Всем доброго дня! Помогите, пожалуйста, прояснить...

Вопросы, не вошедшие ни в один из разделов.

Модератор: Игорь

Всем доброго дня! Помогите, пожалуйста, прояснить...

Сообщение KLINsxi » 10 сен 2019, 15:00

Ситуация следующая:
Есть небезосновательные подозрения в том, что из компа вытаскивался жесткий диск и его копировали.
Знаю о технической информации, хранящейся на контроллере HDD, но она имеет больше сервисный характер.
Вопрос: имеется ли возможность прояснить включался ли жесткий и копировалось ли содержимое?
Система NTFS, WIN7*64
Количество включений при последней работе не смотрел.
Комп после этого не включал. Период: 2 суток.

Заранее извиняюсь, если обратился "не по адресу"
KLINsxi
 
Сообщения: 5
Зарегистрирован: 10 сен 2019, 14:45
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Всем доброго дня! Помогите, пожалуйста, прояснить...

Сообщение KLINsxi » 10 сен 2019, 15:22

модель диска ST2000NM0033
KLINsxi
 
Сообщения: 5
Зарегистрирован: 10 сен 2019, 14:45
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Всем доброго дня! Помогите, пожалуйста, прояснить...

Сообщение Igor Mikhaylov » 10 сен 2019, 15:43

Здравствуйте.

Информация о числе выключений-включений и общем времени работы хранится в контроллере жесткого диска и да ее можно извлечь.

Но с чем вы будете ее сравнивать? У вас нет точки от которой возможно оттолкнуться: Предположим, я скажу вам что диск пережил 111 циклов включения - выключения и общее время работы жесткого диска 500 часов, что это вам даст? Вот если бы вы знали, что за сутки до предполагаемого времени тайного копирования жесткого диска эти параметры были 110 циклов включения-выключения и 496 часов общей наработки... Тогда да, были бы основания полагать, что жесткий диск тайно копировали.

Могу вам предложить следующее решение: если предположить, что те, кто тайно копировал диск не сильно грамотны, то возможно они "наследили" на диске пока пытались его скопировать: поменяли метаданные некоторых файлов (естественно не специально, а из-за того, что вели себя как слон в посудной лавке), операционная система пару раз обратилась к системным файлам, находящимся на подключенном диске, антивирус свой нос засунул куда не следует....в общем, есть вероятность того, что мы найдем следы того, что кто-то имел доступ к диску в тот период времени когда этого быть не должно. Такое исследования я могу для вас произвести. Если предложение заинтересует, напишите мне в личные сообщения.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6949
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 154 раз.

Re: Всем доброго дня! Помогите, пожалуйста, прояснить...

Сообщение KLINsxi » 10 сен 2019, 19:40

про smart понятно, но от нее нет пользы (в начале написал)
Те, кто копировал, действительно не сильно грамотны, ибо наследили с пылью, винтами и расположением системного блока.
Следы крайне интересно найти самому, коммерческая выгода от того что мы их найдем нулевая.
Имея уровень обычного пользователя (может чуть больше -раньше мог чуть поковырять прошивку (шрифты, цвета, сжатие камеры и прочие мелочи) на телефоне, изменял/шил биос на видеокарте и т.п, восстанавливал информацию с крякнутых дисков, флешек) наткнулся на данный форум вчера и понял, что есть люди, возможно понимающие куда нужно копать в подобных случаях.
Проникся уважением и самому стало интересно.
А за предложение спасибо!
Сам факт хищения рабочей информации и так зафиксирован сразу 3 доказательствами.
KLINsxi
 
Сообщения: 5
Зарегистрирован: 10 сен 2019, 14:45
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.


Вернуться в Беседка

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1