4

У меня есть ситуация, когда человек получал доступ к конфиденциальной информации с другого компьютера, к которому он не должен был обращаться, и сохранял полученную информацию на своем собственном компьютере.

Поскольку все компьютеры находятся в пределах моей юрисдикции, я несу ответственность за любые утечки информации, и, поскольку я не знаю, будет ли этот человек использовать информацию не по назначению, я мог бы скопировать / клонировать / отобрать его жесткий диск, чтобы он служил в качестве доказательство того, что они украли и имели эту информацию на своем ПК, если они попытаются, например, продать эту информацию для конкуренции.

Что меня интересует: если информация попадет в руки конкурентов, я точно буду знать, что они это сделали, но могу ли я доказать это , показав, что оригинальный диск был внутри их ПК? Есть ли следы, которые могли бы связать этот жесткий диск с его ПК, например, конфигурация материнской платы / процессора, имя пользователя и т.д., Или это было бы отклонено из-за аргумента, что я мог записать эту информацию на диск?

|источник

1 ответ1

2

Это не может быть доказано, извини.

Когда жесткий диск подключен к компьютеру в качестве диска с данными, на него ничего не будет записано, если пользователь явно не вставит туда что-либо. Даже если пользователь записывал в нее, ни одна файловая система, о которой я знаю, не регистрирует какую-либо аппаратную информацию в журналах изменений.

Если компьютер загрузил диск, все немного иначе. (Информация о Windows заранее.) Установки драйверов регистрируются, но тогда вы сможете только догадываться, на какой машине находился диск, основываясь на том, какие драйверы и идентификаторы PnP были в игре. Можно предположить, что программы устранения неполадок / телеметрии Windows записывали специфичные для оборудования данные и записывали их на диск, но нет способа доказать, что они точны. В конце концов, вы могли подделать данные на диске (или поиграться со сборщиком данных, если вы умны).

Даже вещи, которые могут показаться специфичными для компьютера (например, некоторые места в реестре), на самом деле содержат только информацию, специфичную для установки ОС. SID машины - хороший пример таких данных.

Вы можете написать программу, которая при запуске компьютера записывает много информации, такой как серийный номер материнской платы и MAC-адрес, но опять же, даже если вы уверены, что диск был там, вы не можете без сомнения доказать, что Собранные данные реальны.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .