Форум ''Интернет и Право''
29 Марта 2024, 15:57:28 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: 1 2 [3] 4 5 ... 10   Вниз
  Печать  
Автор Тема: Экспертиза жёсткого диска  (Прочитано 37437 раз)
SoloX2
Посетитель
*
Офлайн Офлайн

Сообщений: 77


Устраните причину, тогда пройдет и болезнь.


« Ответ #20 : 26 Июля 2010, 05:39:16 »

Интересно как это?
См.следующий абзац.

Извиняюсь, я не обладаю слепым методом набора текста... от того торможу...


То что в Windows наследит порядком это понятно... но вот когда инсталятор (не берем случай когда он знает что через пол часа его паковать будут) ставит систему он думает о том как побыстрее все это закончить и не задумывается о лишних действиях, переводе времени, туда обратно... и т.п.


С другой стороны если кто то после изъятия диска (имея к нему доступ) до отправки на экспертизу захочет вдруг что то установить он так же может поступить... перевести время назад... на момент изъятия... установить что ему надо.. а потом... самое интересное тоже может наследить... если часы не так переведет... поэтому так же надо проводить экспертизу на предмет внесения изменений в структуру диска после изъятия.... дата проведения экспертиз известна, остается выяснить время когда вносились изменения, какие изменения произошли, если выявлены изменения после изъятия остается выявить характер изменений...
« Последнее редактирование: 26 Июля 2010, 06:12:03 от SoloX2 » Записан
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #21 : 26 Июля 2010, 08:45:05 »

Никак... факт остается недоказанным, но и не подтвержденным....
Однако, в случае, если системная дата будет выставлена как 1812 г , я таки смогу доказать акт отвода системных часов.  Подмигивающий

Интересно как это? понятно что в 1812 году DOS-а и впомине не было....
Например, при помощи логов. Находим какой-нибудь лог, в котором можно установить порядок внесения записей. И смотрим, в каком порядке вносились записи и каким временем они помечены.

Например:
26.07.2010 08:40
26.07.2010 08:41
26.07.2010 08:42
26.07.2004 09:30
26.07.2004 09:31
26.07.2004 09:32
26.07.2010 12:10
26.07.2010 12:11
26.07.2010 12:12

Не надо быть экспертом, чтобы догадаться, что 26.07.2010 в период между 8:42 и 09:30 часы были переведены на шесть лет назад, а потом обратно. См. также время в цитатах.
« Последнее редактирование: 26 Июля 2010, 08:56:58 от Николай Николаевич Федотов » Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
SoloX2
Посетитель
*
Офлайн Офлайн

Сообщений: 77


Устраните причину, тогда пройдет и болезнь.


« Ответ #22 : 26 Июля 2010, 11:40:03 »

Никак... факт остается недоказанным, но и не подтвержденным....
Однако, в случае, если системная дата будет выставлена как 1812 г , я таки смогу доказать акт отвода системных часов.  Подмигивающий

Интересно как это? понятно что в 1812 году DOS-а и впомине не было....
Например, при помощи логов. Находим какой-нибудь лог, в котором можно установить порядок внесения записей. И смотрим, в каком порядке вносились записи и каким временем они помечены.

Например:
26.07.2010 08:40
26.07.2010 08:41
26.07.2010 08:42
26.07.2004 09:30
26.07.2004 09:31
26.07.2004 09:32
26.07.2010 12:10
26.07.2010 12:11
26.07.2010 12:12

Не надо быть экспертом, чтобы догадаться, что 26.07.2010 в период между 8:42 и 09:30 часы были переведены на шесть лет назад, а потом обратно. См. также время в цитатах.

В данном случае имеет место перевод в уже установленной системе... а если система не была установлена, а часы были переведены?
тогда в логах будет что то типа
26.07.1812 11:11
26.07.1812 11:12
26.07.1812 11:13
....
26.07.2010 12:10
26.07.2010 12:11
26.07.2010 12:12

Если конечно эти логи есть...
Записан
SergeyF
Посетитель
*
Офлайн Офлайн

Сообщений: 47


С любовью к ближнему


« Ответ #23 : 26 Июля 2010, 23:12:40 »

а если запросить снятие контрольных сумм по CRC или MD5? изменение всего 1 байта, новый свап-файл, или просто запуск ОС напрямую с этого винта-и сумма не сойдётся. следовательно данные были изменены. следовательно стояли триалы а эксперт их сделал ломанными.
что скажете?
Записан
SoloX2
Посетитель
*
Офлайн Офлайн

Сообщений: 77


Устраните причину, тогда пройдет и болезнь.


« Ответ #24 : 27 Июля 2010, 00:25:17 »

а если запросить снятие контрольных сумм по CRC или MD5? изменение всего 1 байта, новый свап-файл, или просто запуск ОС напрямую с этого винта-и сумма не сойдётся. следовательно данные были изменены. следовательно стояли триалы а эксперт их сделал ломанными.
что скажете?

Если такое снятие контрольных сумм производилось при изъятии, тогда есть с чем сравнивать...
Записан
eleron
Участник
**
Офлайн Офлайн

Сообщений: 148


С любовью к ближнему


« Ответ #25 : 27 Июля 2010, 01:02:18 »

Цитировать
а если запросить снятие контрольных сумм по CRC или MD5? изменение всего 1 байта, новый свап-файл, или просто запуск ОС напрямую с этого винта-и сумма не сойдётся. следовательно данные были изменены. следовательно стояли триалы а эксперт их сделал ломанными.
что скажете?

Тупиковый путь, т.к. данные могут меняться даже при работающем аппаратном блокираторе записи.
Записан
SergeyF
Посетитель
*
Офлайн Офлайн

Сообщений: 47


С любовью к ближнему


« Ответ #26 : 27 Июля 2010, 01:34:46 »

Цитировать
Тупиковый путь, т.к. данные могут меняться даже при работающем аппаратном блокираторе записи.
а это уже другой разговор. одна из обязанносетей эксперта-обеспечить сохранность данных
« Последнее редактирование: 27 Июля 2010, 01:35:25 от SergeyF » Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #27 : 27 Июля 2010, 04:03:58 »

а если запросить снятие контрольных сумм по CRC или MD5?
Это процедура, в среднем для одного диска, на 4-6 часов.

следовательно стояли триалы а эксперт их сделал ломанными.
Почему сразу эксперт? Почему не следователь и не опер?  Какой у эксперта мотив что-то менять?

изменение всего 1 байта, новый свап-файл, или просто запуск ОС напрямую с этого винта-и сумма не сойдётся. следовательно данные были изменены.
УПК, с рядом оговорок, разрешает проводить исследования в ходе которых объект исследования может быть уничтожен (или изменены его свойства).


а это уже другой разговор. одна из обязанносетей эксперта-обеспечить сохранность данных
И где это написано? Дайте ссылку на НПА.

Тупиковый путь, т.к. данные могут меняться даже при работающем аппаратном блокираторе записи.
А в чем тогда смысл аппаратного блокиратора, если данные все равно меняются? Как говорится, а если нет разницы - зачем платить за аппаратный блокиратор деньги?  Смеющийся

У нас, на запасном пути,  ещё остается Linux с его возможностью подключать накопители в режиме "read only".  Подмигивающий


« Последнее редактирование: 27 Июля 2010, 04:18:35 от Igor Michailov » Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
SergeyF
Посетитель
*
Офлайн Офлайн

Сообщений: 47


С любовью к ближнему


« Ответ #28 : 27 Июля 2010, 09:40:51 »

Цитировать
Какой у эксперта мотив что-то менять?
сговор с правообладателем например. когда они на платформу компаса которая стоит 82 тыщи приписывают неустановленные библиотеки стоимостью ещё 350 тысяч-это не сговор ли?
Записан
No nick
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 64


Благими намерениями вымощена дорога в ад!

455118057
« Ответ #29 : 27 Июля 2010, 10:48:45 »

А кто знает сколько стоит платформа 1С Предприятие 8 без библиотек к ней?
Записан
Страниц: 1 2 [3] 4 5 ... 10   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines