Форум ''Интернет и Право''

Основной раздел => Вопросы по экспертизам => Тема начата: serhio от 09 Февраля 2011, 00:07:54



Название: Стертые данные - доказательство?
Отправлено: serhio от 09 Февраля 2011, 00:07:54
Могут ли использоваться в качестве доказательств / улик стертые с носителя данные? Пытаются их просмотреть при экспертизе? А есди находят, то могжет ли использоваться это в суде / следствии?


Название: Re: Стертые данные - доказательство?
Отправлено: Igor Michailov от 09 Февраля 2011, 01:19:02
Да.


Название: Re: Стертые данные - доказательство?
Отправлено: blloody от 09 Февраля 2011, 11:47:24
Если захотят будут использовать и не только...


Название: Re: Стертые данные - доказательство?
Отправлено: Rebel от 10 Февраля 2011, 11:33:02
нулями надо было забить и всё эксперты в пролёте ;D


Название: Re: Стертые данные - доказательство?
Отправлено: Igor Michailov от 10 Февраля 2011, 11:35:34
нулями надо было забить и всё эксперты в пролёте ;D
Не говорите глупостей.


Название: Re: Стертые данные - доказательство?
Отправлено: JAW от 10 Февраля 2011, 11:49:14
нулями надо было забить и всё эксперты в пролёте ;D
Лучше сразу кислотой :) Тогда точно не восстановят.
А вот нулями, это самая большая глупость, которая возможна.


Название: Re: Стертые данные - доказательство?
Отправлено: Rebel от 10 Февраля 2011, 12:04:29
да вы что? ;D "35 раз нулями" это глупость  ;D ?
..."глупые людишки" (с)


Название: Re: Стертые данные - доказательство?
Отправлено: Osby от 10 Февраля 2011, 12:07:17
Лучше сразу кислотой :) Тогда точно не восстановят.
А вот нулями, это самая большая глупость, которая возможна.
Почему, если не секрет?


Название: Re: Стертые данные - доказательство?
Отправлено: Igor Michailov от 10 Февраля 2011, 12:23:02
да вы что? ;D "35 раз нулями" это глупость  ;D ?
Мы применительно к какому случаю говорим? Если к 146 то представьте ситуацию: Приходит к заказчику инсталлятор и, вместо установки программ, начинает 35 протирать жесткий диск нулями. Как думаете, инсталлятор получит вознаграждение за проделанную работу?


К тому же, идеи хороши в теории: Относительно недавно был большой скандал по поводу того, что известная программулина для удаления данных, "забывала" чистить  потоки, для файловой системы NTFS.


Название: Re: Стертые данные - доказательство?
Отправлено: Rebel от 10 Февраля 2011, 12:50:10
В случае если инсталятор понимает что подстава на середине "эксперимента"
как вы думаете ему спасти свою задницу ?


Название: Re: Стертые данные - доказательство?
Отправлено: Igor Michailov от 10 Февраля 2011, 13:55:23
В случае если инсталятор понимает что подстава на середине "эксперимента"
как вы думаете ему спасти свою задницу ?
Легко и просто: поставить бесплатные аналоги.


Название: Re: Стертые данные - доказательство?
Отправлено: Igor Michailov от 11 Февраля 2011, 06:11:10
да вы что? ;D "35 раз нулями" это глупость  ;D ?
..."глупые людишки" (с)
Уважаемый Rebel  может ответить на вопрос: Сколько времени занимает 35 проходов записи x00 для жесткого диска ёмкостью 1Тб?


Название: Re: Стертые данные - доказательство?
Отправлено: serhio от 11 Февраля 2011, 10:38:14
честно говоря, я не имел ввиду ситуацию с инсталляторами. Им я уж не знаю, что может помочь, раз сами в капкан суются...


Название: Re: Стертые данные - доказательство?
Отправлено: JAW от 13 Февраля 2011, 06:24:12
Кстати...
Если в курсе, после дросселя данные теоретически восстановить можно?

По поводу записи нулей...
Знаете, достаточно давно один оччень вумный программист догадался зашивровать данные при помощи XOR "Пароль". После этого я посстановил пароль при помощи XOR 00 :)

А про стирание информации... Те, кто имел дело с катушечными и кассетными магнитофонами знает, что даже стерев ленту иногда можно услышать то, что на ней было записано. Иногда единственный вариант почистить был дроссель.
Так и в случае с компьютерными данными... Единственный вариант 100% уничтожения информации, это полное размагничивание диска, или физическое уничтожение флэшки, или CD в микроволновке.

Правда иногда простого удаления хватит, т.к. экспертизе может ума не хватить, но это отдельный разговор :)





Название: Re: Стертые данные - доказательство?
Отправлено: Igor Michailov от 13 Февраля 2011, 07:08:07
Единственный вариант 100% уничтожения информации, это полное размагничивание диска, или физическое уничтожение флэшки, или CD в микроволновке.
"Блины", из жесткого диска, тоже можно разбить.  Они ж стеклянные. ;)


Название: Re: Стертые данные - доказательство?
Отправлено: Osby от 13 Февраля 2011, 12:47:01
А про стирание информации... Те, кто имел дело с катушечными и кассетными магнитофонами знает, что даже стерев ленту иногда можно услышать то, что на ней было записано. Иногда единственный вариант почистить был дроссель.
Так и в случае с компьютерными данными... Единственный вариант 100% уничтожения информации, это полное размагничивание диска, или физическое уничтожение флэшки, или CD в микроволновке.

Правда иногда простого удаления хватит, т.к. экспертизе может ума не хватить, но это отдельный разговор :)
Поэтому их и перезаписывают не один раз, а несколько.


Название: Re: Стертые данные - доказательство?
Отправлено: alebardo от 14 Февраля 2011, 16:24:48
Кстати...
Если в курсе, после дросселя данные теоретически восстановить можно?

По поводу записи нулей...
Знаете, достаточно давно один оччень вумный программист догадался зашивровать данные при помощи XOR "Пароль". После этого я посстановил пароль при помощи XOR 00 :)

А про стирание информации... Те, кто имел дело с катушечными и кассетными магнитофонами знает, что даже стерев ленту иногда можно услышать то, что на ней было записано. Иногда единственный вариант почистить был дроссель.
Так и в случае с компьютерными данными... Единственный вариант 100% уничтожения информации, это полное размагничивание диска, или физическое уничтожение флэшки, или CD в микроволновке.

Правда иногда простого удаления хватит, т.к. экспертизе может ума не хватить, но это отдельный разговор :)


Я вот не знаю, мне заржать щас или сдержаться, но XOR 00 не изменит ни одного бита :) (XOR 0FFh инвертит)!!!!

Либо у вас своя булева логика.

А ксорка - самый примитивный вариант шифровки, с 255 возможными ключами для расшифровки.

И ради интереса: 01001101 xor 10111101 = ???, чему же, сударь?


Название: Re: Стертые данные - доказательство?
Отправлено: tr от 15 Февраля 2011, 02:19:18
2alebardo
Мне кажется JAW имел ввиду, что пароль отпечатался на месте, где были нули в оригинальных данных.


Название: Re: Стертые данные - доказательство?
Отправлено: JAW от 15 Февраля 2011, 11:20:16
2alebardo
Мне кажется JAW имел ввиду, что пароль отпечатался на месте, где были нули в оригинальных данных.
Именно. Сперва за XOR'или фразой, которая являлась ключём шифрования, поскольку в программе были болшие поля со значением 00H, то XOR 00H высветил ключ... Потом было достаточно удалить блок расшифровки и разксорить паролём... Вообще там было 5, или 6 уровней защиты. По большому счёту такая маленькая шуточка уровня "Слабо снять защиту?" :)


Название: Re: Стертые данные - доказательство?
Отправлено: alebardo от 15 Февраля 2011, 13:54:53
Это-то и понятно, что куча одинаковых чисел легко может оказаться ключом к расшифровке (точнее ей и является с большой долей вероятности при использовании не изощрённой и банальной ксорки). Но я не понимаю, зачем писать XOR 00h, если он ничего не меняет и что он после изменения высветит???

Например, (в асме    8086)      XOR     AL, 00h, ни разу не изменит значение AL сколь бы долго эта операция не выполнялась :). Потом, опять же, если есть куча нулей - это может означать лишь то (при ксорке), что байт ксорки совпал с байтами лежащими там в большом количестве (что уже не вероятно) и после прохода ксорки они занулились.

Повторюсь, XOR 00h, как и OR 00h ни одного бита не изменит и ничего не высветит, точнее высветит то, что было там до этого (а вот AND 00h - занулит любые значения).

2alebardo
Мне кажется JAW имел ввиду, что пароль отпечатался на месте, где были нули в оригинальных данных.

Мне кажется, что JAW недавно смотрел фильм "Пароль рыба-мечь" и у него сложилось мнение о простоте расшифровки данных и преодоления 5 или 6 уровней защиты (а виды их известны, думаю нет) и установления точной их последовательности для выполнения реверса. Сначала, думаю надо зайти в Педивикию чтоб про логику почитать (И, ИЛИ, Исключающее ИЛИ), а то фраза
поскольку в программе были болшие поля со значением 00H, то XOR 00H высветил ключ...
ну смущает как минимум, ведь что-то в ней не так.


Название: Re: Стертые данные - доказательство?
Отправлено: alebardo от 21 Февраля 2011, 14:11:42
Чёт не отписывается, мистер дешифратор.

А по сути темы: стёртые данные восстановить можно, можно даже после прохода полного форматирования (по остаточному намагничиванию, при применении спец. оборудования, так называемого стенда). Как ими будут пользоваться - дело следственных органов и защищающейся стороны :).

Можно шифровать жесткий (что я сейчас и делаю). При стойком пароле (случайный набор из символов эдак 25) дешифровка займет УЙМУ времени, даже на супер компьютере (кол-во комбинаций 8 со 178 нулями примерно, перебирать). Даже с учётом того, что щас GPU на поле BrutForce выходит, уйдут года на перебор. Погуглил: перебор 8 значного пароля состоящего из 62 символов на 4х ядрах + 1 GPU = 51 год, на суперкластере из 400 GPU GTX295 = 31 день. На аренду последнего на такой срок не хватит денег у нашей доблестной пилиции.

Но это все на честного эксперта рассчитано, а так, найдут у вас что захотят и отмазываться устанете.


Название: Re: Стертые данные - доказательство?
Отправлено: Rebel от 22 Февраля 2011, 13:38:21
скорее гуглплэкс минут уйдёт на это чудикам на расшифровку
слышал что тру криптовый винчестер запороленный
за 2 года не взломали))...В принципе вариант если кто сидирует
х-ню какую нить дорогущую типа адоба и пободных. Придут "корочки"
а на винте один файл 500 гиговый  ;D ржака...представляю лицо  :-X обэповца.
пжалуста забирайте винты...потыкайте 123456 ;D


Название: Re: Стертые данные - доказательство?
Отправлено: Osby от 22 Февраля 2011, 15:13:04
скорее гуглплэкс минут уйдёт на это чудикам на расшифровку
слышал что тру криптовый винчестер запороленный
за 2 года не взломали))...В принципе вариант если кто сидирует
х-ню какую нить дорогущую типа адоба и пободных. Придут "корочки"
а на винте один файл 500 гиговый  ;D ржака...представляю лицо  :-X обэповца.
пжалуста забирайте винты...потыкайте 123456 ;D
Вы FAQ читали?  :) Доказательство вины не ограничивается экспертным анализом содержимого HDD  :)


Название: Re: Стертые данные - доказательство?
Отправлено: Rebel от 22 Февраля 2011, 22:19:05
это неважно...если винт "не докажут" чувачок палочку провалит 100% )))


Название: Re: Стертые данные - доказательство?
Отправлено: Igor Michailov от 22 Февраля 2011, 22:25:36
стёртые данные восстановить можно, можно даже после прохода полного форматирования (по остаточному намагничиванию, при применении спец. оборудования, так называемого стенда).
Не соблаговолит ли, уважаемый alebardo, дать ссылку на какую-нибудь коммерческую конторку занимающуюся восстановлением данных после перезаписи? Есть заказчики.


Название: Re: Стертые данные - доказательство?
Отправлено: alebardo от 24 Февраля 2011, 14:24:02
стёртые данные восстановить можно, можно даже после прохода полного форматирования (по остаточному намагничиванию, при применении спец. оборудования, так называемого стенда).
Не соблаговолит ли, уважаемый alebardo, дать ссылку на какую-нибудь коммерческую конторку занимающуюся восстановлением данных после перезаписи? Есть заказчики.

Виноват, не нашел. Видимо это домыслы из моего детства. Погуглил, почитал, вероятность восстановления есть, но ничтожно маленькая, с помощью магнитного микроскопа. Вот пруф http://www.datarc.ru/articles/overwriting_hard_drive_data.html (http://www.datarc.ru/articles/overwriting_hard_drive_data.html). Вероятность восстановления в бытовых условиях равна бесконечно малой величине. Так что, WIPE ERASE даже 2 прохода спасает :)
http://www.diskdata.ru/articles/vosstanovlenie-dannyh-posle-perezapisi/ (http://www.diskdata.ru/articles/vosstanovlenie-dannyh-posle-perezapisi/) - ещё пруф.