Архив группы, в которой осуществляется поддержка пользователей и обмен опытом использования UFS Explorer для восстановления данных между специалистами из различных организаций.
Для присоединения к группе перейдите по ссылке (@ufs_explorer_support_ru).
Если интересует консультация именно специалистов R.LAB, то её можно получить на нашем форуме или через телеграмм-бота @rlabsupportbot.
или оно там для красоты?
Вов, обновись. Или запусти демку свежих версий. А то у меня датаЭКстрактор, от ИСАшной платы тоже что-то не хочет работать с ВМФСом.
Размер физ сектора диска как-то можно менять?
А без обновления кто-то может объяснить назначение этого элемента?
Или оно типа устарело, потому мы на него пилюём?
❯ Угу... Вова Гинтов оптимистично предположил про блокиратор записи.. однако из текстов которые мы тут читаем похоже, что таковой не используется, иначе проблемы бы не возникло этой. Да и раздел если в ридонли маунтить - то её опять же не будет. Мде...
Ну в Америке когда даются заключения для суда форенсик специалистами они прилагают кучу сертификатов , в том числе на блокираторы , чтобы гарантированно убедить что внешних изменений они физически не могли внести на исследуемый носитель . Сомневаюсь что там принимались бы экпертизы с склонированных образов. Экпертизы для частных внутренних нужд это совсем другое . Или если же частично поврежден исследуемый образец , там сначала делается с него копия сертифицированным продуктом (сертификат опять же предоставляется ) потом на клон диск цепляется блокиратор и все по новой
блокиратор что должен блокировать?
Запись
То есть, зачита методом изменения сигнатуры на 55BB не считается валидной для исследования содержимого диска?
Я видел фото вещ-дока , хдд, на который полис цепляет свой блокиратор, вешает печать и потом уже отвозит к форенсикам для исследования
Это если вещдок исправен.
а если его пытались уничтожить - там уже другое...
❯ То есть, зачита методом изменения сигнатуры на 55BB не считается валидной для исследования содержимого диска?
Нет , там , не считается . Это уже внесённые изменения , попробуй объясни судье что эти байты не относятся к исследуемому кибер преступлению
а теперь внимание, вопрос: А снятие копии не является внесением изменений? Ведь в процессе копирования может быть записано что-то не относящееся к данным "клиента".
Для этого копии должны сниматься сертифицированным форенсик инструментом сертификат которого тоже вкладывается в папку дела
Все остальные манёвры , которые могли возникнуть в процессе клонирования , на уровне лицензии на квалификацию форенсик специалиста. Один раз нашли после него , 55ВВ , все , досвидания лицензия , и экпертизы в мусорку
следовательно, диск, который пытались уничтожить, уже нельзя скопировать сертифицированным инструментом.
Если на диск пытались внести изменения уже после того как он стал вещ доком , летят головы экпертов , и делаются новые экспертизы на то какие изменения возникли в это время . Потом уже поправка ни них . Становится все дороже и дороже
простой пример: подозреваемый хряпнул диск об пол. Как его можно скопировать, не внося изменений?
Ну , ещё поправка на страну :) в РФ кмк все по другому работает )
❯ простой пример: подозреваемый хряпнул диск об пол. Как его можно скопировать, не внося изменений?
Его восстанавливает специалист , который «зуб дает» что в данные не вносил изменения. Бэд блоки и не скопированные области описываются в репорте отдельным килограммом бумаги
это УЖЕ изменения
по сравнению с бэд-блоками изменение 55AA на 55BB - фигня на постном масле.
Да , но не умышленные исследователями , и поэтому их в отчёте тоже объясняют лоерам
❯ по сравнению с бэд-блоками изменение 55AA на 55BB - фигня на постном масле.
Судье объясни )
В общем, мы далеко ушли от темы UFS Explorer, потому повторю
А без обновления кто-то может объяснить назначение этого элемента?
или оно было для красоты?
Открой на НТФС разделе к примеру.
а на не-НТФС оно таки для красоты?
До обновления оно было для быстрого просмотра (верификации) файлов заголовков , своими глазками . Чтобы лишний раз не клацать на кнопку
❯ Размер физ сектора диска как-то можно менять?
Справа, Data source prop.
сейчас указан 4096, можно поменять на необходимый
❯ а на не-НТФС оно таки для красоты?
Открой на линуховом разделе.
Валера, мне ответ нужен, а не "попробуй на этом кролике, не нравится - возьми другого кролика, но не смей брать морскую свинку"
вопрос: что там должно было изображаться?
чего ожидать?
Вова, а что думал Тициан когда писал свои полотна ? Оно тебе надо ? Тебе шашечки или ехать ? Ты потом по каждой старой версии будешь от безделия тут троллить всех ? Поставь новую, вопросы отпадут.
Это в стиле Microsoft. Не нравится Windows 10 - а мы специально не будем поддерживать другие, чтобы переходили на десятку,