Форум ''Интернет и Право''
25 Ноября 2024, 00:58:43 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: [1]   Вниз
  Печать  
Автор Тема: Дело №  (Прочитано 8019 раз)
Dust
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 2717



« : 25 Февраля 2004, 11:16:56 »

Предлагаю вернуться к посту от 16 января SkyCat
Цитировать
P.S. а в журнале "ХАКЕР" - ничего страшного нет , просто будут происходить вещи подобно этой http://www.securitylab.ru/41460.html

Ресурс:http://www.securitylab.ru/41460.html
Главное: приложение Экспертное заключение
Записан
Dust
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 2717



« Ответ #1 : 25 Февраля 2004, 17:43:38 »

Для удобства
   7. Шальнев Алексей Анатольевич. Алтайский технический университет. Ассистент кафедры защиты информационных ресурсов и  систем связи. Один из экспертов. Участвовал в проведении комиссионной экспертизы с двумя другими участниками Береговым В.И. и Боровцовым Е.Т.

   3.11.2003.
   Экспертизу проводили все вместе. Файл clients.dbf был найден и распечатан системными средствами операционной системы. Как определили, что это именно тот файл - он был один. Других файлов на компьютере с таким именем не было.

   Как объяснить разницу во времени между датой и временем файла и моментом его скачивания (файл был создан на 14 часов раньше момента скачивания)?
   Возможны следующие причины:

   1. Неправильная установка системного времени на компьютере, с которого осуществлялся доступ к фтп серверу.
   2. Неправильная установка часового пояса на компьютере, с которого осуществлялся доступ к фтп серверу.
   3. Дата и время могли быть переданы файлу clients.dbf фтп сервером. Это могла быть дата создания файла на сервере или дата создания файла до его закачивания на фтп сервер.

   Какая из этих причин была в данном случае сказать не могу. На CDR диске было 2 файла auth.log и access.log. Там были записаны все операции фтп сервера (процедуры). При доступе клиента на фтп сервер происходит процедура авторизации, которая записывается в виде следующих друг за другом команд:
   USER
   PASS
в файл auth.log. Если авторизация прошла успешно, то код завершения операции 230 в строке PASS, а если нет, то 530. В файле access.log  отображаются действия с файлами пользователя успешно прошедшего авторизацию.

   Из чего виден подбор пароля?
   Много строк в auth.log c одним и тем же IP адресом и логическим именем, завершившихся неудачей (код операции 530).  О достоверности логов говорят следующие вещи:

   1. Операции пользователя над файлами не могут проходить раньше того как он прошел авторизацию.
   2. Времена операций построчно должны быть в хронологической последовательности.

   В файлах на исследуемом диске нарушений этих правил не было.  Внести изменения в лог-файл теоретически возможно, но в данных файлах формальный порядок был соблюден и логическая последовательность действий не нарушена. Для получения дополнительного доказательства можно использовать IP-адрес и доменное имя и получить информацию от провайдера Алтайтелеком был ли выделен данный IP адрес в это время и с какого телефона было соединение. Из той информации, что была мне предоставлена все свидетельствует о корректности информации в лог-файлах.

   Все ли действия фиксируются в логе?
   Да из той информации, которой я располагаю все действия фтп сервера фиксируются.  

   Как подбирался пароль?
   Подбор пароля происходил со скоростью 2-3 операции в секунду, из чего можно сделать вывод, что  это осуществлялось с помощью какой-то программы. Вручную это исключается. Более того есть вероятность, что это было многопоточное программное обеспечение, то есть подбор происходил по нескольким каналам одновременно. Это видно из того, что строки
   USER
   PASS
в файле auth.log не следуют друг за другом. С программой Brutus я знаком. Эта программа - сканер сетевой безопасности. Я не могу сказать точно этой ли программой осуществлялся подбор пароля, но могу сказать, что эта программа попадает в класс программ, которыми это можно было осуществить. Эта программа общедоступна в интернет. Она есть на многих хакерских сайтах и может быть скачена свободно. Ее название от Brute Force - метод грубой силы.

   Что такое взлом сервера?
   Это доступ к информации сервера помимо воли администратора - несанкционированный доступ. Когда хакер проник на фтп сервер, то он закачал туда файл hddkill.zip, скачал его обратно и удалил из чего мы видим, что он получил на сервере широкие права.

   4.11.2003.
   Найдите и прокомментируйте операции с файлом clients.dbf в лог-файле access.log.

...
admin.altpress.ru 192.168.1.78 UNKNOWN winadmin [11/Dec/2002:10:33:00 +0600] "STOR clients.dbf" 226 117060
admin.altpress.ru 192.168.1.78 UNKNOWN winadmin [11/Dec/2002:10:33:00 +0600] "STOR clients.dbf" 226 117060
admin.altpress.ru 192.168.1.78 UNKNOWN winadmin [11/Dec/2002:10:33:00 +0600] "STOR clients.dbf" 226 117060
admin.altpress.ru 192.168.1.78 UNKNOWN winadmin [11/Dec/2002:10:33:00 +0600] "STOR clients.dbf" 226 117060
admin.altpress.ru 192.168.1.78 UNKNOWN winadmin [11/Dec/2002:10:33:00 +0600] "STOR clients.dbf" 226 117060
u138.altpress.ru 192.168.1.138 UNKNOWN avp [11/Dec/2002:10:33:10 +0600] "RETR avp.klb" 226 3032
u138.altpress.ru 192.168.1.138 UNKNOWN avp [11/Dec/2002:10:33:11 +0600] "RETR elfbases.klc" 226 381
u138.altpress.ru 192.168.1.138 UNKNOWN avp [11/Dec/2002:10:33:11 +0600] "RETR kavlite40patch1.klc" 226 587
u138.altpress.ru 192.168.1.138 UNKNOWN avp [11/Dec/2002:10:33:14 +0600] "RETR avp.set" 226 443
u138.altpress.ru 192.168.1.138 UNKNOWN avp [11/Dec/2002:10:33:14 +0600] "RETR daily.avc" 226 20389
u138.altpress.ru 192.168.1.138 UNKNOWN avp [11/Dec/2002:10:33:15 +0600] "RETR avp.klb" 226 3032
admin.altpress.ru 192.168.1.78 UNKNOWN admin [11/Dec/2002:10:34:04 +0600] "RETR clients.dbf" 226 117060
admin.altpress.ru 192.168.1.78 UNKNOWN admin [11/Dec/2002:10:34:12 +0600] "DELE clients.dbf" 250 -
admin.altpress.ru 192.168.1.78 UNKNOWN admin [11/Dec/2002:10:34:27 +0600] "RETR clients.dbf" 226 117060
...

Первые пять строк говорят о том, что с компьютера из внутренней сети Алтапресс, имеющим логическое имя admin.altpress.ru и IP адрес 192.168.1.78  пользователем winadmin пять раз был успешно закачен на сервер файл clients.dbf.

   Все пять строчек одинаковы - почему?
   Дело в том, что время в лог-файл записывается с точностью до секунды, поэтому получилось одинаковое время, хотя все операции были проведены последовательно друг за другом.

   Можно ли считать, что файл был закачен в пять разных мест?
   Нет, файл был закачен пять раз в одну и ту же директорию, иначе здесь была бы команда CWD - смены директории. При этом каждое последующее закачивание уничтожало предыдущий файл, так что в результате всех пяти действий на сервере оказался один экземпляр файла clients.dbf. В следующей найденной строке файл clients.dbf пользователем admin скачивается обратно на ту же машину, находящуюся во внутренней сети Алтапресс, а в строке следующей за ней этот файл удаляется с сервера.
   
   Можно ли сказать, что после завершения операции удаления файла clients.dbf на  сервере не было?
   Да, так можно сказать.

   Можно ли сказать, что файл clients.dbf просуществовал на сервере 1 минуту 12 секунд (с 10:33:00 до 10:34:12).
   Нет я не могу этого сказать. Дело в том, что мог быть альтернативный доступ к тем же директориям при помощи других протоколов, например, telnet, ssh, наконец, этот доступ мог быть с консоли сервера. Поэтому файл мог быть помещен в директорию не по протоколу ftp, а иным способом и в этом случае этот факт не отразился бы в данном лог-файле.  В следующей строке файл был успешно скопирован с ftp сервера на компьютер admin.altpress.ru с адресом 192.168.1.78. Эта строка не противоречит предыдущей, как я уже объяснил мог быть альтернативный доступ.

   Кому принадлежал этот  компьютер и куда был скопирован файл?
   Я не могу ответить на этот вопрос, скорее всего компьютер принадлежал администратору - судя по имени.

   Можно ли утверждать, что файл clients.dbf был подложен пользователем компьютера admin.altpress.ru с именем winadmin в директорию пользователя admin?
   Нет не могу это утверждать.

   Но этот файл оказался доступен для пользователя admin?
   Да, доступен.
   
   То есть он находился в директории пользователя admin?
   Да можно так сказать.

   Так можно ли утверждать, что файл clients.dbf был подложен пользователем  с именем winadmin в директорию пользователя admin?
   Да, можно утверждать.
Записан
Dust
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 2717



« Ответ #2 : 25 Февраля 2004, 17:49:28 »

Почему Вы ответили сначала нет потом да?
   Это были разные вопросы. Возможно, у пользователя winadmin и пользователя admin была одна и та же директория на ftp сервере. Следующие строки операций с файлом clients.dbf:

...
dial-b-141.ab.ru 212.94.120.141 UNKNOWN admin [12/Dec/2002:00:33:51 +0600] "RETR clients.dbf" 226 117060
dial-b-195.ab.ru 212.94.120.195 UNKNOWN admin [12/Dec/2002:01:14:50 +0600] "DELE clients.dbf" 250 -
...

Логическое имя dial-b-141.ab.ru говорит, что пользователь вошел в интернет через провайдера Алтайтелеком - ему принадлежит домен ab.ru. 212.94.120.141 - IP адрес выделенный провайдером пользователю на время сеанса связи. IP адрес однозначно определяет пользователя. Пользователь прошел авторизацию на фтп сервере с именем admin. Так как в этом логе появилась запись с действиями пользователя admin, то это означает, что ранее по времени прошла авторизация и она была успешной. Первая строка говорит, что 12 декабря 2002 года в 00 часов 33 минуты файл clients.dbf был успешно скачен с фтп сервера на компьютер пользователя. Вторая строка говорит, что файл был удален c фтп сервера. Здесь уже другой IP адрес 212.94.120.195, то есть это был другой сеанс связи.

   Был ли это один и тот же человек?
   Cказать не могу - нужно делать запрос в Алтайтелеком, чтобы узнать с каких номеров телефона были эти соединения.

   Может ли быть выделен один и тот же IP адрес при разных сеансах связи?
   Да может, но вероятность этого небольшая. Эти строки идут подряд, хронология в рядом лежащих строках не нарушена. В момент экспертизы полностью логи не проверялись на предмет противоречий из-за слишком большого объема.

   Зафиксированы ли в файле access.log еще какие-либо другие операции с файлом clients.dbf, кроме тех, что мы рассмотрели?
   Нет, других операций нет.
 
   Есть ли в файле access.log хотя бы одна команда смены директории?
   Нет, такой команды не найдено.

   Полагаете ли Вы, что этой команды нет из-за ограниченности фрагментов или ведение логов фтп сервера было настроено  так, чтобы эта команда в них не отображалась?
     Я не могу ответить на этот вопрос.

   Что означает команда LIST?
   Вопрос снят судьей.

   Есть ли в файле access.log хотя бы одна команда LIST?
   Нет, такой команды не найдено.

   Полагаете ли Вы, что  команды LIST нет из-за ограниченности фрагментов логов или  ведение логов фтп сервера было настроено  так, чтобы эта команда в них не отображалась?  
   Я не могу ответить на этот вопрос.

   Зафиксированы ли в файле access.log еще какие-либо другие операции пользователя с IP адресом 212.94.120.195, кроме команды удаления файла clients.dbf?
   Нет, других операций не найдено.

Переходим к рассмотрению файла auth.log.

...
Altapress primary FTP server [85639] u75.altpress.ru 192.168.1.75 [10/Dec/2002:14:17:15 +0600] "USER fototel" 331
Altapress primary FTP server [85639] u75.altpress.ru 192.168.1.75 [10/Dec/2002:14:17:15 +0600] "PASS (hidden)" 230
Altapress primary FTP server [85665] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:25:32 +0600] "USER anonymos" 331
Altapress primary FTP server [85665] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:25:34 +0600] "PASS (hidden)" 530
Altapress primary FTP server [85665] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:25:41 +0600] "USER anonymos" 331
Altapress primary FTP server [85665] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:25:46 +0600] "PASS (hidden)" 530
Altapress primary FTP server [85667] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "USER admin" 331
Altapress primary FTP server [85668] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "USER admin" 331
Altapress primary FTP server [85669] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "USER admin" 331
Altapress primary FTP server [85670] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "USER admin" 331
Altapress primary FTP server [85671] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "USER admin" 331
Altapress primary FTP server [85667] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "PASS (hidden)" 530
Altapress primary FTP server [85672] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "USER admin" 331
Altapress primary FTP server [85673] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "USER admin" 331
Altapress primary FTP server [85674] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "USER admin" 331
Altapress primary FTP server [85668] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "PASS (hidden)" 530
Altapress primary FTP server [85669] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "PASS (hidden)" 530
Altapress primary FTP server [85675] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "USER admin" 331
Altapress primary FTP server [85670] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "PASS (hidden)" 530
Altapress primary FTP server [85676] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "USER admin" 331
Altapress primary FTP server [85671] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "PASS (hidden)" 530
...

Здесь зафиксирована авторизация пользователей на фтп сервере. Команда USER позволяет ввести имя пользователя на сервере. Код ответа сервера 331 означает что имя принято и сервер ждет пароль. Команда PASS позволяет ввести пароль пользователя для данного имени. После ввода пароля код ответа сервера 230  означает что имя и пароль были правильными и пользователь получил доступ к серверу. Другой код ответа сервера 530 означает что введенные имя и пароль недопустимы. Пароли здесь не показываются из соображений безопасности. Мы видим множественные неудачные попытки регистрации на сервере с именами anonymus, admin и другими. Это указывает на то что происходил подбор пароля. Скорость, с которой  это происходило говорит о том что использовалось специальное программное обеспечение - человек не в состоянии так быстро набирать имена и пароли. А тот факт что строки USER и PASS не подряд следуют друг за другом говорит что использовалась многопоточность, то есть подбор пароля осуществлялся по нескольким  каналам одновременно.  

...
Altapress primary FTP server [86471] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:28:25 +0600] "PASS (hidden)" 530
Altapress primary FTP server [86470] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:28:25 +0600] "PASS (hidden)" 230
Altapress primary FTP server [86472] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:28:25 +0600] "PASS (hidden)" 530
Altapress primary FTP server [86473] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:28:25 +0600] "PASS (hidden)" 530
...

Просматривая файл auth.log далее, мы видим, что в 14:28:25 подбор пароля завершился успехом. Хронологическая последовательность действий не нарушена.

   В связи с многопоточностью на основании чего Вы решили, что пароль был успешно подобран именно для имени admin?
   Разрешите мне подумать... Я не знаю для какого имени был подобран пароль. Поскольку далее был вход именно с именем admin, то мы решили что именно для него и был подобран пароль.  

   В строках для  IP адреса 212.94.120.26 сколько раз был успешно подобран пароль?
   Пять раз.

   Вы полагаете, что он был подобран к одному имени или к разным именам?
   Я не могу ответить на этот вопрос.

   Учитывая Ваше знание программы Brutus и в предположении что именно этой программой подбирался пароль Вы можете ответить на предыдущий вопрос?
   Нет не могу - я недостаточно хорошо знаю программу Brutus.

   Есть ли в файле auth.log данные о времени выхода (рассоединения) пользователя?
   Я не могу ответить на этот вопрос, я не помню как выглядит команда для выхода с фтп сервера.

   Можно ли точно установить период времени, когда пользователь находился на сервере?
   Нет, можно узнать когда он вошел и когда какие действия произвел.  

   Допускались ли другими пользователями действия, которые также можно расценить как подбор пароля?
   Протест прокурора. Вопрос снят судьей.

   Достаточно ли проверить что "время входа пользователя<=времени произведенных  им действий на сервере" для того чтобы утверждать, что логи непротиворечивы?
   Я не могу ответить на этот вопрос.

   Зная IP адрес посетителя и время когда он подключился к фтп серверу можно ли было вписать строку в лог-файл access.log, с командой удаления файла этим посетителем, так чтобы это не противоречило другим строкам журнала?
   Да это можно.

   Насколько это сложная операция и кто бы мог ее сделать?
   Вопрос снят судьей.

   Назовите дату и время когда были созданы файлы auth.log и access.log.
   Я не могу ответить на этот вопрос. Я не знаю какое программное обеспечение использовалось для их записи на CD.

   Ну просто назвать дату и время у файлов Вы можете?
   Я назову, но я не знаю когда они были созданы.

access.log    16.12.2002 17:09
auth.log       16.12.2002 17:10

Примечание. Согласно протоколу осмотра места происшествия сам осмотр и изъятие  файлов access.log и auth.log происходило 27 января 2002 года с 16:00 до 17:10.

   А можете ли Вы сказать когда был записан данный CDR диск?
   Я не могу ответить на этот вопрос. Я не знаю какое программное обеспечение использовалось для записи CD. Для того чтобы посмотреть дату нужно специальное программное обеспечение, здесь его нет.
 
   13.11.2003.
   Найдите в файле access.log строку с первой операцией удаления и прокомментируйте пять строк. Судья пытается отклонить вопрос как не имеющий отношения к делу, небольшой спор о нарушении прав и недопущении к исследованию вещественных доказательств
Записан
Dust
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 2717



« Ответ #3 : 25 Февраля 2004, 17:51:51 »

...
147.8.133.195.dynamic.dialup.ru 195.133.8.147 UNKNOWN userdls [10/Dec/2002:03:12:00 +0600] "DELE A50_13.zip" 250 -
147.8.133.195.dynamic.dialup.ru 195.133.8.147 UNKNOWN userdls [10/Dec/2002:03:12:00 +0600] "DELE A50_13.zip" 250 -
147.8.133.195.dynamic.dialup.ru 195.133.8.147 UNKNOWN userdls [10/Dec/2002:03:12:00 +0600] "DELE A50_13.zip" 250 -
147.8.133.195.dynamic.dialup.ru 195.133.8.147 UNKNOWN userdls [10/Dec/2002:03:12:00 +0600] "DELE A50_13.zip" 250 -
147.8.133.195.dynamic.dialup.ru 195.133.8.147 UNKNOWN userdls [10/Dec/2002:03:12:00 +0600] "DELE A50_13.zip" 250 -  
...

   Возможно ли технически пятикратное удаление одного и того же файла в течение 1 секунды?
   Не могу ответить, не знаю какое программное обеспечение использовалось в качестве клиента.

   Найдите  две строки с операциями копирования и удаления файла clients.dbf, которые  якобы совершил подсудимый. Прокомментируйте пять предшествующих им строк.

...
212.164.58.194 212.164.58.194 UNKNOWN rekpril [11/Dec/2002:22:26:48 +0600] "STOR 2-3p.pdf" 226 15997160
212.164.58.194 212.164.58.194 UNKNOWN rekpril [11/Dec/2002:22:26:48 +0600] "STOR 2-3p.pdf" 226 15997160
212.164.58.194 212.164.58.194 UNKNOWN rekpril [11/Dec/2002:22:26:48 +0600] "STOR 2-3p.pdf" 226 15997160
212.164.58.194 212.164.58.194 UNKNOWN rekpril [11/Dec/2002:22:26:48 +0600] "STOR 2-3p.pdf" 226 15997160
212.164.58.194 212.164.58.194 UNKNOWN rekpril [11/Dec/2002:22:26:48 +0600] "STOR 2-3p.pdf" 226 15997160
dial-b-141.ab.ru 212.94.120.141 UNKNOWN admin [12/Dec/2002:00:33:51 +0600] "RETR clients.dbf" 226 117060
dial-b-195.ab.ru 212.94.120.195 UNKNOWN admin [12/Dec/2002:01:14:50 +0600] "DELE clients.dbf" 250 -
...

   Опять спор с судьей.
   Возможно ли технически чтобы такой большой файл 2-3p.pdf, размером почти 16 мегабайт в течение 1 секунды мог быть 5 раз успешно перекачен по каналам интернета на фтп сервер Алтапресса (скорость записи > 76 мегабайт в секунду; IP адрес 212.164.58.194 принадлежит Новосибирскому провайдеру Ru-Turbo)
   Вопрос судьей снят.

   Есть ли повторяющиеся строки в файле access.log?
   Да, есть.  

   Повторяются ли строки с действиями подсудимого?
   Нет, не повторяются.  

   В  момент проведения экспертизы было ли известно Вам о том какое программное обеспечение работало в период c 10 по 14 декабря 2002 года в качестве фтп сервера   ftp.altapress.ru ? Известно ли Вам это сейчас?
   Нет мне не было известно, какое программное обеспечение было у Алтапресса. В зале суда после ответа Рейхана стало известно, что операционная система на их сервере FreeBSD 4.

   В  момент проведения экспертизы было ли известно Вам о том, что программное обеспечение фтп сервера   ftp.altapress.ru  в период c 10 по 14 декабря 2002 года  работало правильно, без ошибок? Известно ли Вам это сейчас?
   Нет мне это неизвестно.

   Известно ли Вам какое программное обеспечение использовалось на исследуемом Вами компьютере Гуляева для скачивания файла clients.dbf?
   Нет, неизвестно.

   Можете ли Вы утверждать, что это программное обеспечение в момент скачивания файла clients.dbf  работало правильно, без ошибок?
   Нет, не могу утверждать.

   Можно ли по внутреннему содержанию обнаруженного файла clients.dbf на системном блоке, изъятом у Гуляева,  достоверно утверждать, что этот файл принадлежал организации Алтапресс и находился на сервере ftp.altapress.ru?
   Вопрос снят судьей.

   Были ли найдены на системном блоке Гуляева  какие-либо объективные доказательства того, что Гуляев со своего компьютера действительно входил на фтп сервер Алтапресса?
   Я не могу ответить на этот вопрос, такой вопрос не исследовался.

   Какой программой был распечатан файл clients.dbf во время экспертизы?
   Файл был распечатан при помощи программы FoxPro.  Он был перенесен с компьютера Гуляева на другую машину и там распечатан.

   Сколько полей содержит база clients.dbf?
   База clients.dbf содержит одно поле ORG.

   14.11.2003.

   При помощи программы Nero InfoTool экспертом в зале суда была исследована дата записи CDR диска. Программа показала дату 16.12.2002.

Источник:http://www.securitylab.ru/_SecurityLab.Documents/expert.rtf
Записан
CyberCop
Ведущий
Частый посетитель
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1889


Свой среди чужих - Чужой среди своих.


WWW E-mail
« Ответ #4 : 26 Февраля 2004, 20:48:10 »

   Уважаемый, вот это Вы "грузанули топик"! Аж дух захватывает! Смеющийся
Записан
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #5 : 27 Февраля 2004, 14:56:03 »

Предлагаю вернуться к посту от 16 января SkyCat

Боюсь, здесь нам придётся вернуться к теме о доказательственном значении лог-файлов. И ещё раз признать, что осмотр и выемка таких логов должны сопровождаться полным аудитом информбезопасности всей системы. И если результаты этого аудита будут неидеальны, у защиты появятся сильные аргументы.

Данное уголовное дело спасло от развала лишь то обстоятельства, что обвиняемый с самого начала и до самого конца честно признавался, что таки да, подбирал пароли и заходил под чужим логином. Если бы он оказался чуть менее совестливым, дело бы развалили.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
CyberCop
Ведущий
Частый посетитель
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1889


Свой среди чужих - Чужой среди своих.


WWW E-mail
« Ответ #6 : 27 Февраля 2004, 23:40:18 »

Данное уголовное дело спасло от развала лишь то обстоятельства, что обвиняемый с самого начала и до самого конца честно признавался, что таки да, подбирал пароли и заходил под чужим логином. Если бы он оказался чуть менее совестливым, дело бы развалили.

   Здаётся мне, что это было образцово показательное дело, в котором все остались в выигрыше? Не так ли? Подмигивающий
Записан
AlexSan
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 251


...я не хочу ходить строем, хочу ходить один...


E-mail
« Ответ #7 : 12 Марта 2004, 00:11:25 »

Так злодея-то наказали?
Записан

"Война удобна - она избавляет от необходимости думать.
Но с каких пор ты стал любить повиноваться приказам?"  БГ
Страниц: [1]   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines