 HKEY_LOCAL_MACHINESYSTEMControlSet003EnumUSBV id_19d2&Pid_0016&MI_00 HKEY_LOCAL_MACHINESYSTEMControlSet003EnumUSBV id_19d2&Pid_0016&MI_00 HKEY_LOCAL_MACHINESYSTEMControlSet003EnumUSBV id_19d2&Pid_0016&MI_02 HKEY_LOCAL_MACHINESYSTEMControlSet003EnumUSBV id_19d2&Pid_0016&MI_03 HKEY_LOCAL_MACHINESYSTEMControlSet003EnumUSBST ORCdRom&Ven_ZTE&Prod_USB_SCSI_CD-ROM&Rev_2.31 HKEY_LOCAL_MACHINESYSTEMControlSet003EnumUSBST ORDisk&Ven_ZTE&Prod_MMC_Storage&Rev_2.31 Ключи защищены .. надо изменять Разрешения целиком на этот ключ. (тут афтор свои ключи написал но по анологии понятно будет) 15) Заменяем "кривые" драйвера на родные. Для этого жмем USBDriverInstaller_x86.exe в той папке, где остались родные драйвера модема. (во тут я понял что проебал с драйверами) 16) Втыкаем модем .. происходит установка .. настраиваем связь. пы.сы. Для моего модема лучше подошла прошивка MF626_UpdateTool_GLOBE_PHV1.2 Цвета индикатора на модеме не поменялись .. связь устойчивая. И главное – после "синего экрана" повторно прошить модем до информационной таблички с затраченным временем! У меня сейчас мопед вообще без IMEI, пока не парит ОПСОСов, секу точки где бываю, если в одной из них мопед не свяжется, я туда не поеду какое то время - но это мой личный ПАРАНОзаёб софт: плагин - EFS для Total Commmander (гугль) прошивальщики - MF626_M02_Upgrade_Tool или MF626_UpdateTool_GLOBE_PHV1.2(гугль) тулза - QPST_v2.7_build_301 (пригодится для последующей смены IMEI) (гугль) Вот и все комрады, будут вопросы - что знаю расскажу. Если будет интересно выложу наработки по смене IMEI, но в ПС полно инфы по сабжу. Безопасного серфинга Ах да, спизжено с avsoft.ru Часть 2 - смена IMEI (для тех кому гугль ....а не друг а так... ) качаем RW NV item ZTE MF626 (гугль) • Запускаем RW NV item ZTE MF626 и делаем backup. • Открываем диск С: и видим там файл Channel1.nvm в нем находится наш backup. •Изменяем его расширение, например вот так Channel1.nvm_, это нужно для того если процесс прошивки будет не совсем удачный. • Этот пункт нужен для того чтобы восстановить/изменить IMEI. Запускаем QPST v2.7 build 301 -> Service Programming -> Work Offline -> SURF6246-RTR6285-A2, прописываем IMEI, и записываем его куда ни будь. (во все 3 графы - TAC+FAC+SNR ) Сохраняем и обзываем файл, дальше больше и интереснее. Закрываем это ПО. • Заходим туда куда сохранили файл и открываем его в QCNView(входит в комплект QPST). Переходим во вкладку Text View и находим в тексте NV item: 550 [NV_UE_IMEI_I]. index 0, к примеру это будет 08 1a 32 54 06 12 11 22 02. Программу пока не закрываем. • Теперь запускаем WinHex и открываем им C: Channel1.nvm, нажимаем ALT+G или Position -> Go To Offset, набираем в New position: 169CC, и попадаем на первую цифру нашего IMEI'я и изменяем HEX-значение на то, которое получили в QCNView. Оно недолжно выйти за рамки Offset'а 169D4!!! Далее все просто, сохраняем и уже начинаем радоваться. Да, чуть не забыл WinHex и QCNView можно закрывать. • Запускаем RW NV item ZTE MF626 и делаем restore. Идем в Диспетчер устройств --- Ваш модем --- Свойства ---- Опросить модем --- в ВЫДАЧЕ команды читаем IMEI scysap.ru
  4. Попался: твой компьютер у них в руках! Андрей «Skvoznoy» Комаров Хакер, номер #100, стр. 038 ([email protected]) Что и где будут искать компетентные органы в твоем компе Казалось бы, ничего такого не сделал. Ну, взломал десяток сайтов – что с того? А тут на тебе: приходят дяди из милиции, предъявляют ордер и забирают компьютер на экспертизу. Конечно, это не твой случай, но знать, что в такой ситуации будут делать люди в погонах с компьютером, наверняка, интересно и полезно. Простые истины Начнем с того, что просто так никто к тебе не придет. Не за чем! Приходят обычно для того, чтобы найти недостающие доказательства, или вообще сразу для задержания. При этом часть доказательной базы и хотя бы какая-то уверенность в том, что расследуемое преступление совершил именно ты, у ребят в погонах к этому моменту уже есть. Короче говоря, если где-то засветился — готовься принимать гостей. Может быть, пронесет, но есть и шансы, что придется расхлебывать кашу, которую заварил. Хочу заметить, что расследованием прецедента (по крайней мере, серьезного прецедента) совершенно не обязательно занимаются только наши правоохранительные органы. Это может быть и собственная служба безопасности пострадавшего предприятия, и нанятые ей специалисты по информационной безопасности, и спецслужбы заинтересованных стран. Поэтому, несмотря на кажущуюся безнаказанность всего содеянного в сети, спешу тебя заверить: если они захотят кого-то найти, то обязательно найдут. Даю тебе все 200%! А потом еще и засудят, используя в качестве доказательств найденные во время обыска улики, пускай даже косвенные. Сгодится все что угодно, начиная тем, какое оборудование было обнаружено у тебя дома («Подозреваемый, а зачем Вам нужен аппарат для изготовления пластиковых карт?»), и заканчивая списком сайтов, который ты посещал, конечно же забыв удалить историю. Что, как и зачем? Обычно задержание и арест проходят по вполне стандартной схеме. Начинается все с того, что компетентные органы посещают место жительства подозреваемого (как уже было сказано, имея в руках некоторые доказательства, например логи провайдера). После риторического вопроса: «Пользуетесь ли Вы компьютерами?» - следственный эксперт фотографирует твою машину, уделяя особое внимание задней панели. Почему? Да потому, что задокументированные снимки могут подтвердить факт использования задержанным того или иного оборудования, в том числе сетевых устройств (с помощью которых совершался выход в сеть и, соответственно, взлом). Данные с компьютера хакера особым образом копируются, и копии используются в ходе расследования, а оригинал помещается в надежное место для хранения вещественных доказательств. Как удостовериться, что тебе не записали ничего лишнего уже после изъятия компьютера? Для этого эксперты вычисляют хэш-коды MD5 или SHA, которые при необходимости могут подтвердить истинность данных. Дальше дело техники. Начинаем операцию Странные ребята эти хакеры, ненасытные. Мало того, что взломали интернет-магазин и увели всю базу с конфиденциальной информацией о пользователях, так еще прописали на странице загрузчик с трояном (который впаривался каждому посетителю), а потом еще и во внутреннюю сеть полезли. В общем, сделали все что только возможно, чтобы привлечь внимание, и, как это обычно бывает, в одном месте, и все-таки засветились. Пускай это будет случайный запрос браузера с настоящего IP в момент, когда упало маскирующее VPN-соединение. Найти злоумышленника по сетевому адресу — проще простого, и вот через несколько дней к нему нагрянули гости! Цель проста – собрать доказательства. Но как? К этому могут быть привлечены как наши органы, так и независимые эксперты. Но и тем, и другим требуется некоторый набор инструментов, состав которого напрямую зависит от исследуемой файловой и операционной системы. Практически всегда хоть что-то да можно откопать. Вот, например, винда. Хакер упорно отрицает свои занятия грязными делишками и уверяет, что вообще не знаком со взломом. Но уже через пару дней во время допроса ему предоставляют толстую папочку, в которой отображена вся история сетевой активности (Documents and SettingsuserLocal SettingsHistory), включающая запись о том самом злополучном интернет-магазине, конфиденциальные данные из кэша браузера (Documents and SettingsuserLocal SettingsTemporary Internet Files), которые могли там оказаться только в том случае, если хакер имел доступ к защищенной (и взломанной) части сайта, и многое другое. А помимо этого, в системе «случайно» обнаружатся авторизированные SSL-сертификаты для различных аккаунтов в платежных системах и, что еще хуже, банках. Товарищ, откуда все это? Быстрый анализ таких вот предательских местечек можно провести с помощью специальной утилиты Web Historian (www.mandiant.com/webhistorian.htm), которой хорошо известны все секреты современных браузеров. Мало того, в ходе экспертизы выяснится, что в системе была установлена куча самого что ни на есть хакерского софта, который ты пытался впопыхах удалить. Только вот незадача. Большая часть прикладных программ так гадит в систему, что спешу тебя заверить: следы за собой они оставят обязательно. Нынешние деинсталляторы ни на что не годятся, и доверять можно только самому себе. А для этого уже во время установки и дальше, во время эксплуатации, нужно четко следить и запоминать, где программа оставляет следы своей деятельности. В этом тебе, кстати, помогут утилиты от Sysinternals (www.microsoft.com/technet/sysinternals): Diskmon, Filemon, Regmon, Process Monitor. Поближе к файлам: программные методы Одним исследованием твоих сетевых пристрастий не обойтись, поэтому следаки обязательно изучат все содержимое твоего харда. В этих целях используются специальные утилиты, которые не только проанализируют все файлы на диске, но еще и создадут наглядные и удобные отчеты и листинги. Прямо по заказу: сначала для устрашения злоумышленника (помнишь о той самой толстой папочке?), а потом для эффектного выступления в суде. Серьезно ошибаются те, кто рассматривает установленную Unix-систему как гарант безопасности. Слишком сложно для экспертизы? Наоборот! Грамотные люди обязательно воспользуются специальным набором программ для анализа UNIX-систем — The Sleuth Kit (www.sleuthkit.org). Связка TSK хороша тем, что позволяет получить детальный отчет о системе, выявить любые файлы, скрываемые руткитами и при этом не нарушив целостности системы, что крайне важно для сбора доказательств. Комплекс скрупулезно анализирует файловые системы FAT, NTFS, Ext2/3, UFS, выводит листинги всех каталогов, восстанавливает удаленные файлы, строит графические диаграммы файловых операций и работает с базами хэш-кодов файлов. Словом, утаить что-либо очень будет сложно. Кстати, чтобы не дай бог ничего не сбить в системе злоумышленника (чтобы тот не использовал этот факт для своей защиты в суде), компетентные ребята обязательно захотят снять точную копию физического накопителя. И сделают это, например, с помощью знаменитой утилиты Safeback (orensics-intl.com/safeback.html). В результате этой процедуры будет составлен) сжатый файл, в котором и будет сохранена вся инфа с харда (в том числе и с SCSI-винтов). Чтобы заверить подлинность такого образа, программа создает специальный лог-файл, в котором документируется весь процесс копирования и в который после его завершения заносится местоположение исследуемого инцидента и оборудования, изготовитель харда и его серийный номер, фамилия и имя эксперта. Но на стол к эксперту может попасть не только обычный компьютер или ноутбук. Так, существуют специальные приложения, готовые произвести тщательный анализ портативных устройств. Большой популярностью среди специалистов по информационной безопасности пользуется Encase (www.guidancesoftware.com). Несмотря на то что появилась утилита достаточно давно, ее по сей день используют как небольшие коммерческие предприятия, так и крупные правительственные структуры. Причем освоить все премудрости работы с этим программным комплексом предлагается на специализированных курсах. Сам продукт распространяется в двух версиях – корпоративной и экспертной. Основное их различие в том, что корпоративная версия способно анализировать сразу группу компьютеров в локальной сети, что иногда очень полезно (скажем, для поиска преступника внутри большой компании). В этом случае Encase будет обращаться к каждой машине, распределено анализируя их файловые системы. Что будет представлять собой такая машина, не имеет никакого значения, так как этот серьезный комплекс дружит сразу со всеми известными операционными системами и может быть использован даже при анализе портативных карманных компьютеров и носителей. Мы рассмотрели довольно сложные варианты, хотя, как правило, идти на подобные ухищрения необязательно. Что может быть проще, чем до боли знакомая Windows-система? Forencis Toolkit (www.accessdata.com) — это чисто виндовый пакет с богатыми функциями для снятия данных с жестких дисков, анализа отдельных разделов и их файловых особенностей. Основная фишка FTK – это максимально быстрая работа с прикладным уровнем системы. Она гораздо проще Encase и предусматривает сразу несколько вариантов просмотра образа диска. К примеру, можно выбрать в меню программы пункт «Электронные таблицы», и FTK тут же выведет список всех найденных xls-файлов с подобных описанием и указанием месторасположения. Аналогичным образом легко отыскиваются базы данных, графика и сообщения электронной почты. Достаточно кликнуть на PST-файл Outlook — и FTK раскодирует все его содержимое, в том числе посланную почту, журнальные записи, задачи, календарь и удаленные документы. На борту программы присутствует база ключевых слов, по которым осуществляется поиск компрометирующей информации, включающая в себя такие слова, как cc, tan, pass. Аппаратная часть Протоколированию подлежит не только информация с жестких дисков и сменных носителей, но и сама начинка компьютера. Если там окажется что-то украденное или скарженное, беды не миновать. Как производится анализ железа? Раньше органы действовали следующим образом: система изымалась, ее везли на экспертизу в специальную лабораторию и там уже проводили с ней все необходимые манипуляции. Сейчас же в 80% случаев используется портативное переносное оборудование, с помощью которого легко и быстро дублируются данные, настройки, серийные номера девайсов и т.д. Причем все это применяется в совокупности с блокираторами записи. Такой подход помогает избежать сразу целого ряда потенциальных ошибок, таких как случайное изменение дат и контрольных сумм, уничтожение каких-либо процессов, перезапись данных и пр. Ведь при исследовании копии машины оригинальный «экспонат» остается в полной сохранности. В ряде случаев органы обходятся лишь конфискацией харда, который в дальнейшем просто присоединяется к целевой системе. Стандартная конфигурация подобной машины: современный процессор, не менее 256 ОЗУ, большие жесткие диски IDE/SCSI, карта и контроллер SCSI, привод для чтения компакт-дисков, ленточные накопители (типа Exabyte), дополнительный источник питания, адаптер преобразования параллельного интерфейса в SCSI. Существуют специальные считывающие устройства, позволяющие решить вопрос копирования информации на компьютер эксперта за считанные минуты. Например, FastBloc (encase.co.za/solutions/accessories/index.shtm), который одновременно является и блокиратором записи, страхующим от случайных записей на оригинальный жесткий диск во время дублирования данных. Аппаратный блокиратор записи, например NoWrite (www.sierra-cables.com/Forensic/nowriteIDE.htm), обеспечивает неприкосновенность данных (то есть гарантию отсутствия изменений) во время копирования информации. Правда, при использовании подобного рода устройств транспортировка данных значительно замедляется. Программный блокиратор записи делает аналогичную работу путем изменения таблицы прерываний, в которой содержатся сервисные записи BIOS. Прерывание – это метод, с помощью которого программы разговаривают с твоей системой, говоря ей, что необходимо сделать. Самую важную роль в них играет прерывание int 13h, указывающее на код записи и чтения с диска. Блокиратор заменяет запись прерывания своей собственной, перехватывая все обращения к диску. Схема дублирования такова: данные по блокам копируются на приемное устройство с исходного носителя. Размер передаваемого блока, как правило, кратен 512 байтам, являющимся размером тривиального сектора любого диска. После копирования для каждого файла выполняется расчет контрольной суммы, необходимой для доказательства того, что этот файл на компьютере эксперта не изменялся. Обычно подсчет осуществляется на автомате современными программами, но в принципе то же самое можно сделать и вручную. Для систем Unix: Code: [[email protected] / root]# md5sum /usr/bin 13mb07ak238aobm301oa58an236lag /usr/bin Под ОС Windows: Code: md5sum -b file.doc (флаг -b обязателен для подсчета в md5) Шаловливые ручонки Очень часто злоумышленники стараются помешать экспертизе, удалив все свои данные. Некомпетентные лица просто заново разбивают жесткий диск на разделы или просто форматируют все диски. Но задача экспертов в этом случае особенно не усложняется. Путем форматирования полностью удалить информацию невозможно. Для восстановления информации после форматирования существует много софтин, которые зачастую используются самими пользователями, по случайности удалившими что-то важное. Принцип их работы прост. Любые средства восстановления ищут примерные сигнатуры бывших файловых систем, размещенных в каждом разделе. По каким параметрам? К примеру, FAT содержит значения 0x55 и 0xAA в 510 и 511 байтах начального сектора, NTFS — по смещению 3 от начала, а в конце обязательно следует сигнатура 55h ААh и т.д. После обнаружения раздела и определения типа файловой системы начинается процесс поиска файлов путем сравнения известных сигнатур файлов (включенных в базу данных программы для восстановления информации) с имеющимися на диске. Например, большинство фотографий содержит сигнатуру JFIF и EXIF. В Linux очень актуальна утилита gpart, которая, используя описанные выше приемы, восстанавливает исходные файловые системы на жестком диске. Это делается примерно так: Code: #gpart -v образ_диска.dd Wardning: strange partition table magic 0x0000 [...] Begin scan... Possible Partition (Linux ext2), size (600mb) Possible Partition (NTFS), size (1.7 gb) Из вывода программы ясно, что на диске всего два раздела: Linux ext2 и NTFS. Аналогичным образом работают тулзы TestDisk (www.cgsecurity.org/wiki/TestDisk). Восстановив файловую систему, следователи займутся поиском метаданных или, иначе говоря, специальных конструкций, с помощью которых можно просмотреть содержимое файла и даже осуществлять поиск. Кстати, сняв слепок системы и отдав тебе компьютер под расписку, они легко смогут выяснить, что ты там потом натворил: какие файлы удалил и что в системе изменил. Для вывода структур метаданных можно воспользоваться утилитой из пакета TSK – istat, которая будет выводить информацию по блокам: Code: Удален Тип Размер Время_последней_записи Блок данных Yes File 4533 October 04, 2007, 05:05:12 642 424 Порой в своей практике эксперты сталкиваются с тем, что хитроумные злоумышленники делают в своем логове тайники, где и прячут оборудование. Например, в одной фирме с двойной бухгалтерией сервер размещался над навесным потолком, а единственный кабель (витая пара), спускающийся вниз, был сверху приделан к пружинному механизму, который в случае необходимости вытягивал кабель к потолку. В итоге, пришедшие с «долгожданной» проверкой даже не смогли найти сервер с данными. Несколько полезных советов 1. Любые конфиденциальные файлы держи только на сменных носителях. Размещать подобные данные на своем обычном жестком диске — идея не очень разумная. В последнем случае секретную инфу можно зашифровать, но надежно спрятать ее вряд ли удастся. Хотя можно попробовать заюзать стеганографию (прием, скрывающий сам факт использования шифрования), воспользовавшись утилитами Gif-It-Up (http://www.theargon.....aphy/gif-it-up), MP3stego (www.petitcolas.net/fabien/steganography/mp3stego), Steganography Tools (www.jjtc.com/Security/stegtools.htm). 2. Чтобы не морочить себе голову по поводу временных файлов браузера, нужно сразу отключить любое кэширование в его настройках. В случае Internet Explorer’а кэширования отключается в ветке реестра [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionInternet]. 3. Активированный параметр NoRecentDocsHistory в ветке [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurr entVersionPoliciesExplorer] запрещает системе вести статистику о документах, с которыми пользователь недавно работал. 4. Помни, что некоторые файлы хранят больше информации, чем это кажется на первый взгляд. К примеру, в некоторых форматах документов (в том числе Microsoft Word), кроме текста сохраняются метаданные. Пример собранной информации из документа Word: Code: Built-in Document Properties: Built-in Properties Containing Metadata: 3 Title: Счета Author: карда Company: Carda-barba Last 10 Authors: Has Last 10 Data Mishka C:MishkaCardingWorkcheta.DOC Gemaglab1n D:ITdefencecheta.DOC gorl E:Pambacheta.DOC stepper F:XakepDVDDaily Softcheta.DOC Как видишь, следователям под силу изучить всю цепочку, по которой путешествовал файл, тем самым выявляя всех твоих сподвижников и партнеров по злобным делишкам. Чтобы избежать подобных вещей, следует внимательно отнестись к рекомендации Microsoft (support.microsoft.com/default.aspx?scid=kb;EN-US;223396). Quote: Разговаривают следователь и свидетель: - Вы догадываетесь, почему Вас вызвали? - Да, но лучше будет, если Вы скажете. - Почему лучше? - В противном случае получится, что Вам стыдно сказать. WWW Технологии слежки за пользователями с каждым днем становятся все совершеннее. В первую очередь это вызвано ростом террористического влияния. Рекомендую тебе почитать www.eff.org - там частенько выкладывают интересные данные о вторжении в личную жизнь со стороны всевозможных ведомств, о которых пользователь даже не догадывается. INFO Используя продвинутые средства анализа содержимого жесткого диска, можно очень быстро найти данные, которые легко тебя скомпрометируют. Банальный поиск по ключевым словам «эксплойт», «кредитка», «cc», «tan-код» выдаст место нахождения палева с потрохами. INFO Знал ли ты о том, что почти на каждой бумажке, распечатанной на принтере, содержится уникальный невидимый код, с помощью которого можно установить, с какого конкретно оборудования была произведена печать. Детективы используют такую тему в целях обнаружения «письменных» шантажистов и прочих негодяев.
  5. Статья написана, потому что так и есть. Одного моего, очень хорошего знакомого эта самая жадность и сгубила. Сразу скажу, что он не кардер, крутился в другой теме, но сути это не меняет. Человек жил себе спокойно и зарабатывал около 1.5-2к вечно зелёных. Хватало и на жизнь и на отдых. У него была хорошая машина, квартира, вообщем всё, что для жизни надо. Но однажды он сказал, что этих денег ему реально мало. Странно, много лет жил, на всё хватало, а тут вдруг... Он начал искать какие-то новые непонятные знакомства, появилось много мутных дел, и в один прекрасный день к нему приехали "с погонами" и забрали его. Дальше о его судьбе рассказывать я не буду, да и нет смысла. Смысл здесь в другом, пока он тихо мирно зарабатывал не много, скажем не наглел, его ни кто и не замечал. Занимался он своим "делом" около 8 лет. Когда его брали, менты сказали, что он у них в разработке около 9 месяцев. Прослушка телефона, слежка и т.д. А "расширяться" он стал примерно за год до этого. Ну а теперь о кардерстве. Я ни разу не слышал, что бы взяли Васю Петрушкина, который купив 5 картонок, вбил их в пиндосовский ювелирный магазин. Мы только и читаем о том, что кто-то слил 10 млн долларов в 2000 банкоматах или украл данные счетов из национального банка Уэльса. Те кто такие вещи делали, они тоже начинали с вбива, продвигались в теме и не плохо зарабатывали. Но в один день им ударила моча в голову, как и моему знакомому. И они решили, что раз так всё без обидно, то можно и больше себе взять. Но "хуй там плавал". Здесь другие деньги и другие люди, и просто так с 10 млн долларов, вас ни кто не отпустит. Пару слов хотел ещё сказать о ру погонах. Точнее о мифе, что не работай по ру, и нашинские погоны не придут к тебе ночью. Почему для меня это миф? Да потому что нет ни одного реального доказательства, что такого рода случаи бывали. Тем более если такое будет, и эти вещи всплывут на мировом уровне, то будет охуительно большой политический скандал на весь мир, и точно придётся тогда америку топить под океаном. Не надо думать, что если Май Абрикосов и Собчак дали вам иммунитет, тот можно нах забыть о носках и впн и колбасить по лямчику в сутки. Да хоть сам ВВПУТИН даст вам свой иммунитет, нельзя наглеть. За 1к баксовичей вас не поедут искать по СНГ, а вот за миллиончик, ставьте чай разогреваться и накрывайте на стол, к вам наверно уже едут. Если вы потихоньку будете работать и зарабатывать по 2-3, даже 4к зелёных, ничего с вами не случится. Но стоит вам перейти эту невидимую черту, и это уже черевато последствиями. Не говоря уже о миллионах. Не стоит покушаться на огромные деньги, они того не стоят. В любом случае, как говорится, всех денег мира не заработаешь. Лучше синица в руках, чем журавль в небе. Я думаю русских пословиц бесконечное множество, которые подойдут сюда. Особенно это касается новичков. Вот берёт новичёк пару цц, вбивает и ебаста, у него получается, он ссыт кипятком и берёт еще цц, и еще цц..... Пару суток подряд вбивает, заказывает, и потихоньку не замечает, как мозг начинает плавиться. Забывает одеть новый носок, либо почистить систему, либо... да мало-ли что ещё. А служба безопасности магазина сидит и охуевает, парень вбил уже 2 кило разных цц со своего ипа, совсем опизденел, надо бы ему привет послать, чтоб руку пожали. Не жадничайте, пиндосов 307 960 711 человек, у 90% есть кредитные карты. На всех хватит.
  6. IronKey USB-Flash Drive По словам производителя, это первая в мире флешка, прошедшая валидацию FIPS 140-2. Разработана для военныхгосударственных структур, предусматривает определение попыток несанкционированного вторжения в криптографический модуль и его модификации. 1)Корпус сделан из цельного куска алюминия, а внутренние полости залиты специальной смолой. 2)Имеет защиту на аппаратном уровне - постоянное шифрование данных (в режиме AES CBC) перед их непосредственной записью. Чтобы получить доступ к информации требуется вести личный пароль. Ключи генерируются криптографическим процессором и аппаратным генератором случайных чисел. После того как вы 10 раз ввели неправильно пароль, данные самоуничтожаются - перезаписывается каждый байт, что делает информацию полностью не подлежащей восстановлению, что очень может помочь, когда в дверь будут звонить дядьки. 3)Предотвращение аппаратного криптоанализа: при физическом взломе флэшки внутренности заполняется черной вязкой жидкостью, после чего невозможно будет определить, или восстановить инфу с флэшки 4)Возможность безопасного веб сёрфинга: залогинившись на сайт фирмы-производителя, предварительно подключив флешку, можно активировать безопасный режим сёрфинга, что позволяет браузеру Firefox(о других написано небыло) "быть защищённым от вредоносных программ, работая в режиме невидимки". https://www.ironkey....ure-flash-drive © syntax
  7. Если вас объявили в Федеральный Розыск, прежде всего избавьтесь от всех мобильных телефонов и SIM-карт. Каждая мобильная трубка имеет IMEI – номер, который легко отследить при помощи аппаратуры мобильной связи. Вас спозиционируют с точностью до 2-3 м и моментально задержат (если будет на это приказ). Следует купить трубку с рук на одном из рынков, и к ней же купить совершенно новую sim-карту. Если вы хотя бы раз позвонили по новой sim-карте, со старой трубки, или с новой трубки по старой sim-карте, их номера свяжут, а вас сразу вычислят. Следующим способом поимки вас является отработка ваших контактов – родственников, друзей, хороших знакомых. Следовательно, надо резко обрубить все контакты. Даже не звонить, потому что телефоны ваших родственников или друзей могут прослушиваться, а могут и не прослушиваться, а просто по мониторингу входящих, вас вычислят с вашей новой sim-картой и новой трубкой. Поэтому первые 3 месяца – НИКАКИХ КОНТАКТОВ, или контакты через Skype или интернет телефонию. Обычно ищут разыскиваемых при помощи стукачей – оперативных источников. Вполне возможно, что один или несколько ваших знакомых окажутся именно такими стукачами. В Рашке ОЧЕНЬ МНОГИЕ продали душу дьяволу Путинизма, поэтому НИКОМУ НЕ ВЕРЬТЕ. ОГРАНИЧТЕ СВОИ КОНТАКТЫ ДО МИНИМУМА. НИКОМУ, даже ближайшим родственникам, не раскрывайте ваше новое место жительства и ваши планы на будущее. Следователи – не плохие психологи. Поэтому им ничего не стоит убедить ваших родителей, детей, супругов, что, «вам присудят только штраф, в крайнем случае – условно дадут, а вот если он(а) не явится на беседу, тут уж точно будет реальный срок и большой». И ваши ближайшие родственники, из страха за вас и НАИВНОЙ ВЕРЫ словам следователя, банально выдадут вас. Ведь из благих намерений СЛОЖЕН ФУНДАМЕНТ АДА. Как правило, усиленно ищут только в первый месяц. Заводят Розыскное Дело, а Уголовное Дело – приостанавливают, делают засады по мету жительства и по местам жительства ближайших родственников. Через месяц активность следствия резко уменьшается, а через 3 месяца ваше Розыскное Дело уже будет пылиться на полке рядом с уголовным. Тут уж вас найдут, если вы совершите какой-нибудь пьяный дебош и уснете на месте дебоша, ну или если вас все-таки ОЧЕНЬ СИЛЬНО ЗАКЗАЛИ очень серьезные люди. Поэтому трудно пережить только первый месяц. Вам следует сразу же снять квартиру. Лучше снимать по газетам объявлений. Уезжать к двоюродной тете в Саратов смысла нет, потому, что: Во-первых, в крупном городе затеряться проще, чем в деревне – в деревне участковый знает всех в лицо, и новый человек – вы - сразу будет обнаружен. Во-вторых, именно по вашим родственным связям, именно у двоюродной тетки в Саратове вас и будут искать и ждать. Не следует снимать комнаты в общежитиях, потому, что при заселениях там требуют паспорта, а т.к. общежития – наиболее криминализированная среда, то именно комендант общежития каждый день стучит на вновь заехавших постояльцев своему участковому. Ну и далее, по ориентировке, группа захвата и прочие прелести рашской «правоохранительной» системы и тюрьмы. То же самое касается и гостиниц. А вот хозяин нормальной однушки или даже двушки к участковому стучать побежит на вас вряд ли, просто потому, что сам НЕ ПЛАТИТ НАЛОГОВ с той суммы, которую вы ему платите за съем его квартиры. Лучше всего закупиться продуктами на неделю, или даже две, и все это время вообще просидеть в съемной квартире не выходя на улицу. Первый месяц выходить из дома – как можно реже и ДНЕМ, не позже 22-00. После 22-00 вы можете привлечь к себе внимание какого-нибудь случайного милицейского патруля. В метро ездить можно, потому что в рашском метро, в отличие от метро других стран, еще не ввели в действие систему компьютерного распознования лиц розыскиваемых по съемкам с видеокамер. Думаю, в ближайшие пять лет и не введут. Но, все-таки, лучше передвигаться наземным транспортом. Вести себя на съемной квартире следует тихо, не дебоширить, музыку громко не включать, чтобы соседи не вызвали ментов, и вас не запалили. Будьте вежливы с соседями при случайных встречах, помните как в фильме: «Вежливость – лучшее оружие вора». Желательно менять съемную квартиру раз в 2-3 месяца. Скажем, вы можете говорить хозяевам, что вы тут в командировке на 2-3 месяца. И через такой срок – съехать на новую квартиру. В каждой железнодорожной кассе, при продаже вам билета, идет проверка ваших паспортных данных. Если вы в розыске, вы сразу выделяетесь у кассира красным цветом на мониторе. По инструкции кассир не должна даже вида подать об этом, должна продать вам билет и сообщить по компьютеру, что вы, человек в розыске, купили такой-то билет на такое-то число и такой-то поезд, в такой-то вагон, на такое-то место. При посадке, у вагона, вас уже будет ждать наряд. Меня так несколько раз пытались снять с поездов Москва – Питер, и Питер – Москва. Но мне удавалось обосновать ментам УСТНО, что так делать – не следует. Но все-таки, если появится потребность на переезды – лучше добираться «на собаках», ездить электричками. Сейчас почти в любую точку Рашки можно добраться пересаживаясь из электропоезда в электропоезд. Помню, я доезжал от Питера до Москвы «на собаках» всего за 1 доллар. А самым моим большим приключением была поездка аж на 17 собаках из Москвы в Сочи (более 2500 км). Так что такой вид путешествий – весьма надежен и безопасен. Так же можно передвигаться по Рашке автостопом. Но при автостопе есть бОльший риск, что автомашину, на которой вы будете ехать, остановят на посту ДПС, проверят документы не только у водителя, но и у вас - и тут же задержат. В электричках такое происходит КРАЙНЕ РЕДКО. Ну и месяца через 3 – 6 начинайте потихоньку пытаться разруливать ваше Уголовное Дело, или готовиться к эмиграции, просить убежища. Я «на собаках» пересекал границу Украины довольно легко. Сейчас это еще вполне возможно. Там, в Украине, еще пока дают политическое убежище гражданам Рашки. Но это – отдельная история, о которой – как-нибудь позже. Но всегда помните: СВОБОДА – ЛУЧШЕ, ЧЕМ НЕ СВОБОДА. Не торопитесь сдаваться. ©Load с переклейкой гемора меньше, но не забываем менять доки вместе со съемными квартирами и мобилками.
  8. Crypter

    GSM

    Мобильные телефоны - вещь очень личная. Но на самом деле «приватность» наших бесед весьма условна. В компании каждого сотового оператора имеется электронный дневник наших переговоров и текстовых сообщений. Причем у нас, как и в Европе, база каждого абонента хранится в течение двух лет. Голливуд давно и со вкусом эксплуатирует тему «электронного» контроля за своими гражданами. Ими пользуются специально обученные агенты ФБР и прочие шпионы. В России же ничего о подобных методах ранее слышно не было. И лишь недавно предположение, что любой из россиян может оставить вполне «читаемые» для специалистов следы, подтвердилось. Особенно если в кармане лежит мобильный телефон. Именно звонки по сотовому помогли следствию вычислить подозреваемых в убийстве первого заместителя Центрального банка России Андрея Козлова. Прокуратура запросила у операторов мобильной связи базу переговоров, которые вели люди в районе нападения за час-два до убийства. Получили четкую выкладку - и номера телефонов, и фамилии, и сведения, на кого зарегистрированы телефоны. Так была получена первая ниточка в раскрытии громкого преступления. Спецслужбы не скрывают, что у нас в стране с 90-х годов работает СОРМ - система оперативно-розыскных мероприятий. По сути это громадный и сложный механизм, созданный для контроля за телефонными линиями, системами мобильной связи и даже Интернетом. Сегодня телефонные станции не получают лицензии, если не устанавливают у себя спецоборудование для прослушивания. Quote: журналисты позвонили в пресс-службу компании «Вымпелком» (торговая марка «БиЛайн») и поинтересовались: что можно узнать о нашей личной жизни с помощью «мобильной» информации? - Мы исполняем Закон «О связи». В нем прописано, что мы обязаны предоставлять информацию, необходимую следствию. А вот рассказать о всей технологии мы не можем. У наших специалистов могут возникнуть Прослушивать телефонные переговоры в сетях стандарта GSM можно и без помощи операторов. Еще несколько лет назад израильские ученые заявили, что они смогли найти серьезную ошибку в коде, который используют почти все современные мобильные телефоны. Прослушивать любые переговоры реально. Правда, со специальным оборудованием. Но кого когда это останавливало? К тому же «бытовую» аппаратуру, способную подключиться к сотовым и радиотелефонам, можно купить на любом радиорынке. Новый приказ, подписанный министром информационных технологий и связи Леонидом Рейманом, распространяется на 16 видов услуг связи, в лицензионных условиях на которые указано на обязанность оператора обеспечить реализацию "проведения оперативно-розыскных мероприятий". Они должны установить специальное оборудование, подключаемое и управляемое с удаленного пульта. Этот пульт устанавливается в органах ФСБ и, согласно вводимым требованиям, позволяет определять: кто и кому передает сообщение (телефонный вызов, электронное письмо, SMS и т.д.), снимать саму информацию с канала связи (т.е. прослушивать или копировать текст), а также определять местонахождение абонента (для сотовой связи). Также с удаленного пульта спецслужбы получают доступ к базе данных абонентов и биллинговой системе – информации о расчетах и звонках. Эти сведения для ФСБ телекоммуникационная компания обязана хранить три года. Кроме того, каждый оператор обязан выделить специальное технологическое помещение, в котором и будет размещаться оборудование СОРМ. Даже работники самой компании могут входить в эти комнаты только с разрешения представителя уполномоченного органа. Из приказа следует, что выбирать объект контроля находящиеся за удаленным пультом сотрудники ФСБ будут без ведома и согласия оператора связи. То есть телефонная компания или провайдер не может даже отвечать за факт прослушивания или снятия информации с канала передачи данных. GSM подавитель, предназначенный для блокировки работы всех основных стандартов сотовой связи в помещениях малой и средней площади. Телефонный блокиратор гарантирует надежную защиту от прослушки при помощи сотовых телефонов и шпионских устройств, использующих те же частоты, в офисах, автомобилях, кафе и т.д. Оснащен несколькими антеннами, каждая из которых блокирует свой диапазон частот, благодаря чему достигается максимальная мощность подавления. эффективный радиус действия — до 40 м, всё это зависит от размера вашего кошелька, примерные цены от 4 до 20к, так же существет множество аналогичных глушилок, не только GSM, но и WI-FI, CAM, ДИКТОФОН, МИКРОФОН, и др. Будте осторожны, по 159 можно уехать на 5 лет
  9. Итак друзья, хочу рассказать не большой "туториал" или список фактов, про то как приходят домой в гости дядьки и что вас может ждать если вас приняли! Уясните для себя раз и навсегда, что если к вам пришли домой с ордером на обыск это значит: а) Против вас уже возбужденно уголовное дело, соответственно вы уже подозреваемый! б) Любителям загасить ноутбук, залить серной кислотой хард или молотком трахнуть по экрану, немного разочарую! На 99%, вы сами отдадите все что у вас есть, флэшки, ноутбуки и прочие вещественные доказательства. Вам будет сказана простая и очень емкая фраза, - "Предлагаем вам добровольно выдать все носители информации, в противном случае мы перевернем у тебя весь дом, мы это можем". И они вправду могут, и если они хоть на йоту засомневаются в том, что ты что-то не выдал им добровольно, вызовут слесаря и будут вскрывать пол. Поэтому обычно выдают все что было, и все что не было. в) Про звонки своему адвокату (кстати не будем лукавить, у многих его попросту нет). Опять же 99% людей, пока вспомнят, что у них есть свой адвокат уже напишут десять явок с повинной. Для тех, кто считает, - "мне на все насрать, я герой и вертел ментов на хую" - тоже немного разочарую, если в квартиру в 5 утра вламывается 5-6 людей, в обуви, с видеокамерой на перевес, и кричат руки за спину, лицом вниз, и на видео снимают твою испуганную рожу, держа тебя за волосы и спрашивают, - "За что задержан??" - ты сразу врубишься, что твоим муткам пришел конец. г) Кто приезжает обычно к вам в гости???: 3-4 оперативника из ОБЭП, следователь прокуратуры, мудак с видеокамерой и сотрудник отдела К с отверткой, бывает что им впадлу весь комп забирать, поэтому они выкручивают один хард. д) Что подлежит конфискации??? Все носители информации, Мр3 плееры, телефоны, ноутбуки, бабло могут забрать, карты пластиковые, энкодеры, скиммеры, диски с порнухой, короче изымут все что они посчитают нужным по материалам уголовного дела. Взамен получишь акт изъятия, где будет все перечислено что у тебя забрали. е) Вообщем ты наверняка понял, что менты тебя заберут с собой! Не полагай наивно, что если ты имеешь чистые носители информации, то никто ничего не докажет, кстати не говори эту фразу, - "Вы ничего не докажете". ЕСЛИ К ТЕБЕ ПРИЕХАЛИ В ГОСТИ, ЗНАЧИТ ЗА ТОБОЙ СЛЕДИЛИ ДОЛГО, ТЕБЯ РАЗРАБАТЫВАЛИ И ОНИ ЗНАЮТ ВСЕ, тебе дадут это понять. ж) Имей ввиду, что если приняли организованную группу, практически нет шансов спастись и вас скорее всего всех закроют. Вы можете только смягчить уже в суде наказание по тем статьям что вам инкриминируют, или ценой неимоверных усилий адвокатов и вовсе съехать. з) По смягчающим и отягчающим обстоятельствам: -Отказ по 51 статье от дачи показаний против себя, не является никаким обстоятельством, но в суде, это может оказаться основанием для избрания меры пресечения ввиде ареста. -Явка с повинной и сотрудничество со следствием - смягчающие обстоятельство. -Примирение с потерпевшим - смягчающее обстоятельство. -Один раз не пидарас! Для тех кто попался впервые, тоже предусмотрено максимально мягкое наказание. -Организованная группа и наебка следователя, тоже отягчающее обстоятельство. -Особый порядок в суде, дает 2/3 как минимум от максимального срока. и) Насчет доказательной базы с носителей. Она ровным счетом ничего не значит! В компьютере ты можешь иметь описание о том как сделать атомную бомбу или гнать самогонку из клея, но это не значит, что ты сбрасывал бомбу на Хиросиму с Нагасакой или потравил всех алкашей из соседних домов. к) Что является доказательством??: -Документы с хистори о движении средств по кошелькам WM. -Логи от провайдера. -Документы от КОКК (Компании объединенных кредитных карточек), они самые страшные, в них будет написано: номер юзанной карты, имя холдера, Банк-эмитент и выписка по счету с этой карты! -Fraud Report, такая красная бумажка от биллинга, (кого принимали ее видели, очень выделяется) отправляется в адрес конторы которую ограбили и далее к делу подшивается. Ну и еще всякие другие малоинтересные бумажки. л) Привезли тебя в мусарню, ну что начинается??? Тебя будут весь день очень-очень долго морально прессовать попеременно несколько человек (очень выносит мозг кстати). А если поймут, что ты не колешься, просто закроют в камеру на сутки, не дадут пить/есть/срать/курить/материться (удовольствие сомнительное). м) Если ты по версии оперов, можешь надавить на свидетелей, можешь уничтожить улики, можешь покончить жизнь самоубийством, тебя поместят на трое суток в ИВС. А после повезут в суд, где судья ознакомившись с материалами уголовного дела, изберет меру пресечения в виде подписке о невыезде или ареста. В первом случае пойдешь домой, во втором поедешь в СИЗО, минимум на 2 месяца. Срок будет продлеваться по ходатайству следствия, обычно сидеть приходится долго. н) Чем будут пугать менты: - Тебя в сизо побреют на лысо (не правда). - Тебя в жопу выебут и будешь парашу чистить (не правда). - В СИЗО таких как ты не уважают (не правда). - Поедешь в СИЗО можешь подхватить туберкулез (ПРАВДА). о) Любителям избить самого себя, разочарую! Если спалят, что ты сам себе наносишь увечия, закуют в наручники или увезут в дурку! Дурка скажет, что ты здоров, в суде будет отягчающим обстоятельством. п) Ну а теперь, что же такое СИЗО, ИВС. ИВС - помещение с длинными коридорами и как ни странно с решетками на окнах, достаточно не плохое. Камера на двоих или четверых таких же как ты. В ИВС не очень страшно, тебе могут привозить передачки, привезут одежду и прочее прочее, но может не повезти и соседом по камере окажется бомж. В ИВС срок содержания ограничен тремя сутками, поэтому тебя вскоре повезут в суд, где решат отпустить тебя или закрыть. СИЗО - та же зона с туберкулезом, вместо камер хаты, блатные, мужики и т.п. Если попал в СИЗО, забудь все матершинные слова, будь очень вежливым и ни с кем не здоровайся за руку, здесь это не принято. Передачки и свидания разрешены только по заявлению и 2 раз в месяц. р) Отсидев в СИЗО, привезут уже в суд, где решать твою судьбу будет судья! Срок отсидки в СИЗО, вычитается от общего + если освободят тебя и признают права на реабилитацию, возможно съездишь в санаторий за казенный счет. Вот такие пироги товарищи, мне остается пожелать чтобы эти факты вы знали только в теории. Будьте людьми и не допускайте ошибок.
  10. Среди криминалистических проблем, стоящих перед правоохранительными органами при расследовании преступлений в сфере использования электронно-вычислительных машин (компьютеров), систем и компьютерных сетей, выделяют отсутствие методики сбора так называемых «электронных » доказательств. Большинство последних получают непосредственно при проведении осмотра места происшествия. Как известно, процесс сбора доказательств по уголовному делу содержит их обнаружения, фиксации и изъятия. При расследовании преступлений, предусмотренных разделом XVI УК Украины «Преступления в сфере использования электронно-вычислительных машин (компьютеров), систем и компьютерных сетей», данный процесс приобретает специфические черты. Это объясняется, в первую очередь, тем, что следы преступной деятельности, направленной на нарушение работы электронно-вычислительных машин (компьютеров) и т.п., в силу специфики названного вида преступлений редко остаются в виде изменений внешней среды. Однако это не означает, что материальных следов не бывает вообще. Прежде всего, они остаются на магнитных носителях информации и отражают ее изменения (по сравнению с исходным состоянием). Речь идет о следах модификации информации - баз данных, программ, текстовых файлов. Исходя из приведенного, при осмотре места происшествия при расследовании «компьютерных» преступлений работа следователя, кроме выявления, фиксации и изъятия традиционных следов (отпечатков пальцев рук, микрочастиц на клавиатуре, дисководах, принтере и т.п.), заключается и в выявлении, фиксации и изъятии так называемых следов модификации информации. Как правило, последние остаются на магнитных носителях (жестких дисках ЭВМ, магнитных лентах, лазерных и магнитооптических дисках), которые могут быть с соблюдением установленного Уголовно-Процессуального Кодекса (в дальнейшем "УПК") изъяты и присоединены к уголовному делу как вещественное доказательство. Следует отметить, что в соответствии с последними изменениями в УПК носитель изымается и соответствующим образом фиксируется , и в дальнейшем признается доказательством по делу. При осмотре места происшествия, связанного с изъятием компьютерной техники и носителей информации, возникает ряд общих проблем относительно специфики технических средств, которые изымаются. Рассмотрим их подробнее. Поскольку орудиями совершения указанных преступлений являются средства компьютерной техники, в том числе и специальное программное обеспечение, осмотру в первую очередь подлежат именно они. Следователь, который выезжает на осмотр места пришествия, должен иметь при себе следующие вещи: - Отформатированы дискеты (лазерные оптические диски, флешки и т.д.) различных форматов, которые будут использоваться для накопления изъятой из обыскиваемого компьютера информации; - Большое количество липкой ленты или других средств защиты дисков от записи; - Пакет универсальных программ-утилит для обеспечения беспрепятственного и эффективного извлечения из компьютера доказательственной информации. В том случае, когда следователь знает, с какими трудностями ему придется столкнуться, он должен заранее позаботиться про необходимый пакет утилит; - Наборы цветных наклеек для маркировки изъятых вещей. При маркировке таких предметов следователь должен проследить, чтобы принесенные им или другими участниками следственного действия предметы маркировались наклейками другого цвета, чем те, которые обнаружены и изъяты с места происшествия; - Бумага для принтера; - Системные дискеты, то есть те, с которых возможно инициировать работу операционной системы. Это объясняется тем, что компьютерные нарушители нередко программируют свои компьютеры так, что запуск системы другим лицом обычным путем влечет уничтожение всех файлов; - Программы обнаружения компьютерных вирусов для защиты компьютерной системы от возможных повреждений из оборудования, которое использует следователь (это могут быть как дискеты, обнаруженные на месте происшествия, так и программы, полученные через каналы связи); - фото-или видеоаппаратуры. Первоочередными действиями следователя на месте происшествия должны быть: - Принятие мер по сохранению ситуации такой, какой она была до момента прибытия в целях предотвращения уничтожению информации: вывести всех лиц из зоны доступа к оборудованию, предотвратить вмешательство в систему через линии связи (в частности, через модемы), а также внесение изменений в работу системы. Если в помещении находятся несколько компьютеров, объединенных между собой в сеть, следователь должен попросить лиц, которые за ними работают, оставить места работы и отойти от этих компьютеров. - Проведение видеозаписи места происшествия для фиксации текущего состояния операционной системы компьютера и порядка расположения его оборудования, - Проведение фотосъемки серийных номеров и номеров моделей компьютерного оборудования; - Нумерация компьютерного оборудования в соответствии с его расположение на месте происшествия. При проведении названных действий запрещено: - сразу касаться клавиатуры (поскольку на ней могут быть отпечатки пальцев рук преступника. Кроме того, компьютер может быть запрограммирован на автоматическое уничтожение информации через нажатие на любую клавишу); - отсоединять компьютер от источника питания; - в любой способ изменять текущее состояние Вашей системы. По прибытию на место происшествия и после выполнения указанных выше действий следователь в такой последовательности должен обследовать и описать в протоколе: - Компьютерное оборудование по правилам, приведенным выше; - Программное обеспечение. Особое внимание следует обращать на так называемые лог-файлы (журналы работы программ), где может храниться важная информация. Большинство систем создают лог-файлы как часть их обычной деятельности. Каждый раз, когда система выполняет определенные операции, информация о том, что происходит (время и дата проведения данных операций, субъекты выполнения и перечень файлов, с которыми данные операции проведены), фиксируется в лог-файле. В частности, в них фиксируется информация: о вхождении или попытку вхождения в систему; о попытке открытия файлов, к которым у пользователя нет разрешения; когда он запускает программу. - Дискеты и другие носители информации; - Вся документация, найденная на месте происшествия; - Все периферийное оборудование (принтеры, модемы, сканеры, сетевые кабели); - Распечатанные материалы. После того, как все названное осмотренно и зафиксировано в протоколе, его необходимо упаковать и опечатать. При разборке оборудования надо отмечать (маркировать) оба конца кабелей. Кроме этого, проводится фотографирование общего вида комнаты и составляется план помещения, где отображается местоположение аппаратуры, ее подключение и взаимное соединение. Если компьютер подключен к телефонной сети, выясняется: подключен компьютер к сети с помощью модема. Если это телефонный разъем, необходимо отключить его. Если он подключен через модем, то выключается напряжение данного устройства (не компьютера), в протокол записывается номер использованного при соединении телефона. Затем выключается монитор, системный блок и отключается напряжение. При этом в протоколе следственного действия и приложения-схеме к нему тщательно фиксируется местонахождение ПК и его периферийных приборов, описывается порядок соединения между собой указанных приборов, с указанием особенностей (цвет, количество соединительных разъемов, их спецификация) соединительных проводов и кабелей; перед разъединением полезно осуществить видеозапись или фотографирование мест соединений. Носители информации отдельно упаковываются и помещаются в оболочки, которые не несут заряда статического электричества. Системный блок упаковывается и опечатывается в специальные оболочки (обеспечивающих надежность его транспортировки). Портативные компьютеры, дискеты, отдельно смонтированы жесткие диски, носители информации, которые могут использоваться вместе с компьютерами (кассеты, дискеты, лазерные диски), также упаковываются в отдельные опечатаные пакеты или коробки, в протоколе обязательно указываются номера печатей. При упаковке оборудования необходимо, чтобы оно имело температуру окружающей среды. Все вещи и документы должны быть изъяты и описаны в соответствии с нормами действующего уголовно-процессуального законодательства. Компьютеры и их комплектующие опечатываются путем наклеивания на места соединений листов бумаги, с закреплением их краев на боковых стенках компьютера густым клеем или клейкой лентой, чтобы исключить работу с ними в отсутствие владельца или эксперта. Магнитные носители упаковываются и транспортируются в специальных экранированных контейнерах или в стандартных дискетних или иных алюминиевых футлярах заводского изготовления, исключающих разрушающее воздействие электромагнитных и магнитных полей, направленных излучений. Опечатываются только контейнеры или футляры. Пояснительные записи могут наноситься только на самоклеющие этикетки для дискет, причем сначала делается запись и этикетка наклеивается на предназначенное для нее место на дискете. На этикетке должно быть зафиксирована следующая информация: - Список файлов, записанных на эту дискету; - При необходимости, пароли, необходимые для открытия данных файлов; - Название операционной системы, которой принадлежат записанные файлы; - Информация о возможном или имеющийся содержание файла. Если на дискете уже есть этикетка с каким-нибудь надписью, проставляется только порядковый номер, а пояснительные надписи под ним делаются на отдельном листе, который вкладывается в коробку. Недопустимо приклеивать что-то непосредственно на магнитный носитель, пропускать через него нить, пробивать отверстия, делать надписи, пометки, ставить печати и т.д. Все изъятое необходимо как можно скорее передать в распоряжение эксперта или специалиста для дальнейшего изучения. Осмотр компьютеров и извлечение информации производится в присутствии понятых, которые расписываются на распечатках информации, изготовленных в ходе осмотра. Как понятых следует приглашать людей, имеющих необходимые знания в области компьютерной техники. Непонимание смысла выполняемых стражами действий для человека, приглашенного в качестве понятого, а позже - допрошенного в суде, может не убедить последний в признании тех или иных обстоятельств доказательствами. Понятыми желательно приглашать работников того предприятия, организации, учреждения, фирмы, компании, в которой проводится освидетельствование и обыск, при условии, что они не заинтересованы в разрешении дела. Соблюдение сотрудниками правоохранительных органов приведенных выше рекомендаций по проведению осмотра места происшествия, по моему мнению, будет способствовать повышению эффективности расследования «компьютерных» преступлений. ©HITACHI
×