Сitizen
Посетитель
Офлайн
Сообщений: 43
|
|
« : 01 Февраля 2010, 21:20:53 » |
|
Вот нашел интересную статью на Компьютерра-онлайн, хоть и за 2007 год: "Улики под сомнением". Собственно вопрос к экспертам. Трудно ли, по вашему мнению, подделать доказательства, извлекаемые из компьютера? Скажем, установить необходимые программы, скопировать порнографию, тексты экстремистского содержания и так далее, а затем придать этому всему правдоподобность (изменить дату, время и т.д.). И как при этом контролируется проведение компьютерно-технической экспертизы?
|
|
« Последнее редактирование: 01 Февраля 2010, 21:23:07 от Сitizen »
|
Записан
|
Все сказанное в этом сообщении является моим субъективным мнением и должно оцениваться критически. Просьба сильно не "пинать", если это сообщение или какая-либо его часть кажется Вам полной ахинеей.
|
|
|
JAW
Участник
Офлайн
Сообщений: 661
С любовью к ближнему
|
|
« Ответ #1 : 01 Февраля 2010, 22:19:44 » |
|
Вот нашел интересную статью на Компьютерра-онлайн, хоть и за 2007 год: "Улики под сомнением". Собственно вопрос к экспертам. Трудно ли, по вашему мнению, подделать доказательства, извлекаемые из компьютера? Скажем, установить необходимые программы, скопировать порнографию, тексты экстремистского содержания и так далее, а затем придать этому всему правдоподобность (изменить дату, время и т.д.). И как при этом контролируется проведение компьютерно-технической экспертизы? Как два пальца. Если эксперт не полный лох... К счастью такими вещами развлекаются исключительно лохи... Поскольку я таки не эксперт и не юрист, то скажу, как один раз юриста фирмы прижучил (Увольняли тёщу с работы по статье)... Он умудрился нарисовать 3 приказа о выговоре с занесением в трудовую одним и тем же почерком, одной и той же ручкой (чернила не просохли) с датами ровно в месяц разницы. На что ему было указано... Было сказано, что хоть я и не эксперт, но любой эксперт в состоянии это установить. В результате добился увольнения с соответствующими компенсациями... (Этот придурок ещё догадался признаться в присутствии свидетелей). В общем лохов много, и рассчитывают именно на них. И это нас, местами, спасает.
|
|
|
Записан
|
|
|
|
eleron
Участник
Офлайн
Сообщений: 148
С любовью к ближнему
|
|
« Ответ #2 : 01 Февраля 2010, 22:28:46 » |
|
Трудно. При подделке доказательств нужно не только сделать скопированные файлы "не выделяющимися" в системе, но и создать следы работы с этими файлами. И одним изменением временных меток тут явно не обойтись.
|
|
|
Записан
|
|
|
|
JAW
Участник
Офлайн
Сообщений: 661
С любовью к ближнему
|
|
« Ответ #3 : 01 Февраля 2010, 22:38:54 » |
|
Следы обращения к файлам создать не сложно, но это и не нужно... Даты создания и модификации файлов будет достаточно.
Вообще имела бы смысл технология создания образа диска с составлением полных контрольных сумм этого образа в присутствии подозреваемого с передачей ему контрольных сумм. Ну, или что-то подобное...
К сожалению, эти гадики просто заклеивают корпус компьютера скотчем... А эксперты просто запускают комп и начинают там шерудить. Собственно они сами вполне способны с того компа накачать детской порнухи, поменять даты файлов и всех делов...
P.S. Вот интересно... Я не знаю где качать детскую порнуху... Интересно, эксперты в курсе откуда? И откуда они в курсе?
|
|
|
Записан
|
|
|
|
eleron
Участник
Офлайн
Сообщений: 148
С любовью к ближнему
|
|
« Ответ #4 : 01 Февраля 2010, 22:52:27 » |
|
Следы обращения к файлам создать не сложно, но это и не нужно... Даты создания и модификации файлов будет достаточно. Тогда вот вам задачка: Дано: НЖМД с единственной установленной ОС (Windows 7). Задача: залить туда ПО с "признаками контрафактности" и всяких разных картинок. Я уверен, что даже продвинутый гик не сможет предложить решение задачи, при котором не остается ни одного типичного следа фальсификации. Хотите опровергнуть?
|
|
|
Записан
|
|
|
|
Сitizen
Посетитель
Офлайн
Сообщений: 43
|
|
« Ответ #5 : 01 Февраля 2010, 22:52:31 » |
|
И одним изменением временных меток тут явно не обойтись.
Под приданием правдоподобности я подразумевал изменение всех необходимых для этого метаданных, включая временные метки, идентификатор пользователя и т.д. Трудно.
То есть, как минимум, это возможно. Тогда более актуальным становится именно второй вопрос, который я задал вначале этой темы.
|
|
|
Записан
|
Все сказанное в этом сообщении является моим субъективным мнением и должно оцениваться критически. Просьба сильно не "пинать", если это сообщение или какая-либо его часть кажется Вам полной ахинеей.
|
|
|
Сitizen
Посетитель
Офлайн
Сообщений: 43
|
|
« Ответ #6 : 01 Февраля 2010, 23:02:15 » |
|
Я уверен, что даже продвинутый гик не сможет предложить решение задачи, при котором не остается ни одного типичного следа фальсификации. Хотите опровергнуть? То есть Вы категорично отвергаете возможность подделки доказательств без оставления следов о фальсификации? P.S. Было бы неплохо, если бы Вы привели примеры этих типичных следов фальсификации. Но если Вы не хотите этого делать в силу каких-то определенных причин, то я Вас пойму.
|
|
« Последнее редактирование: 02 Февраля 2010, 02:33:57 от Сitizen »
|
Записан
|
Все сказанное в этом сообщении является моим субъективным мнением и должно оцениваться критически. Просьба сильно не "пинать", если это сообщение или какая-либо его часть кажется Вам полной ахинеей.
|
|
|
eleron
Участник
Офлайн
Сообщений: 148
С любовью к ближнему
|
|
« Ответ #7 : 01 Февраля 2010, 23:18:10 » |
|
То есть Вы категорично отвергаете возможность подделки доказательств без оставления следов о фальсификации? Я допускаю такую возможность. Но это маловероятно... и по большому счету всё зависит от знаний того, кто подделывает, и того, кто ищет. P.S. Было бы не плохо, если бы Вы привели примеры этих типичных следов фальсификации. Но если Вы не хотите это делать в силу каких-то определенных причин, то я Вас пойму. Пример: проект Metasploit предоставляет утилиту Timestomp ( http://www.metasploit.com/research/projects/antiforensics/), предназначенную для изменения временных меток MAC(E) в файловых системах FAT и NTFS. Данная программа оставляет очень хороший след в NTFS - она изменяет лишь 4 временных метки из 8. Поэтому у вас не получится скопировать на подключенный носитель с NTFS пару файлов, а затем изменить их временные метки без каких-либо следов.
|
|
|
Записан
|
|
|
|
Igor Michailov
|
|
« Ответ #8 : 01 Февраля 2010, 23:20:15 » |
|
НЖМД с единственной установленной ОС (Windows 7).
Если не секрет, почему выбрана именно эта операционная система?
|
|
|
Записан
|
Юридические консультации.
Помощь в составлении жалоб и ходатайств.
Заверение контента сайтов, Интернет-страниц, электронной почты.
|
|
|
eleron
Участник
Офлайн
Сообщений: 148
С любовью к ближнему
|
|
« Ответ #9 : 01 Февраля 2010, 23:31:34 » |
|
Вообще имела бы смысл технология создания образа диска с составлением полных контрольных сумм этого образа в присутствии подозреваемого с передачей ему контрольных сумм. Ну, или что-то подобное... Вряд ли это возможно. Хотя бы потому, что даже самые-самые forensically sound дистрибутивы Linux в некоторых случаях могут вносить изменения в исследуемые данные. И, вероятно, придется очень долго ждать, когда хотя бы 90 % судебных дистрибутивов будут "пуленепробиваемыми". Кроме того, на Storage Developer Conference ребята из Майкрософт упоминали об "умных" SSD, которые самостоятельно обрабатывают свободное пространство ФС FAT для выравнивания изнашивания (т.е. данные могут измениться в любое время работы диска даже при использовании блокировки записи).
|
|
|
Записан
|
|
|
|
|
|