Comments 40
Что с шифрованием? Например, если на диске есть архивы с шифрованием - как их проверяют? Терморектальный криптоанализатор только? ?
Вообще часто бывает, что есть архив шифрованный, но где-то на компе есть от него пароль - в почте, в мессенджерах или ещë где-то. Это как-то проверяется?
Сколько я видел экспертиз в рамках ЗОЗПП, там по большей части работа эксперта записать конторским языком совершенно обычные вещи. Здесь подозреваю всё тоже. Именно те, что спросили - спросят про зашифрованные архивы, будет ответ про зашифрованные архивы. Спросят не записан ли номер в пейнте, будет ответ про пеинт.
А надо мной все смеялись, когда я в передаваемых по мессенджерам номерам (по причине паранойи) заменял 3 на З, 0 на О, 1 на I и так далее...
Следующий уровень паранойи - вместо 3 - тройка, вместо 1 - однёрка, вперемешку. Записывайте ;)
Ещё чуть чуть и вы изобретаете шифрование
Во времена разгула спаммеров, по совместительству времена неразвитого ИИ, по совместительству времена, когда не было "службы безопасности сбербанка",
я указывал свой номер телефона в открытых местах (объявления на форумах, etc) словами. Или частично цифрами, частично словами. И адрес email тоже иносказательно.
Но за 20 лет всё сильно изменилось.
На заметку ещё более отбитым параноикам: отправлять голосовым или картинкой, не забыв добавить шумов.
Отдельными сообщениями по частям, в разных мессенджерах.
На языке навахо )
От какого сценария это защитит?
Упомянутый архивариус учитывает похожие символы, не прокатит.
Данная статья написана для освещения другого отличного мира
Идея неплохая, но для "другого мира" было бы неплохо пояснить не только "что" делается, но и "почему так" делается. Т.к. часть идёт для ответа по существу на вопросы (копирование данных с оригинального носителя и дальнейшая работа с его образом - это одна из типовых процедур при восстановлении данных), а часть - скорее из процессуальных соображений (в который тоже есть смысл, а не просто писанина ради числа слов в заключении экспертизы).
«Имеется ли на накопительной системе (системном блоке) информация о номере банковской карты № XXXX XXXX XXXX XXXX (номер счета XXXXXXXXXXXXXXXXXXXX)?»
«Имеется ли на накопительной системе (системном блоке) информация об абонентском номере X-XXX-XXX-XX-XX?»
Ответы на эти вопросы не требуют цитирования (указания в заключении или записи на прилагаемый носитель) всех обнаруженных данных. По сути, следователю можно дать и ответ "да, информация о номере банковской карты обнаружена, точка", а в исследовательской части указать только одно вхождение.
Объект представлен в чёрном полимерном пакете.
А как эксперт определил, что пакет именно полимерный? Какие исследования проводил для этого? Это, как бы, не общие, а специальные знания уже. И не в той области.
установлено, что настройки даты/времени системной платы СБ соответствуют текущим значениям
Вот прямо так и соответствуют? Обычно отклонения есть, хотя бы секунд 5. Объект все-таки еще в очереди лежит месяц-другой.
Занято, байт
Это значение зависит от версии драйвера NTFS. Наличие в Windows функции Storage Reserve может искусственно занижать объем свободного пространства в томе (даже если это внешний накопитель).
А где подписка эксперта? По ней вообще иногда можно сразу сказать, что эксперт лжет (статью 57 УПК РФ не читал, либо дал подписку после оформления заключения).
Это значение зависит от версии драйвера NTFS. Наличие в Windows функции Storage Reserve может искусственно занижать объем свободного пространства в томе (даже если это внешний накопитель).
Однако, упоминаемое в тексте экспертизы ПО «Paragon Hard Disk Manager 15» версии «10.1» выдаст одни и те же значения для одного и того же носителя. И если тоже самое ПО при очередной экспертизе покажет иные значения, значит в промежутке между ними состояние (содержимое) носителя могло измениться, или это и вовсе другой носитель.
это какой-то детсад а не форенЗика..
а ну, да, у автора это же форенсика ))
"Для производства исследования НЖМД подключался к стенду в режиме «только чтение»" - это как, простите? На современных дисках я не припоминаю джампера "Read Only". Или вы сначала диск подключаете, а потом в винде ему ReadOnly назначаете каким-то образом? Или у вас специальный BIOS, который умеет блокировать запись?
исходя из того, что я читал про форенсику, его через какую-то прибулуду подключают. хотя может быть это в лучшем мире.
Имею этот же вопрос, но видно Хабр не платит гостям-авторам за ответы на комментарии. Пока "лучшая" ссылка по теме эта, но методы доверия не внушают.
Всегда интересовал вопрос - что мешает эксперту закинуть на исследуемый ЖД, к примеру, любой файл, отредактировать его атрибуты, подкрутить кое-что в файловых таблицах и написать заключение, что есть такой файл? Как доказать потом, что имел место факт "подброса"?
В идеальном мире эксперт работает с носителем исключительно через устройства, исключающие какую-либо запись на носитель. Существуют копировщики дисков для работы "в поле", то есть копии можно снять непосредственно во время обыска и опечатать диск на случай подобных ситуаций.
Не будет там полного ридонлм, прошивка что-нибудь да запишет. Хотя бы счётчики SMART.
Для теоретически надёжного ридонлм надо пакет дисков вынимать. Что почти нереально с уровнем современных технологий (точность допусков). И тем более нереально при банальной полицейской экспертизе
Давно уже есть прошивки для HDD, которые стирают с него данные, если к какому-то диапазону секторов у компьютера повышенный интерес на чтение.
Используется так: создаётся бессмысленный раздел в этом специальном диапазоне, забивается имитацией полезных данных, и когда тов. майор начинает себе делать бэкап или просто шариться в этом разделе, то прошивка понимает это и очищает диск.
Это я понимаю, но что в принципе мешает эксперту перед этим подключить ЖД на запись и что угодно подбросить? При копировании в присутствии хозяина, возможно, есть какая-то минимальная гарантия, да, но у нас так не делают, тупо изымают вместе с системником и привет.
Представляю сколько времени нужно на обследование 500tb сервера на zfs, raid z2 забитого на 90+ мелкими файлами
Ну ёмоё, только начал читать, а статья уже кончилась...
А если диск зашифрован, как поступаете?
P.S. Данная статья написана для освещения другого отличного мира, чтобы ваше воображение могло соприкоснуться с данной сферой. Описана простейшая производственная экспертиза.
Интересно было бы почитать, про экспертизу подтверждения соответствия IP адрес - конкретное физ лицо.
Кажется, автор статьи за сутки не ответил ни на один из комментариев, так что похоже озвученная цель соответствует поставленной
соответствия IP адрес - конкретное физ лицо
Насколько я понимаю - у провайдера запрашиваются данные о сеансовых ip-адресах в конкретные время. В случае мобильных устройств - привязка к IMEI есть. То есть вычислить конкретное мобильное устройство можно.
Я хоть и не эксперт, но поучаствовал в проверках в качестве проверяемых. В органы было отправлено электронное письмо с мобильного устройства в кафе через wi-fi о ложном минировании, соответственно у мобильных операторов органы выдернули какое-то количество мобильных которые светились на базовых станциях в этом районе, граждане приглашались в отдел полиции для проверки как самих мобильных устройств, так и по желанию на полиграфе.
Я вот вообще сомневают в возможности проведения такой экспертизы, но поскольку автор отвечать не горит желанием в комментариях, то и влезать не стал.
Потому что есть задача установить физ. лицо, выполнившее определённое действие, а потом - еще и доказать вину этого лица, ибо объективное вменение запрещено.
В режиме ReadOnly через программу Studio?
Это с каких пор она так умеет? Ладно там safeblock какой нибудь, а тут rstudio.
А вообще должны аппаратные блокираторы использовать в идеале.
А что если будет применятся -cipher? Как в таком случае поступает?
Проведение технической экспертизы в рамках уголовного дела