[Gaijin]

Смеяться все горазд. А вы раз такие умные объясните, коли знаний хватает

Я по моему внятно выражаюсь.

И ещё если я не ошибаюсь "контрольную сумму MD5" все равно можно создать и подделать пусть и не так просто и не ментами...

MD5-й хэш совпасть может - маловероятно но может. Но с учетом размера жесткого диска и соответственно количеством данных пропущных через хэшфункцию, то подобная вероятность стремиться к нулю. А уж говорить о том, что бы сфабриковать данные так что бы хэш сошелся это просто нереально за приемлемое время.
Ну и опять же я говорил не о MD5.

[STArS]

опять таки если я не ошибаюсь информация о MD5 хранится в биосе, и вполне подлежит корректировке

[Boris]

Да, да, да!
Предлагаю вносить не только котрольную суму, но и контрольную тюрьму в протокол! При несовпадении мнений сторон(например холодильника нет или кошку на довольствие не поставили) предлагаю давать под попку для не въезда сразу после суда!

[Gaijin]

C:\>echo Рация на лампах? - Нет! Рация на бронетранспортере! > ./test1.txt
C:\>md5sum ./test1.txt
5f2f9027bc799d3fbc24caf1 042929a3 *test1.txt


C:\>echo Рация на лампах?   Нет! Рация на бронетранспортере! > ./test2.txt
C:\>md5sum ./test2.txt
c07a7ecbedef58bdbcb3a8bc 3e155995 *test2.txt

Вот два примера вычисления MD5-й контрольной суммы файла.
Присмотритесь - в двух файлах разница только в одном байте, а MD5-я контрольная сумма совсем разная.

опять таки если я не ошибаюсь информация о MD5 хранится в биосе, и вполне подлежит корректировке

Контрольная сумма хранится в протоколе!!!  Ну а если протокол, подписанный подозреваемым, подлежит корректировке, то от кичи его ничего не спасет.

[Василий Иванович]

Согласен, справка эксперта это документ, который выдается специалистом на стадии доследственной проверки, а после возбуждения уголовного дела уже выдается заключение. Но это все тонкости, простому обывателю не нужные. И все таки, я так и не понял, информацию можно восстановить когда, в какое время файл залит, или нет? Уточняю во второй раз, меня не интересует ситуация когда надо уйти от ответственности, когда у меня уже изъяли компьютер с детской порнографией, меня интересует вопрос -- как доказать факт, что у меня изъяли чистый компьютер и после этого силовики на него залили ту же порнографию, если ее до этого не было?

[STArS]

Ёсомоно Насколько мне известно существует ПО для создания файлов с заданым MD5.

Василий Иванович Вряд ли после изъятия вы уже что-то сможете доказать, если при изъятии не было нечего запротоколировано.ИМХО

[Gaijin]

И все таки, я так и не понял, информацию можно восстановить когда, в какое время файл залит, или нет?

Если не был включен режим аудита файловой системы, а он по умолчанию выключен - то нельзя.

Уточняю во второй раз, меня не интересует ситуация когда надо уйти от ответственности, когда у меня уже изъяли компьютер с детской порнографией, меня интересует вопрос -- как доказать факт, что у меня изъяли чистый компьютер и после этого силовики на него залили ту же порнографию, если ее до этого не было?

Если  силовики не полные лохи, то доказать будет невозможно.
Т.е. можно кончено проверить event log и увидеть в нем то, что компьютер загружался 31 ноября в 8:30, а потом увидеть записи от 1 сентября, а потом снова от 31 ноября.... Но это все равно лишь косвенное подтверждение того что на компьютере менялась дата и время. Это же не говорит о том, что именно в это время именно этот конкретный файл был скопирован на диск. Ну и опять же - я не думаю, что если кто то собрался фальсифицировать улики, то он не позаботился о том, что бы это сделал грамотный специалист.

Вывод - если вы не смоли заставить внести в протокол обыска, или выемки информации, информацию о контрольной сумме электронного носителя информации, а так же перечень действий, полное название и версию программного обеспечения, при помощи которого получена контрольная сумма - вам кабздец... Засунут на винт детское порно и отестестуют Вас по полной программе.
Т.е. постфактум ничего доказать не удастся. Насколько я понимаю, в такой ситуации даже презумпция невиновности не канает.

[Gaijin]

Ёсомоно Насколько мне известно существует ПО для создания файлов с заданым MD5.

Ну во первых - в нашем случае файлы не важны. В нашем случае на диск нечто дописывается, а после этого нужно с генерировать нейкий "поправочный" файл так, что бы хэш диска сошелся с заданным. Это как я понимаю значительно сложнее чем сделать то о чем Вы говорите.
Во вторых, я ведь сразу говорил не об MD5 - есть алгоритмы серьезнее. Я привел пример с MD5 только потому что Вы о не говорили.

[Sem]

опять таки если я не ошибаюсь информация о MD5 хранится в биосе, и вполне подлежит корректировке

STArS, двома словами тут не обійдешся, і без термінів теж.

По перше - MD5 - це контрольна сума, яка обчислюется спеціальним алгоритмом. На вході в неї - інформація (файл, повідомлення, будь що), зазвичай,досить великого розміру. На виході набір байті (умовно, невеликий файл). Тож до біоса це не має ніякого відношення. MD5 використовують як«відбиток» або «дайджест» повідомлень будь-якого розміру. Можно підібрати інше повідомлення, яке буде мати таку саму суму, але це важка (математично) задача.

Трохи з вікіпедії:

"Для того, чтобы хеш-функция H считалась криптографически стойкой, она должна удовлетворять трем основным требованиям, на которых основано большинство применений хеш-функций в криптографии:

    * Необратимость: для заданного значения хеш-функции m должно быть практически невозможно найти блок данных X, для которого H(X) = m.
    * Стойкость к коллизиям первого рода: для заданного сообщения M должно быть практически невозможно подобрать другое сообщение N, для которого H(N) = H(M).
    * Стойкость к коллизиям второго рода: должно быть практически невозможно подобрать пару сообщений ~(M, M'), имеющих одинаковый хеш.
....

Не доказано существование необратимых функций, то есть функций, для которых вычисление аргумента по значению теоретически невозможно. На деле, все используемые в криптографии хеш-функции являются кандидатами в необратимые. Нахождение обратного для них является вычислительно сложной задачей."

Теперь людською мовою:

існують алгоритми, які дозволяють вирахувати з великого об'єму інформації (документ) контрольний файл (хеш) невеликого розміру такий, що буде
1)Практично не можливо маючи хеш відтворити документ
2)Практично не можливо створити інший документ, але який мав би такий саме хеш
3)Практично не можливо створити два різних документи, які б мали однаковий хеш.

Теоретично можливо відтворити документ маючи хеш, але це завдання потребує ду-у-у-же багато часу (мільйони років)

Такі алгоритми використовуются в цифровому підпису, наприклад, в банківських системах.

Кожна літера в документі впливає на хеш, змінивши один біт в документі отримаєш новий хеш. Прогнозувати як вплине змінена літера на хеш не можливо  - підігнати не вдастся 

[dmp]

Или вы запротоколируете все свои файлы и папки?

Да в принципе на C# не составит труда написать программу, которая делает итерацию по всем папках всех дисков, и сохраняет МД5 хэш всех файлов и всех папок.

Но мне эта дискуссия напоминает дискуссию на форуме мобильников на тему "Как корректно отказать если у вас незнакомец просит мобилу позвонить" Несколько страниц было посвящено корректным ответам, пока кто-то не написал, что какого такого, никто не обязан оправдываться почему он мобилу не даст и просто пшелнах  
В законе ничего не сказано о механизме протоколирования исходной информации перед пломбированием. Какие нафиг хэши? В законе про это ничего не сказано, не сказана какая именно программа должна определять целостность исходного состояния данных, посему рассуждения на тему хэшей и ректального криптоанализа - тавталогия.
Кроме того, как бы ни распинались на тему EFS, симметричного шифрования, коллокейшна в Зимбабве и внешних винтов - если захотят менты подставу сделать - подставят, потому что закон дырявый. А если будет у тебя хороший адвокат - тоотмажет, опять-таки, потому что закон дырявый.

например, принесут компьютер н экспертизу. Эксперт програзится с СДРОМа, через FDISK снесет твои разделы, поставит нелицензионную винду, зальет порнуху - и на основании чего ты будешь строить свою защиту? Уверен на 99% закон как дышло

[dmp]

Кстати, если ПРОСТО считывать сектора с диска, даже само-само низкоуровнево, типа через 13-е прерывание БИОСа, то скорее всего хэш данных на диске изменится, поскольку даже при чтении происходит запись контроллером привода в инженерные разделы диска. А если просто нечитаемый сектор в кластере - система сделает пометку в FAT
А в бутсекторе мне помнится во всяком случае, в Ms-DOS 6.22 в определенных байтах записывается время последней загрузки 

[dmp]

Можно предложить следующее: берем рэковую стойку, цементируем в пол, ставим на нее наши компьютеры, жесткие диски привариваем к стойке, предварительно шлейфы посадив на эпоксидку 

[Gaijin]

Да в принципе на C# не составит труда написать программу, которая делает итерацию по всем папках всех дисков, и сохраняет МД5 хэш всех файлов и всех папок.

Зачем делать рекурсивынй обход каталоговой структуры если можно тупо прочитать весь диск и вычислить по нему хеш.

[root@fearless ~]# dd if=/dev/sda1 | md5sum
a756d65b3792eb01418a3fe8 757ab5e0  -
106896384  (107 MB), 1,36521 , 78,3 MB/s

Но мне эта дискуссия напоминает дискуссию на форуме мобильников на тему "Как корректно отказать если у вас незнакомец просит мобилу позвонить" Несколько страниц было посвящено корректным ответам, пока кто-то не написал, что какого такого, никто не обязан оправдываться почему он мобилу не даст и просто пшелнах  

Эта дискуссия больше напоминает:
- Это канал аниме?
- Да!
- Подскажите, как пропатчить KDE под FreeBSD?

В законе ничего не сказано о механизме протоколирования исходной информации перед пломбированием. Какие нафиг хэши? В законе про это ничего не сказано, не сказана какая именно программа должна определять целостность исходного состояния данных, посему рассуждения на тему хэшей и ректального криптоанализа - тавталогия.

Если бы читали внимательней и попытались бы понять собеседников, то заметили бы, то еще тут я сказал то, до чего Вы дошли только сейчас.
И ежу понятно что в "законе" ничего толком не прописано. Да и не закон это вовсе, а кодекс.
Но там нет слов "за", то и нет слов "против" - т.е. раз процедура четко не расписана то можно попытаться настоять на проведении контрольного суммирования и занесения результатов в протокол. Может и не получиться, но пробовать все же стоит.

Кроме того, как бы ни распинались на тему EFS, симметричного шифрования, коллокейшна в Зимбабве и внешних винтов - если захотят менты подставу сделать - подставят, потому что закон дырявый.

Менты никогда не будут сильно напрягаться, и если сервер с колокейшена достать тяжело, то гораздо проще найти у тебя героин в сидироме. И тут дело даже не в цельности закона.

Кстати, если ПРОСТО считывать сектора с диска, даже само-само низкоуровнево, типа через 13-е прерывание БИОСа, то скорее всего хэш данных на диске изменится, поскольку даже при чтении происходит запись контроллером привода в инженерные разделы диска. А если просто нечитаемый сектор в кластере - система сделает пометку в FAT
А в бутсекторе мне помнится во всяком случае, в Ms-DOS 6.22 в определенных байтах записывается время последней загрузки  

Я конечно дико извиняюсь, но ничего что через 13-е прерывание давно никто не читает, как в прочем и FAT не использует.
Ну а про дос 6.22 все уже точно забыли.
Это я к чему - Вы много говорите, но все не сильно по теме. Как впрочем и информацию какую то устаревшую выдаете.
Человек спросил - "шо робыть?". Ему ответили - "если не было сделано того то и того то, то уже бес толку что ли бо робыть".

[dmp]

Цитировать можно заколебаться :
1) Просто хэш диска вообще бесполезен. Он изменится в любом случае из-за инженерных областей. А нам бы проконтролировать хэши файлов и папок (папок - чтобы знать, где конкретно у нас что изменилось после экспертизы, а потом уже смотреть что именно)
2) Я конечно не менее дичайше извиняюсь, но у вас неправильное представление. В архитектуре PC заложена IBMовская архитектура еще со времен 80 годов, все что счас есть - это просто грубо говоря надстройка. Да, изменились форматы, размеры, но системные ресурсы, номера прерываний, контроллеры (даже UART), организация прерываний через вектора - все это осталось неизменным. И 13 прерывание его юзает операционная система как и раньше. Не было никаких революционных изменений в архитектуре персонального компьютера. Все это - совместимая надстройка. И framework - это тупо ребрендинг COM+ 2.0  А FAT таблицу считывает и обрабатывает дефрагментатор диска

[Gaijin]

1) Просто хэш диска вообще бесполезен. Он изменится в любом случае из-за инженерных областей. А нам бы проконтролировать хэши файлов и папок (папок - чтобы знать, где конкретно у нас что изменилось после экспертизы, а потом уже смотреть что именно

Картинку со Шварцнеггером я Вам уже показывал? 
Вы вообще думаете о чем говорите? - Вам говорят о том, надо произвести по секторное чтение жесткого диска. Причем тут срервообсласти и смарт? Да пусть контроллер жесткого диска хоть обпишется туда - на области данных это никак не отразится.

2) Я конечно не менее дичайше извиняюсь, но у вас неправильное представление. В архитектуре PC заложена IBMовская архитектура еще со времен 80 годов, все что счас есть - это просто грубо говоря надстройка. Да, изменились форматы, размеры, но системные ресурсы, номера прерываний, контроллеры (даже UART), организация прерываний через вектора - все это осталось неизменным. И 13 прерывание его юзает операционная система как и раньше. Не было никаких революционных изменений в архитектуре персонального компьютера. Все это - совместимая надстройка. И framework - это тупо ребрендинг COM+ 2.0  А FAT таблицу считывает и обрабатывает дефрагментатор диска

Геля, Геля...   
Ничего что UART на современных матплатах местами как то тяжело прощупывается. - Либо шлейфа нет, либо вообще его нет.
"13 прерывание его юзает операционная система как и раньше" - Ага... Т.е. береш ты сасовский рэйдконтроллер пихаеш его в мать, а потом приходит операционная система и давай его через 13-е прерывание и раком и боком... 
"номера прерываний" - Ага... Те же, те же... так и осталось их 16 штук как в 80-х... Только вот как то странно получается - одна сетевая плата все 16 прерываний и занимает...
"FAT таблицу считывает и обрабатывает дефрагментатор диска" - Вы не поверите, у меня нет ни дефрагментатора диска, ни фат-таблицы.