Как мне узнать, к чему обращались на моем компьютере, когда он был конфискован?

12

Как я узнаю, что они нашли или просмотрели?

Сэм Смит
источник
6
У кого конфисковано? Делает большую разницу.
Моав
+1, Удивлен, никто еще не проголосовал за это, это отличный вопрос.
Моав

Ответы:

13

Если они сделали это судебно-правильным способом, то НЕТ СПОСОБА определить, что было исследовано. Правильным способом для криминалистов было бы вытащить жесткий диск, клонировать его, вернуть жесткий диск в машину и затем изучить образ клона. На диске не останется никаких следов, поскольку он никогда не загружался. Они будут работать строго по образу клона, и вы должны рассматривать все на жестком диске как скомпрометированное, и вы также должны знать, что они могли сохранить изображение или его части. Надеюсь, у вас там ничего не было, вы пожалеете.

Blackbeagle
источник
1
В самом деле, вы должны предположить, что они видели все. (Возможно, включая файлы, которые вы удалили.) Просто
поверьте,
5
Еще одна причина для шифрования всего диска с использованием Trucrypt.
Моав
4
Что касается TrueCrypt, то да, это должно помочь. Но если злоумышленник выделен, он также может установить модифицированный загрузчик TrueCrypt, который сохранит введенный пароль, а затем отправить его на свой сервер. Если у них есть время разобрать ваш ноутбук, они могут даже установить аппаратный кейлоггер. Будь параноиком, будь очень параноиком
Мартин Кахья Пауло
2
@typoknig: Чистое грубое применение хорошо реализованного надежного шифрования займет годы. Однако, если позже обнаружится слабость, атака может быть произведена в более короткий период времени. На данный момент, я считаю, что кейлоггинг, аппаратное и программное обеспечение было бы проще
Мартин Кахья Пауло
2
@Martheen Cahya Paulo Я согласен, что это может занять годы, но это действительно зависит от уровня шифрования. TrueCrypt позволяет шифрование до 256 бит, я полагаю, что расшифровка может занять очень много времени (лет), но шифрование <128 бит может занять только недели или месяцы (основываясь на моем опыте с шифрованием AES, используемым в сетях WiFi ).
убиквибакон
2

Вы можете использовать скрипт для рекурсивной сортировки файлов в системе по времени последнего доступа. Однако, поскольку все действия в файловой системе постоянно происходят, например, индексация, почти невозможно точно определить, на что они смотрели.

Джон Т
источник
1
Это или нет почти невозможно?
Вуфферс
Это почти невозможно. Мои двойные негативы иногда одолевают меня :)
Джон Т
0

Насколько я знаю, самый быстрый способ просмотреть время последнего доступа к вашим файлам:

  1. Скачать инструмент поиска Все: http://www.voidtools.com/

  2. Установите его и запустите программу и дождитесь индексации диска (это займет не более минуты)

  3. Рихт-клик по заголовкам столбцов (где написано «дата изменения») и включите «Последний доступ»

  4. Теперь ищите что-то случайное, например windows

  5. Нажмите на новый заголовок столбца «Последний доступ», чтобы отсортировать результаты поиска, чтобы последние были сверху.

  6. Удалите свой старый поиск и выполните поиск *.*. Это займет много времени, особенно если вы впервые используете Все; это может занять до 10 минут, я не знаю, как долго: это зависит от вашего ПК; просто продолжай ждать, мне понадобилось 3 минуты на этом старомодном ПК

  7. Теперь у вас есть список всех файлов на вашем компьютере, перечисленных по времени их последнего доступа, с датами и временем.

Обратите внимание, что Windows также получает доступ к некоторым файлам, когда компьютер включен без внешнего вывода, поэтому вы не можете быть уверены, что именно они получили доступ к файлу.

Цербер
источник