Документ Excel. Можно ли определить дату его создания если....

Консультации по противодействию мошенникам, вредоносным программам и другим сетевым угрозам.

Документ Excel. Можно ли определить дату его создания если....

Сообщение Наталья » 26 фев 2010, 10:33

Уважаемые модераторы, заранее прошу извинить меня, если не в тему. Если можно - перенесите, плиз.

Суть вопроса такова. Мне вменили два дня прогула и уволили. Я доказываю в суде, что я была на работе в эти дни.
Есть свидетели. Но суд по-прежнему стоит на стороне ответчика (причины не буду указывать - они для суда имеются).

В один из этих дней я создала документ в формате Excel, но впоследствии перенесла всю папку на флэшку, а затем и на другой комп.
А на первоначальном компьютере полностью удалила.

Вопрос: можно ли по имеющемуся файлу определить:

1. дату его первоначального создания (В настоящее время в "свойствах" говорится только что он изменен такого-то числа. На самом деле - это число и есть дата создания.)

2. на каком именно компьютере был создан документ?

Ещё укажу, что к тому компьютеру, на котором файл был создан, сейчас у меня прямого доступа нет, он жив, но уже "почищен".
Наталья
 
Сообщения: 4
Зарегистрирован: 26 фев 2010, 10:17
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Igor Mikhaylov » 26 фев 2010, 19:32

Наталья, если у вас есть адвокат - советую проконсультироваться с ним.

По идее, суд охотнее верит живым свидетелям чем всяким заключениям эксперта написанным, с точки зрения судьи, на птичьем языке. Так как суд не принимает как доказательство показания свидетелей - откуда у вас уверенность, что судом будет принято как доказательство заключение эксперта? Лично я в этом сильно сомневаюсь.

Думаю, проще дождаться необъективного решения суда а потом его обжаловать в вышестоящем суде (опять же предлагаю посоветоваться вам по этому вопросу со своим адвокатом).

Теперь насчет файла. Думаю, вы заостряете взгляд не на должном объекте для экспертизы.

Предположим, у вас был на работе компьютер, за которым работали только вы и, соответственно, включали только вы. Поэтому, если удастся доказать что в дни "прогулов" ваш компьютер работал, то, соответственно, стоит полагать, что за ним работали вы. Если все на самом деле было так как я написал, то надо настаивать на том, чтобы ответчик предоставил суду ваш бывший рабочий компьютер (на экспертизу необходимо будет представить не отдельно жесткий диск а системный блок) и, соответственно, ходатайствовать перед судом о назначении компьютерно-технической экспертизы. На разрешение эксперта поставить вопрос: функционировал ли представленный компьютер в период времени с часы/дата до часы/дата?

Для того чтобы доказать, что представленный вами файл был изготовлен именно на вашем рабочем компьютере, вам также надо добиться от ответчика, чтобы ваш рабочий компьютер был представлен на экспертизу (естественно, делать это будете не вы. Вы заявляете ходатайство в суде о назначении экспертизы, а суд уже истребует у ответчика необходимый для экспертизы компьютер). В принципе, на вопросы поставленные вами ответить реально. Возможно будет это сделать в ходе экспертизы или нет - зависит от нюансов.

То, что компьютер после вашего увольнения "почистили" - вас не должно волновать. Качественно удалить информацию может не всякий сисадмин.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Сообщение Наталья » 27 фев 2010, 11:21

Так как суд не принимает как доказательство показания свидетелей - откуда у вас уверенность, что судом будет принято как доказательство заключение эксперта? Лично я в этом сильно сомневаюсь.


Я пока не могу утверждать, что суд не принимает показания свидетелей. Протокол последнего заседания ещё не готов. Просто хочу все возможные методы использовать.

А насчёт того, что я в тот день могла включать компьютер - так они выдвигают такую версию, что я, якобы, могла прибыть по личному вопросу и меня никто не видел
(хотя, пока о компьютере речь вообще не велась, это я только прорабатываю такую версию, но они запросто могут так "отбрехаться",
несмотря на то, что это неправда).

Мне хочется знать, можно ли по самому файлу определить, что он был СОЗДАН такого-то числа на таком-то компьютере.

Допустим, я отдаю на диске файл на экспертизу и получаю заключение: создан 4.06., технические характеристики компьютера - такие-то.

Есть ещё такой параметр, как "автор". Так вот он меня не устраивает, т.к. в разных файлах моего компьютера разные авторы. Некоторые файлы создавались мною,
а некоторые "сохранялись как" и появлялись на моём компьютере путём переноса с других носителей.


Дело в том, что я слабо верю вообще в экспертизу, тем более Вы знаете структуру, в которой происходит спор. Но после двух заседаний - я уже не верю,
что в нашей стране вообще можно обращаться в суд. Наша структура в сравнении с судом - "отдыхает".

Так вот, прежде чем надеяться на этот шанс я и хочу знать, в принципе возможно такое определение "места и время рождения файла" или невозможно.
Наталья
 
Сообщения: 4
Зарегистрирован: 26 фев 2010, 10:17
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Igor Mikhaylov » 27 фев 2010, 11:29

Наталья писал(а):Допустим, я отдаю на диске файл на экспертизу и получаю заключение: создан 4.06., технические характеристики компьютера - такие-то.

Вы отдадите файл на экспертизу и получите ответ, что согласно метаданных сохраненных в файле, он создан 4.06 по системному времени компьютера, "идентификационный номер" компьютера - такой-то.

Но, установить соответствует ли системное время реальному и каков "идентификационный номер" вашего рабочего компьютера, без анализа системного блока - нельзя.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Сообщение Наталья » 27 фев 2010, 11:32

А с учётом того, что его "почистили" - можно установить бывшее системное время? Ведь оно наверняка установлено заново.
Наталья
 
Сообщения: 4
Зарегистрирован: 26 фев 2010, 10:17
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Igor Mikhaylov » 27 фев 2010, 11:35

Это будет зависеть от ряда нюансов (от того что и как чистили). Но, попробовать установить истину - возможно.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Сообщение Наталья » 27 фев 2010, 11:40

Спасибо, Игорь.
Наталья
 
Сообщения: 4
Зарегистрирован: 26 фев 2010, 10:17
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Сообщение Igor Mikhaylov » 28 фев 2010, 07:37

Наталья писал(а):А насчёт того, что я в тот день могла включать компьютер - так они выдвигают такую версию, что я, якобы, могла прибыть по личному вопросу и меня никто не видел

Полагаю, работодатель пытается доказать факт вашего отсутствия на рабочем месте. Мы, доказываем обратное, что в указанный работодателем временной период вы таки были на рабочем месте. Раз были на рабочем месте- прогул поставлен незаконно со всеми вытекающими. А исполняли вы свои служебные обязанности находясь на рабочем месте или нет - это для суда дело совсем не интересное. В конце всех концов и ваш бывший начальник делает перерывы на чай (кофе), перекуры и туалет. Никто его за это не увольняет.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.


Вернуться в Консультации

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron