Форум ''Интернет и Право''

Основной раздел => Вопросы по экспертизам => Тема начата: Law от 18 Октября 2010, 12:39:36



Название: возможности экспертизы по удаленным файлам
Отправлено: Law от 18 Октября 2010, 12:39:36
Здравствуйте! Во время спланированной провокации на компьютер через флешку поместили файлы, часть этих файлов была удалена, часть осталась. Затем компьютеры изъяли, как вещ.доки. Сейчас следствие. Помогите советом, пожалуйста!

Подскажите:
1. можно ли восстановить удаленные файлы на ОС Windows XP и Windows Vista?
2. за какой период можно восстановить? До последнего форматирования жесткого диска?
3. можно ли восстановить все форматы файлов. Интересует Word, Exell
4. восстанавливается название и содержание? Или что-то одно?

По экспертизе:
1. как называется экспертизы:
- которая может восстановить удаленные файлы
- ответит на вопрос точного времени появления файла на компе? Возможно ли это?
- определит то, что этот файл был образован на другом компьютере? По другим признакам, кроме совпадения имен.


Название: Re: возможности экспертизы по удаленным файлам
Отправлено: alebardo от 18 Октября 2010, 15:21:29
Восстановить можно даже после форматирования, но восстановление происходит не по имени файла, а по сигнатурам на диске (сканируется весь диск).
Вообще, способ восстановления зависит от типа файловой системы (FAT, NTFS, EXT3).

При наличии спец оборудования можно восстановить даже и после перезаписи, но это уже не тривиальная задача.
Попробуй где-нибудь удалить файлы и погонять R-STUDIO, поймёшь как она ищет.


Название: Re: возможности экспертизы по удаленным файлам
Отправлено: Igor Michailov от 18 Октября 2010, 17:20:03
1. можно ли восстановить удаленные файлы на ОС Windows XP и Windows Vista?
Можно.

2. за какой период можно восстановить? До последнего форматирования жесткого диска?
На этот вопрос нельзя однозначно ответить (надо смотреть объект исследования). Как получится. У меня получалось восстанавливать файлы удаленные четыре года назад.

До последнего форматирования жесткого диска?
Можно восстановить даже то что было ранее.

3. можно ли восстановить все форматы файлов. Интересует Word, Exell
Можно

4. восстанавливается название и содержание? Или что-то одно?
Иногда, получается восстановить и то и то. Но по содержанию (без восстановления имен файлов), можно восстановить поболе.

1. как называется экспертизы:
В МВД - компьютерная экспертиза. В Минюсте, ФСКН, у независимых экспертов - компьютерно-техническая экспертиза.


Название: Re: возможности экспертизы по удаленным файлам
Отправлено: Law от 19 Октября 2010, 15:25:43
to alebardo and to Igor Michailov - спасибо!


Название: Re: возможности экспертизы по удаленным файлам
Отправлено: Law от 19 Октября 2010, 15:30:28
А чтобы восстановить удаленные из корзины файлы, надо знать их точное имя, формат..? Или программа восстановит все файлы, всех форматов на нужную дату?


Название: Re: возможности экспертизы по удаленным файлам
Отправлено: Law от 19 Октября 2010, 15:43:53
1. можно ли восстановить удаленные файлы на ОС Windows XP и Windows Vista?
Можно.

2. за какой период можно восстановить? До последнего форматирования жесткого диска?
На этот вопрос нельзя однозначно ответить (надо смотреть объект исследования). Как получится. У меня получалось восстанавливать файлы удаленные четыре года назад.

До последнего форматирования жесткого диска?
Можно восстановить даже то что было ранее.

3. можно ли восстановить все форматы файлов. Интересует Word, Exell
Можно

4. восстанавливается название и содержание? Или что-то одно?
Иногда, получается восстановить и то и то. Но по содержанию (без восстановления имен файлов), можно восстановить поболе.

1. как называется экспертизы:
В МВД - компьютерная экспертиза. В Минюсте, ФСКН, у независимых экспертов - компьютерно-техническая экспертиза.


А экспертиза восстановит только имя и содержание удаленного файла? Или дату и точное время его образования на компе тоже?
Суть вот в чем, чтобы доказать, что файл был мне записан через флэшку, а не наоборот, нужно будет установить время его появления на компе и на флэшке с точностью до получаса.


Название: Re: возможности экспертизы по удаленным файлам
Отправлено: alebardo от 19 Октября 2010, 16:55:49
Проще всего выдернуть "содержание" файла, либо его атрибуты, время создания и другое. Ибо содержание происходит из "области с данными" по сигнатурам файлов (например, все ZIP архивы имеют первые две буквы PK).


Название: Re: возможности экспертизы по удаленным файлам
Отправлено: Igor Michailov от 19 Октября 2010, 17:33:18
Да, но не стоит забывать, что файлы, созданные  Word и Excel, в теле файлов, содержат метаданные в которых указано время их создания, общего числа правок, общего времени редактирования и т.д.

Law, то что вы хотите узнать (вероятность успеха) сильно зависит от массы случайных факторов. Говорить что-то определенно можно только "покрутив в руках" объекты исследования.


Название: Re: возможности экспертизы по удаленным файлам
Отправлено: Посетитель от 19 Октября 2010, 23:36:55
- ответит на вопрос точного времени появления файла на компе? Возможно ли это?
- определит то, что этот файл был образован на другом компьютере? По другим признакам, кроме совпадения имен.

...

А экспертиза восстановит только имя и содержание удаленного файла? Или дату и точное время его образования на компе тоже?
Суть вот в чем, чтобы доказать, что файл был мне записан через флэшку, а не наоборот, нужно будет установить время его появления на компе и на флэшке с точностью до получаса.

Комп и жесткий в данном контексте - неразрывное целое. А комп и флешка - нет. Вот посмотрят в метафайловой таблице время создания файла, сравнят со временем, записанным в атрибутах файла. Установят, что не изменялось (если  слишком "умные" не меняли, конечно). Сделают это и для флешки, и для жесткого. Даже установят, что на флешке он появился раньше, чем на жестком, относительно времени исследуемого компьютра. А также установят, что на компьютере часы не переводились в это время. И это лишь докажет, что на флешку данные документы попали не напрямую с этого компьютера.
Они могли попасть с данного исследуемого компьютера каким-либо образом на второй компьютер с переведенной назад датой и оттуда уже скопированы на флешку. Так что нужно искать и исследовать также и второй комп, с которого документы скопированы на флешку. Иначе все может разлететься как карточный домик.

Определить, что файл был создан на другом компьютере, можно в случае с Word/Excell (вернее, под управлением другой операционной системой).


Название: Re: возможности экспертизы по удаленным файлам
Отправлено: Igor Michailov от 20 Октября 2010, 00:26:36
Иначе все может разлететься как карточный домик.
Бремя доказывания лежит на стороне обвинения. Вам нужен это второй комп? Ищите.

"Пилите, Шура. Они - золотые." (С)
 :)


Название: Re: возможности экспертизы по удаленным файлам
Отправлено: Law от 20 Октября 2010, 10:15:09
Всем большое спасибо. По мере разбирательства буду отписываться.
А есть у кого-нибудь список вопросов, которые ставятся на разрешение такой экспертизы применимо к моему случаю? Может книги были какие по этому вопросу?


Название: Re: возможности экспертизы по удаленным файлам
Отправлено: Николай Николаевич Федотов от 22 Октября 2010, 06:14:37
Может книги были какие по этому вопросу?
Таки были.  8)


Название: Re: возможности экспертизы по удаленным файлам
Отправлено: Igor Michailov от 22 Октября 2010, 07:18:00
http://www.skte.narod.ru/vopr001.htm


Название: Re: возможности экспертизы по удаленным файлам
Отправлено: CheLovek от 22 Октября 2010, 15:32:33
http://www.skte.narod.ru/vopr001.htm
Многие так называемые "эксперты" и не знают об этом.  ;D


Название: Re: возможности экспертизы по удаленным файлам
Отправлено: Николай Николаевич Федотов от 23 Октября 2010, 14:16:49
http://www.skte.narod.ru/vopr001.htm
Многие так называемые "эксперты" и не знают об этом.  ;D
И хорошо, что не знают.
Вопросы - дубовые. Я, например, будучи специалистом в данной области, у трети перечисленных вопросов не понял смысла. Надежды, что их поймёт рядовой эксперт или судья - никакой.


Название: Re: возможности экспертизы по удаленным фай&#
Отправлено: CheLovek от 23 Октября 2010, 14:36:34

И хорошо, что не знают.
Вопросы - дубовые. Я, например, будучи специалистом в данной области, у трети перечисленных вопросов не понял смысла. Надежды, что их поймёт рядовой эксперт или судья - никакой.
Николай Николаевич, да я не про вопросы. Следователи задают не менее дубовые вопросы. Я про экспертные системы и технику. Что уж говорить если даже методик не указывают, что требует УПК!!! А они ознакомлены с соответствующими статьями УПК и предупреждены...


Название: Re: возможности экспертизы по удаленным файлам
Отправлено: Igor Michailov от 24 Октября 2010, 08:23:12
Вопросы - дубовые.
Нет проблем. Предложите свои варианты вопросов для данной конкретной ситуации.


Название: Re: возможности экспертизы по удаленным файлам
Отправлено: CheLovek от 24 Октября 2010, 13:15:39
Вопросы - дубовые.
Нет проблем. Предложите свои варианты вопросов для данной конкретной ситуации.

Были предложены. И как вы думаете что за этим последовало?


Название: Re: возможности экспертизы по удаленным файлам
Отправлено: samogon от 26 Октября 2010, 08:02:07
Были предложены. И как вы думаете что за этим последовало?
должны ответить и на Ваши вопросы тоже. Имеете же право ставить вопросы экспертизе, вот и ставьте


Название: Re: возможности экспертизы по удаленным файлам
Отправлено: Law от 28 Октября 2010, 12:19:17
Оцените пожалуйста мои доп.вопросы! Особенно интересует № 5, т.к. достоверно известно в моих компах сейчас роются полным ходом и может произойти что угодно. Процесс опечатывания вещ.доков, сами понимаете, какой. Сделают, что им надо и опять опечатают, комар носа не подточит. Вот и интересно, реально ли выявить любое использование компа в любом режиме. Сейчас лазят по нему вдоль и поперек, известно на 100 %.   

1.   К какому типу относятся данные о … на предоставленных для исследования
системном блоке ПК, ноутбуке, флеш-накопителе № ... (текстовые, графические, база данных, электронная таблица, мультимедиа, запись пластиковой карты, данные ПЗУ и др.) и какими программными средствами они обеспечиваются? Идентичны ли эти типы на указанных носителях информации?
2.   возможно ли установить точный механизм появления информации о … на
предоставленных для исследования системном блоке ПК, ноутбуке, флеш-накопителе № … (Каким именно образом информация появилась на каждом из носителей информации, с помощью чего)?
3.   исключается ли возможность того, что дата появления информации о … на
предоставленных для исследования системном блоке ПК, ноутбуке, флеш-накопителе № … и ее автор могли быть изменены (сознательно искажены) до момента появления на этих информационных носителях или после появления на них?
4.   исключается ли возможность того, что информация о … на предоставленных
для исследования системном блоке ПК, ноутбуке, флеш-накопителе № … могла появиться на указанных носителях информации посредством иного, не предоставленного на исследование носителя информации (CD-DVD диски, флеш-накопители, дискеты, др.)?
5.    исключается ли использование в любом режиме (просмотра, считывания данных, копирования, использования программа, установки ПО, др.) предоставленных на исследование - системного блока ПК, ноутбука, флеш-накопителя № ... с момента составления протокола осмотра места происшествия до момента их предоставления на экспертизу? Если не исключается, то в чем такое использование заключалось, как часто оно происходило, как долго длилось?
6.    есть ли утвержденные научно-обоснованные методики, на основании которых экспертиза будет решать поставленные вопросы? Если да, то какие именно и кем они утверждены?


Название: Re: возможности экспертизы по удаленным файлам
Отправлено: Law от 28 Октября 2010, 12:22:17
http://www.skte.narod.ru/vopr001.htm

Игорь, спасибо за ссылку!


Название: Re: возможности экспертизы по удаленным файлам
Отправлено: Антон Серго от 28 Октября 2010, 15:56:43
Видите ли... Вопросы типа "возможно ли..." и "исключается ли..." ничего не дают.
В лучшем случае Вы поулчите нужные Вам ответы, но роли они никакой не играют. Возможно всё, но не всё было. Ничто не исключается, ну и что?
Если Вы подозреваете, что что-то "возможно" или "не исключается", то Ваша задача ЭТО доказать, а не предположить.
В основу решения лягут доказательства, а не предположения.


Название: Re: возможности экспертизы по удаленным файлам
Отправлено: Law от 28 Октября 2010, 17:16:50
Видите ли... Вопросы типа "возможно ли..." и "исключается ли..." ничего не дают.
В лучшем случае Вы поулчите нужные Вам ответы, но роли они никакой не играют. Возможно всё, но не всё было. Ничто не исключается, ну и что?
Если Вы подозреваете, что что-то "возможно" или "не исключается", то Ваша задача ЭТО доказать, а не предположить.
В основу решения лягут доказательства, а не предположения.

На счет "возможно ли" - согласен, перефразирую, а вот на счет "исключается ли" - уточню. К сожалению, далеко не все делается в рамках УПК, в том числе и выносятся судебные решения, проверено!!! А вот вопросами типа "исключается ли" дела как бы подталкивается в нужную сторону, при отсутствии веских доказательств, это во-первых. А во-вторых, при наличии интересующих ответов, можно будет развить ситуацию дальше, поставив и другие вопросы.


Название: Re: возможности экспертизы по удаленным файлам
Отправлено: Law от 28 Октября 2010, 17:24:07
И все таки, очень интересен вопрос, могут ли остаться какие-либо следы на самих носителях от того, что сейчас изъятые у меня ПК, ноут и флэшка бороздятся в доль и поперек, при том, что они якобы "упакованы" с подписями понятых? Есть ли технические возможности это определить? Речь о следах на винте ПК, ноуте и флэшке...
Могут смотреть, стирать, записывать. Может программа какая есть?