3 / 3 / 0
Регистрация: 27.10.2017
Сообщений: 10
1

Сотрудники полиции, украли токены одной из компании работающей на блокчейне, переводами с моего ноутбука но в разное

27.10.2017, 18:35. Показов 1494. Ответов 33

Сотрудники полиции украли токены одной из интернет-компании работающей на блокчейне многочисленными переводами с моего ноутбука но в разное время в течении 9 месяцев, от последней части переводов половины суммы токенов в истории кошелька следы зафиксированы при непрогруженной истории транзакций (блокчейна), но от первых переводов следы замыты так как на момент последнего хищения история транзакций он же блокчейн прогрузился до актуальной даты, кроме этого эксперты говорят что на даты первых хищений, ноутбук даже не включался и с ним не работали, поэтому необходимо ваше экспертное мнение:


1.Могли ли бесследно загрузиться с загрузочной флешки и скопировать с SSD данные, необходимые для переводов, то есть wallet.dat, так чтобы при копировании на основной системе ноутбука (не флешки) не осталось следов копирования?

2.Так как конструкция ноутбука позволяет вытащить SSD носитель за считанные секунды, есть специальная крышка на защелках, и зажим, не дающий ссд диску шевелится, то предполагаю, что злоумышленники просто изьяли SSD диск подключили его к другому ноутбуку с системой WINDOWS, MAC или IOS, посредством мини юсб кабеля с разьемом для внешних жестких дисков WINDOWS, MAC или IOS и произвели копирование, тогда ведь тоже по идеи не найти следов копирования!

Помогите, требуется именно экспертное мнение как подтверждение возможности бесследно скопировать walet.dat с изьятой техники, отблагодарю!

Если вы являетесь представителем ИТ компании (желательно в сфере безопасности Windows систем) и можете дать какое то более весомое заключение, пишите в личку, готов оплатить ваши экспертные услуги
1

Помощь в написании контрольных, курсовых и дипломных работ здесь.

Лучшие ответы (1)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
27.10.2017, 18:35
Ответы с готовыми решениями:

Быстрорастущей компании СРОЧНО трубеются сотрудники
Быстрорастущей интернет-компании требуються сотрудники для обработки электронной почты. Работа на...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
33
Почетный модератор
Эксперт по компьютерным сетямЭксперт Windows
28028 / 15756 / 977
Регистрация: 15.09.2009
Сообщений: 67,772
Записей в блоге: 78
27.10.2017, 18:51 2
Лучший ответ Сообщение было отмечено Tau_0 как решение

Решение

я вам и без экспертного мнения скажу на оба вопроса - да.
тут семи пядей во лбу быть не надо - достаточно иметь на флешке софт умеющий делать посекторное копирование ЖД.
в данном случае идет обращение не к файловой системе, а напрямую к диску - что не оставляет изменений в таймштампах создания или изменения файла.
грубо говоря - сливай образ, вертай диск взад, и работай с образом как с самим диском.
профит.
2
3 / 3 / 0
Регистрация: 27.10.2017
Сообщений: 10
27.10.2017, 21:26  [ТС] 3
тогда еще вопрос, в каких системных файлах, в каких дирректориях искать следы удаления логов об обращении к папкам, файлам и программам, сотрудники отдела К все подчистили, подчистили даже то, что зафиксироывно в протоколах осмотра, то есть в протоколе есть заходили туда то и туда то, открывали такую то и такую то программу, софтиной Белкасофт — производитель всемирно известного программного обеспечения для произведения компьютерно-технических экспертиз, сняты все действия за интересующие периоды, и там нет указанных в протоколах обращений к файлам и папкам, то есть зачищено, вот как теперь найти и где искать в логах, что было зачищено и когда, все равно должны быть концы, хотябы то что с системными файлами работали, изменяли и тд и когда последний раз, и как эти системные файлы называются.


Кроме того интересует вопрос, где в образе диска искать и можно ли найти подключенные носители информации, даты, названия, обьемы, возможно то что туда копировалось!

Просьба перенести эту тему в раздел - компьютерная безопасность!
1
Почетный модератор
Эксперт по компьютерным сетямЭксперт Windows
28028 / 15756 / 977
Регистрация: 15.09.2009
Сообщений: 67,772
Записей в блоге: 78
27.10.2017, 21:31 4
Цитата Сообщение от nujnapomosh Посмотреть сообщение
Просьба перенести эту тему в раздел - компьютерная безопасность!
не вижу смысла.
Цитата Сообщение от nujnapomosh Посмотреть сообщение
в каких системных файлах, в каких дирректориях искать следы удаления логов об обращении к папкам, файлам и программам, сотрудники отдела К все подчистили, подчистили даже то, что зафиксироывно в протоколах осмотра, то есть в протоколе есть заходили туда то и туда то, открывали такую то и такую то программу, софтиной Белкасофт — производитель всемирно известного программного обеспечения для произведения компьютерно-технических экспертиз, сняты все действия за интересующие периоды, и там нет указанных в протоколах обращений к файлам и папкам, то есть зачищено, вот как теперь найти и где искать в логах, что было зачищено и когда, все равно должны быть концы, хотябы то что с системными файлами работали, изменяли и тд и когда последний раз, и как эти системные файлы называются.
никак.

Добавлено через 1 минуту
я вроде русским языком описал как это можно сделать на ПРОСТЕЙШЕМ уровне,
1
3 / 3 / 0
Регистрация: 27.10.2017
Сообщений: 10
27.10.2017, 21:48  [ТС] 5
да ладно как никак то, если например логов после этого не велось, компьютер не включали поидее ( как там белкософт снимает не вкурсе но предпологаю по типу загрузочной флешки дожно работать), сняли обзаз диска после того как чистили кашники, белкасофтом сняли так же как и список действий в системе, то остались изменения системных файлов логов за ту же дату


ну и по сьемным носителям, тоже нельзя посмотреть в образе диска? там же поидее в реестре все есть, должно быть если не удалили

Добавлено через 3 минуты
системный фалы модефицировались, то есть что то то осталось в них за тот переид исследования, то есть удаляли не все а модифицировали файлы логов

Добавлено через 10 минут
тем более системные логи даже удаленные скорее всего можно восстановить? они храняться в одном файле? или разбиты как то по времени и по типам обращений? неужели имея на руках компьютор на который ничего не записывалось и не удалялось кроме данных системных логов не восстановить сами логи, полностью не потертые
1
X-Factor
Эксперт Hardware
3170 / 2101 / 183
Регистрация: 16.11.2011
Сообщений: 5,840
27.10.2017, 22:00 6
Цитата Сообщение от nujnapomosh Посмотреть сообщение
да ладно как никак то, если например логов после этого не велось,
Какие и где могут быть логи, если загрузка шла со стороны...
1
3 / 3 / 0
Регистрация: 27.10.2017
Сообщений: 10
27.10.2017, 22:12  [ТС] 7
Вопросы первого сообщения не связаны с другими вопросами, получилось скорее так, что начали красть одни скопировав wallet.dat а возможно с самой системы изьятого ноутбука ( потом за ними видимо подчистили другие, в отделе К, если делалось с системы), закончили другие прямо с системы и подчищали как минимум за собой, следы остались зачистки - это несоответствия изменений файлов за определенные даты с отсутствием каких либо обращений к ним + нестыковки по протоколам по другим каталогам, но надо восстановить затертые логи или доказать что они затирались, потому что в самом файле wallet.dat с выключеным интеренетом, то есть без скачки блокчейна следы переводов остались, только вот обращений ни к программе с ним работающей ни к папком где расположена программа и к папкам где расположен wallet.dat нет, подтерты нужные логи, но наличае других обращений к другим папкам и файлам говорит о том что сами системные логи обнулены не были, удалили лишь нужное, и даже не нужное то что в протоколах осмотра есть - удалили, в логах таких обращений к файлам программам и каталогам зафиксированных в протоколах осмотра нет, вот такие дела
0
Почетный модератор
Эксперт по компьютерным сетямЭксперт Windows
28028 / 15756 / 977
Регистрация: 15.09.2009
Сообщений: 67,772
Записей в блоге: 78
27.10.2017, 22:19 8
на пальцах поясняю.
вариант А
винт сняли и подключили к другой системе - где остались какие то логи?
правильно, в другой системе.
вариант Б: загрузились с флешки, где логи ???
Бинго, и тут ты угадал!!!
они на флешке.
1
X-Factor
Эксперт Hardware
3170 / 2101 / 183
Регистрация: 16.11.2011
Сообщений: 5,840
27.10.2017, 22:26 9
Цитата Сообщение от nujnapomosh Посмотреть сообщение
хотябы то что с системными файлами работали, изменяли и тд и когда последний раз, и как эти системные файлы называются.
Эти системные файлы называются метафайлами системы NTFS. Если посмотреть их в дисковом редакторе, например в WinHex, то там будут даты создания и модификации этих файлов. Но если и Вы систему запускали, то дата модификации будет Ваша... И толку с неё 0...

А если потом лазили и копировали данные со стороны (с копии...), то вообще концы в воду.
2
Почетный модератор
Эксперт по компьютерным сетямЭксперт Windows
28028 / 15756 / 977
Регистрация: 15.09.2009
Сообщений: 67,772
Записей в блоге: 78
27.10.2017, 22:28 10
nujnapomosh, вам к психиатру по сути крайних
Цитата Сообщение от nujnapomosh Посмотреть сообщение
Вопросы первого сообщения не связаны с другими вопросами
с
Цитата Сообщение от nujnapomosh Посмотреть сообщение
начали красть одни
о
Цитата Сообщение от nujnapomosh Посмотреть сообщение
закончили другие прямо с системы
о
Цитата Сообщение от nujnapomosh Посмотреть сообщение
следы остались зачистки
мания преселдования, она такая.
1
3 / 3 / 0
Регистрация: 27.10.2017
Сообщений: 10
27.10.2017, 23:53  [ТС] 11
товарищь супер-модератор, не мешайте диалогу если не чем помочь, я говорил что последняя кража зафиксирована в программе которая работает с фалом ключей, расположенная как и файл ключен на ноутбуке с которого и произошло хищение, после этого потерли логи обрашщений в соовтетствущие папки с программой и кошельком, но есть и фото и снят слепок диска, где изменения файлов кошелька совподают с датой хищения, чудеса наверное? или все же как я говорю просто логи потерли, плюс я лично сидел за ноутбуком снимал копии кошелька, ползал по соответствующим дирректориям, также логов нет за эту дату


Эти системные файлы называются метафайлами системы NTFS. Если посмотреть их в дисковом редакторе, например в WinHex, то там будут даты создания и модификации этих файлов. Но если и Вы систему запускали, то дата модификации будет Ваша... И толку с неё 0...

А если потом лазили и копировали данные со стороны (с копии...), то вообще концы в воду.
Добавлено через 4 минуты
дак есть вариант восстановить удаленные системные логи имея имея ноутбук на руках, хочется отправить на независимую экспертизу!

Добавлено через 11 минут
system.LOG
software.LOG
SECURITY.LOG
в папке
C:\WINDOWS\system32\config

Это вот эти файлы, больше никаких следов нигде нет?

Добавлено через 22 минуты
вот тут пишут что с реестра можно вытащить информацию о дате запуска программе о количестве запусков о последнем запуске

https://sysadmins.ru/post8101481.html

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/UserAssist/{75048700-EF1F-11D0-9888-006097DEACF9}/Count


вы знаете об это что то?
0
Почетный модератор
Эксперт по компьютерным сетямЭксперт Windows
28028 / 15756 / 977
Регистрация: 15.09.2009
Сообщений: 67,772
Записей в блоге: 78
28.10.2017, 05:38 12
ладно , может я погорячился немного вчера, прости, прилюдно приношу извинения,
однако, как так получилось, что к вашим конфиденциальным (и похоже не только к вашим, но хранящимися на вашем ноутбуке) данным получили "сотрудники полиции" которые не только украли, но и пользовались ими
Цитата Сообщение от nujnapomosh Посмотреть сообщение
в течении 9 месяцев
а вы все это время сидели и чесали себе что то...
и тут внезапно "прозрели", но решили обратиться не в прокуратуру, а на компьютерный форум.
где я вам первым ответом показал как можно "слить" информацию с вашего (любого) накопителя данных, информацию, имея прямой доступ к нему и некоторое количество времени. без изменения таймштампов.
Цитата Сообщение от nujnapomosh Посмотреть сообщение
товарищь супер-модератор, не мешайте диалогу если не чем помочь
чем тебе теперь помочь? ты сам себе злобный буратино, коли после несанкционированного доступа к личной информации, (а то и к коммерческой) сидел и молчал 9 месяцев.
и да, на каком основании сотрудники полиции получили доступ к вашему ноутбуку?
0
gecata
28.10.2017, 11:58
  #13

Не по теме:

...и вообще - если на компе есть какие-то важные данные, настраивайте аудит на соответствующие папки...

0
3 / 3 / 0
Регистрация: 27.10.2017
Сообщений: 10
28.10.2017, 14:37  [ТС] 14
никто не молчал, можно сказать рейдерский захват, был надуманный ничем не мативированное подозрение в занятии в преступной дейтельностью, что не подтвердилось, но так как дело не закрыто до конца, а пока приостановлени, то и не отдают технику, другая структура занимается теперь разбором полетов, вот надо убедить что можно доказать что логи удалялись, чтобы отправили на экспертизу, которую я готов оплатить
0
Почетный модератор
Эксперт по компьютерным сетямЭксперт Windows
28028 / 15756 / 977
Регистрация: 15.09.2009
Сообщений: 67,772
Записей в блоге: 78
28.10.2017, 15:04 15
я вас до сих пор не убедил ни в чем?
пока ваше железо находилось в чужих руках - с ним можно было делать все что угодно.
даже совершать непристойные действия сексуального характера, снимая это на видео.
заявление в прокуратуру.
больше вам ничто не поможет.
в прокуратуре вас не смогут послать по определению.
тем более дело уже возбуждено.

Добавлено через 2 минуты
Цитата Сообщение от nujnapomosh Посмотреть сообщение
что можно доказать что логи удалялись, чтобы отправили на экспертизу
можно доказать а можно и нет, дело в том что если снят образ - и работали дальше с ним - на оригинале не останется никаких следов. ни снятия, ни работы.
0
3 / 3 / 0
Регистрация: 27.10.2017
Сообщений: 10
28.10.2017, 15:11  [ТС] 16
образ снимали те кто блин расследует преступление о хищении, все давно уже подано, как вы читаете не пойму, 2 структуры уже завели дело, нужно лишь доказать им что следы терлись, вот нашел статью где пишут что в реестре есть раздел где хранились раньше последние запуски программ, куда она в вин 8 делась и существует ли еще, не знаб, прошу помощи

https://sysadmins.ru/post8101481.html

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/UserAssist/{75048700-EF1F-11D0-9888-006097DEACF9}/Count люди кто в курсе подскажите
0
Почетный модератор
Эксперт по компьютерным сетямЭксперт Windows
28028 / 15756 / 977
Регистрация: 15.09.2009
Сообщений: 67,772
Записей в блоге: 78
28.10.2017, 15:27 17
ты дурак или тролль?
я тебе уже 4 раз пишу, что это можно сделать, даже без особых ухищрений.
и затирать то ничего не надо - ибо все действия совершены на клоне диска. на твоем диске ничего не изменилось, и никаких логов ты не увидишь.
а соединяясь с инетом - ты видишь факт. что грубо говоря с твоей банковской карты были проведены операции.
пиши заявление.
"я, такойто такоевич такоев, заявляю, что в ходе такогото "дела" с моего ноутбука, изъятого по протоколу "номер", совершались такие то действия." в тот момент, когда я данным ноутбуком не обладал.
0
3 / 3 / 0
Регистрация: 27.10.2017
Сообщений: 10
28.10.2017, 22:32  [ТС] 18
это wallet.dat, вообщем видимо вы меня не понимаете, есть клон диска он в других руках, да и на самом ноутбуке уже ничего не удалят и ничего не делается и ничего не делалось и не будет, так как в другой структуре, нужно доказать следы удаления логов системы, мои доводы, что в протоколе есть а в логах нет, косвенные говорят, нужно найти например в реестре последние запуски программ или где либо еще где не подчистили, и сранить с системными логами, и получится что в логах нет обращений а в других местах есть запуски каких лобо программ.

Ну или либо восстановить эти удаленные системные логи, но как я понял они в одном файле (например системные логи по запуску приложений) а не в отдельных и он уже модифицировался после запуска системы, и дата его изменения и дата отрктия и акцесса новые, поправьте если не прав.

И кто распологает какой либо информацией или может как то помочь через другие системные файлы и папки доказать что были удалены системные логи которые просматриваются через Events Viewer то это будет реальной помощью, я готов за эту ирформацию хорошо заплатить. Так как тогда возникнут вопросы уже и не спихнуть на какой то сбой и тд, есть другие сохнарившиеся системные логи за этот период но значимых и нужных для доказывания хищения нет, возникнуть вопросы зачем стирались следы к файлам каталогам и программам с помощью которых была осуществлена кража
0
2652 / 1920 / 418
Регистрация: 11.09.2009
Сообщений: 7,119
29.10.2017, 00:10 19
Цитата Сообщение от nujnapomosh Посмотреть сообщение
нужно доказать следы удаления логов системы, мои доводы, что в протоколе есть а в логах нет
Вам уже много раз пытались объяснить, что так и должно быть. С оригинала снимается копия, и все действия (отмеченные в протоколе) производятся только с ней. Оригинал не изменяется, а копию, с которой работали, вам никто не даст.
Поэтому ваши доводы - совсем не доводы, и никакая экспертиза вам не поможет, потому что так и должно быть: в протоколе есть, а логов в системе - нет. Соответственно, нет и следов их удаления, потому что на оригинале логи не удалялись, потому что их там и не было.
1
Заблокирован
29.10.2017, 10:34 20
Цитата Сообщение от magirus Посмотреть сообщение
винт сняли и подключили к другой системе - где остались какие то логи?
правильно, в другой системе.
Всё зависит от того о каких логах идёт речь, какая была система и как в ней монтируется том NTFS. Если не только на чтение, то кое что будет в служебных логах файловой системы.
0
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.