Форум ''Интернет и Право''
20 Август 2017, 02:47:03 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: [1] 2 3 ... 10   Вниз
  Печать  
Автор Тема: Экспертиза жёсткого диска  (Прочитано 21912 раз)
deaddy64
Посетитель
*
Офлайн Офлайн

Сообщений: 5


E-mail
« : 22 Июль 2010, 20:10:19 »

Здравствуйте. Подскажите по вопросу.
Изъяли жёсткий диск на экспертизу. Документально зафиксировали только его номер на крышке, опечатали в моём присутствии с моей подписью. Объём информации, количество файлов зафиксированы не были.
Естественно после экспертизы той самой "опечатки" уже нет. Т.е. была возможность записать на диск постороннюю информацию.
Подскажите, реально ли доказать, что во время экспертизы или до неё произведено изменение содержимого жёсткого диска?
Ведь экспертиза проводилась без моего присутствия и что происходило дальше с накопителем мне неизвестно.
Записан
ckotinko7
Посетитель
*
Офлайн Офлайн

Сообщений: 8


С любовью к ближнему


« Ответ #1 : 22 Июль 2010, 22:01:41 »

железно можно определить только колво записанных байт(кратно 512) с момента запуска(показатель SMART 0xf1) и колво часов в работе(0x09)

возьмите дату составления протокола. вряд ли у экспертов есть софт, позволяющий существенно изменить даты и/или порядок записей в системном журнале окон. стало быть будут уведомления о пуске/останове служб, если туда что либо ставили с вашей оси.
если ставили как на доп диск, то показателем может быть неполнота установки, и возможно, некорректные пути, сохранённые где-нибудь в недрах подставной программы.
далее, у всех ФС при корректном завершении работы в заголовочный блок пишется точная дата отмонтирования диска. она будет или после изъятия диска, или до - но тогда надо искать файлы, которые попадают между этими двумя датами.
Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #2 : 23 Июль 2010, 04:21:57 »

Проблема заключается в том, что эксперт не знает как представленные объекты были упакованы при изъятии. Т.е. ему принесли объект: вроде бы и опечатан и подписи понятых имеются, но... а так ли был упакован объект в момент изъятия или нет - эксперт не знает (может объект уже потом переупаковали).

>Подскажите, реально ли доказать, что во время экспертизы или до неё произведено изменение содержимого жёсткого диска?
С рядом оговорок конечно, вполне реально. Для этого необходимо ходатайствовать о назначении дополнительной экспертизы. На разрешение эксперта необходимо вынести вопросы : Производилось ли изменение информации, на представленном НЖМД, в период с [дата/время изъятия] по настоящее время? Если да, то какие изменения производились?

Вы б, для начала, все таки, уже проведенную экспертизу продемонстрировали общественности.

>и что происходило дальше с накопителем мне неизвестно.
После производства экспертизы, эксперт отдал диск следователю/оперу.
« Последнее редактирование: 23 Июль 2010, 05:06:37 от Igor Michailov » Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #3 : 23 Июль 2010, 05:10:00 »

далее, у всех ФС при корректном завершении работы в заголовочный блок пишется точная дата отмонтирования диска. о
А нельзя ли с этого места по подробнее (на примере NTFS)?
« Последнее редактирование: 23 Июль 2010, 05:35:57 от Igor Michailov » Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #4 : 23 Июль 2010, 09:43:12 »

Подскажите, реально ли доказать, что во время экспертизы или до неё произведено изменение содержимого жёсткого диска?
Да, это может установить вторая экспертиза, порученная независимому эксперту.
Только кто же её назначит?
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
ckotinko7
Посетитель
*
Офлайн Офлайн

Сообщений: 8


С любовью к ближнему


« Ответ #5 : 23 Июль 2010, 12:37:48 »

Цитировать
А нельзя ли с этого места по подробнее (на примере NTFS)?
в unix например, дата отмонтирования ФС(т.е. корректного окончания работы с ней операционной системой) записывается с точностью до миллисекунд, прошедших между 1.01.1970 и системной датой. в NTFS то же самое, но точность 100нс, и дата, от которой идёт отсчет лежит где-то в 16м веке.

сама нтфсь имеет таблицу MFT из блоков размером 2Кб, каждый из которых(иногда цепочки блоков, если в один не умещается вся информация) содержит одну или несколько копий имён файла(dos, unicode, в местной кодировке), информацию о расположении файла на диске(runlists), атрибуты даты и прав. есть 16 ключевых файлов. они первые в MFT, один из которых содержит время отключения логического диска.

если остро стоит необходимость исследования нтфсины, могу изготовить программу, которая будет показывать эту дату, и список файлов, попадающих в нужный диапазон дат. она в общем-то несложная.
Записан
eleron
Участник
**
Офлайн Офлайн

Сообщений: 148


С любовью к ближнему


« Ответ #6 : 23 Июль 2010, 15:15:39 »

Цитировать
Подскажите, реально ли доказать, что во время экспертизы или до неё произведено изменение содержимого жёсткого диска?

Реально. В зависимости от использованной вами ФС и ОС существуют различные следы, которые позволяют определить факт записи данных после изъятия диска (например, во время экспертизы). Еще проще доказать изменение данных ДО экспертизы, т.к. они есть в 99,99% случаев :-)

Цитировать
На разрешение эксперта необходимо вынести вопросы : Производилось ли изменение информации, на представленном НЖМД, в период с [дата/время изъятия] по настоящее время? Если да, то какие изменения производились?

Для получения ответов по признакам из разряда ДА/НЕТ нужно немного переформулировать вопрос. Например, если речь идет про флаг восстановления в Ext3 после изъятия методом прерывания электропитания (если данные не менялись, а ФС на момент изъятия была примонтирована с правом записи - флаг присутствует; после монтирования нехорошим экспертом или кем-то еще после изъятия - флаг снимается).

Цитировать
если остро стоит необходимость исследования нтфсины, могу изготовить программу, которая будет показывать эту дату, и список файлов, попадающих в нужный диапазон дат. она в общем-то несложная.

http://sleuthkit.org

И для затравки: http://anti-forensics.livejournal.com/2165.html
Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #7 : 23 Июль 2010, 15:25:29 »

Для получения ответов по признакам из разряда ДА/НЕТ нужно немного переформулировать вопрос.
Так переформулируйте и приведите на форуме.
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #8 : 23 Июль 2010, 18:00:03 »

в unix например, дата отмонтирования ФС(т.е. корректного окончания работы с ней операционной системой)
Т.е., если завершить работу некорректно ничего не поменяется (например, щелкнуть тумблером питания). Этим стоит воспользоваться.  Смеющийся
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
SoloX2
Посетитель
*
Офлайн Офлайн

Сообщений: 77


Устраните причину, тогда пройдет и болезнь.


« Ответ #9 : 26 Июль 2010, 01:27:20 »

У меня эксперт вообще написал что невозможно определить время установки, так как оно может быть изменено пользователем!
То есть к первоначальному: неустановленном месте... неустановленным лицом...  еще добавляется в неустановленное время.... так как из заключения можно сделать вывод что установка могла быть произведена как до так и после изъятия...

Вот млин доходит до меня как до жирафа!!! так это ж установку мог сделать ацкий админ у оперов на службе, доступ к программам у него то был. благо бумажками с печатями они запаслись... по самое небалуй... да и диск я оставлял вроде пустой... а я то думал на кой им аж пять штук их, хотя опечатали двумя... а куда еще три дели? к делу что ли подшили?
« Последнее редактирование: 26 Июль 2010, 01:47:01 от SoloX2 » Записан
Страниц: [1] 2 3 ... 10   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2017. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).
Rambler's Top100

Произвольная ссылка:

Powered by SMF 1.1.21 | SMF © 2011, Simple Machines