Сотрудники полиции, украли токены одной из компании работающей на блокчейне, переводами с моего ноутбука но в разное

Сотрудники полиции украли токены одной из интернет-компании работающей на блокчейне многочисленными переводами с моего ноутбука но в разное время в течении 9 месяцев, от последней части переводов половины суммы токенов в истории кошелька следы зафиксированы при непрогруженной истории транзакций (блокчейна), но от первых переводов следы замыты так как на момент последнего хищения история транзакций он же блокчейн прогрузился до актуальной даты, кроме этого эксперты говорят что на даты первых хищений, ноутбук даже не включался и с ним не работали, поэтому необходимо ваше экспертное мнение:


1.Могли ли бесследно загрузиться с загрузочной флешки и скопировать с SSD данные, необходимые для переводов, то есть wallet.dat, так чтобы при копировании на основной системе ноутбука (не флешки) не осталось следов копирования?

2.Так как конструкция ноутбука позволяет вытащить SSD носитель за считанные секунды, есть специальная крышка на защелках, и зажим, не дающий ссд диску шевелится, то предполагаю, что злоумышленники просто изьяли SSD диск подключили его к другому ноутбуку с системой WINDOWS, MAC или IOS, посредством мини юсб кабеля с разьемом для внешних жестких дисков WINDOWS, MAC или IOS и произвели копирование, тогда ведь тоже по идеи не найти следов копирования!

Помогите, требуется именно экспертное мнение как подтверждение возможности бесследно скопировать walet.dat с изьятой техники, отблагодарю!

Если вы являетесь представителем ИТ компании (желательно в сфере безопасности Windows систем) и можете дать какое то более весомое заключение, пишите в личку, готов оплатить ваши экспертные услуги

1

я вам и без экспертного мнения скажу на оба вопроса - да.
тут семи пядей во лбу быть не надо - достаточно иметь на флешке софт умеющий делать посекторное копирование ЖД.
в данном случае идет обращение не к файловой системе, а напрямую к диску - что не оставляет изменений в таймштампах создания или изменения файла.
грубо говоря - сливай образ, вертай диск взад, и работай с образом как с самим диском.
профит.

2

тогда еще вопрос, в каких системных файлах, в каких дирректориях искать следы удаления логов об обращении к папкам, файлам и программам, сотрудники отдела К все подчистили, подчистили даже то, что зафиксироывно в протоколах осмотра, то есть в протоколе есть заходили туда то и туда то, открывали такую то и такую то программу, софтиной Белкасофт — производитель всемирно известного программного обеспечения для произведения компьютерно-технических экспертиз, сняты все действия за интересующие периоды, и там нет указанных в протоколах обращений к файлам и папкам, то есть зачищено, вот как теперь найти и где искать в логах, что было зачищено и когда, все равно должны быть концы, хотябы то что с системными файлами работали, изменяли и тд и когда последний раз, и как эти системные файлы называются.


Кроме того интересует вопрос, где в образе диска искать и можно ли найти подключенные носители информации, даты, названия, обьемы, возможно то что туда копировалось!

Просьба перенести эту тему в раздел - компьютерная безопасность!

1

Сообщение от nujnapomosh Просьба перенести эту тему в раздел - компьютерная безопасность!

не вижу смысла.

Сообщение от nujnapomosh в каких системных файлах, в каких дирректориях искать следы удаления логов об обращении к папкам, файлам и программам, сотрудники отдела К все подчистили, подчистили даже то, что зафиксироывно в протоколах осмотра, то есть в протоколе есть заходили туда то и туда то, открывали такую то и такую то программу, софтиной Белкасофт — производитель всемирно известного программного обеспечения для произведения компьютерно-технических экспертиз, сняты все действия за интересующие периоды, и там нет указанных в протоколах обращений к файлам и папкам, то есть зачищено, вот как теперь найти и где искать в логах, что было зачищено и когда, все равно должны быть концы, хотябы то что с системными файлами работали, изменяли и тд и когда последний раз, и как эти системные файлы называются.

никак.

Добавлено через 1 минуту
я вроде русским языком описал как это можно сделать на ПРОСТЕЙШЕМ уровне,

1

да ладно как никак то, если например логов после этого не велось, компьютер не включали поидее ( как там белкософт снимает не вкурсе но предпологаю по типу загрузочной флешки дожно работать), сняли обзаз диска после того как чистили кашники, белкасофтом сняли так же как и список действий в системе, то остались изменения системных файлов логов за ту же дату


ну и по сьемным носителям, тоже нельзя посмотреть в образе диска? там же поидее в реестре все есть, должно быть если не удалили

Добавлено через 3 минуты
системный фалы модефицировались, то есть что то то осталось в них за тот переид исследования, то есть удаляли не все а модифицировали файлы логов

Добавлено через 10 минут
тем более системные логи даже удаленные скорее всего можно восстановить? они храняться в одном файле? или разбиты как то по времени и по типам обращений? неужели имея на руках компьютор на который ничего не записывалось и не удалялось кроме данных системных логов не восстановить сами логи, полностью не потертые

1

Сообщение от nujnapomosh да ладно как никак то, если например логов после этого не велось,

Какие и где могут быть логи, если загрузка шла со стороны...

1

Вопросы первого сообщения не связаны с другими вопросами, получилось скорее так, что начали красть одни скопировав wallet.dat а возможно с самой системы изьятого ноутбука ( потом за ними видимо подчистили другие, в отделе К, если делалось с системы), закончили другие прямо с системы и подчищали как минимум за собой, следы остались зачистки - это несоответствия изменений файлов за определенные даты с отсутствием каких либо обращений к ним + нестыковки по протоколам по другим каталогам, но надо восстановить затертые логи или доказать что они затирались, потому что в самом файле wallet.dat с выключеным интеренетом, то есть без скачки блокчейна следы переводов остались, только вот обращений ни к программе с ним работающей ни к папком где расположена программа и к папкам где расположен wallet.dat нет, подтерты нужные логи, но наличае других обращений к другим папкам и файлам говорит о том что сами системные логи обнулены не были, удалили лишь нужное, и даже не нужное то что в протоколах осмотра есть - удалили, в логах таких обращений к файлам программам и каталогам зафиксированных в протоколах осмотра нет, вот такие дела

0

на пальцах поясняю.
вариант А
винт сняли и подключили к другой системе - где остались какие то логи?
правильно, в другой системе.
вариант Б: загрузились с флешки, где логи ???
Бинго, и тут ты угадал!!!
они на флешке.

1

Сообщение от nujnapomosh хотябы то что с системными файлами работали, изменяли и тд и когда последний раз, и как эти системные файлы называются.

Эти системные файлы называются метафайлами системы NTFS. Если посмотреть их в дисковом редакторе, например в WinHex, то там будут даты создания и модификации этих файлов. Но если и Вы систему запускали, то дата модификации будет Ваша... И толку с неё 0...

А если потом лазили и копировали данные со стороны (с копии...), то вообще концы в воду.

2

nujnapomosh, вам к психиатру по сути крайних

Сообщение от nujnapomosh Вопросы первого сообщения не связаны с другими вопросами

с

Сообщение от nujnapomosh начали красть одни

о

Сообщение от nujnapomosh закончили другие прямо с системы

о

Сообщение от nujnapomosh следы остались зачистки

мания преселдования, она такая.

1

товарищь супер-модератор, не мешайте диалогу если не чем помочь, я говорил что последняя кража зафиксирована в программе которая работает с фалом ключей, расположенная как и файл ключен на ноутбуке с которого и произошло хищение, после этого потерли логи обрашщений в соовтетствущие папки с программой и кошельком, но есть и фото и снят слепок диска, где изменения файлов кошелька совподают с датой хищения, чудеса наверное? или все же как я говорю просто логи потерли, плюс я лично сидел за ноутбуком снимал копии кошелька, ползал по соответствующим дирректориям, также логов нет за эту дату

Эти системные файлы называются метафайлами системы NTFS. Если посмотреть их в дисковом редакторе, например в WinHex, то там будут даты создания и модификации этих файлов. Но если и Вы систему запускали, то дата модификации будет Ваша... И толку с неё 0... А если потом лазили и копировали данные со стороны (с копии...), то вообще концы в воду.

Добавлено через 4 минуты
дак есть вариант восстановить удаленные системные логи имея имея ноутбук на руках, хочется отправить на независимую экспертизу!

Добавлено через 11 минут
system.LOG
software.LOG
SECURITY.LOG
в папке
C:\WINDOWS\system32\config

Это вот эти файлы, больше никаких следов нигде нет?

Добавлено через 22 минуты
вот тут пишут что с реестра можно вытащить информацию о дате запуска программе о количестве запусков о последнем запуске

https://sysadmins.ru/post8101481.html

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/UserAssist/{75048700-EF1F-11D0-9888-006097DEACF9}/Count


вы знаете об это что то?

0

ладно , может я погорячился немного вчера, прости, прилюдно приношу извинения,
однако, как так получилось, что к вашим конфиденциальным (и похоже не только к вашим, но хранящимися на вашем ноутбуке) данным получили "сотрудники полиции" которые не только украли, но и пользовались ими

Сообщение от nujnapomosh в течении 9 месяцев

а вы все это время сидели и чесали себе что то...
и тут внезапно "прозрели", но решили обратиться не в прокуратуру, а на компьютерный форум.
где я вам первым ответом показал как можно "слить" информацию с вашего (любого) накопителя данных, информацию, имея прямой доступ к нему и некоторое количество времени. без изменения таймштампов.

Сообщение от nujnapomosh товарищь супер-модератор, не мешайте диалогу если не чем помочь

чем тебе теперь помочь? ты сам себе злобный буратино, коли после несанкционированного доступа к личной информации, (а то и к коммерческой) сидел и молчал 9 месяцев.
и да, на каком основании сотрудники полиции получили доступ к вашему ноутбуку?

0

0

никто не молчал, можно сказать рейдерский захват, был надуманный ничем не мативированное подозрение в занятии в преступной дейтельностью, что не подтвердилось, но так как дело не закрыто до конца, а пока приостановлени, то и не отдают технику, другая структура занимается теперь разбором полетов, вот надо убедить что можно доказать что логи удалялись, чтобы отправили на экспертизу, которую я готов оплатить

0

я вас до сих пор не убедил ни в чем?
пока ваше железо находилось в чужих руках - с ним можно было делать все что угодно.
даже совершать непристойные действия сексуального характера, снимая это на видео.
заявление в прокуратуру.
больше вам ничто не поможет.
в прокуратуре вас не смогут послать по определению.
тем более дело уже возбуждено.

Добавлено через 2 минуты

Сообщение от nujnapomosh что можно доказать что логи удалялись, чтобы отправили на экспертизу

можно доказать а можно и нет, дело в том что если снят образ - и работали дальше с ним - на оригинале не останется никаких следов. ни снятия, ни работы.

0

образ снимали те кто блин расследует преступление о хищении, все давно уже подано, как вы читаете не пойму, 2 структуры уже завели дело, нужно лишь доказать им что следы терлись, вот нашел статью где пишут что в реестре есть раздел где хранились раньше последние запуски программ, куда она в вин 8 делась и существует ли еще, не знаб, прошу помощи

https://sysadmins.ru/post8101481.html

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/UserAssist/{75048700-EF1F-11D0-9888-006097DEACF9}/Count люди кто в курсе подскажите

0

ты дурак или тролль?
я тебе уже 4 раз пишу, что это можно сделать, даже без особых ухищрений.
и затирать то ничего не надо - ибо все действия совершены на клоне диска. на твоем диске ничего не изменилось, и никаких логов ты не увидишь.
а соединяясь с инетом - ты видишь факт. что грубо говоря с твоей банковской карты были проведены операции.
пиши заявление.
"я, такойто такоевич такоев, заявляю, что в ходе такогото "дела" с моего ноутбука, изъятого по протоколу "номер", совершались такие то действия." в тот момент, когда я данным ноутбуком не обладал.

0

это wallet.dat, вообщем видимо вы меня не понимаете, есть клон диска он в других руках, да и на самом ноутбуке уже ничего не удалят и ничего не делается и ничего не делалось и не будет, так как в другой структуре, нужно доказать следы удаления логов системы, мои доводы, что в протоколе есть а в логах нет, косвенные говорят, нужно найти например в реестре последние запуски программ или где либо еще где не подчистили, и сранить с системными логами, и получится что в логах нет обращений а в других местах есть запуски каких лобо программ.

Ну или либо восстановить эти удаленные системные логи, но как я понял они в одном файле (например системные логи по запуску приложений) а не в отдельных и он уже модифицировался после запуска системы, и дата его изменения и дата отрктия и акцесса новые, поправьте если не прав.

И кто распологает какой либо информацией или может как то помочь через другие системные файлы и папки доказать что были удалены системные логи которые просматриваются через Events Viewer то это будет реальной помощью, я готов за эту ирформацию хорошо заплатить. Так как тогда возникнут вопросы уже и не спихнуть на какой то сбой и тд, есть другие сохнарившиеся системные логи за этот период но значимых и нужных для доказывания хищения нет, возникнуть вопросы зачем стирались следы к файлам каталогам и программам с помощью которых была осуществлена кража

0

Сообщение от nujnapomosh нужно доказать следы удаления логов системы, мои доводы, что в протоколе есть а в логах нет

Вам уже много раз пытались объяснить, что так и должно быть. С оригинала снимается копия, и все действия (отмеченные в протоколе) производятся только с ней. Оригинал не изменяется, а копию, с которой работали, вам никто не даст.
Поэтому ваши доводы - совсем не доводы, и никакая экспертиза вам не поможет, потому что так и должно быть: в протоколе есть, а логов в системе - нет. Соответственно, нет и следов их удаления, потому что на оригинале логи не удалялись, потому что их там и не было.

1

Сообщение от magirus винт сняли и подключили к другой системе - где остались какие то логи? правильно, в другой системе.

Всё зависит от того о каких логах идёт речь, какая была система и как в ней монтируется том NTFS. Если не только на чтение, то кое что будет в служебных логах файловой системы.

0