Ho bisogno di sapere se è possibile, per una controversia giudiziaria,
conoscere lo storico dell'apertura di un file in ambiente windows.
Win riporta l'ultimo accesso. I restanti vengono cancellati senza possibilità di recupero?
Ho bisogno di sapere se è possibile, per una controversia giudiziaria,
conoscere lo storico dell'apertura di un file in ambiente windows.
Win riporta l'ultimo accesso. I restanti vengono cancellati senza possibilità di recupero?
Eccoti!
mmmh, apertura credo difficile, per creazione o modifiche si.
E' probabile con strumenti adatti (Helix)
Diverso è il log al pc, ma non necesariamente si potrebbe associare log pc/lettura file
Visita:
IISFA
citaly
ML forensics
giuristitelematici.it/
se non ti basta, cerca con chiavi:
Forensics, Helix, Helix download...
Cerca altri miei interventi su helix in questo forum, scusa ma in questo momento non ho tempo per farlo io
Se la cosa è grave ti consiglio di rivolgerti a professionisti, in ogni caso se il disco è in tuo possesso e ti serve come prova NON TOCCARLO finchè non sei certo di quello che vai a fare....
Ciao
ps. forse, questo intervento avresti dovuto farlo nel forum linux, il pinguino sa frugare nei sistemi Win
MI studio un po' la questione. Intanto ti ringrazio per i bei spunti di partenzaOriginariamente inviato da simieri
mmmh, apertura credo difficile, per creazione o modifiche si.
E' probabile con strumenti adatti (Helix)
Diverso è il log al pc, ma non necesariamente si potrebbe associare log pc/lettura file
Visita:
IISFA
citaly
ML forensics
giuristitelematici.it/
se non ti basta, cerca con chiavi:
Forensics, Helix, Helix download...
Cerca altri miei interventi su helix in questo forum, scusa ma in questo momento non ho tempo per farlo io
Se la cosa è grave ti consiglio di rivolgerti a professionisti, in ogni caso se il disco è in tuo possesso e ti serve come prova NON TOCCARLO finchè non sei certo di quello che vai a fare....
Ciao
ps. forse, questo intervento avresti dovuto farlo nel forum linux, il pinguino sa frugare nei sistemi Win
Eccoti!
E' ovvio che quello che verrai a sapere sara patrimonio di tutto il form
Do ut des
Facci sapere
Non tutto tutto se mi hanno nominato consulente di parte :|Originariamente inviato da simieri
E' ovvio che quello che verrai a sapere sara patrimonio di tutto il form
Do ut des
Facci sapere
Eccoti!
Un consiglio...prima di fare qualsiasi lavoro creati un'immagine del disco.
I can see much clearer now, I'm blind.
Io fui già quel che voi siete, Quel ch'io son voi anco sarete.
Remember that death is not the end, but only a transition
All that we learn this time is carried beyond this life.
Grazie darkkik, buona idea.
Eccoti!
Ribadisco il consiglio
Prima di fare qualsiasi cosa.Originariamente inviato da simieri
............. in ogni caso se il disco è in tuo possesso e ti serve come prova NON TOCCARLO finchè non sei certo di quello che vai a fare....
Scarica e prova Helix con un supporto di prova (hd, pendrive..)
Avviato in programma scegli F2 (italiano) e vai avanti.
una buona perizia deve iniziare...con
$ sudo hdparm -l /dev/sda
(sda è il device che hai montato)
otterrai una serie di informazioni sul supporto che verificherai con i dati impressi sull'etichetta (nel caso di HD).....
Con il programma di acquisizione Adepto ti creerai un'immagine. Poi c'è Autopsy....Inizierà a chiederti i dati del nuovo caso... nome dell'investigatore etc......
Poi una serie di utility proprio per un CTP.... quale sei tu
Una volta provato capirai perchè ribadisco di non toccare quel maledetto disco per nessuna operazione.
Non mi riferivo ai contenuti, ma a come .... a quello che riesci a fare con Helix, c'è sempre da imparareNon tutto tutto se mi hanno nominato consulente di parte
Buon lavoro
Attento: devi avere i bit più duri del CTP della contropartediversamente
_________________________________________
Tempo fa sono riuscito ad inserire la spina nella presa dopo tempo ho imparato a pigiare il dito nel tasto I/O e sono stato a guardare il monitor che si accendeva, adesso so spolverare il pc, vado lento ma qualcosa la sto imparando anch'io , ma non riesco a capire cosa ci fanno tutte quelle lettere e quei numeri su quell'aggeggio che chiamano tastiera!
Ciao Simieri. Leggendo scopro che alcuni software commerciali si vantano di avere la più alta accettazione dell'analisi da parte delle corti.
Ricordo che sulle mailing list di settore si era discusso di come l'open source e la pubblicità degli algoritmi fossero garanzia della qualità delle informazioni fornite ma pare che la considerazione sia contraria allo stato de facto.
Quale è il valore aggiunto che "realmente" fornisce un software commerciale (Encase Forensic su tutti) rispetto ad Helix?
Eccoti!
Credo che sia un'affermazione assolutamente soggetiva, non credo che il giudice si basi sulla griffa ma su ciò che riesce a fare concretamente e con quale margine di errore. Nessuno può mettere in dubbio le risultanze di analisi di Helix, diverso è il discorso fin dove possono arrivare i due prodotti e a questo non so rispondere, ma ho un pensierino.... chi lo afferma e chi vende sono la stessa persona...Originariamente inviato da IMMANUEL_KANT
Ciao Simieri. Leggendo scopro che alcuni software commerciali si vantano di avere la più alta accettazione dell'analisi da parte delle corti.
L'open ti da la garanzia di vedere il codice e di sapere quello che fa, ciò e controllabile... da che ci capisce qualcosa. Mi sai dire come facciamo a sapere che fa in BG un sistema chiuso? Non conosci il codice nè puoi (potresti) controllarlo perchè è vietato il reverse engineeringOriginariamente inviato da IMMANUEL_KANT
... si era discusso di come l'open source e la pubblicità degli algoritmi fossero garanzia della qualità delle informazioni fornite ma pare che la considerazione sia contraria allo stato de facto.
Non lo conosco nè sono in grado di fare paragoni... poco conosco anche Helix.Originariamente inviato da IMMANUEL_KANT
Quale è il valore aggiunto che "realmente" fornisce un software commerciale (Encase Forensic su tutti) rispetto ad Helix?
Piuttosto il problema è un altro, ordinariamente Helix è utilizzato con succesoo ed è affidabile.
Probabilmente ti devi porre interrogativi sulla procedura piuttosto che sul prodotto.
Per esempio:
Non me ne voglia darkkik, ma se fai un'immagine del disco (come?) sei già fuori strada. La copia si acquisisce in bit stream e devi fare la verifica della corrispondenza degli hash fra l'originale e la copia. Se non dimostri che la copia è perfettamente uguale l'altro CTP o CTU ti fa un
Se fai una perizia con Helix nessuno contesterà il prodotto, come agisci tu sicuramente si.
Vuoi fare un gioco? Chiamiamolo bit bot (tipo ping pong)
Tu dimmi, riferisci come se fosse una ctp (consulenza tecnica di parte) e io provo a smontarla, già sulla copia sei a pezzi... (non volermene). Dimmi per esempio che sei riuscito a provare l'ora di accesso al file e quali verifiche hai fatto, aguzzerò l'ingegno e farò le controdeduzioni...
Però non chiedermi troppo, magari me la cavo bene come CTP, ho molto ingegno ma di informatica non ci capisco niente, devo ancora capire a che serve la tastiera
Ciao
ps. è tutto un gioco di apprendimento reciproco
Permessi di invio
Rispondi quotando