Эксперт-криминалист со специализацией по почерку, технической экспертизе документов и портретной экспертизе ответит на вопросы ананаса :3 Суп протух на несколько лет, но я тут.
Ну мало ли - кому-то экспертизу назначить надо, кого-то на бутыль сажают, кто-то ищет романтики в профессии. Тащемта редкая редкая специальность, ананас может что-то почерпнуть.
>>196622858В негос можно, в ЭКЦ пошлют нахуй, а в Минюсте скажут (как мне) что вы, сэр, получите право подписи и съебетесь, поэтому мы вас брать не будем. Насчет образования - есть лазейки, можно, но времени у тебя не много, скоро будет принят новый ФЗ о ГСЭД и тогда пизда.Не обязательно спец вуз
>>196622915Она очень похожа на работу среднего офисного пидорана, но добавь сюда сложные технические устройства, выезды в суд, всякие допросы со стороны следаков из СК и ФСБ, и периодические прения в судах.
>>196623409Нравится. Проходит где-то так:утро, стандартный офис и ты получаешь задание "по постановлению следователя Ерохина нужно заебенить экспертизу" - ты берешь бумажки и идешь в лабораторию, там ты исследуешь бумажки следователя Ерохина и приходишь к выводу о том, что он прав (или нет), делаешь фоточки всей хуйни, фиксируешь каждый шаг работы, после чего возвращаешься в свой кабинет уровня офис, и пишешь заключение. Иной вариант - ты написал экспертизу, и года 3-4 тебя не трогали, ты ваще о ней забыл, а тут - повестка в суд на допрос. Едешь, и там всякие прокуроры или адвокаты пытаются тебе задать каверзный вопрос. Все каверзные вопросы ты можешь предсказать до того, как они рот открыли. Ну, стоишь, отвечаешь.Третий вариант - выезд на место происшествия.Ну вот как-то так и проходит.
>>196623722поясни за стеганографию. Есть ли возможность запихнуть в жпег сообщение, чтобы оно не детектилось статистическим анализами, хи квадратами и прочим?
>>196623862Нет, тела это СМЭ. Я могу выехать на труп в крайнем случае. Ну это как если кардиолог придет лечить почечника.
Если скину свой почерк, ты сможешь что нибудь про меня сказать? Или я долбоеб и это вообще другая наука
>>196623722Как проверить голосование общественных слушаний с авторизацией на госуслугах на соответствие протоколу? Да, сквер в Екб.
>>196624117Желтые точки - редкая хуйня, там больше нагнетают. Если ты заебенишь сообщение своей писечке через желтые точки - бох в помощь, если попадет мусарам (ЭКЦ) они, скорее всего, укажут на то, что обнаружили и потом напишут мол мы ебали в рот, там криптография и пущай разбираются спецы.
>>196624159Недавно какой-то пидоран написал расписку на 6 лямов симпатическими чернилами и думал что спасется. Охуеть вообще - ну на экспертизу притащили 3 чистых листа А4, и надо было поискать следы записи.Вначале нашли следы давления, а потом нашли сами записи (УФ, 254 нм - длина волны) и все светилось и ярко озаряло бутыль, на которую сел тот пидор, который не только не хотел отдавать деньги, но и пытался наебать суд.
>>196624117> запихнуть в жпег сообщениеСложно из-за сжатия. Поэтому пихают только в участки файла не связанные с пикселями. Метадата или бесполезные искусственно надутые участки типа ражепега. >чтобы оно не детектилось статистическим анализамиПару слов в метаданыые легко впихать, а пару мегабайт почти нереально спрятать. Но при ручном анализе это всё легко заметить. Что за хи квадраты не знаю, но судя по описанию из гугла это какой-то измеритель энтропии. На энтропии почти весь анализ устроен. Поэтому ответ без изменений. При желании детект обходится, но вручную легко палится.
>>196624736Туда знаю, что пихают. Но на все популярные инструменты есть сигнатуры. От простых яра-правил до платных анализаторов, которые пол часа будут твой файл вдоль и поперёк изучать, а потом выплюнут гору мусора, в которой живому человеку ковыряться придётся. А приватный софт для этого писать сложно т.к. чуть-чуть накосячив в жпегом вся картинка поплывёт. Но это как и почтя вся остальная работа игра в кошки мышки. Если дадут жпег, то я его проанализирую, но если ты свой инструмент напишешь или опенсорсный переделаешь да так, что признаков модификаций файла не видно, то сомневаюсь, что я достаточно глубоко полезу чтобы что-нибудь из этого файла достать.>>196624155не понял о чём ты. Просто дать каждому возможность проверить на месте ли его голос? Хуй знает что ты спросил и при чём тут криминалистика.>>196624262Говорят, что да, но я ни разу с бумагой не работал. Тут пошли вопросы не по моей теме. Наверно потому что я не уточнил чем занимаюсь. Работаю с анализом файлов, образов дисков (файловых систем целиком) и следами в винде (ос целиком)>>196624954Энкейсом нет. Мне дают свободу в выборе софта и никогда не покупают платный. Поэтому его никогда и не трогал. Точно не знаю чем он занимается, но думаю, что tsk все его фичи заменить может.
>>196625891Что делать если у подозреваемного веракрипт стоит? а если filevault от макос? Как ты действуешь в таких случаях?Расскажи о курьезных случаях с ерохами, возомнившими себя неуязвимыми и о реально интересных случаях
>>196621537 (OP)В суде принимают твою писанину или посылают нахуй? Выступаешь экспертом или только для органов подписи ставишь?
>>196626178> у подозреваемногоЯ немного не такой криминалист как оп. Мне задачи приносит команда реагирующая на инциденты. С подозреваемыми, жертвами, следаками не встречаюсь. На суд на хожу т.к. суда самого нет. И меня ещё никогда не просили взламывать веракрипт. (хотя и стенаграфию в жпэге тоже не просили искать) Но если бы дали такую задачу, то они бы понимали что с хорошей криптографией соревноваться нет смысла. Поэтому я бы пошёл в интернет в поисках старых багов в софте, которые могли бы помочь, узнал бы источник энтропии для ключа шифрования и если бы он был слабый (хэш от текущего времени), то сбрутил бы его. Если бы во всём интернете не нашлось бы советов, которые могли бы помочь, то загугли бы как выглядит ключ шифрования в разных версиях или фраза для его восстановления, написал бы регулярку и просканировал все незашифрованые текстовые файлы на компе в надежде, что его хранят в блокноте на рабочем столе. Пока придумал только это, но в реальном деле было бы больше времени на размышления. Кстати только что пришла идея просканировать файл подкачки и удалёные файлы, а если бы этот ключ выглядел как hex строка, то сконвертил бы его в байты и просканировал бы все бинарные файлы. В любом случае сомневаюсь, что в лоб можно эту задачу решить.Интересного не знаю что рассказать. Мне все истории кажутся одинаково скучными. Но давай коротенькую про хакера-майора в следующем посте скину.
>>196626800>в следующем посте скинуА следующий пост будет минут через 30 т.к. пойду готовить кушать. Надуюсь тред не утонет.
>>196626178>>196626800>>196626939Как-то прислали пару доковских файлов с пометкой "русские хакеры в фишинговом письме прислали". Ковыряю. В них макрос. Точно вредоносный. Точно составлен не авторами документа т.к. похожие гуглятся. Похоже они просто передалали код из какой-то книги учащей пентесту т.к. с тем кодом всё совпадало с точностью до названия функций и их длины. Только несколько строк переделали под себя. Плюс добавили обфускацию конкатенацией строк. Макросы дропали пару скриптов на комп и запскали их. Те скачивали другие скрипты и тоже их запускали. Скрипты второго этапа были для обхода антивируса. За несколько дней до этого в одном из блогов в интернете появился пост про обход виндовс дефендера и там автор выложил код как его обходить. Эти русские хакеры оперативно адатировали код под свои нужды. В оригинали там вызывалась функция, которая генерировала возвращала скрипт третьего этапа, а они удалили вызов этой функции оставив саму функцию и вместо него вставили свой скрипт обфузцированый base64. Дальше скрипт третьего этап конектился к серверу и ждал команд. Тут раследование остановилось т.к. к этому времени на сервере тот порт уже был закрыт. Но сам сервер был в сша. Там висел фейковый сайт норникеля и один из портов возвращал код метерпретора и ждал какого-то дальнейшего общения. Это давно было и может чего-то уже не помню, но смысл думаю понятен. У этих людей виден навык, видны амбициозные начинания, но при этом огромная халтура и лень. Как будто по тз работали. Ил сказали добавить обфускацию, а они в base64 пэйлоуд перегнали, а остальные индикаторы компрометации оставили без изменений. Проверяющий увидел, что base64 есть и зачёл обфускацию готовой. Или была у них задача замаскировать сервер в логох, а они подняли одностроничный сайт норникеля на бесплатном домене и отрапартовали, что всё готово. А некомпетентный начальник принял такую работу. Ну посыл понятен. В их работе виден талант (использую техники через 2 дня после публикации и читают современные книги по пентесту) и виден похуизм с котрым они сдают эту работу и некомпетентность тех, кто принимают. У меня даже были сомнения реально ли это те русские хакеры, которые в подвале мгу сидят и весь мир пугают. Единственный аргумент против был метерпретер на их сайте т.к. у них для этого свои инструменты есть. Но это аргумент очень слабый так что вполне возможно, что там была настоящая российская разведка и она всегда так работает
