יש לי דיסק קשיח שמכיל קבצים מסויימים (ידוע לי איזה קבצים)
מחשב (ידוע לי איזה מחשב ויש לי גישה אליו)
ודיסק און קי נוסף

אני רוצה לבדוק אם קבצים מדיסק און קי א הועברו לדיסק און קי ב ששניהם היו על המחשב (העתקתי ישירות מדיסק אחד לשני) באותה מדיה במקום דיסק ב זה יכול להיות סתם תקליטור

או שאני רוצה לבדוק אם הקבצים מהדיסק און קי נצפו על המחשב

מבחינה טכנית אני בטוח שזה אפשרי
השאלה איך עושים את זה?

אין לי מושג אפילו מה לכתוב בגוגל בשביל לקבל רקע כללי

התחום שאתה מדבר עליו נקרא "Computer Forensics" ,אני אחלק את התשובה שלי ל-2:

1.בטרם בוצעה העתקת הקבצים
תוכל לבצע Audit על המערכת,להשתמש בתוכנות מסוג Activity Monitor ותוכנות File Integrity Checker שמבצעות חתימות על כל קובץ,לרוב חתימות אלו בלתי ניתנות לזיוף.

2.לאחר העתקת הקבצים
ישנן לא מעט כלים צד ג' שמתיימרים לנתח דיסקים,קבצים וכו'.
עקרונית זה מאוד תלוי באיזו שיטת ניהול קבצים הדיסק אותחל.
לדוגמה ,יהיה קצת קשה ועד בלתי אפשרי לנתח מערכת קבצים של Linux עם אפליקציה ל-Windows.
קיימים גם אמצעי חומרה מתאימים אך לרוב הם נמכרים לרשויות החוק,סוכנויות ביון,ממשלות וארגונים בטחוניים אחרים.
יש קורס ספציפי שעוסק בתחום הזה:
http://www.nirshamim.co.il/yedionim...9150&GroID=5334
יש לי גם ספר PDF מקיף בנושא,אם תרצה אשלח לך אותו,הוא באנגלית.

מה שאתה צריך בעקרון זה תוכנות לניתוח הדיסק(disk analyzing/investigations).
בהנחה שאתה משתמש במערכת הפעלה Windows ,יש לך אופציה להסתכל ב-date modified של הקבצים החשודים,זאת נקודה טובה להתחלה.
כמו כן תוכל לעיין בלוגים של Event Viewer ולחפש אירועים בנושא Removable Storage Device.(בהנחה שלא בוצעה מחיקה של הלוגים\overwrite עקב הגבלות נפח של קובץ הלוג)
במידה ולא תמצא תוצאות לגבי בדיקת הכנסת התקן USB למערכות Windows קיים כלי חינמי שמבצע את העבודה:
http://www.nirsoft.net/utils/usb_devices_view.html

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://www.nirsoft.net/utils/usbdeview.gif]


בכל אופן,אם אתה חוקר משהו,עדיף לבצע Clone(שכפול) של הדיסק ואף פעם לא לבצע את החקירות על הדיסק המקורי עצמו.
גוגל הוא אחד הדברים הטובים להתחלה(וגם לאחר כך).
שיהיה בהצלחה.

א. תודה על התגובה
ב. אשמח לקבל לינק (ואם אתה רוצה גם משהו יש לי מבחר לא קטן גם בתחום המחשבים)
ג. איך אני בודק באיזה שיטת ניהול קבצים הדיסק הותחל?
מדובר על מחשב ביתי ונעשה בו שימוש בווינדוס XP

איך אני משכפל את הדיסק ולמה לא לבצע את החקירות על הדיסק עצמו?

אם אני רק בודק איזה התקני USB חוברו דרך התוכנה שנתתה זה גם חקירה שלא מומלץ לעשות על הדיסק?

שלום לך,
א.אין בעד מה,אנחנו פה בשביל ללמוד וגם לסייע כל אחד בתחומו.
ב.לגבי שיטת ניהול הקבצים-מערכות מסוג XP לרוב יהיו מאותחלות בשיטת NTFS,אפשר לראות את זה ע"י קליק ימני על אחד הכוננים ואז-"מאפינים" ולראות מה רשום ב-file system או להצבע על הכונן ולהסתכל מה כתוב בצד שמאל של המסך.
אופציה נוספת דרך Computer Management-Disk Management שבלוח הבקרה:




[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://www.doublehammer.com/winxp/images/xp_disk_management.jpg]



ג.לגבי הספר-תשלח לי את מספר ה-IM\ICQ בהודעה פרטית ואשלח לך בכיף.

ד.הסיפור שלך הוא מאוד מוזר וקשה לי להבין את התמונה הכוללת,אני לא אכנס לפרטיותך ואהיה ככל שאפשר טכני נטו אבל לפי מה שהבנתי ממך(תקן אותי אם אני טועה) אתה מדבר על קבצים מאוד ספציפים.
באילו סיומות הם? אני שואל זאת מאחר שלדוגמה במידה ואתה חושד שהעתיקו ל-DOK(דיסק או קי)

קבצי תמונות,תחפש עליו או על הדיסק שאתה חושב שהעתיקו אילו את התמונות קבצי Thumbs.dll

או למשל אם מדובר בקבצי EXE שהואמריץ באופן קבוע ניתן לנתח את תיקית Prefetch.
לפני שאתה חושב לעשות את כל הצעדים האלו-האם ביצעת חיפוש פשוט על אותו דיסק\מחשב?
חיפשת קבצים מוסתרים? האם אתה חושב במישהו?אם כן עד כמה מיומן הוא?
(למשל היום ניתן להחביא קבצים בתוך קבצי תמונה\קול וכו').
האם אתה חושד שהוא מחק לאחר ביצוע ההעתקה את הקבצים?אם כן יש לנסות לבצע Data Recovery לדיסק.
האם בדקת על המחשב החשוד שלא מותקנות עליו תוכנות הצפנה או יישומי אבטחה שונים(לרוב עם סיומת exe).

באופן עקרוני בארגונים בטחוניים וכו' משכפלים עם אמצעי חומרה ע"מ להעתיק את המידע במדויק ביט לביט ,בתור משתמש בייתי אין לך צורב בהעתקה כה מדוייקת , מספיק להשתמש בתוכנה צד שלישי כדוגמת Ghost .
יש גם הרבה תוכנות Freeware כאלו,הכוונה חינמיות.
בד"כ לא מבצעים חקירות על גבי הדיסק עצמו על מנת לא לדרוס מידע בטעות.
יחידות לפשעי מחשב וכו' משכפלות את הדיסק מאחר שהדבר ישמש כראייה משפטית ומבחינת החוק הראייה אמורה להיות קבילה בבית המשפט.
כל עו"ד צעיר שמייצג פשעי מחשב הדבר הראשון שהוא טוען זה שהחוקר הפליל אותו ו"השתיל" לו ראייות,לכן משכפלים בין היתר את הדיסק.

ד.לגבי ה-USBDeview זה בסדר,התוכנה לא משנה ערכים ב-Registry אלא רק לוקחת ממנו נתונים ומציגה אותם בצורה ברורה יותר,עדיף מאשר לבדוק ידנית:
http://www.niiconsulting.com/checkm.../usb-forensics/

אם מדובר במשהו רציניתמיד תוכל גם להשתמש בשירותי חברה המתמחה בחקירות מחשב,ניתוח מדיה מגנטית ושחזורה:
http://www.tictac.co.il/forensic.html

זה לא דיסק שלי זה דיסק של מישהו אחר והוא נותן לי לבדוק בו רק מתי שהוא מאמין שאני לא יצליח למצוא את זה שהוא התעסק לי עם הDOK


בדקתי עם התוכנה והיא כותבת שהוא לא חיבר, כנראה הוא יודע להסתיר את זה (בוודאות הוא התעסק לי עם הדיסק און קי פשוט לא מצאתי דרך התוכנה שהדיסק און קי חובר למחשב שלו)


איך אני משכפל את הדיסק שלו על דיסק קשיח אחר שיש לי שאני יכול לעשות את כל הבדיקות בלי הפרעות?

>"זה לא דיסק שלי זה דיסק של מישהו אחר והוא נותן לי לבדוק בו רק מתי שהוא מאמין שאני לא יצליח למצוא את זה שהוא התעסק לי עם הDOK"

לא הבנתי מה אתה מנסה להגיד פה,אבל אם הוא חיבר לך את ה-DOK למחשב אתה תראה את זה בתוכנה או ב-Registry.
האם היו לו הרשאות Administrator כאשר הוא עבד לך על המחשב?
בדקת את ה-Event Viewer?אתה בטוח שהכונן שלו לא זוהה ע"י התוכנה?אתה זוכר באיזה תאריך הוא טוען שהוא חיבר(אם בכלל?).
לא הבנתי מה הוא ניסה לעשות בכלל!
של מי ה DOK? התוכנה תראה לך את כל התקני ה-USB שחוברו על אותו מחשב ספציפית!
אם הוא חיבר את ה-DOK למחשב שלו תצטרך להריץ אותה על המחשב שלו ואם הוא חיבר אותו לשלך תצטרך להריץ אותה על שלך.
מה רמת הידע שלו לדעתך?
אם ה-DOK אצלך ואתה חושד שהוא מחק את הקבצים מה-DOKתוכל לעבוד עם BadCopy Pro ולנסות לשחזר את הקבצים שנמחקו.
לא הבנתי,התם התערבתם על משהו או שמדבור בחדירה לפרטיות?
למה אתה כ"כ בטוח שהוא חיבר את ה-DOK למחשב שלך?

>"איך אני משכפל את הדיסק שלו על דיסק קשיח אחר שיש לי שאני יכול לעשות את כל הבדיקות בלי הפרעות?"

אתה רוצה לבדוק את ההארדיסק שלו או שלך?
עקרונית ישנן רכיבי חומרה שמעתיקים ביט לביט כולל CRC אך לך מספיקה תוכנת GHOST.

הדיסק און קי שלי
המחשב שלו

אני חושד בו שהוא לקח את הדיסק און קי שלי וחיבר למחשב שלו וצפה בקבצים

רמת הידע שלו נמוכה מאוד אבל הוא סטודנט למחשבים והוא יכול ללמוד ואני בטוח שיש לו את מי לשאול
הוא תחמן לא קטן

והוא לא מחק את הקבצים רק אני מפחד שהוא שיכפל אותם למחשב שלו או סתם צפה בהם

את התוכנה הזאת הורדתי למחשב שלי ואם אני עושה שם אנאינסטול ((נדמה לי) זה מוחק את הרישום שהDOK התחבר למחשב
יכול להיות שהוא יודע על האפשרות הזאת/יודע להסתיר את מה שהוא עשה

ואני חושב בו כי הוא לקח את הDOK שלי לאיפה שנמצא המחשב שלו סגר את הדלת והחזיר את הDOK אחר כך למקום

אני ישכפל עם GHOST ויעשה על זה בדיקות יותר מעמיקות לפי ההסברים שרשמתה

>"הדיסק און קי שלי
המחשב שלו"

אוקיי

"אני חושד בו שהוא לקח את הדיסק און קי שלי וחיבר למחשב שלו וצפה בקבצים"
עכשיו הסיפור יותר ברור לי.

שאלה קטנה-למה לא הצפנת את המידע?ואיך ה-DOK הגיע אילו בכלל?
אני ממליץ לכולם להשתמש בתוכנות הצפנה וגמובן לא ל שמור את מפתח ההצפנה על ה-DOK עצמו מן הסתם.

בדקת ב-Event Viewer אצלו האם מופיע משהו? בדקת ב-DOK עצמו מתי שונו הקבצים לאחרונה?
התעסקת איתם אחרי שחשדת שהוא שיחק עם ה-DOK?
באילו סוגי קבצים מדובר?קבצי תמונה?אופיס?בדקת את תיקיות ה-TEMP שלו?
למה לך לשכפל את ההארדיסק שלו אם הוא מביא לך ככה להתעסק?
וגם אם הוא מחק את הכניסות ב-Registry(מערכת הרישום) עדיין תוכל להריץ סריקה עם כלי תחזוקה שונים שיכולים גם לגלות שמישהו שיחק ב-Registry\קיימות כניסות מיותרות וכו'.
אפשר לבדוק עם אחת הגרסאות הישנות של jv16 PowerTools (לא נוח לעבוד עם החדשות)
או עם Registry Clean Expert .
אם הוא פירמט את המחשב זה קצת יותר בעייתי אבל אפשר עדיין לחקור את ה-DOK עצמו.
כמו כן אם אתה משכפל את ההארדיסק שלו תוכל לשחק עם ה-System Restore וכך תוכל לשחזר את הרשומות ב-Registry שהוא מחק של כניסות בתקני ה-USB.
חוקרים תמיד אוהבים "להתלבש" על הטעויות של המשתמש.
יש סיכוי גדול שהוא לא מחק את קבצי ה-System Restore ,אתה רק צריך לזכור את אותו תאריך.
ואם אתה לא זוכר תמיד אפשר לשחק שם בלוח השנה פשוט זה יקח לך הרבה יותר זמן.
אני בצע ניסוי ואבדוק האם זה באמת עובד.
שוב,תענה לי על השאלות זה חשוב,כי אם למשל מדוב בקבצי תמונה,מספיק שתמצא אצלו קבצי Thumbs ואז תוכל פשוט להוכיח לו שהוא פתח את התמונות במחשב שלו.

בדקת ב-Event Viewer אצלו האם מופיע משהו?
בדקתי בתוכנה שנתתה, לא הופיע שום דבר. הכנסתי את הדיסק און קי והווינדוס התחיל לזהות אותו.
בדקת ב-DOK עצמו מתי שונו הקבצים לאחרונה?
איך אני בודק את זה?
התעסקת איתם אחרי שחשדת שהוא שיחק עם ה-DOK?
מחקתי אותם (העברתי לסל מיחזור) ושמתי קבצים אחרים שלא אכפת לי שהוא ימצא.
באילו סוגי קבצים מדובר?קבצי תמונה?אופיס?בדקת את תיקיות ה-TEMP שלו?
איך אני בודק את תיקיית הטמפ? מדובר בעיקר על קבצי התקנה של תוכנות (.exe כמה שאני זוכר)
למה לך לשכפל את ההארדיסק שלו אם הוא מביא לך ככה להתעסק?
הוא מביא לי להתעסק 5 דקות בהשגחתו רק בשביל שאני יאמין שהוא לא נגע לי בדיסק און קי
אם יש לו חשד כל שהוא שאני עלול למצוא שהוא כן נגע לי בדיסק און קי הוא אומר עד כן ונגמר הסיפור
לשכפל את הדיסק יהיה יותר קל לשכנע אותו
וגם אם הוא מחק את הכניסות ב-Registry(מערכת הרישום) עדיין תוכל להריץ סריקה עם כלי תחזוקה שונים שיכולים גם לגלות שמישהו שיחק ב-Registry\קיימות כניסות מיותרות וכו'.
אפשר לבדוק עם אחת הגרסאות הישנות של jv16 PowerTools (לא נוח לעבוד עם החדשות)
או עם Registry Clean Expert .
אם הוא פירמט את המחשב זה קצת יותר בעייתי אבל אפשר עדיין לחקור את ה-DOK עצמו.
הוא לא פירמט, כמה שאני יודע היו לו פעם בעיות במחשב ולא היה לו דיסק ווינדוס (גם היו על המחשב הרבה תוכנות)
כמו כן אם אתה משכפל את ההארדיסק שלו תוכל לשחק עם ה-System Restore וכך תוכל לשחזר את הרשומות ב-Registry שהוא מחק של כניסות בתקני ה-USB.
בדקתי את הסיסטם ריסטור ויש שחזור רק לזמן מוקדם יותר, לנסות (בכונן שאני הולך להעתיק ממנו) לעשות את זה?

1.תבדוק גם ב-Event Viewer של חלונות , תחפש שם דברים בסגנון Storage Device.

2. אין טעם לבדוק מתי הקבצים שונו לאחרונה כי מחקת אותם,לא היית צריך למחוק.אלא לנתח אותם עוד בחדש הראשון שהתעורר אצלך כשהם היו על ה-DOK.
למה לך לשכפל את ההארדיסק שלו אם הוא מביא לך ככה להתעסק?

3.גבי קבצים זמניים,תחפש בנתיבים הבאים בדיסק שלו:
C:\System Volume Information
C:\WINDOWS\Temp
C:\WINDOWS\Prefetch

*אל תחפש רק לפי סיומות,תסתכל טוב על שמות הקבצים,אפילו סדר לך אותם בצוגה שנוחה לעין כדי לא להתאמץ,תנסה לחפש קבצים עם אותם שמות.

4.תריץ את jv16 PowerTools (בגרסה הישנה) ואת Registry Clean Expert ,גם אם הוא מחק את התוכנות\קבצי EXE שלך אתה תראה שם רשומות מיותרות שהאפליקציות האלו ימליצו לך לנקות אותם(אל תנקה,זה פשוט פתרון יצירתי להוכיח שהוא השתמש בקבצים).

5.תשכפל לו את המחשב עם Norton Ghost (אתה בוחר שם partition to image).



6.אם אתה מסתבך יותר מידי וזה ממש חשוב לך תמיד תוכל לפנות לחברה כמו:
http://www.tictac.co.il/forensic.html

הכרתי את המידע ב-HKLM\System\CurrentControlSet\Enum\USBStor, ב-HKLM\System\CurrentControlSet\Enum\USB ובשאר חורים ברג'יסטרי, אבל אף פעם לא היה לי כח לנסות לפרסר אותו. תוכנה אדירה!

זה מעלה מחדש שאלות טכניות כמו: כמה פריטי מידע נשמרים שם ואיפה אפשר להגדיר את זה? איזה רכיב במערכת עוסק בלוגינג הזה? וכמובן השאלה הגדולה מכולן: למה ווינדוס בכלל שומר את המידע הזה ואיזה עוד מידע על השימוש במחשב נשמר ע"י ווינדוס?

ווינדוס שומר לא מעט דברים,החל מהאתרים שגלשת ועד לפעולות שביצעת במחשב וכו'.
חלק ניכר מאוד מהדברים השונים נשמרים גם ב-Registy .
מהפרטים הכי פשוטים ועד ליותר מורכבים.
אגב לגבי התוכנה קיימות אפליקציות דומות גם לזיהוי התקני בלוטוס וכו'

לגבי "איזה רכיב במערכת עוסק בלוגינג הזה"?
אתה מתכוון ל-Service כלשהו או מה?
אני משער שבין היתר מדובר בשירות ה-Universal Plug and Play אם כי אל תתפסו אותי במילה.
אשמח אם מישהו יאמת זאת.

לגבי השאלה למה בכלל המערכת שומרת את כל אלו?
מיקרוסופט יטענו שזה תמיד לצורך "שליחת דוחות עקב כשלים וכו'"
לדעתי זה כי הם רוצים לדעתך על המשתמשים שלהם פשוט הכל.
תסתכל למשל איך עובד שירות המסנג'ר שלהם לעומת ICQ.
למה אתה חושב שהשליחה במסנג'ר יחסית איטית?
כי הכל עובר דרך השרתים של מיקרוסופט.
ויש עוד דוגמאות:
http://www.ynet.co.il/articles/0,7340,L-1235728,FF.html

אני יכול לחשוב על לפחות שני שימושים לשמירת המידע
כדי לא להתקין כל פעם דרייבר
כדי שתקבל את אותה אות כונן
בטח יש עוד..

It's Never Lupus

Event Viewer הוא כלי מצויין...
קליק ימני על המחשב שלי > ניהול > Event Viewer

אני חושב שאם אתה לא מפעיל Audit על המכונה או מבצע הקשחות דרך GPO (בדומיין) \gpedit.msc
(במחשב שהינו stand alone) לא יישמרו לוגים המתייחסים ל-Storage Device.

אתה צודק... טעות שלי...
בכל מקרה אפשר להקשיח עמדת Stand Alone עם Security Templates

תודה על התוספת!
ושבוע טוב