Ho il seguente problema di sicurezza. Un archivio zippato di e-mail è stato trovato su una macchina (A) utilizzando un programma undelete. L'affermazione fatta dall'oggetto dell'indagine è che hanno fatto l'archivio su un'altra macchina (B) per trasferire i file in A da B. La gestione sospetta che l'archivio sia stato creato su A per prelevare una copia dal sito.
C'è un modo per dimostrare che l'archivio è stato o non è stato creato su A? Questo è XP Professional.
NTFS può contrassegnare i file con "informazioni sulla zona" in uno stream nascosto associato al file. Se il file è stato creato in una zona diversa (come definito nelle zone di IE), è possibile che l'integrazione di IE + di Windows Explorer presente in Windows possa interessarti.
Non sono sicuro che 1) le informazioni sulla zona contengano informazioni sul computer di origine, oppure 2) se tali informazioni sulla zona sono state ripristinate dall'utilità di annullamento della rete
Non ho approfondito personalmente questo dettaglio delle informazioni sulle zone, ma lo apprezzerei se condividi le tue conoscenze.
Se si affermava che lo ZIP doveva essere creato sul sistema B, il sistema è accessibile e non è accaduto troppo tempo fa, crea un'immagine forense di detto sistema B. Se non contiene tracce del file ZIP ( e i file originali), probabilmente non è stato creato lì. Se è presente, controlla data / ora, registri, ecc. Per provare a scoprire dove si trovava per primo il file.
Chiedete loro esattamente quando, dove e come hanno creato il file, quindi confutate quante più parti della storia possibile. Il file è stato creato l'anno scorso? Allora perché contiene i timestamp di quest'anno? Il file è stato creato con WinRAR sulla macchina B? Allora perché non c'è traccia di WinRAR su quella macchina, e perché il file è strutturato come il formato X, che corrisponde a ciò che 7zip crea, e non come WinRAR?
Guardando solo il file ZIP, quasi certamente no. I file ZIP non includono informazioni interessanti come il computer su cui è stato creato o il programma utilizzato per creare il file ZIP.
Ora se il file ZIP è stato creato utilizzando una funzionalità disponibile nel programma ZIP sul computer A che non esiste sul computer B, allora potresti avere delle prove. Ad esempio, se il file ZIP utilizza la crittografia AES256 ma Computer B ha solo Windows e nessun programma ZIP di terze parti, è probabile che lo ZIP non sia stato creato sul Computer B. (Ma non dimenticare che il programma ZIP potrebbe vivere ovunque su la rete, ma può essere eseguito sul computer B.)
Leggi altre domande sui tag windows