deaddy64
Посетитель
Офлайн
Сообщений: 5
|
|
« : 22 Июля 2010, 20:10:19 » |
|
Здравствуйте. Подскажите по вопросу. Изъяли жёсткий диск на экспертизу. Документально зафиксировали только его номер на крышке, опечатали в моём присутствии с моей подписью. Объём информации, количество файлов зафиксированы не были. Естественно после экспертизы той самой "опечатки" уже нет. Т.е. была возможность записать на диск постороннюю информацию. Подскажите, реально ли доказать, что во время экспертизы или до неё произведено изменение содержимого жёсткого диска? Ведь экспертиза проводилась без моего присутствия и что происходило дальше с накопителем мне неизвестно.
|
|
|
Записан
|
|
|
|
ckotinko7
Посетитель
Офлайн
Сообщений: 8
С любовью к ближнему
|
|
« Ответ #1 : 22 Июля 2010, 22:01:41 » |
|
железно можно определить только колво записанных байт(кратно 512) с момента запуска(показатель SMART 0xf1) и колво часов в работе(0x09)
возьмите дату составления протокола. вряд ли у экспертов есть софт, позволяющий существенно изменить даты и/или порядок записей в системном журнале окон. стало быть будут уведомления о пуске/останове служб, если туда что либо ставили с вашей оси. если ставили как на доп диск, то показателем может быть неполнота установки, и возможно, некорректные пути, сохранённые где-нибудь в недрах подставной программы. далее, у всех ФС при корректном завершении работы в заголовочный блок пишется точная дата отмонтирования диска. она будет или после изъятия диска, или до - но тогда надо искать файлы, которые попадают между этими двумя датами.
|
|
|
Записан
|
|
|
|
Igor Michailov
|
|
« Ответ #2 : 23 Июля 2010, 04:21:57 » |
|
Проблема заключается в том, что эксперт не знает как представленные объекты были упакованы при изъятии. Т.е. ему принесли объект: вроде бы и опечатан и подписи понятых имеются, но... а так ли был упакован объект в момент изъятия или нет - эксперт не знает (может объект уже потом переупаковали).
>Подскажите, реально ли доказать, что во время экспертизы или до неё произведено изменение содержимого жёсткого диска? С рядом оговорок конечно, вполне реально. Для этого необходимо ходатайствовать о назначении дополнительной экспертизы. На разрешение эксперта необходимо вынести вопросы : Производилось ли изменение информации, на представленном НЖМД, в период с [дата/время изъятия] по настоящее время? Если да, то какие изменения производились?
Вы б, для начала, все таки, уже проведенную экспертизу продемонстрировали общественности.
>и что происходило дальше с накопителем мне неизвестно. После производства экспертизы, эксперт отдал диск следователю/оперу.
|
|
« Последнее редактирование: 23 Июля 2010, 05:06:37 от Igor Michailov »
|
Записан
|
Юридические консультации.
Помощь в составлении жалоб и ходатайств.
Заверение контента сайтов, Интернет-страниц, электронной почты.
|
|
|
Igor Michailov
|
|
« Ответ #3 : 23 Июля 2010, 05:10:00 » |
|
далее, у всех ФС при корректном завершении работы в заголовочный блок пишется точная дата отмонтирования диска. о
А нельзя ли с этого места по подробнее (на примере NTFS)?
|
|
« Последнее редактирование: 23 Июля 2010, 05:35:57 от Igor Michailov »
|
Записан
|
Юридические консультации.
Помощь в составлении жалоб и ходатайств.
Заверение контента сайтов, Интернет-страниц, электронной почты.
|
|
|
Николай Николаевич Федотов
|
|
« Ответ #4 : 23 Июля 2010, 09:43:12 » |
|
Подскажите, реально ли доказать, что во время экспертизы или до неё произведено изменение содержимого жёсткого диска?
Да, это может установить вторая экспертиза, порученная независимому эксперту. Только кто же её назначит?
|
|
|
Записан
|
|
|
|
ckotinko7
Посетитель
Офлайн
Сообщений: 8
С любовью к ближнему
|
|
« Ответ #5 : 23 Июля 2010, 12:37:48 » |
|
А нельзя ли с этого места по подробнее (на примере NTFS)? в unix например, дата отмонтирования ФС(т.е. корректного окончания работы с ней операционной системой) записывается с точностью до миллисекунд, прошедших между 1.01.1970 и системной датой. в NTFS то же самое, но точность 100нс, и дата, от которой идёт отсчет лежит где-то в 16м веке. сама нтфсь имеет таблицу MFT из блоков размером 2Кб, каждый из которых(иногда цепочки блоков, если в один не умещается вся информация) содержит одну или несколько копий имён файла(dos, unicode, в местной кодировке), информацию о расположении файла на диске(runlists), атрибуты даты и прав. есть 16 ключевых файлов. они первые в MFT, один из которых содержит время отключения логического диска. если остро стоит необходимость исследования нтфсины, могу изготовить программу, которая будет показывать эту дату, и список файлов, попадающих в нужный диапазон дат. она в общем-то несложная.
|
|
|
Записан
|
|
|
|
eleron
Участник
Офлайн
Сообщений: 148
С любовью к ближнему
|
|
« Ответ #6 : 23 Июля 2010, 15:15:39 » |
|
Подскажите, реально ли доказать, что во время экспертизы или до неё произведено изменение содержимого жёсткого диска? Реально. В зависимости от использованной вами ФС и ОС существуют различные следы, которые позволяют определить факт записи данных после изъятия диска (например, во время экспертизы). Еще проще доказать изменение данных ДО экспертизы, т.к. они есть в 99,99% случаев :-) На разрешение эксперта необходимо вынести вопросы : Производилось ли изменение информации, на представленном НЖМД, в период с [дата/время изъятия] по настоящее время? Если да, то какие изменения производились? Для получения ответов по признакам из разряда ДА/НЕТ нужно немного переформулировать вопрос. Например, если речь идет про флаг восстановления в Ext3 после изъятия методом прерывания электропитания (если данные не менялись, а ФС на момент изъятия была примонтирована с правом записи - флаг присутствует; после монтирования нехорошим экспертом или кем-то еще после изъятия - флаг снимается). если остро стоит необходимость исследования нтфсины, могу изготовить программу, которая будет показывать эту дату, и список файлов, попадающих в нужный диапазон дат. она в общем-то несложная. http://sleuthkit.orgИ для затравки: http://anti-forensics.livejournal.com/2165.html
|
|
|
Записан
|
|
|
|
Igor Michailov
|
|
« Ответ #7 : 23 Июля 2010, 15:25:29 » |
|
Для получения ответов по признакам из разряда ДА/НЕТ нужно немного переформулировать вопрос.
Так переформулируйте и приведите на форуме.
|
|
|
Записан
|
Юридические консультации.
Помощь в составлении жалоб и ходатайств.
Заверение контента сайтов, Интернет-страниц, электронной почты.
|
|
|
Igor Michailov
|
|
« Ответ #8 : 23 Июля 2010, 18:00:03 » |
|
в unix например, дата отмонтирования ФС(т.е. корректного окончания работы с ней операционной системой)
Т.е., если завершить работу некорректно ничего не поменяется (например, щелкнуть тумблером питания). Этим стоит воспользоваться.
|
|
|
Записан
|
Юридические консультации.
Помощь в составлении жалоб и ходатайств.
Заверение контента сайтов, Интернет-страниц, электронной почты.
|
|
|
SoloX2
Посетитель
Офлайн
Сообщений: 77
Устраните причину, тогда пройдет и болезнь.
|
|
« Ответ #9 : 26 Июля 2010, 01:27:20 » |
|
У меня эксперт вообще написал что невозможно определить время установки, так как оно может быть изменено пользователем! То есть к первоначальному: неустановленном месте... неустановленным лицом... еще добавляется в неустановленное время.... так как из заключения можно сделать вывод что установка могла быть произведена как до так и после изъятия...
Вот млин доходит до меня как до жирафа!!! так это ж установку мог сделать ацкий админ у оперов на службе, доступ к программам у него то был. благо бумажками с печатями они запаслись... по самое небалуй... да и диск я оставлял вроде пустой... а я то думал на кой им аж пять штук их, хотя опечатали двумя... а куда еще три дели? к делу что ли подшили?
|
|
« Последнее редактирование: 26 Июля 2010, 01:47:01 от SoloX2 »
|
Записан
|
|
|
|
|
|