следующая тема »

[Igor Michailov]

Я так понимаю, что в статье речь ведется не о доказательстве вины обвиняемого, а о проверке его алиби. И в этой ситуации, ИМХО, цитировавшееся заявление обвиняемого, действительно служит основанием для обязательного изъятия указанных носителей, без него - на усмотрение следствия. Не вижу особого криминала...

Тут все просто:  В соответствии с действующими метод.указаниями изымаются все компьютеры и носители находящиеся в помещении на момент осмотра.

[Igor Michailov]

Кроме шуток, такие методы есть. Без наперёд гарантированного результата, но доказать можно.

Понятно , что есть частные случаи когда это доказуемо.

[Igor Michailov]

ограничусь примером. Сравнение обнаруженной в кэше/логе броузера на вашем НЖМД страницы с формой отправки сообщения на этот форум и сравнение меток времени файловой системы со временем отправления и редактирования сообщения, проставленным самим сервером в заголовке вашего сообщения на форуме - дает некоторые основания для вывода о точности показаний часов вашего компьютера.

А если человек не работал в сети Интернет?  

[Urix]

А если человек не работал в сети Интернет?

Вот вот, с этого и начнем. Это первый булыжник в огород.

[Николай Николаевич Федотов]

Тут все просто:  В соответствии с действующими метод.указаниями изымаются все компьютеры и носители находящиеся в помещении на момент осмотра.

Даже по делам об изнасиловании?
Даже если помещение - это узел связи, датацентр?

[Dmitry]

А если человек не работал в сети Интернет?  

Устанавливать соответствие обнаруживаемых следов и соответствующих временных меток с действиями и событиями, время которых следствие установило или может установить независимым образом, в том числе опираясь на показания свидетелей или самого обвиняемого.

[Николай Николаевич Федотов]

А если человек не работал в сети Интернет?  

Вот вам один из способов.

На диске выявляются объекты (записи, файлы), хронологический порядок следования которых обеспечивается независимо от внутренних часов компьютера. И этот порядок сопоставляется с имеющимися временными метками. Это позволяет выявить сдвиг внутренних часов.

Например, в каталоге с компьютерной игрой обнаружены несколько файлов, содержащих "сейвы" - сохранённые игровые позиции. Из анализа их содержимого ясно, в какой последовательности они сделаны. А из анализа временных меток соответствующих файлов видно, что в промежутке между этим и тем внутренние часы были сдвинуты назад.

[Igor Michailov]

Dmitry, Николай Николаевич,
чего ломать копья над абстракциями? Вот образ дискеты http://computer-forensics-lab.org/lib/?cid=93

Можете сказать на сколько системные часы компьютера на котором записывались  файлы отстают/или опережают текущее?

И еще, просто для сведения, я слышал, что время тикающее в BIOS'e может не совпадать со временем указываемым ОС при создании/модификации/получения доступа к папкам и файлам.

[Igor Michailov]

Даже по делам об изнасиловании?
Даже если помещение - это узел связи, датацентр?

А изнасилования уже стали относиться к преступлениям  квалифицируемым по статьям 272-274 УК РФ?

[Николай Николаевич Федотов]

И еще, просто для сведения, я слышал, что время тикающее в BIOS'e может не совпадать со временем указываемым ОС при создании/модификации/получения доступа к папкам и файлам.

Слух проверен? Что за ОС такая?

Если у ОС есть альтернативный источник времени, и она им пользуется вместо встроенного таймера, то этот источник, как правило, не хуже. Под "внутренними часами" я понимал драйвер (демон), который выдаёт ОС и прикладным программам значение времени. А уж с какого аппаратного устройства этот драйвер берёт время: /dev/clockctl,  /dev/pps или /dev/gps - не имеет значения для задачи.