W dniu 31.03.2024 o 03:15, Marcin Debowski pisze:

>> Pokaż mądralo, gdzie ja pisałem o wyszukiwaniu po MD5? MD5, to ja mogę > Po MD5 to
nie pisałeś, ale pisałeś:
> "Ja generalnie po prostu szukałem pliku po sumie kontrolnej [..]"
> Message-ID: <uu8jeb$tj4$23$RTomasik@news.chmurka.net>

I dokładnie tak to robiłem. Ale nigdzie nie pisałem, że liczyłem sumy
kontrolne wszystkich plików na dysku, albo że to była akurat MD5. To
była chyba akurat Sha-256 i nie z tego powodu, bym uważał to za jakoś
najbardziej właściwe, ale dlatego że program domyślnie ją liczył, a
szkoda było czasu na przestawianie. To był programik szukający wg wzorca
z pliku na nośniku. Jak znalazł właściwą długość (czy co tam ustawiłeś),
to liczył dopiero sumę. To naprawdę szybko działało i uruchamiało się z
PENDRIVE czy płyty. Nie instalowało. Nie potrzebowało bibliotek.
Wskazywałeś dostępne Ci lokalizacje (można było wiele), więc jak firma
szła na współpracę i uruchamiałeś to z kompa z uprawnieniami dostępu do
dysków w firmie, to nie trzeba było latać po pokojach, tylko piłeś kawę
i czekałeś. Do dziś często tak robię w odniesieniu do pewnych
zastosowań. Tak, trzeba mieć świadomość ograniczeń, ale czasem to
wystarczy. Masz lewe faktury, które dostał kontrahent. Szukasz, z
jakiego komputera one wyszły. To nie szukasz wszystkich faktur, a tych
konkretnych. Jak idą jako pdf wyszukiwalny, to prościej to zrobić po
ciągu znaków z systemu. Ale jak idą jako obrazki?

Patrzyłem wczoraj i na NirSoft jest instrukcja do tego, jak to zrobić.
Ja nie pamiętam, czy kilkanaście lat temu była dokładnie ta sama. Teraz
tam jest instrukcja przejścia przez dwa darmowe programy. Jakbym miał to
dziś zrobić, to najpierw bym przejrzał obecnie dostępne darmowe
oprogramowanie. Jakbym nie znalazł tego, co potrzebuję, to bym zrobił
"bat"a który uruchomi z linii poleceń kolejno dwa programy i wyświetli
wynik tak, jak jest instrukcja na NirSoft. Ale nie mam takiej potrzeby i
nie chce mi się testować, czy czasem gdzieś się to nie "wywali", choć
pozornie wygląda całkiem nieźle.

Przypominam, że tam chodziło o przeszukanie w skali Polski wieluset
tysięcy komputerów i można było podejrzewać, że w wielu przypadkach
absolutnie bezsensownego. Jakbym miał jeden komputer analizować, to
oczywiście można było zwrócić na cały szereg aspektów i zrobić to o
wiele bardziej dokładnie.

Wydaje mi się, że wówczas był jeden program, w którym można było właśnie
wskazać te wzorce. Ale nie uruchamiałem tego z NirSoft teraz dostępnego
i nie chce mi się analizować wstecznie tylko dla jakiś kilku bęcwałów,
którzy dla sportu i z nudów się popisują. O szczegółach mogę z mądrymi
ludźmi dyskutować, którym to się może przydać.
>> policzyć dl;a tych kilku plików, dla których szybsze algorytmy wytypują
>> możliwe podobieństwo. Przecież w logu masz rozmiar pliku, nazwę itd.
>> Wiesz, co pobierano i ścigasz to konkretnie udostępniającego.
> No to już predzej. Ale tego nie dopowiedziałeś to się nie dziw, że
> zbierasz cięgi.

Jakie cięgi? Przecież ja tych ludzi w ogóle poważnie nie traktuję :-)
Czytam, jak mi się okrutnie nudzi. Uruchomili się, bo sobie w Google
wpisali "suma kontrolna", wyszło im, że ta MD5, którą się w
kryminalistyce stosuje (bo szybka i w miarę rzetelna) i nie potrafią
nawet wyników zinterpretować. Jeszcze tupią nóżkami, bym im znalazł to
rozwiązanie sprzed lat, bo jak nie, to na pewno kłamię. Może jeszcze bym
w celu edukacyjnym im to merytorycznie wyjaśnił, ale to ten poziom
wiedzy, którego oni nie ogarnął, skoro z mojej "sumy kontrolnej" im MD5
wyszła. Czyli w ogóle nie mają zielonego pojęcia o czym piszą. Zlituj
się! Jest pewien poziom głupoty, do którego po prostu nie chce mi się
zniżać.
>
> Też namieszałeś z tymi kopiami binarnymi w tym kontekscie, bo to nie
> jest problemem zrobienie sumy kntrolnej dysku 200GB (zajmuje to z ca
> 30min dla przeciętnego mechanicznego dysku tej wielkości podpiętego pod
> sata), a pewnie chodziło Ci o cały pakiet. Zgaduję, trzeba zrobić sumę
> kontrolną orygnału (dysku), dalej kopię binarną, dalej sumę tej kopii.
> To może zająć z 5h jeśli kopiuje się po jakimś usb.

Kopie binarne, to osobny temat. Jeśli na dysku mogło coś być, to robi
się tzw. kopię równoważną. Można robić kopię "nośnik na nośnik"
(najszybsza forma), ale ja zazwyczaj robię kopię do E01. Można to zrobić
programem (ja używam FTK, ale na dysku mam jeszcze dwa inne), albo
specjalnym zewnętrznym urządzeniem, które jest takim prostym komputerem
pracującym pod Linuxem i to jest najprostsze, bo idiotoodporne. Jeszcze
mam na płycie dystrybucję specjalną LINUX-a, którą można odpalić z płyty
na dowodowym urządzeniu i wyprowadzić kopię na zewnętrzny nośnik. Jak
masz wiele komputerów, a jeden duplikator, to jest to po prostu szybsze.

Taką kopię możesz potem "zainstalować" w kompie i przeglądać bez obawy,
że coś tam namieszasz, bo można ją nawet spod Windows zainstalować bez
możliwości zapisu. Ale szkoda życia i ja do tego używam Autopsy - to
taki program do analizowania.

Autopsy jest dokładniejsze, bo przeszukuje również przykładowo wolną
przestrzeń, ale to strasznie długo trwa. Skatalogowanie dysku zajmuje
kilka dni, a na pewno kilkadziesiąt godzin. To się sprawdza, jak masz
jeden komputer do przeanalizowania, ale nie setki tysięcy.

Za to jak już masz to skatalogowane, to potem zadajesz kolejne "pytania"
i dostajesz tabelki wynikowe naprawdę szybko. No i AUTOPSY, to
przykładowo w celu znalezienia pliku identycznego liczy sumy kontrolne
wszystkiego pomijając tzw. "znane pliki". Sygnatury znanych plików są
publikowane i dostępne w sumie chyba wszystkim (mnie też). Tylko przed
badaniem musisz sobie w kompie zaktualizować te dane. Inaczej zaczniesz
ciągu znaków szukać w bibliotekach DLL przykładowo, co głębszego sensu
nie ma.
>
> Dopiero potem, jak jest taka kopia binarna, na której pracujesz, to
> zapewne schodzisz do poziomu systemu plików i szukasz sobie jak już Ci
> wygodnie w tym szybkie wytypowanie kandydatów np. po wielkości, a dalej
> porównanie sumy kontrolnej. Tyle, że ta suma nie ma nic wspólnego z sumą
> kopii bineranej.
>
No właśnie nie. Kopia binarna nośnika do formatu EnCase to dokładny, bit
po bicie, zapis danych z nośnika danych, takiego jak dysk twardy,
pendrive czy karta pamięci, do pliku obrazu w formacie E01. Format E01
jest zastrzeżonym formatem opracowanym przez firmę Guidance Software,
twórców oprogramowania EnCase do analizy danych kryminalistycznych. Ale
używa tego masa innych programów. Są i darmowe.

Co więcej te programy do analizy kopii binarnych mają swoje sposoby.
Przykładowo są dostępne sygnatury zdjęć z pornografią dziecięca i można
sobie to pobrać. Program przeszukując dysk wywala w formie komunikatu,
że znalazł taki plik. Dzięki temu nie musisz przeglądać miliona fotek, a
kilka. No i teraz musisz podjąć decyzję, co zrobić. Bo przykładowo u
mnie lokalnie Prokuratura domaga się ustalenia tożsamości
sfotografowanej osoby oraz jej wieku w chwili wykonania fotografii. Nie
wystarczy, że gołym okiem widać, że to dziecko. To wcale proste nie jest
w praktyce.

I tak się to robi, jak masz jeden komputer. Ale jak masz kilkaset
tysięcy, to trzeba iść na pewne uproszczenia i tu właśnie to
uproszczenie opisałem. Wcale nie dlatego, że uważam, iż to doskonały
sposób.
--
(~) Robert Tomasik