Форум Краматорська
Краматорськ та світ навколо нас => Компьютеры, мобилки, софт, Интернет, провайдеры => Тема розпочата: Василий Иванович від 29 Листопада 2009, 14:13:13
-
В соседнем разделе выложили ролик с заявлением жителя Мариуполя, о том, что злые менты изъяли у него компьютер и потом накачали туда чего то лишнего, за что хотят посадить в тюрьму. На сколько мне известно, время создания файла прописывается в его свойствах. Отсюда вопрос к специалистам -- можно ли загрузить на жесткий диск компьютера файлы и изменить время их создания на более раннее (ну, вроде хозяин их загрузил до изъятия). Прошу высказаться людей, которые в курсе дела, атцов прошу не беспокоиться.
-
Выставил на компе нужную дату и время, залил файлы, перевел время и дату на правильные и фсе. По силам даже ментам. Первое, что пришло в голову как ламеру.
-
лехко-лёгонько
-
Тогда другой вопрос -- можно ли специалисту восстановить историю изменения свойств файла (в частности время создания -- предыдущее, последуещее), если покопаться упорно? Не может быть, что бы не оставалось ни каких хвостов. Неужели Майкрософт упустил эту дыру из вида?
-
Я Вам больше скажу. Время создания при копировании сохраняется. Так что оно, с одной стороны, никак не может являться доказательством, а с другой - ничего и исправлять не надо.
-
Проблема не в Майкрософт, а в наших законотворцах. Потому как процедура выемки информации прописана не достаточно жестко и конкретно. Если бы при изъятии накопителей в протокол изъятия вносились бы контрольная сумма по носителю целиком, то таких бы вопросов не возникало.
-
Значит, теоретически, если на горизонте появился неугодный власти гражданин и он имел неосторожность обзавестись компьютером, отправка его на казенные харчи дело времени? Берешь его комп, закачиваешь туда план государственного переворота и закрываешь? Мне кажется, не должно быть все так просто. Исходя из принципа физики -- каждое действие в природе оставляет свои следы, должен быть какой то механизм проверки -- закачаны файлы на жесткий диск сегодня или месяц назад.
-
должен быть какой то механизм проверки -- закачаны файлы на жесткий диск сегодня или месяц назад.
механизм-то есть, но, во-первых, его надо дополнительно активировать, а во-вторых, любой программный механизм легко обходится. :o
-
Берешь его комп, закачиваешь туда план государственного переворота и закрываешь?
зачем переворот??? порнухи туда кинуть достаточно - и за хранение с целью распространения...
-
Неужели Майкрософт упустил эту дыру из вида?
А где тут дыра? Взять линукс - тоже самое будет. Такова уж специфика компьютеров!
Если б вы знали о настоящих дырах, вы бы в компьютер с важной информацией никогда не втыкнули бы сетевой кабель!
-
Щоб бути певним, що маніпуляцій з інформацією не відбувалося - треба виконати певні процедури. Як то:
1) зняти копію диска (як пристрою вцілому) , зберігти цю контрольну копію з обчислюванням її контрольної суми (МД5, наприклад)
2) зафіксувати цю суму документально (на папері, в протоколі)
3) п.1 повинен бути виконаним таким чином, щоб потім не викликав заперечень з будь-якої сторони.
Чи виконуются ці правила у нас? - дуже сумніваюся. Та й чи допоможе? Якщо в справі буде два протилежних експертних висновки, суддя може спиратися на будь який (на його власний розсуд=в кого більше грошей або вища криша).... :wild:
-
Вопрос, собственно, не в том, что надо делать до изъятия машины или после. Вопрос -- можно ли доказать, что файлы были загружены после изъятия? Можно ли каким-либо образом установить точное время создания файлов? Я, на пример, слышал, что даже удаленные файлы можно восстановить каким то образом. Значит где то остается какая то история по работе с файлами?
-
Вопрос, собственно, не в том, что надо делать до изъятия машины или после. Вопрос -- можно ли доказать, что файлы были загружены после изъятия? Можно ли каким-либо образом установить точное время создания файлов? Я, на пример, слышал, что даже удаленные файлы можно восстановить каким то образом. Значит где то остается какая то история по работе с файлами?
Своих часов в НЖМД нет, время он берёт системное, значит переводом часов решаются все проблемы со временем изменения файлов. :)
В любом случае для экспертизы нужна ювелирная технология и дорогущая техника(электронные микроскопы)...В странах, где в сфере IT крутятся нормальные деньги, такие лаборатории есть, в Украине - не знаю :o
-
Товарищи, а знаете ли вы, что в NTFS есть EFS? Иными словами - настройте шифрование данных на диске симметричным алгоритмом на уровне Винды. А комп изымут - хай сами подбирают пароль на вход :)))))))))))))))))) Очень рекомендую ссылку, как это сделать: http://www.ixbt.com/storage/efs.html (https://www.kramatorsk.info/talk/go.php?url=http%3A%2F%2Fwww.ixbt.com%2Fstorage%2Fefs.html)
-
Товарищи, а знаете ли вы, что в NTFS есть EFS? Иными словами - настройте шифрование данных на диске симметричным алгоритмом на уровне Винды. А комп изымут - хай сами подбирают пароль на вход :)))))))))))))))))) Очень рекомендую ссылку, как это сделать: http://www.ixbt.com/storage/efs.html (https://www.kramatorsk.info/talk/go.php?url=http%3A%2F%2Fwww.ixbt.com%2Fstorage%2Fefs.html)
Ну во-первых, речь идет, о том, что есть возможность залить файл уже после изъятия, т.е. сфабриковать. От этого efs не спасет. А во-вторых:
EFS обеспечивает встроенную поддержку восстановления данных на тот случай, если потребуется их расшифровать, но, по каким-либо причинам, это не может быть выполнено обычным. По умолчанию, EFS автоматически сгенерирует ключ восстановления, установит сертификат доступа в учетной записи администратора и сохранит его при первом входе в систему. Таким образом, администратор становится так называемым агентом восстановления, и сможет расшифровать любой файл в системе.
Вот. :o
-
Товарищи, а знаете ли вы, что в NTFS есть EFS? Иными словами - настройте шифрование данных на диске симметричным алгоритмом на уровне Винды. А комп изымут - хай сами подбирают пароль на вход :)))))))))))))))))) Очень рекомендую ссылку, как это сделать: http://www.ixbt.com/storage/efs.html (https://www.kramatorsk.info/talk/go.php?url=http%3A%2F%2Fwww.ixbt.com%2Fstorage%2Fefs.html)
""Системный администратор Юкоса при обыске заявил, что для взлома паролей на базы данных потребуется несколько лет интенсивной работы многих компьютеров. ОМОНовцы "узнали" пароль за 5 минут, 3 минуты из которых они привязывали админа к стулу..." (с) не знаю :))
-
Дык это ясно, что терморектальный анализ рулит в криптографии :)
-
Ну во-первых, речь идет, о том, что есть возможность залить файл уже после изъятия, т.е. сфабриковать. От этого efs не спасет. А во-вторых:
Поздно батенька пить боржоми, когда почки отвалились (c)
администратор становится так называемым агентом восстановления, и сможет расшифровать любой файл в системе.
Вот. :o
И шо с того? А под админом мы заходим без пароля? И вообще, пломбируйте системник, забирайте его на х экспертизу и в нем колупайтесь, а пароль я забыл / не знаю и идите нах. Смысл понятен?
-
И, кстати, пароли юзеров хранятся в виде хэша, так что обратимости нет, и, соответственно, по закону вас никто не обязывает свидетельствовать против себя ( = разглашать свой пароль на вход). А успешно ломают симметричную защиту только в фантастических детских наивных голливудских фильмах про кулхацкеров :D
-
Неужели Майкрософт упустил эту дыру из вида?
Не, Майкрософт не упустил это из вида, называется это Точка отката в NTFS, но только оно не поможет. Майкрософт декларирует для этого EFS + настрой нормально политику безопасности системы. Либо, оставляем гостевой вход для ламеров, а в системе настроен аудит файловой системы (пардон за тавталогию). То есть, апплет Administration будет доступен юзеру из группы Administrators, и в журнал пишется вся активность по доступу к файлам. Но простой смертный юзер туда войти не может. А чтобы зайти под админом нужен пароль. И таким образом "слуги закона" позарятся на халявного Guestа и зальют опасный контент, а система ведь мониторит активность, и пищет в журнал. И ОППА - пацаны, а шо цэ за гавно вы мэнэ залылы на экспэртызи???????????
-
То есть, на сколько я понял, если у меня изъяли "чистый" компьютер, а в суд предоставили справку о том, что на него залита какая то мачмала, я имею возможность доказать, что это все фармазон?
-
То есть, на сколько я понял, если у меня изъяли "чистый" компьютер, а в суд предоставили справку о том, что на него залита какая то мачмала, я имею возможность доказать, что это все фармазон?
Наверное, в суд будет предоставлена не справка, а экспертное заключение. Возможность доказать вы имеете, бесспорно. Ее вам гарантирует конституция :) А вот если расматривать ситуацию с порно - то зальют нефиг делать. И ничего не докажешь. Потому что недооцениваешь EFS (лично у меня на рабочем месте настроена EFS + аппаратная защита на уровне БИОСа, интегрированная в контроллер домена).
-
Вали все на вирус, мол, это он, гад, с Инета порнухи накачал. И справку от Касперского приложи :)
-
Проблема не в Майкрософт, а в наших законотворцах. Потому как процедура выемки информации прописана не достаточно жестко и конкретно. Если бы при изъятии накопителей в протокол изъятия вносились бы контрольная сумма по носителю целиком, то таких бы вопросов не возникало.
проблема в умах. проблема материализовать нематериализуемое и контролировать неподконтрольное. Контрольную сумму - в жопу, я дико извиняюсь. Потому что, мент включил компьютер ТОЛЬКО ПОСМОТРЕТЬ что там, а оно грузонулось, почиталось, во временные файлы плюнуло, в файл подкачки записало - и все, исходное состояние диска будет нарушено (соответственно, хэш / контрольная сумма тупо изменится. Хотя на диск ничего мент не писал, верно? Зато туда написала система) Да если все так страшно - юзайте хотя-бы внешние USB / FireWire винчестеры, или юзайте карманы для винчестеров в корпусе. Нажал на кнопку - винт из кармана вышел / ты его заныкал. И сорри - комп нерабочий, в нем винта нету, забирайте на экспертизу но внесите это обязательно в протокол :)
-
И шо с того? А под админом мы заходим без пароля? И вообще, пломбируйте системник, забирайте его на х экспертизу и в нем колупайтесь, а пароль я забыл / не знаю и идите нах. Смысл понятен?
Ну может Вы не в курсе, но пароль админа сбрасывается с помощью линуксового загрузочного диска и одной утилитки.
Да если все так страшно - юзайте хотя-бы внешние USB / FireWire винчестеры, или юзайте карманы для винчестеров в корпусе. Нажал на кнопку - винт из кармана вышел / ты его заныкал. И сорри - комп нерабочий, в нем винта нету, забирайте на экспертизу но внесите это обязательно в протокол :)
Наивняк полный. Когда к Вам нагрянут маски-шоу, Вы даже пальцем шевельнуть не успеете, как будете лежать мордой в пол. Какие там кнопочки?
-
проблема в умах. проблема материализовать нематериализуемое и контролировать неподконтрольное. Контрольную сумму - в жопу, я дико извиняюсь.
(удалено администратором)
Еще один воинствующий молчел. :lol:
Потому что, мент включил компьютер ТОЛЬКО ПОСМОТРЕТЬ что там, а оно грузонулось, почиталось, во временные файлы плюнуло, в файл подкачки записало - и все, исходное состояние диска будет нарушено (соответственно, хэш / контрольная сумма тупо изменится. Хотя на диск ничего мент не писал, верно?
Верное... Только я выступаю не на стороне "мента". И если "мент" не способен понять, что так поступать не стоит, то это его трудности. ОПРМ производить с оригиналом улики - это как против ветра ссать, ибо одно неверное движение и улика не представляет интереса для суда. - Работать надо с копией.
А вот подозреваемый в таком раскладе в шоколаде - т.е. менту достаточно просто загрузиться с компа подозреваемого и улике крандец. Именно по этому надо требовать снятие и протоколирование контрольной суммы носителя. Т.е. записать на этот носитель что либо, без изменения контрольной суммы будет не возможно.
Да если все так страшно - юзайте хотя-бы внешние USB / FireWire винчестеры, или юзайте карманы для винчестеров в корпусе. Нажал на кнопку - винт из кармана вышел / ты его заныкал. И сорри - комп нерабочий, в нем винта нету, забирайте на экспертизу но внесите это обязательно в протокол :)
МЧ, нынче такое не модно... Нынче модно арендовать сервера на колокейшене, где нибудь в жарких странах без дипломатических отношений с Украиной и отсутствием договоренностей с Интерполом. И именно там ныкать свои секреты. При этом применять криптостойкие алгоритмы шифрования с одноразовыми паролями (на базе rsa tocken-в).
В случае маски-шоу достаточно просто переломить "брелок" или утопить его в стакане с водой или унитазе. А дальше можно смело рассказывать следователям о принципах защиты и даже озвучить пин код от пароля. Тут даже термальный ректальный дешифратор не поможет - всего пароля вы просто не знаете, и посему разгласить не можете.
-
Речь не идет о прятании секретов, речь о том если эти секреты тебе приписывают...
А с контрольной суммой облом выйти может...Если на экспертизе вам зальют что-то не то, где гарантия что ничего не удалят? Чтобы сумма совподала? (мелкие неточности оправдают перезагрузкой). Или вы запротоколируете все свои файлы и папки?
-
А с контрольной суммой облом выйти может...Если на экспертизе вам зальют что-то не то, где гарантия что ничего не удалят? Чтобы сумма совподала? (мелкие неточности оправдают перезагрузкой).
:rofl: :rofl: :rofl: Жги еще.
-
А с контрольной суммой облом выйти может...
Может, но совершенно не по той причини что Вы описали.
Если на экспертизе вам зальют что-то не то, где гарантия что ничего не удалят? Чтобы сумма совподала? (мелкие неточности оправдают перезагрузкой). Или вы запротоколируете все свои файлы и папки?
Геля, Геля... Боже, Боже... :? - Вы правда считаете, что если что то стереть и потом что то залить то можно добиться совпадения контрольной суммы - хэша вычисленного по алгоритму SHA-512? При этом сразу учтите - менты не индусы...
Ну а над оправданием мелких неточностей я просто рыдаль... :yahoo: - Вы поймите, если контрольная сумма по всему носителю (основной улике) на момент суда не совпадет с той, которая была запротоколирована на момент выемки информации, то любой мало мальски грамотный адвокат обвинение как тузик грелку порвет. Причем аргументом будет - "я не я и жопа не моя"...
-
Смеяться все горазд. А вы раз такие умные объясните, коли знаний хватает :P
И ещё если я не ошибаюсь "контрольную сумму MD5" все равно можно создать и подделать пусть и не так просто и не ментами...
-
Смеяться все горазд. А вы раз такие умные объясните, коли знаний хватает :P
Я по моему внятно выражаюсь.
И ещё если я не ошибаюсь "контрольную сумму MD5" все равно можно создать и подделать пусть и не так просто и не ментами...
MD5-й хэш совпасть может - маловероятно но может. Но с учетом размера жесткого диска и соответственно количеством данных пропущных через хэшфункцию, то подобная вероятность стремиться к нулю. А уж говорить о том, что бы сфабриковать данные так что бы хэш сошелся это просто нереально за приемлемое время.
Ну и опять же я говорил не о MD5.
-
опять таки если я не ошибаюсь информация о MD5 хранится в биосе, и вполне подлежит корректировке
-
Да, да, да! :yahoo: :yahoo: :yahoo:
Предлагаю вносить не только котрольную суму, но и контрольную тюрьму в протокол! При несовпадении мнений сторон(например холодильника нет или кошку на довольствие не поставили) предлагаю давать под попку для не въезда сразу после суда!
-
C:\>echo Рация на лампах? - Нет! Рация на бронетранспортере! > ./test1.txt
C:\>md5sum ./test1.txt
5f2f9027bc799d3fbc24caf1 042929a3 *test1.txt
C:\>echo Рация на лампах? Нет! Рация на бронетранспортере! > ./test2.txt
C:\>md5sum ./test2.txt
c07a7ecbedef58bdbcb3a8bc 3e155995 *test2.txt
Вот два примера вычисления MD5-й контрольной суммы файла.
Присмотритесь - в двух файлах разница только в одном байте, а MD5-я контрольная сумма совсем разная.
опять таки если я не ошибаюсь информация о MD5 хранится в биосе, и вполне подлежит корректировке
Контрольная сумма хранится в протоколе!!! :lol: Ну а если протокол, подписанный подозреваемым, подлежит корректировке, то от кичи его ничего не спасет.
-
Согласен, справка эксперта это документ, который выдается специалистом на стадии доследственной проверки, а после возбуждения уголовного дела уже выдается заключение. Но это все тонкости, простому обывателю не нужные. И все таки, я так и не понял, информацию можно восстановить когда, в какое время файл залит, или нет? Уточняю во второй раз, меня не интересует ситуация когда надо уйти от ответственности, когда у меня уже изъяли компьютер с детской порнографией, меня интересует вопрос -- как доказать факт, что у меня изъяли чистый компьютер и после этого силовики на него залили ту же порнографию, если ее до этого не было?
-
Ёсомоно Насколько мне известно существует ПО для создания файлов с заданым MD5.
Василий Иванович Вряд ли после изъятия вы уже что-то сможете доказать, если при изъятии не было нечего запротоколировано.ИМХО
-
И все таки, я так и не понял, информацию можно восстановить когда, в какое время файл залит, или нет?
Если не был включен режим аудита файловой системы, а он по умолчанию выключен - то нельзя.
Уточняю во второй раз, меня не интересует ситуация когда надо уйти от ответственности, когда у меня уже изъяли компьютер с детской порнографией, меня интересует вопрос -- как доказать факт, что у меня изъяли чистый компьютер и после этого силовики на него залили ту же порнографию, если ее до этого не было?
Если силовики не полные лохи, то доказать будет невозможно.
Т.е. можно кончено проверить event log и увидеть в нем то, что компьютер загружался 31 ноября в 8:30, а потом увидеть записи от 1 сентября, а потом снова от 31 ноября.... Но это все равно лишь косвенное подтверждение того что на компьютере менялась дата и время. Это же не говорит о том, что именно в это время именно этот конкретный файл был скопирован на диск. Ну и опять же - я не думаю, что если кто то собрался фальсифицировать улики, то он не позаботился о том, что бы это сделал грамотный специалист.
Вывод - если вы не смоли заставить внести в протокол обыска, или выемки информации, информацию о контрольной сумме электронного носителя информации, а так же перечень действий, полное название и версию программного обеспечения, при помощи которого получена контрольная сумма - вам кабздец... Засунут на винт детское порно и отестестуют Вас по полной программе.
Т.е. постфактум ничего доказать не удастся. Насколько я понимаю, в такой ситуации даже презумпция невиновности не канает.
-
Ёсомоно Насколько мне известно существует ПО для создания файлов с заданым MD5.
Ну во первых - в нашем случае файлы не важны. В нашем случае на диск нечто дописывается, а после этого нужно с генерировать нейкий "поправочный" файл так, что бы хэш диска сошелся с заданным. Это как я понимаю значительно сложнее чем сделать то о чем Вы говорите.
Во вторых, я ведь сразу говорил не об MD5 - есть алгоритмы серьезнее. Я привел пример с MD5 только потому что Вы о не говорили.
-
опять таки если я не ошибаюсь информация о MD5 хранится в биосе, и вполне подлежит корректировке
STArS, двома словами тут не обійдешся, і без термінів теж.
По перше - MD5 - це контрольна сума, яка обчислюется спеціальним алгоритмом. На вході в неї - інформація (файл, повідомлення, будь що), зазвичай,досить великого розміру. На виході набір байті (умовно, невеликий файл). Тож до біоса це не має ніякого відношення. MD5 використовують як«відбиток» або «дайджест» повідомлень будь-якого розміру. Можно підібрати інше повідомлення, яке буде мати таку саму суму, але це важка (математично) задача.
Трохи з вікіпедії:
"Для того, чтобы хеш-функция H считалась криптографически стойкой, она должна удовлетворять трем основным требованиям, на которых основано большинство применений хеш-функций в криптографии:
* Необратимость: для заданного значения хеш-функции m должно быть практически невозможно найти блок данных X, для которого H(X) = m.
* Стойкость к коллизиям первого рода: для заданного сообщения M должно быть практически невозможно подобрать другое сообщение N, для которого H(N) = H(M).
* Стойкость к коллизиям второго рода: должно быть практически невозможно подобрать пару сообщений ~(M, M'), имеющих одинаковый хеш.
....
Не доказано существование необратимых функций, то есть функций, для которых вычисление аргумента по значению теоретически невозможно. На деле, все используемые в криптографии хеш-функции являются кандидатами в необратимые. Нахождение обратного для них является вычислительно сложной задачей."
Теперь людською мовою:
існують алгоритми, які дозволяють вирахувати з великого об'єму інформації (документ) контрольний файл (хеш) невеликого розміру такий, що буде
1)Практично не можливо маючи хеш відтворити документ
2)Практично не можливо створити інший документ, але який мав би такий саме хеш
3)Практично не можливо створити два різних документи, які б мали однаковий хеш.
Теоретично можливо відтворити документ маючи хеш, але це завдання потребує ду-у-у-же багато часу (мільйони років)
Такі алгоритми використовуются в цифровому підпису, наприклад, в банківських системах.
Кожна літера в документі впливає на хеш, змінивши один біт в документі отримаєш новий хеш. Прогнозувати як вплине змінена літера на хеш не можливо - підігнати не вдастся :)
-
Или вы запротоколируете все свои файлы и папки?
Да в принципе на C# не составит труда написать программу, которая делает итерацию по всем папках всех дисков, и сохраняет МД5 хэш всех файлов и всех папок.
Но мне эта дискуссия напоминает дискуссию на форуме мобильников на тему "Как корректно отказать если у вас незнакомец просит мобилу позвонить" Несколько страниц было посвящено корректным ответам, пока кто-то не написал, что какого такого, никто не обязан оправдываться почему он мобилу не даст и просто пшелнах :D
В законе ничего не сказано о механизме протоколирования исходной информации перед пломбированием. Какие нафиг хэши? В законе про это ничего не сказано, не сказана какая именно программа должна определять целостность исходного состояния данных, посему рассуждения на тему хэшей и ректального криптоанализа - тавталогия.
Кроме того, как бы ни распинались на тему EFS, симметричного шифрования, коллокейшна в Зимбабве и внешних винтов - если захотят менты подставу сделать - подставят, потому что закон дырявый. А если будет у тебя хороший адвокат - тоотмажет, опять-таки, потому что закон дырявый.
например, принесут компьютер н экспертизу. Эксперт програзится с СДРОМа, через FDISK снесет твои разделы, поставит нелицензионную винду, зальет порнуху - и на основании чего ты будешь строить свою защиту? Уверен на 99% закон как дышло
-
Кстати, если ПРОСТО считывать сектора с диска, даже само-само низкоуровнево, типа через 13-е прерывание БИОСа, то скорее всего хэш данных на диске изменится, поскольку даже при чтении происходит запись контроллером привода в инженерные разделы диска. А если просто нечитаемый сектор в кластере - система сделает пометку в FAT :)
А в бутсекторе мне помнится во всяком случае, в Ms-DOS 6.22 в определенных байтах записывается время последней загрузки :D :D :D
-
Можно предложить следующее: берем рэковую стойку, цементируем в пол, ставим на нее наши компьютеры, жесткие диски привариваем к стойке, предварительно шлейфы посадив на эпоксидку :D
-
Да в принципе на C# не составит труда написать программу, которая делает итерацию по всем папках всех дисков, и сохраняет МД5 хэш всех файлов и всех папок.
Зачем делать рекурсивынй обход каталоговой структуры если можно тупо прочитать весь диск и вычислить по нему хеш.
[root@fearless ~]# dd if=/dev/sda1 | md5sum
a756d65b3792eb01418a3fe8 757ab5e0 -
106896384 (107 MB), 1,36521 , 78,3 MB/s
Но мне эта дискуссия напоминает дискуссию на форуме мобильников на тему "Как корректно отказать если у вас незнакомец просит мобилу позвонить" Несколько страниц было посвящено корректным ответам, пока кто-то не написал, что какого такого, никто не обязан оправдываться почему он мобилу не даст и просто пшелнах :D
Эта дискуссия больше напоминает:
- Это канал аниме?
- Да!
- Подскажите, как пропатчить KDE под FreeBSD?
В законе ничего не сказано о механизме протоколирования исходной информации перед пломбированием. Какие нафиг хэши? В законе про это ничего не сказано, не сказана какая именно программа должна определять целостность исходного состояния данных, посему рассуждения на тему хэшей и ректального криптоанализа - тавталогия.
Если бы читали внимательней и попытались бы понять собеседников, то заметили бы, то еще тут (https://www.kramatorsk.info/talk/index.php?topic=22433.msg522737#msg522737) я сказал то, до чего Вы дошли только сейчас.
И ежу понятно что в "законе" ничего толком не прописано. Да и не закон это вовсе, а кодекс.
Но там нет слов "за", то и нет слов "против" - т.е. раз процедура четко не расписана то можно попытаться настоять на проведении контрольного суммирования и занесения результатов в протокол. Может и не получиться, но пробовать все же стоит.
Кроме того, как бы ни распинались на тему EFS, симметричного шифрования, коллокейшна в Зимбабве и внешних винтов - если захотят менты подставу сделать - подставят, потому что закон дырявый.
Менты никогда не будут сильно напрягаться, и если сервер с колокейшена достать тяжело, то гораздо проще найти у тебя героин в сидироме. И тут дело даже не в цельности закона.
Кстати, если ПРОСТО считывать сектора с диска, даже само-само низкоуровнево, типа через 13-е прерывание БИОСа, то скорее всего хэш данных на диске изменится, поскольку даже при чтении происходит запись контроллером привода в инженерные разделы диска. А если просто нечитаемый сектор в кластере - система сделает пометку в FAT :)
А в бутсекторе мне помнится во всяком случае, в Ms-DOS 6.22 в определенных байтах записывается время последней загрузки :D :D :D
Я конечно дико извиняюсь, но ничего что через 13-е прерывание давно никто не читает, как в прочем и FAT не использует.
Ну а про дос 6.22 все уже точно забыли.
Это я к чему - Вы много говорите, но все не сильно по теме. Как впрочем и информацию какую то устаревшую выдаете.
Человек спросил - "шо робыть?". Ему ответили - "если не было сделано того то и того то, то уже бес толку что ли бо робыть".
-
Цитировать можно заколебаться :D :
1) Просто хэш диска вообще бесполезен. Он изменится в любом случае из-за инженерных областей. А нам бы проконтролировать хэши файлов и папок (папок - чтобы знать, где конкретно у нас что изменилось после экспертизы, а потом уже смотреть что именно)
2) Я конечно не менее дичайше извиняюсь, но у вас неправильное представление. В архитектуре PC заложена IBMовская архитектура еще со времен 80 годов, все что счас есть - это просто грубо говоря надстройка. Да, изменились форматы, размеры, но системные ресурсы, номера прерываний, контроллеры (даже UART), организация прерываний через вектора - все это осталось неизменным. И 13 прерывание его юзает операционная система как и раньше. Не было никаких революционных изменений в архитектуре персонального компьютера. Все это - совместимая надстройка. И framework - это тупо ребрендинг COM+ 2.0 :D А FAT таблицу считывает и обрабатывает дефрагментатор диска
-
1) Просто хэш диска вообще бесполезен. Он изменится в любом случае из-за инженерных областей. А нам бы проконтролировать хэши файлов и папок (папок - чтобы знать, где конкретно у нас что изменилось после экспертизы, а потом уже смотреть что именно
Картинку со Шварцнеггером я Вам уже показывал? :lol:
Вы вообще думаете о чем говорите? - Вам говорят о том, надо произвести по секторное чтение жесткого диска. Причем тут срервообсласти и смарт? Да пусть контроллер жесткого диска хоть обпишется туда - на области данных это никак не отразится.
2) Я конечно не менее дичайше извиняюсь, но у вас неправильное представление. В архитектуре PC заложена IBMовская архитектура еще со времен 80 годов, все что счас есть - это просто грубо говоря надстройка. Да, изменились форматы, размеры, но системные ресурсы, номера прерываний, контроллеры (даже UART), организация прерываний через вектора - все это осталось неизменным. И 13 прерывание его юзает операционная система как и раньше. Не было никаких революционных изменений в архитектуре персонального компьютера. Все это - совместимая надстройка. И framework - это тупо ребрендинг COM+ 2.0 :D А FAT таблицу считывает и обрабатывает дефрагментатор диска
Геля, Геля... :?
Ничего что UART на современных матплатах местами как то тяжело прощупывается. - Либо шлейфа нет, либо вообще его нет.
"13 прерывание его юзает операционная система как и раньше" - Ага... Т.е. береш ты сасовский рэйдконтроллер пихаеш его в мать, а потом приходит операционная система и давай его через 13-е прерывание и раком и боком... :lol:
"номера прерываний" - Ага... Те же, те же... так и осталось их 16 штук как в 80-х... Только вот как то странно получается - одна сетевая плата все 16 прерываний и занимает...
"FAT таблицу считывает и обрабатывает дефрагментатор диска" - Вы не поверите, у меня нет ни дефрагментатора диска, ни фат-таблицы.
-
Это не тема, а просто демотиватор какой-то! :)
-
Электронный микроскоп тоже не поможет, он может лишь помочь восстановить то, что было перезаписано несколько раз, а показать точно время записи не может наверное ни один прибор...Строить защиту на факте изменения системного времени слишком зыбко, это мог сделать и сам тот товарищ. Вообщем шансов нет :(
-
Вернее с помощью єлектронного микроскопа при счасливом стечении обстоятельств можно доказать, что записанная "порнуха" имеет более раннее "системное" время записи, чем стёртая информация под ней, а вот кто переводил часы в BIOS и с какой целью должен решать суд :)
-
Вывод - если вы не смоли заставить внести в протокол обыска, или выемки информации, информацию о контрольной сумме электронного носителя информации, а так же перечень действий, полное название и версию программного обеспечения, при помощи которого получена контрольная сумма - вам кабздец... Засунут на винт детское порно и отестестуют Вас по полной программе.
Т.е. постфактум ничего доказать не удастся. Насколько я понимаю, в такой ситуации даже презумпция невиновности не канает.
Как это не канает? Вот тут как раз Вы ошибаетесь. Насколько я помню, это уголовная статья. Та в любом случае, обязанность доказывания будет лежать на прокуроре, и если человек в суде выскажет сомнение по поводу того, что это не его и ему это "подкинули", прокурор должен будет доказать, что этого быть не могло. А сделать он этого не сможет. И тут как раз закон на стороне подозреваемого.
-
Как это не канает? Вот тут как раз Вы ошибаетесь. Насколько я помню, это уголовная статья. Та в любом случае, обязанность доказывания будет лежать на прокуроре, и если человек в суде выскажет сомнение по поводу того, что это не его и ему это "подкинули", прокурор должен будет доказать, что этого быть не могло. А сделать он этого не сможет. И тут как раз закон на стороне подозреваемого.
Возможно и ошибаюсь.
Однако мне кажется что на начало ОПРМ подозреваемый не виновен согласно презумпции невиновности. А вот когда улики преступления найдены (или сфабрикованы) и приняты в делопроизводство, вот тут презумпция невиновности заканчивается (т.е. у обвинения есть чем подкрепить свои слова) и подозреваемый становится обвиняемым. Т.е. он сам уже должен доказывать что он не верблюд, потому как у обвинения есть справка о том, что он все же верблюд.
-
Дядя, я конечно преклоняюсь перед твоими сединами, но вот не прав ты в своих выводах о железе. Да да да, приходит операционная система и начинает юзать 13-е прерывание БИОСа на твоем RAID контроллере. Вот тебе сцылко на внутренний документ тестовой лаборатории Майкрософта по тестированию драйверов на Serial ATA Controller and Serial ATA RAID Controller, поищи по слову 13:
http://download.microsoft.com/download/3/f/c/3fc5644d-3f96-4653-8934-3bf90cdebb9f/SerialATAController_SerialATA-RAIDController_Test-Procedures.doc (https://www.kramatorsk.info/talk/go.php?url=http%3A%2F%2Fdownload.microsoft.com%2Fdownload%2F3%2Ff%2Fc%2F3fc5644d-3f96-4653-8934-3bf90cdebb9f%2FSerialATAController_SerialATA-RAIDController_Test-Procedures.doc)
А какая у тебя файловая система, в которой отсутствует file allocation table? А также поверь, в регистрах процессора со времен 8086 тоже ничего радикального не появилось (разве что появились 32 битные регистры, которые организованы на младший и старший как и 16-ти битные) Отакот
-
Харэ пиписьками меряться.
-
Менты никогда не будут сильно напрягаться, и если сервер с колокейшена достать тяжело, то гораздо проще найти у тебя героин в сидироме.
С чего возник вопрос. Про героин тема интересная, но вот тут https://www.kramatorsk.info/talk/index.php?topic=22385.0 (https://www.kramatorsk.info/talk/index.php?topic=22385.0) в соседнем разделе выложили ролик с ютуба, где человек заявляет, что у него изъяли компьютер, а потом уже на него что то залили (что именно он не говорит), на основании чего возбудили против него уголовное дело и пытаются упрятать за решетку. У меня сразу возникло ряд вопросов по этому поводу -- или менты, которые у него изымали комп такие тупые, или действительно можно упрятать за решетку любого владельца компьютера при желании, или парень что то чешет не то. Если есть способ доказать, что информация была залита уже после изъятия (ели показать машину специалисту, что несомненно будет сделано), то почему его адвокат не заявил о проведении независимой экспертизы, к примеру, в харьковском институте судебных экспертиз, где есть специалисты по разным направлениям, от баллистики до работы электронных систем.
-
никто нихрена не докажет
а не положили героин видимо потому, что план делал отдел по преступлениям в сфере IT
ну я так думаю :)
-
Да да да, приходит операционная система и начинает юзать 13-е прерывание БИОСа на твоем RAID контроллере. Вот тебе сцылко на внутренний документ тестовой лаборатории Майкрософта по тестированию драйверов на Serial ATA Controller and Serial ATA RAID Controller, поищи по слову 13:
http://download.microsoft.com/download/3/f/c/3fc5644d-3f96-4653-8934-3bf90cdebb9f/SerialATAController_SerialATA-RAIDController_Test-Procedures.doc (https://www.kramatorsk.info/talk/go.php?url=http%3A%2F%2Fdownload.microsoft.com%2Fdownload%2F3%2Ff%2Fc%2F3fc5644d-3f96-4653-8934-3bf90cdebb9f%2FSerialATAController_SerialATA-RAIDController_Test-Procedures.doc)
Геля, Геля... :lol:
Во первых, Вы SATA от SAS не отличаете что ли? - Согласен, они чем то похоже, но все имеют серьезные отличия.
Во вторых, в приведенном Вами документе, черным по белому написано:
• Int 13H Extensions (not required if the device does not support boot functionality)
Т.е. 13 прерывание требуется только для тех устройств которые могут "бутиться". Это Вас на умные мысли не наводит? - А должно бы. :?
По своей сути БИОСные прерывания это подпрограммы осуществляющие определенные низкоуровневые действия. В частности 13-е в нашей реальности используется для того что бы загрузить ОС. Т.е. подпрограмма 13-го прерывания использует экстеншн (который "мапится" в память) контроллера дисковой подсистемы и начинает процесс загрузки ядра системы. В процессе загрузки ядра, загружаются драйвера контроллера дисковой подсистемы, и после старта ядра ОС начинает работать с контроллером напрямую, минуя БИОС, а соответственно и 13-е прерывание. Ибо 13-прерывание применимо только в "реальном" режиме, который в современных ОС практически не используется.
Что же касается нашей беседы, то я опровергал то, что современные ОС работает с дисками через Int13 - так оно и есть.
А какая у тебя файловая система, в которой отсутствует file allocation table?
Аааа.... Т.е. Вы предлагаете рассматривать FAT под таким углом? - Хм... Не вопрос... Действительно практически все файловые системы имеют некие таблицы которые служат для тех же целей что FAT. Однако приравнять Master File Table или таблицу интексных дескрипторов к FAT-у у меня рука не поднимается.
FAT - это FAT16... Родом из DOS.
Однако это все не важно, важно лиш то, что Ваше высказывание ложно:
Кстати, если ПРОСТО считывать сектора с диска, даже само-само низкоуровнево, типа через 13-е прерывание БИОСа, то скорее всего хэш данных на диске изменится, поскольку даже при чтении происходит запись контроллером привода в инженерные разделы диска. А если просто нечитаемый сектор в кластере - система сделает пометку в FAT :)
Если монтирование файловой системы в режиме записи не производилось, как частный случай - загрузка ОС (в частности Windows) с данного носителя не производилась, и носитель не "убитый" от природы, то при снятии дампа с носителя и вычисления его контрольной суммы последовательно несколько раз сумма будет идентичной.
А также поверь, в регистрах процессора со времен 8086 тоже ничего радикального не появилось (разве что появились 32 битные регистры, которые организованы на младший и старший как и 16-ти битные) Отакот
Ага... И 64-bit Long mode - это все враки и буржуйские проделки... :lol: Я понял... :)
p.s. Уважаемый, я не вижу дальнейшего смысла объяснять Вам очевидные вещи, тем более что мы все дальше и дальше уходим от темы топика. Касательно вопросов заданных топикстартером все уже озвучено и добавить почти нечего. За сим я откланиваюсь и заканчиваю обсуждение.
-
Если есть способ доказать, что информация была залита уже после изъятия (ели показать машину специалисту, что несомненно будет сделано), то почему его адвокат не заявил о проведении независимой экспертизы, к примеру, в харьковском институте судебных экспертиз, где есть специалисты по разным направлениям, от баллистики до работы электронных систем.
Нет способа, кроме чистосердечного признания
-
Признания того, кто заливал инфу после изъятия конечно.
-
Ёсомоно Насколько мне известно существует ПО для создания файлов с заданым MD5.
Хоть и не мне, но интересен пример такого ПО, если оно не для квантового компьютера конечно :o
http://gdataonline.com/ (https://www.kramatorsk.info/talk/go.php?url=http%3A%2F%2Fgdataonline.com%2F) - такое не интересно :D