Форум ''Интернет и Право''
26 Ноября 2024, 06:27:17 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: [1] 2 3 4   Вниз
  Печать  
Автор Тема: временны метки и метаданные файлов.  (Прочитано 27115 раз)
СамСебеАдвокат007
Завсегдатай
***
Офлайн Офлайн

Сообщений: 1072


E-mail
« : 25 Июня 2011, 01:05:02 »

такс. в материалах дела есть консультация эксперта.
там он заявляет, что даже, если кто-то перезаписал created/modified временные метки аттрибутов файла, то в последствии по метаданным файла можно такую перезапись обнаружить.

подскажите, что он мог иметь в виду ?
"MFT Modified"(Entry Modified Time) ?
но ведь она также легко перезаписывается как и created/modified/accessed.

я порылся по нету и нашел, что у файла есть 4 метаданных
Object Id
Reparse Point
Extended Attributes
Alternate Data Streams
и еще security_descriptor

но ведь все они не имеют полей для указания времени. но даже если бы и имели, то злоумышленник наряду с изменением created/modified мог бы изменить и их.

и еще более конкретный вопрос - эксперт врал и можно УК307ую ?

спасибо  Строит глазки
Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #1 : 25 Июня 2011, 01:32:44 »

Ничерта не понятно.  Смеющийся
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
СамСебеАдвокат007
Завсегдатай
***
Офлайн Офлайн

Сообщений: 1072


E-mail
« Ответ #2 : 25 Июня 2011, 04:42:15 »

простите.  В замешательстве у меня от всяких мета-шмета данных уже голова кругом идеть.  Шокированный
чуть позже постараюсь выложить часть текста из материалов дела.

***

ну а пока что такой вопрос. вот вам дали ХДД.
предположим сегодня дата 25-06-2011.
сможете ли Вы создать на данном ХДД файлы с датами(created/modified) в промежутке 01-01-2010 до 06-06-2010 и так чтоб потом ни один эксперт не смог бы доказать, что на самом деле файлы то записывались на ХДД 25-06-2011 числа ?
(в том числе и опираясь на какие-то призрачные метаданные файлов)

***

я считаю, что сможете.
используя не хитрую технологию описанную тутай
http://www.forensicswiki.org/wiki/Timestomp

или же все-таки "наследите" ? в каких-то там метаданных файлов ?!...

***

а после этого видимо еще надо сделати дефрагментацию. а то очень дотошный эксперт кое-что сможет да и определить...  по структуре распределения файлов на диске Крутой
« Последнее редактирование: 25 Июня 2011, 04:51:01 от advokat007 » Записан
Daemon
Участник
**
Офлайн Офлайн

Сообщений: 184


« Ответ #3 : 24 Ноября 2011, 12:35:25 »

Вообще, например в Unix-системах есть такая команда как touch, она позволяет менять время изменения/последнего доступа к файлу.

http://www.opennet.ru/man.shtml?topic=touch&category=1

Надеюсь как-то прояснит ситуацию.
Записан
Lida
Посетитель
*
Офлайн Офлайн

Сообщений: 8


« Ответ #4 : 13 Февраля 2012, 16:08:50 »

Эксперт может узнать количество обращений к файлам, если файловая система NTFS.
Всё журналируется.
Однако вполне реально создать такие файлы, отключив параметр "Время последнего доступа" и все функции индексации NTFS.
Только придётся применить это ко всем файлам на диске, чтобы всё было чистенько.
Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #5 : 13 Февраля 2012, 19:04:19 »

Эксперт может узнать количество обращений к файлам, если файловая система NTFS.
Всё журналируется.
Однако вполне реально создать такие файлы, отключив параметр "Время последнего доступа" и все функции индексации NTFS.
Только придётся применить это ко всем файлам на диске, чтобы всё было чистенько.
Я думаю, вы заблуждаетесь.
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Антон Серго
Администратор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7029


Юридическая фирма "Интернет и Право"


WWW E-mail
« Ответ #6 : 13 Февраля 2012, 22:31:38 »

Эксперт может узнать количество обращений к файлам, если файловая система NTFS.
Всё журналируется.
Однако вполне реально создать такие файлы, отключив параметр "Время последнего доступа" и все функции индексации NTFS.
Только придётся применить это ко всем файлам на диске, чтобы всё было чистенько.
Я думаю, вы заблуждаетесь.
Игорь, заблуждается по первой части или по второй?..
Записан
СамСебеАдвокат007
Завсегдатай
***
Офлайн Офлайн

Сообщений: 1072


E-mail
« Ответ #7 : 13 Февраля 2012, 23:23:21 »

сразу вопросы
1) а что дает эксперту информация о количестве обращений к файлу ?
ну один раз, ну сто раз обратились и что ?
да и потом, если инфо об количестве обращений куда-то пишется, то эту самое инфо также можно изменить.
2) куда именно журналируется ? хотите сказать по каждому файлу ведется без ограничений по количеству записей журнал ?
и опять-таки -  а что запрещает и сам журнал сфальсифицировать ?
3) Только придётся применить это ко всем файлам на диске, чтобы всё было чистенько.

уточните, что именно имеете в виду.
можно сфальсифицировать. потом запустить дефрагментацию, но на пол-пути ее прервать. это не решит проблему ?



Эксперт может узнать количество обращений к файлам, если файловая система NTFS.
Всё журналируется.
Однако вполне реально создать такие файлы, отключив параметр "Время последнего доступа" и все функции индексации NTFS.
Только придётся применить это ко всем файлам на диске, чтобы всё было чистенько.
Записан
СамСебеАдвокат007
Завсегдатай
***
Офлайн Офлайн

Сообщений: 1072


E-mail
« Ответ #8 : 13 Февраля 2012, 23:36:12 »

и еще

Однако вполне реально создать такие файлы, отключив параметр "Время последнего доступа" и все функции индексации NTFS.

я так понимаю Вы предполагаете создание файлов через win32 api и прочие квази-директные инструменты доступа к ХДД.
раз уж говорите об NTFS.

NTFS - это грубо говоря надстройка.



я же имею в виду прямой доступ к данным на ХДД.
вот как БИОС. какое там прерывание int(13) штоле ?
Записан
sergbolt
Посетитель
*
Офлайн Офлайн

Сообщений: 18


« Ответ #9 : 24 Февраля 2012, 04:07:00 »

изменение всех дат создания/модификации файла. различные способы:
СПОСОБ ПЕРВЫЙ
в программе "total commander" правой кнопкой мышки выделить нужное количество файлов и папок,
затем открыть вкладку "файлы" и выбрать надпись "изменить атрибуты"
в открывшемся окошке поставить галочку "Обрабатывать содержимое каталогов" - для того, чтобы все файлы в выделенных каталогах изменили дату. далее, поставить галочку в поле "изменение даты/времени" и выбрать нужную дату изменения файлов, для более тонкой настройки, ниже есть место для галочки "использовать плагины" поставьте ее и выберите нужный вам плагин, а именно: дату создания файла, дату изменения файла и дату последнего доступа к файлу... поставьте напротив них нужные вам значения, и нажмите кнопочку "OK"
можете проверить в свойствах файла. везде будет измененная дата, именно та, которую вы укажите.
СПОСОБ ВТОРОЙ
данный способ предусмотрен создателями системы WINDOWS корпорацией MICROSOFT
измените текущую дату на часах компьютера, затем, откройте браузер "опера". а рядом откройте папку с нужным вам файлом и выберите любой файл для изменения его даты создания, нажмите на файл левой кнопкой мышки и. удерживая клавишу мыши, перетащите файл в окно браузера "опера", затем, отпустите мышку, появится окно "сохранить файл"... и, собственно говоря, сохраняйте его на свой компьютер. Вы увидите, что дата создания на вновь сохраненном файле будет именно той, которая установлена в момент сохранения файла на системных часах компьютера.
затем можно вернуть измененную дату компьютера в нормальное состояние в соответствие с московским временем. Скаченные через оперу файлы из интернета так же обретают дату создания в соответствии с системной датой на часах windows.
СПОСОБ ТРЕТИЙ.
UNIX СИСТЕМА, КОМАНДА "touch"
1. Поставить на файл определенную дату, формат: год месяц число час минута.
touch -t200811182005 apach.php
Или так:
touch -d 'Jan 31 2007 12:34:56' apach.php
2. Сделать file5 того же времени, что и file4:
touch -r file4 file5
3. Сделать file7 30 секундами старше, чем file6:
touch -r file6 -B 30 file7
4. Сделать file7 30 секундами моложе, чем file6:
touch -r file6 -F 30 file7
СПОСОБ ЧЕТВЕРТЫЙ. ПРОГРАММНОЕ СРЕДСТВО ЯЗЫКА PHP
То же самое можно сделать средствами PHP функцией touch():
touch('/usr/www/site.ru/www/index.php', filemtime('/usr/www/site.ru/www/show_kvit.php'));
СПОСОБ ПЯТЫЙ
иные способы: возможно использование редакторов диска, скриптов и прочих программ,
которые созданы специально для изменения даты в файлах, либо имеют такую функцию, незапрещенную законодательством РФ.
В СВЯЗИ С ЭТИМ, ОПРЕДЕЛИТЬ ТОЧНОЕ И ПРАВИЛЬНОЕ ВРЕМЯ СОЗДАНИЯ-МОДИФИКАЦИИ ФАЙЛОВ НЕ ПРЕДСТАВЛЯЕТСЯ РЕАЛЬНО ВОЗМОЖНЫМ.
« Последнее редактирование: 24 Февраля 2012, 04:23:37 от sergbolt » Записан
Страниц: [1] 2 3 4   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines