• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Подлинность доказательств в форензике

AleKosky

New member
14.03.2020
3
0
BIT
0
Добрый день, уважаемые участники форума! Как вы считаете возможно ли как-то установить подлинность доказательств, полученных в ходе анализа жёсткого диска? Может ли произойти следующая ситуация: файл(ы) будут подброшены на диск экспертом уже после его изъятия для проведения экспертизы? Например, имеем изъятый жёсткий, подключаем его к машине, на которой заранее изменили системное время, которое будет соответствовать времени, когда диск ещё не был изъят на экспертизу. Сбрасываем нужные нам ложные файлы "секрет.rar". Если может тогда как доказать, что файлы подброшены?
 

swagcat228

Заблокирован
19.12.2019
341
86
BIT
0
Добрый день, уважаемые участники форума! Как вы считаете возможно ли как-то установить подлинность доказательств, полученных в ходе анализа жёсткого диска? Может ли произойти следующая ситуация: файл(ы) будут подброшены на диск экспертом уже после его изъятия для проведения экспертизы? Например, имеем изъятый жёсткий, подключаем его к машине, на которой заранее изменили системное время, которое будет соответствовать времени, когда диск ещё не был изъят на экспертизу. Сбрасываем нужные нам ложные файлы "секрет.rar". Если может тогда как доказать, что файлы подброшены?
а если у кого-то изьяли брикет кокаина - как доказать что это кокаин, а не сода? или сода, а не кокаин?
С жёстким диском тоже самое, только ещё меньше контроля. "Эксперт" который проверяет твой жёсткий диск - это пацанёнок с района, в 80% случаев.
 

R3M1X

Green Team
16.02.2020
117
20
BIT
0
Добрый день, уважаемые участники форума! Как вы считаете возможно ли как-то установить подлинность доказательств, полученных в ходе анализа жёсткого диска? Может ли произойти следующая ситуация: файл(ы) будут подброшены на диск экспертом уже после его изъятия для проведения экспертизы? Например, имеем изъятый жёсткий, подключаем его к машине, на которой заранее изменили системное время, которое будет соответствовать времени, когда диск ещё не был изъят на экспертизу. Сбрасываем нужные нам ложные файлы "секрет.rar". Если может тогда как доказать, что файлы подброшены?
А давай начнём с самого начала, допустим тебя приняли а ты имеешь право на ст. 51 Конституции РФ. И не надо изобретать всяких велосипедов, а экспертиза уж согласно УПК РФ назначается и пока ты только лишь подозрваемый и не более. Так что считаю твой вопрос сформулирован не правильно.
Читаем тут:
 

digheros

New member
06.04.2020
2
0
BIT
0
допустим тебя приняли
Для того чтобы назначить экспертизу нужно как минимум возбудить уголовное дело по какому либо поводу. Прокуроры дают разрешение на возбуждение только тех дел которые могут выиграть. Так что, пока у ментов не будет логов указывающих на твой адрес и ещё каких-нибудь косвенных улик они не прийдут к тебе за компом для экспертизы. Если ты влетишь первый раз за какую-нибудь ерунду, то для профилактики они заберут у тебя компы, подержат в обезъяннике пару дней, и будут ждать когда ты еще раз влипнешь, а потом вдуют тебе по самое некуда. Прокурор не идиот он не пойдет в суд с заведомо проиграшным делом.

это пацанёнок с района, в 80% случаев.
Ну это если ты живешь в деревне :) Судьи тоже бываю молодые и с района, но их приговоры все равно исполняются.

Как вы считаете возможно ли как-то установить подлинность доказательств,
Решения судов по уголовным делам это публичная информация. Почитай уже вынесеные судебные решения по ИТ преступлениям. Там информация гораздо надежней чем спрашивать тут хрен знает у кого ;)
 

AleKosky

New member
14.03.2020
3
0
BIT
0
Который уведомлён об уголовной ответственности за дачу ложных показаний.
Хорошо, уведомлён, но всё равно может теоретически произойти дача ложных показаний с использованием подброшенных файлов? Если да, то есть ли, например, документ в нашем законодательстве (РФ), который предписывает эксперту при анализе содержимого изъятого жеского использовать обязательно блокиратор записи или работать не с самим диском, чтобы ничего на нём не "повредить", а с образом диска?
 

InetTester

Green Team
21.10.2018
308
43
BIT
2
Хорошо, уведомлён, но всё равно может теоретически произойти дача ложных показаний с использованием подброшенных файлов? Если да, то есть ли, например, документ в нашем законодательстве (РФ), который предписывает эксперту при анализе содержимого изъятого жеского использовать обязательно блокиратор записи или работать не с самим диском, чтобы ничего на нём не "повредить", а с образом диска?
Всегда можно предложить пройти полиграф. Что давно является уже довольно частой практикой во многих организациях.
 

f22

Codeby Academy
Gold Team
05.05.2019
1 841
225
BIT
1 046
Если да, то есть ли, например, документ в нашем законодательстве (РФ), который предписывает эксперту при анализе содержимого изъятого жеского использовать обязательно блокиратор записи или работать не с самим диском, чтобы ничего на нём не "повредить", а с образом диска?
Дело не в законодательстве, а в подходе к проведению подобных действий.
У фирмы, которая занимается подобными экспертизами должна быть методология работы с подобными данными.
Эту методологию она и должна предоставить вместе со своим заключением.
То есть нужно описать сам процесс, где это происходит, в какой последовательности, какими средствами и так далее.

Насколько эта информация будет соответствовать действительность сказать сложно, но
у таких фирм есть ответственность, о которой я написал выше и они не заинтересованы
в каких-то подлогах (в большинстве адекватных случаев.)
 

AleKosky

New member
14.03.2020
3
0
BIT
0
Дело не в законодательстве, а в подходе к проведению подобных действий.
У фирмы, которая занимается подобными экспертизами должна быть методология работы с подобными данными.
Эту методологию она и должна предоставить вместе со своим заключением.
То есть нужно описать сам процесс, где это происходит, в какой последовательности, какими средствами и так далее.

Насколько эта информация будет соответствовать действительность сказать сложно, но
у таких фирм есть ответственность, о которой я написал выше и они не заинтересованы
в каких-то подлогах (в большинстве адекватных случаев.)
Спасибо Вам за толковое объяснение!
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!