Вариант подставы

Консультации по противодействию мошенникам, вредоносным программам и другим сетевым угрозам.

Вариант подставы

Сообщение mikola231 » 17 окт 2013, 22:53

Уважаемые Гуру форума. Случилась ситуация: кто-то написал жалобу в милицию, о типа контрафактом использовании ПО на предприятии ( в качестве предъявителя претензии выступила какая-то левая фирма, которая якобы является представителем корпорации Adobe). Прибыла бригада с решением суда (на котором никто не присутствовал и даже не имел понятия о таком деянии) и изъяла системные блоки. После проведения "экспертизы" в местном управлении УВД было типа обнаружено контрафактное ПО. После возврата системных блоков, включая те, на которых это было найдено, просмотрели что же там могли найти. Оказалось, что на всех жестких дисках установлена Portable версия Adobe Fotoshop, начиная от CS2, и заканчивая CS5. Причем это ПО оказалось на САМОМ ВИДНОМ МЕСТЕ (в папке Program Files) и естественно с разными датами создания. Подскажите, есть ли какие-то варианты доказать, что конкретная папка создана после изъятия техники. Хотя мне кажется что нет ((((. Кстати, система на всех дисках NTFS.
mikola231
 
Сообщения: 2
Зарегистрирован: 17 окт 2013, 22:40
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Вариант подставы

Сообщение Igor Mikhaylov » 18 окт 2013, 04:39

Как говорит наш коллега: "Нельзя просто взять и подбросить файл в NTFS". :D

Криминалистическое исследование файловых систем вам в помощь. Там все расписано.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: Вариант подставы

Сообщение mikola231 » 18 окт 2013, 10:30

Спасибо Игорь
mikola231
 
Сообщения: 2
Зарегистрирован: 17 окт 2013, 22:40
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Вариант подставы

Сообщение Aital » 30 окт 2013, 11:43

Надо получить следующие данные: дата изъятия системного блока, дата создания файлов портативного ПО, наличие в реестре упоминаний о запуске данного ПО, наличие соответствующих файлов в :\WINDOWS\Prefetch\, проверить журналы событий на последовательное следование дат.
Aital
 
Сообщения: 55
Зарегистрирован: 21 фев 2012, 13:34
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.


Вернуться в Консультации

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron