Дата создания файла Word

Консультации по противодействию мошенникам, вредоносным программам и другим сетевым угрозам.

Re: Дата создания файла Word

Сообщение Igor Mikhaylov » 10 янв 2015, 15:01

Это не про то.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: Дата создания файла Word

Сообщение rwz » 10 янв 2015, 16:26

Больше про время ничего нет.
"Далее производится поиск программного обеспечения и изучение входящих в его состав файлов. В результате обнаружены в каталоге """"Исполняемый файл name.exe, дата создания 01.03.2014 9:30:45"
rwz
 
Сообщения: 7
Зарегистрирован: 10 янв 2015, 12:19
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Дата создания файла Word

Сообщение andre_m » 10 янв 2015, 17:35

все подключения программного продукта А. осуществлялись в период с 9:01 до 10:15 часов
немного смущает формулировка "...подключения программного продукта..."
это что? это как?
подключения куда? к чему?
и поле "File Creation Time" атрибута $Standard_Information файла "name.exe" здесь причем? (там же файловая система NTFS?)
rwz писал(а):"...Исполняемый файл name.exe, дата создания 01.03.2014 9:30:45"

Тут просто указано значение данного поля для файла "name.exe" в таблице MFT (если там NTFS).
если кратко - это дата первого (birth time) появления файла на разделе (если NTFS)
но не всегда - необходимо учитывать "историю" появления файла на разделе...(копирование, распаковка из архива или инст. пакета и т.п.)
Аватара пользователя
andre_m
Член клуба
 
Сообщения: 631
Зарегистрирован: 20 сен 2007, 19:32
Откуда: ГКСЭ Республики Беларусь
Благодарил (а): 35 раз.
Поблагодарили: 39 раз.

Re: Дата создания файла Word

Сообщение Denavsky » 10 янв 2015, 17:56

Про подключения - возможно просто сетевое ПО и речь про подключения с его использованием. А вообще его видимо интересует можно ли рассматривать время создания исполняемого файла в середине интересующего интервала, как признак того, что дата была кем-то изменена. Не понятен смысл (что от этого зависит). А вообще самое простое объяснение - работа функции обновления ПО. Во время начавшегося сеанса работы в сети Интернет была обнаружена новая версия программы, загружено обновление и программа была перезапущена, соответственно, после замены исполняемого файла. Это все что я могу предположить на основании скудных исходных данных...
Denavsky
Член клуба
 
Сообщения: 189
Зарегистрирован: 13 янв 2009, 09:23
Откуда: ФБУ Пензенская ЛСЭ
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Дата создания файла Word

Сообщение rwz » 10 янв 2015, 20:00

Denavsky писал(а):Про подключения - возможно просто сетевое ПО и речь про подключения с его использованием. А вообще его видимо интересует можно ли рассматривать время создания исполняемого файла в середине интересующего интервала, как признак того, что дата была кем-то изменена. Не понятен смысл (что от этого зависит). А вообще самое простое объяснение - работа функции обновления ПО. Во время начавшегося сеанса работы в сети Интернет была обнаружена новая версия программы, загружено обновление и программа была перезапущена, соответственно, после замены исполняемого файла. Это все что я могу предположить на основании скудных исходных данных...


Подключения, видимо, к базам данных (это ПП 1С 7.7) Обновления из интернета не было, 1С 7.7 не умеет это делать.
К вещдоку, исходя из заключения эксперта, был непроцессуальный доступ. Интересует, могло ли быть во время этого доступа изменено время создания файла (в теории) и должен ли был это установить эксперт.
Экспертом использовалась методика Саенко, Тушкановой
rwz
 
Сообщения: 7
Зарегистрирован: 10 янв 2015, 12:19
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Дата создания файла Word

Сообщение Igor Mikhaylov » 10 янв 2015, 20:12

Эксперт должен был ответить на вопросы поставленные перед ним органом дознания / следователем / судом. Если его не спрашивали конкретно про это, имел полное право не отвечать.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: Дата создания файла Word

Сообщение rwz » 10 янв 2015, 20:27

Спасибо!
rwz
 
Сообщения: 7
Зарегистрирован: 10 янв 2015, 12:19
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Дата создания файла Word

Сообщение rwz » 10 янв 2015, 20:33

Но техническая возможность установить факт изменения атрибутов даты-времени существует, если я правильно понимаю? Если такой вопрос эксперту поставить?
rwz
 
Сообщения: 7
Зарегистрирован: 10 янв 2015, 12:19
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Дата создания файла Word

Сообщение Igor Mikhaylov » 10 янв 2015, 20:51

rwz писал(а):Но техническая возможность установить факт изменения атрибутов даты-времени существует, если я правильно понимаю? Если такой вопрос эксперту поставить?


Можно. Однако, есть нюансы.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: Дата создания файла Word

Сообщение andre_m » 10 янв 2015, 21:13

Еще раз...
Абсолютно не понятно, почему обстоятельства доступа к базе данных 1С связываются с датой создания конкретного исполнимого файла 1С (01.03.2014 9:30:45)?
Вы не указали дату доступа, а только период времени (с 9:01 до 10:15 часов). Или надо понимать что дата доступа тоже 01.03.2014?
доступ к базе, по идее, устанавливается по журналу регистрации 1cv7.mlg.
доступ мог быть осуществлен с использованием иного экземпляра исполнимого файла программы 1С.
Последний раз редактировалось andre_m 10 янв 2015, 21:15, всего редактировалось 1 раз.
Аватара пользователя
andre_m
Член клуба
 
Сообщения: 631
Зарегистрирован: 20 сен 2007, 19:32
Откуда: ГКСЭ Республики Беларусь
Благодарил (а): 35 раз.
Поблагодарили: 39 раз.

Re: Дата создания файла Word

Сообщение rwz » 10 янв 2015, 21:15

Дата доступа та же, да.
Доступ установлен по журналу регистрации 1cv7.mlg, все верно.

Спасибо, помогли разобраться.
rwz
 
Сообщения: 7
Зарегистрирован: 10 янв 2015, 12:19
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Дата создания файла Word

Сообщение kfv » 12 янв 2015, 09:20

rwz писал(а):Дата доступа та же, да.
Доступ установлен по журналу регистрации 1cv7.mlg, все верно.

Спасибо, помогли разобраться.


В общих случаях да, но не факт.
Могли и подделать. Надо ФС исследовать.
Видишь суслика?
- Нет.
А он есть.
Аватара пользователя
kfv
Член клуба
 
Сообщения: 765
Зарегистрирован: 23 янв 2008, 08:59
Откуда: Омск
Благодарил (а): 26 раз.
Поблагодарили: 30 раз.

Re: Дата создания файла Word

Сообщение andre_m » 12 янв 2015, 13:09

вот сильно сомневаюсь что кому-то надо подделывать ctime файла (кстати, одного файла или всего набора 1C)
с какой целью и что этим скрывают?
Аватара пользователя
andre_m
Член клуба
 
Сообщения: 631
Зарегистрирован: 20 сен 2007, 19:32
Откуда: ГКСЭ Республики Беларусь
Благодарил (а): 35 раз.
Поблагодарили: 39 раз.

Пред.

Вернуться в Консультации

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron