+1, Zaskoczony, nikt jeszcze tego nie głosował, to świetne pytanie.
Moab
Odpowiedzi:
13
Jeśli zrobili to w sposób prawidłowy kryminalistycznie, nie ma ŻADNEGO sposobu ustalenia, co zostało zbadane. Prawidłowym sposobem byłoby wyciągnięcie dysku twardego przez technologię kryminalistyczną, sklonowanie go, zwrócenie dysku twardego do komputera, a następnie sprawdzenie obrazu sklonowanego. Na twoim dysku nie będzie żadnych śladów, ponieważ nigdy nie został uruchomiony. Będą działać ściśle z obrazu sklonowanego i należy wziąć pod uwagę wszystko na dysku twardym jako naruszone, a także należy pamiętać, że mogły zachować obraz lub jego części. Mam nadzieję, że nie było tam niczego, czego będziesz żałować.
Rzeczywiście, musisz założyć, że widzieli wszystko. (Możliwe, że w tym pliki, które usunąłeś.) Po prostu
ciesz
5
Kolejny powód szyfrowania całego dysku za pomocą Trucrypt.
Moab
4
Jeśli chodzi o TrueCrypt, tak, to powinno pomóc. Ale jeśli atakujący jest tak oddany, może również zasadzić zmodyfikowany bootloader TrueCrypt, który zapisze wprowadzone hasło, a następnie wyśle je na swój serwer. Jeśli zdążą zdemontować laptopa, mogą nawet zainstalować keylogger sprzętowy. Bądźcie paranoikami, bądźcie bardzo paranoikami
Martheen Cahya Paulo
2
@typoknig: Czysta brutalność na dobrze zaimplementowanym silnym szyfrowaniu zajęłaby lata. Jeśli jednak później odkryjesz słabość, atak może nastąpić w krótszym okresie. Na razie uważam, że
rejestrowanie keylogów
2
@Martheen Cahya Paulo Zgadzam się, że może to potrwać lata, ale tak naprawdę zależy to od poziomu szyfrowania. Uważam, że TrueCrypt pozwala na szyfrowanie do 256 bitów, co może potrwać bardzo długo (lata), ale szyfrowanie <128 bitów może zająć tygodnie lub miesiące (bazując na moim doświadczeniu z szyfrowaniem AES stosowanym w sieciach WiFi ).
ubiquibacon 21.01.11
2
Możesz użyć skryptu do rekurencyjnego sortowania plików w systemie według czasu ostatniego dostępu. Ponieważ jednak cała aktywność ciągle trwa w systemie plików, taka jak indeksowanie, prawie niemożliwe jest dokładne określenie, na co patrzyli.
Zainstaluj i uruchom program i poczekaj, aż zindeksuje dysk (powinno to zająć mniej niż minutę)
Kliknij Richt na nagłówki kolumn (tam, gdzie jest napisane „data modyfikacji”) i włącz „Ostatnie wejście”
Teraz wyszukaj coś losowego, na przykład windows
Kliknij nowy nagłówek kolumny „Ostatni dostęp”, aby posortować wyniki wyszukiwania, aby najnowsze były na górze
Usuń swoje stare wyszukiwanie i wyszukaj *.*. Zajmie to dużo czasu, zwłaszcza jeśli po raz pierwszy używasz wszystkiego; może to potrwać do 10 minut, nie wiem jak długo: to zależy od twojego komputera; po prostu czekaj, zajęło mi to 3 minuty na tym starym komputerze
Teraz masz listę wszystkich plików na komputerze, uporządkowaną według czasu ostatniego dostępu, wraz z datami i godzinami.
Należy pamiętać, że system Windows uzyskuje również dostęp do niektórych plików, gdy komputer jest włączony bez zewnętrznego wyjścia, więc nie można mieć pewności, że to oni mieli dostęp do pliku.
Odpowiedzi:
Jeśli zrobili to w sposób prawidłowy kryminalistycznie, nie ma ŻADNEGO sposobu ustalenia, co zostało zbadane. Prawidłowym sposobem byłoby wyciągnięcie dysku twardego przez technologię kryminalistyczną, sklonowanie go, zwrócenie dysku twardego do komputera, a następnie sprawdzenie obrazu sklonowanego. Na twoim dysku nie będzie żadnych śladów, ponieważ nigdy nie został uruchomiony. Będą działać ściśle z obrazu sklonowanego i należy wziąć pod uwagę wszystko na dysku twardym jako naruszone, a także należy pamiętać, że mogły zachować obraz lub jego części. Mam nadzieję, że nie było tam niczego, czego będziesz żałować.
źródło
Możesz użyć skryptu do rekurencyjnego sortowania plików w systemie według czasu ostatniego dostępu. Ponieważ jednak cała aktywność ciągle trwa w systemie plików, taka jak indeksowanie, prawie niemożliwe jest dokładne określenie, na co patrzyli.
źródło
O ile wiem, najszybszy sposób na sprawdzenie czasu ostatniego dostępu do twoich plików:
Pobierz narzędzie wyszukiwania Wszystko: http://www.voidtools.com/
Zainstaluj i uruchom program i poczekaj, aż zindeksuje dysk (powinno to zająć mniej niż minutę)
Kliknij Richt na nagłówki kolumn (tam, gdzie jest napisane „data modyfikacji”) i włącz „Ostatnie wejście”
Teraz wyszukaj coś losowego, na przykład
windowsKliknij nowy nagłówek kolumny „Ostatni dostęp”, aby posortować wyniki wyszukiwania, aby najnowsze były na górze
Usuń swoje stare wyszukiwanie i wyszukaj
*.*. Zajmie to dużo czasu, zwłaszcza jeśli po raz pierwszy używasz wszystkiego; może to potrwać do 10 minut, nie wiem jak długo: to zależy od twojego komputera; po prostu czekaj, zajęło mi to 3 minuty na tym starym komputerzeTeraz masz listę wszystkich plików na komputerze, uporządkowaną według czasu ostatniego dostępu, wraz z datami i godzinami.
Należy pamiętać, że system Windows uzyskuje również dostęp do niektórych plików, gdy komputer jest włączony bez zewnętrznego wyjścia, więc nie można mieć pewności, że to oni mieli dostęp do pliku.
źródło