3 / 3 / 0
Регистрация: 27.10.2017
Сообщений: 10
1

Сотрудники полиции, украли токены одной из компании работающей на блокчейне, переводами с моего ноутбука но в разное

27.10.2017, 18:35. Показов 1506. Ответов 33

Сотрудники полиции украли токены одной из интернет-компании работающей на блокчейне многочисленными переводами с моего ноутбука но в разное время в течении 9 месяцев, от последней части переводов половины суммы токенов в истории кошелька следы зафиксированы при непрогруженной истории транзакций (блокчейна), но от первых переводов следы замыты так как на момент последнего хищения история транзакций он же блокчейн прогрузился до актуальной даты, кроме этого эксперты говорят что на даты первых хищений, ноутбук даже не включался и с ним не работали, поэтому необходимо ваше экспертное мнение:


1.Могли ли бесследно загрузиться с загрузочной флешки и скопировать с SSD данные, необходимые для переводов, то есть wallet.dat, так чтобы при копировании на основной системе ноутбука (не флешки) не осталось следов копирования?

2.Так как конструкция ноутбука позволяет вытащить SSD носитель за считанные секунды, есть специальная крышка на защелках, и зажим, не дающий ссд диску шевелится, то предполагаю, что злоумышленники просто изьяли SSD диск подключили его к другому ноутбуку с системой WINDOWS, MAC или IOS, посредством мини юсб кабеля с разьемом для внешних жестких дисков WINDOWS, MAC или IOS и произвели копирование, тогда ведь тоже по идеи не найти следов копирования!

Помогите, требуется именно экспертное мнение как подтверждение возможности бесследно скопировать walet.dat с изьятой техники, отблагодарю!

Если вы являетесь представителем ИТ компании (желательно в сфере безопасности Windows систем) и можете дать какое то более весомое заключение, пишите в личку, готов оплатить ваши экспертные услуги
1

Помощь в написании контрольных, курсовых и дипломных работ здесь.

Лучшие ответы (1)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
27.10.2017, 18:35
Ответы с готовыми решениями:

Быстрорастущей компании СРОЧНО трубеются сотрудники
Быстрорастущей интернет-компании требуються сотрудники для обработки электронной почты. Работа на...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
33
X-Factor
Эксперт Hardware
3170 / 2101 / 183
Регистрация: 16.11.2011
Сообщений: 5,840
29.10.2017, 11:04 21
Цитата Сообщение от i8085 Посмотреть сообщение
С оригинала снимается копия, и все действия (отмеченные в протоколе) производятся только с ней.
Чтобы такое не прокатывало… необходимо использовать средства криптозащиты важных программ и данных от несанкционированного использования. А ключ/ключи, как Смерть Кащея, хранить в недоступном месте...
0
1595 / 883 / 90
Регистрация: 23.01.2017
Сообщений: 3,368
29.10.2017, 13:08 22
Не считайте TS глупее себя, отвечать следует спокойно, без нервов и признаков истерик, - Человеку нужна помощь.

_ Что я понял, TS хочет знать, где искать в системе (виндовс или ФС NTFS) следы вмешательства дополнительно (папки, файлы). Может кто в теме и подскажет еще что-либо.

nujnapomosh,
- Кто занимается восстановлением данных знает, что удаленные файлы/папки можно восстановить, если поверх не велась запись на hdd. По крайней мере, записи/имена от удаленных файлов останутся - вот это уже улика.
_ Имея папки и логи, где искать, нужно обратиться в Recovery центр и восстанавливать или делать скриншоты/фото об удаленных файловых записях.

_ Вот это я понял. Но не пойму почему, если заведено дело о хищении с вашего ноута, они не могут сами все установить? Может этим и занимается отдел "К", хе-хе-хе ?
_ "Борьба с тенью"... Ох уж эта противоправная, беззаконная Рашка, где легче физически уничтожить отдел "К", чем что-либо доказывать.

_ Здесь пытаются вдолбить TS, что вмешательство было профессиональное (секретное, конфиденциальное), а я говорю, что в "стране дураков" профи мало, все работают "шаляй-валяй".
_ И если было непрофессиональное (дилетантское) хищение кем-то в органах, то скрывать ВСЕ следы этого никто не станет, не такого уровня там российские "профессионалы"... Да и смысл?.. Да и лень... В общем, шанс что-то найти есть.

_ На будущее, заботьтесь о защите и резервировании своих данных. Можно установить пароль именно на hdd (не на систему или биос) в функционале "security" для hdd, это мощный инструмент защиты.
0
Дивананалитикаиксперд
11145 / 8567 / 837
Регистрация: 08.01.2013
Сообщений: 31,161
29.10.2017, 13:13 23
Цитата Сообщение от nujnapomosh Посмотреть сообщение
Сотрудники полиции украли токены одной из интернет-компании
Заявление в полицию на сотрудников полиции напиши
0
из племени тумба-юбма
2098 / 1503 / 320
Регистрация: 29.11.2015
Сообщений: 7,135
Записей в блоге: 13
29.10.2017, 13:23 24
Цитата Сообщение от nonym4uk Посмотреть сообщение
Может этим и занимается отдел "К"
Отдел "К" это миф, подразделение существующее для галочки. По всем вопросам кибермошенничества должны заниматься якобы они. На самом же деле занимаются этим обычные оперативники, следователи, ну в общем кому положат на стол такое дело, тот и будет заниматься. Сам лично столкнулся с этим.
0
1595 / 883 / 90
Регистрация: 23.01.2017
Сообщений: 3,368
29.10.2017, 15:35 25
мама Стифлера, Ваши слова - еще один довод в пользу "некомпетентности" сотрудников органов при работе в сфере кибермошенничества.

_ С чем я сталкивался: украли мобилу, написали заявление, есть все возможности, в техническом плане, ее найти, отследить - бесполезно, с ними каши не сваришь! Мало того, что эти уроды не ищут, так еще оставляют без внимания целый воровской рейд по учреждениям города, где прошла серия краж, чем поддерживают теневой бизнес/оборот краденых мобил.
0
X-Factor
Эксперт Hardware
3170 / 2101 / 183
Регистрация: 16.11.2011
Сообщений: 5,840
29.10.2017, 15:54 26
Цитата Сообщение от nonym4uk Посмотреть сообщение
По крайней мере, записи/имена от удаленных файлов останутся - вот это уже улика.
У TS SSD. А SSD это не прозрачный HDD, --- это кошмар для форенсика...
0
из племени тумба-юбма
2098 / 1503 / 320
Регистрация: 29.11.2015
Сообщений: 7,135
Записей в блоге: 13
29.10.2017, 16:06 27
Цитата Сообщение от nonym4uk Посмотреть сообщение
еще один довод в пользу "некомпетентности" сотрудников органов
тут даже дело не в компетентности, а в не хватке людей и денежных средств на полноценное содержание такого подразделения. Отдел "К" хоть и числится в структуре МВД как специальное подразделение, но на самом деле его нет. Потому что финансировать такой отдел нужно основательно, а у нас как сказал один политик - "Денег нет, но вы держитесь". И эта фраза по факту уже давно является девизом для нашей страны и российских граждан.
0
Почетный модератор
Эксперт по компьютерным сетямЭксперт Windows
28028 / 15757 / 977
Регистрация: 15.09.2009
Сообщений: 67,772
Записей в блоге: 78
29.10.2017, 16:12 28
Цитата Сообщение от parovev Посмотреть сообщение
кое что будет в служебных логах файловой системы.
правильно в логах той системы к которой подключали. а не в логах образа.
0
X-Factor
Эксперт Hardware
3170 / 2101 / 183
Регистрация: 16.11.2011
Сообщений: 5,840
29.10.2017, 16:45 29
Цитата Сообщение от magirus Посмотреть сообщение
правильно в логах той системы к которой подключали. а не в логах образа.
А зачем подключать ещё к какой-то системе...???.... --- Сделал посекторную копию ВСЕГО SSD со ВСЕМ его добром и вставляй потом в другой точно такой же ноутбук. --- Это отлично сработает, если нет привязки к конкретному железу....
0
1595 / 883 / 90
Регистрация: 23.01.2017
Сообщений: 3,368
29.10.2017, 18:49 30
Не факт, что злоумышленник работал с образа и другой системы, но за ним могли подтереть, чтобы скрыть служебное преступление. Это практикуется в органах, чиновниках, в армии при несчастных случаях. Не выносят "сор из избы", "рука руку моет".
_ TS думает подобно и ищет улики, что можно найти.
Цитата Сообщение от Tau_0
"У TS SSD. А SSD это не прозрачный HDD, --- это кошмар для форенсика..."
- Не пойму, о чем вы. Данные с SSD должны восстанавливаться подобно флэш и hdd, пока кластеры не перезапишутся, файлы можно восстановить.
0
Заблокирован
29.10.2017, 19:26 31
Цитата Сообщение от magirus Посмотреть сообщение
правильно в логах той системы к которой подключали. а не в логах образа.
Правильно то, что я написал.
0
X-Factor
Эксперт Hardware
3170 / 2101 / 183
Регистрация: 16.11.2011
Сообщений: 5,840
29.10.2017, 23:25 32
Цитата Сообщение от nonym4uk Посмотреть сообщение
- Не пойму, о чем вы. Данные с SSD должны восстанавливаться подобно флэш и hdd, пока кластеры не перезапишутся, файлы можно восстановить.
============================
"И дождь смывает все следы"
============================
... ... ... ... Лирическое отступление.

SSD и флеш память это далеко не HDD... Почитав про TRIM Вы поймёте с какими трудностями приходится сталкиваться при форензике на SSD...
0
3 / 3 / 0
Регистрация: 27.10.2017
Сообщений: 10
30.10.2017, 04:45  [ТС] 33
образ снят после всех исследований в отделе К, после того как лично я там копался и в протокол внесли где я ползал, в образе нет этих логов. Видимо снимали образ и паралельно делали белкасофтом анализ. А не с образа белкасофтом, но наверное одна хрень, Белкасофтом снимали фейсы и образ тоже. Чет химичат сейчас что улик мало и тд и тп. Скорее всего покрывают, я предложил сделать экспертизу платно у спецов, дак вопрос - надо образ или оригинал диска? оригинал хрен кто даст пока что, и будут держать скорее всего пока все сроки по хищению не выйдут, чтобы не привлечь сотрудника или сотрудников))
0
1595 / 883 / 90
Регистрация: 23.01.2017
Сообщений: 3,368
31.10.2017, 12:22 34
nujnapomosh, Попробуйте сам сперва просмотреть образ на предмет удаленных файлов. Жаль, что никто не добавил инфы по отслеживанию вмешательства и работы в ОС и ssd. Надо знать, что искать.

_ Как писал товарищ выше, ssd не hdd, можно ничего не найти, но если команды Trim не было, то шанс есть.
Просканировать на предмет удаленных можно в любой проге восстановления (recovery) файлов, это не займет много времени и не требует специальных знаний.
_ Работайте, как лучше выйдет, может получится с образа сканировать. Если придется разворачивать/записать образ, то лучше на неразмеченный hdd, не ssd.

Добавлю, стандарный проводник может показывать даты изменения файлов, но его нужно настраивать: показ скрытых и системных в "свойствах папки", вид таблица, галку в шапке "дата изменения" - как-то так.
_ Лично я много работаю с файлами, но "отслеживаниями" не занимался, просто пытаюсь помочь советами из своего опыта. Будет время - еще подумаю о вашем.
0
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.