Форум ''Интернет и Право''
28 Марта 2024, 19:45:30 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: 1 2 [3] 4 5 6   Вниз
  Печать  
Автор Тема: Доказательства по Компьютерным Преступлениям  (Прочитано 21737 раз)
gur
Гость


E-mail
« Ответ #20 : 12 Апреля 2007, 16:36:33 »

Абсолютное заблуждение. Инфу в современных системах хранения восстановить сейчас практически невозможно. Возможно восстановить отрывки байтиков и буковок. Но что они будут на 100% верные никто не гарантирует.
Мы восстанавливали до 99% информации по отформатированному и поврежденному диску! Всё возможно и реально! Всё зависит от $ и квалификации эксперта. А если вообще много $, то можно и к разработчику обратиться.  Подмигивающий
Записан
Валентин Киселев
Участник
**
Офлайн Офлайн

Сообщений: 190


С любовью к ближнему


« Ответ #21 : 12 Апреля 2007, 16:56:58 »

Абсолютное заблуждение. Инфу в современных системах хранения восстановить сейчас практически невозможно. Возможно восстановить отрывки байтиков и буковок. Но что они будут на 100% верные никто не гарантирует.
Мы восстанавливали до 99% информации по отформатированному и поврежденному диску! Всё возможно и реально! Всё зависит от $ и квалификации эксперта. А если вообще много $, то можно и к разработчику обратиться.  Подмигивающий

А у нас летели сервера 3 раза за 5 лет.
И во всех случаях отдавали образы с дисков и сами диски во все
крупнейшие организации Москвы, которые занимаются восстановлением.
И денег не жалели.

Но результат - 50% данных восстановлено. Но это каша из информации. Ни одного целого файла.

На серверах были графические файлы.


Записан
Urix
Гость


E-mail
« Ответ #22 : 12 Апреля 2007, 17:27:22 »

Цитировать
А у нас летели сервера 3 раза за 5 лет.
Значит конфигурации серверов были неверные.
Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #23 : 12 Апреля 2007, 17:29:47 »

Но результат - 50% данных восстановлено. Но это каша из информации. Ни одного целого файла.
На серверах были графические файлы.
ИМХО, если никакие специальные меры не предпринимались (типа стократной перезаписи нулями) и удалось получить образ поврежденного накопителя , восстановить графические файлы - это задача для первого класса (хотя, конечно , везде есть свои нюансы).
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Валентин Киселев
Участник
**
Офлайн Офлайн

Сообщений: 190


С любовью к ближнему


« Ответ #24 : 12 Апреля 2007, 18:46:32 »

Но результат - 50% данных восстановлено. Но это каша из информации. Ни одного целого файла.
На серверах были графические файлы.
ИМХО, если никакие специальные меры не предпринимались (типа стократной перезаписи нулями) и удалось получить образ поврежденного накопителя , восстановить графические файлы - это задача для первого класса (хотя, конечно , везде есть свои нюансы).

В результате мы получили от каждого восстановляльщика по несколько вариантов восстановления.
Но реально, кроме названия файлов, сами файлы были все битые нулевые.
Либо полосатые (это кассаемо фото).

Не думаю, что задачка для первого класса была. Раз все крупнейшие организации оббегали.

Может потому что у нас рейд масив полетел? с обычным хардом может по другому было бы.



Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #25 : 12 Апреля 2007, 19:10:23 »

А че RAID  лепят из каких-то особенных хардов?  Подмигивающий  Смеющийся
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
gur
Гость


E-mail
« Ответ #26 : 12 Апреля 2007, 19:24:41 »

В результате мы получили от каждого восстановляльщика по несколько вариантов восстановления.
Но реально, кроме названия файлов, сами файлы были все битые нулевые.
Либо полосатые (это кассаемо фото).
а мне интересно что это за компании... дайте реквизиты в привате, никогда не буду к ним обращаться Подмигивающий
А если захотеть, то из всего можно конфетку сделать Подмигивающий Как говорится: "Красивые девушки только для тех мужчин, у которых нет воображения " Смеющийся
Записан
H.F.M.
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 26


С любовью к ближнему


« Ответ #27 : 12 Апреля 2007, 19:33:04 »


Логи, как и пальчики - это информация, которая зафиксирована на долговременном носителе.
Смею себе заметить, что очень важно то, что логи весьма специфичный вид информации. В суде крайне важна достоверность доказательств, а вот с логами, в этом случае, большая проблема. И в этом плане, я разделяю точку зрения Софии Александровны. Как минимум надо создать стандартную процедуру логирования (например, аттестовывать ПО, при использовании которого будут логи приниматься в качестве доказательств) и процедуру сбора этой информации с ЭВМ.

Данный способ не ликвидирует полностью данные жесткого диска. Существует огромное количество ПО и аппаратных средств для восстановления данных жесткого диска.
А вот здесь, смею не согласиться. Даже в системах, работающих с гос. тайной, достаточно 2х кратного затирания (проще говоря - произвести 2а цикла записи/удаления нулей, или случайных символов, на место физического расположения удалённого файла). Думаю, здесь нет сомнений, что наши спец.службы некомпетентны в данном вопросе. Можно конечно распространиться насчёт физических процессов восстановления, но думаю это будет лишним. Хотя при однократной записи поверх данных - действительно можно попытаться восстановить данные, но не факт что получиться
« Последнее редактирование: 16 Апреля 2007, 15:35:07 от H.F.M. » Записан
gur
Гость


E-mail
« Ответ #28 : 13 Апреля 2007, 16:23:39 »

Хотя при однократной записи поверх данных - действительно можно попытаться восстановить данные, но не факт что получиться.
Получится! Я знаю таких высококвалифицированных экспертов! И как это ни странно в ЛСЭ при МВД. Могу на конкретном примере доказать - что было - и что восстановили (при том 2 ЛСЭ - абсолютно разные результаты - одна как вы говорите вообще ничего не дала, а другая 99% информации). Просто они это особо  не афишируют, так как не занимаются коммерческой деятельностью по восстановлению данных. Тоже касается и спец. служб.  Подмигивающий
« Последнее редактирование: 13 Апреля 2007, 16:25:27 от София Александровна » Записан
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #29 : 13 Апреля 2007, 23:34:39 »

Как минимум надо создать стандартную процедуру логирования (например, аттестовывать ПО, при использовании которого будут логи приниматься в качестве доказательств) и процедуру сбора этой информации с ЭВМ.
Со "стандартной процедурой", боюсь, ничего не получится. Производители ПО не заинтересованы следовать стандартам, установленным какими-то тупыми прокурорами какой-то далёкой России. А в развитых странах подобных требований к логам не предъявляют. И, кстати, правильно делают.

Есть и обратная сторона. Корректность и неизменность логов зависит не только от логирующей программы и процедуры съёма информации. Но и от кучи иных факторов. Может получиться так, что средство сертифицированное, процедура соблюдена, а логи-то - ошибочные.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Страниц: 1 2 [3] 4 5 6   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines