[Василий Иванович]

В соседнем разделе выложили ролик с заявлением жителя Мариуполя, о том, что злые менты изъяли у него компьютер и потом накачали туда чего то лишнего, за что хотят посадить в тюрьму. На сколько мне известно, время создания файла прописывается в его свойствах. Отсюда вопрос к специалистам -- можно ли загрузить на жесткий диск компьютера файлы и изменить время их создания на более раннее (ну, вроде хозяин их загрузил до изъятия). Прошу высказаться людей, которые в курсе дела, атцов прошу не беспокоиться.

[Kot]

Выставил на компе нужную дату и время, залил файлы, перевел время и дату на правильные и фсе. По силам даже ментам. Первое, что пришло в голову как ламеру.

[oleg0k]

лехко-лёгонько

[Василий Иванович]

Тогда другой вопрос -- можно ли специалисту восстановить историю изменения свойств файла (в частности время создания -- предыдущее, последуещее), если покопаться упорно? Не может быть, что бы не оставалось ни каких хвостов. Неужели Майкрософт упустил эту дыру из вида?

[aidared]

Я Вам больше скажу. Время создания при копировании сохраняется. Так что оно, с одной стороны, никак не может являться доказательством, а с другой - ничего и исправлять не надо.

[Gaijin]

Проблема не в Майкрософт, а в наших законотворцах. Потому как процедура выемки информации прописана не достаточно жестко и конкретно. Если бы при изъятии накопителей в протокол изъятия вносились бы контрольная сумма по носителю целиком, то таких бы вопросов не возникало.

[Василий Иванович]

Значит, теоретически, если на горизонте появился неугодный власти гражданин и он имел неосторожность обзавестись компьютером, отправка его на казенные харчи дело времени? Берешь его комп, закачиваешь туда план государственного переворота и закрываешь? Мне кажется, не должно быть все так просто. Исходя из принципа физики -- каждое действие в природе оставляет свои следы, должен быть какой то механизм проверки -- закачаны файлы на жесткий диск сегодня или месяц назад.

[aidared]

должен быть какой то механизм проверки -- закачаны файлы на жесткий диск сегодня или месяц назад.

механизм-то есть, но, во-первых, его надо дополнительно активировать, а во-вторых, любой программный механизм легко обходится.

[горобець]

Берешь его комп, закачиваешь туда план государственного переворота и закрываешь?

зачем переворот??? порнухи туда кинуть достаточно - и за хранение с целью распространения...

[ДжеК]

Неужели Майкрософт упустил эту дыру из вида?

А где тут дыра? Взять линукс - тоже самое будет. Такова уж специфика компьютеров!
Если б вы знали о настоящих дырах, вы бы в компьютер с важной информацией никогда не втыкнули бы сетевой кабель!

[Sem]

Щоб бути певним, що маніпуляцій з інформацією не відбувалося - треба виконати певні процедури. Як то:
1) зняти копію диска (як пристрою вцілому) , зберігти цю контрольну копію з обчислюванням її контрольної суми (МД5, наприклад)
2) зафіксувати цю суму документально (на папері, в протоколі)
3) п.1 повинен бути виконаним таким чином, щоб потім не викликав заперечень з будь-якої сторони.

Чи виконуются ці правила у нас? - дуже сумніваюся. Та й чи допоможе? Якщо в справі буде два протилежних експертних висновки, суддя може спиратися на будь який (на його власний розсуд=в кого більше грошей або вища криша)....   

[Василий Иванович]

Вопрос, собственно, не в том, что надо делать до изъятия машины или после. Вопрос -- можно ли доказать, что файлы были загружены после изъятия? Можно ли каким-либо образом установить точное время создания файлов? Я, на пример, слышал, что даже удаленные файлы можно восстановить каким то образом. Значит где то остается какая то история по работе с файлами?

[Boris]

Вопрос, собственно, не в том, что надо делать до изъятия машины или после. Вопрос -- можно ли доказать, что файлы были загружены после изъятия? Можно ли каким-либо образом установить точное время создания файлов? Я, на пример, слышал, что даже удаленные файлы можно восстановить каким то образом. Значит где то остается какая то история по работе с файлами?

Своих часов в НЖМД нет, время он берёт системное, значит переводом часов решаются все проблемы со временем изменения файлов.
В любом случае для экспертизы нужна ювелирная технология и дорогущая техника(электронные микроскопы)...В странах, где в сфере IT крутятся нормальные деньги, такие лаборатории есть, в Украине - не знаю

[dmp]

Товарищи, а знаете ли вы, что в NTFS есть EFS? Иными словами - настройте шифрование данных на диске симметричным алгоритмом на уровне Винды. А комп изымут - хай сами подбирают пароль на вход ))))))))))))))))) Очень рекомендую ссылку, как это сделать: http://www.ixbt.com/storage/efs.html

[aidared]

Товарищи, а знаете ли вы, что в NTFS есть EFS? Иными словами - настройте шифрование данных на диске симметричным алгоритмом на уровне Винды. А комп изымут - хай сами подбирают пароль на вход ))))))))))))))))) Очень рекомендую ссылку, как это сделать: http://www.ixbt.com/storage/efs.html

Ну во-первых, речь идет, о том, что есть возможность залить файл уже после изъятия, т.е. сфабриковать. От этого efs не спасет. А во-вторых:

EFS обеспечивает встроенную поддержку восстановления данных на тот случай, если потребуется их расшифровать, но, по каким-либо причинам, это не может быть выполнено обычным. По умолчанию, EFS автоматически сгенерирует ключ восстановления, установит сертификат доступа в учетной записи администратора и сохранит его при первом входе в систему. Таким образом, администратор становится так называемым агентом восстановления, и сможет расшифровать любой файл в системе.

Вот.