AutoPsy - naformátování disku

Pozdravuje tě AI.

Děkuji moc. Každopádně. Lze říct, že v té době byl disk naformátován? Je to pro mě duležite vuči soudu, jestli by to brali z mé strany jako relevantní zdroj informace, že byl v té době disk formátován či smazán. :)

Soud (Policie) by si nechal udělat vlastní expertízu a nebudou brát ohled na nějaký tvůj screenshot.

Právě že znalec nic nezjistil tak se v tom vrtám sám. :( Mi upřimně přijde že znalec se na to sotva podíval ale to je muj stupidní subjektivní dojem

Pokud to nezjistil znalec, tak to soud dost těžko přijme od laika.

To si právě taky říkám... Ale nechápu, jak znalec na to nemohl přijít :( proto se v tom vrtám teď ještě já, po tom co se mi to vrátilo od znalce... Bejvalka mi smazala celkem 2 externí HDD a 2 SSD v notebooku. ty SSD a ten jeden HDD kašlu, tam jsem neměl nic duležiteho. Ale na tom HDD který tady řeším jsem měl cely svuj digitalni život. Od středni školy ruzne projekty v 3DS maxu, pythonu a podobně. Fotky od rodiny a moje, všechno možný,

Formátování nemění obsah souborů.

Jakto že ne? Takže ti můžu přijít naformátovat disk?

Formatovanie vymaze FAT tabulky, data na disku ostavaju.
Aby si odstranil aj data, musis dat kompletny format, kedy sa prepisu vsetky sektory a to na HDD trva X hodin. Posledne som podobnu chybu spravil davno na 40GB HDD, trvalo to hodinu.

modified time je starší než created time, zajímavé.

u systémového disku s windows bych se díval po jeho adresářích, kdy vznikly.
naopak poslední záznam budou mít třeba soubory z eventlogu.

Jak jsem pochopil, chce zjistit datum naformátování. To může být samozřejmě odlišné od data instalace systému.

Muze to byt naformatovano vyrobcem a pak pul roku nebo dele lezet ve skladu

"modified time je starší než created time, zajímavé"

Prostě byl přenesen/zkopírován odjinud.

A o jake HDD vubec jde, mysleno tak, jestli jsi jeho majitelem.
Pouzit ho muzes jen v pripade ze se bude drzet forenznich standardu.

V Autopsy mají $OrphanFiles často „Modified date“ nižší než „Created date“, protože NTFS při kopírování/přesunu resetuje čas „Created“, zatímco „Modified“ zůstává původní. Nejde o chybu, ale o vlastnost souborového systému, která je pro forenzní analýzu klíčová.

Možná ještě doplním, že jde o externí 6TB HDD na usb :) značka Seagate. Nikdy na tom nebyl žádný systém, sloužilo to 12 let pouze pro mé zálohy souborů

A co teda vlastně potřebuješ zjistit? A proč by to měl řešit soud?

Stačí mi zjistit kdy byl disk naformátován... Ono to souvisí ještě s jiným TČ, který je rozsáhlejší... S projekty, které na disku byly, jsem se už však rozloučil :(

NTFS?

U NTFS disků lze datum formátování zjistit pomocí specializovaného nástroje, který umí číst tabulku $MFT (Master File Table).

Použijte DMDE (zdarma): Stáhněte si bezplatnou verzi nástroje DMDE.
1) Vyberte svůj externí disk a potvrďte.
2) Poklepejte na oddíl (partition) disku.
3) Rozbalte položku $Root.
4) Vyhledejte meta-soubor s názvem $MFT.
5) Datum vytvoření tohoto souboru odpovídá okamžiku, kdy byl na disku vytvořen souborový systém (tedy naformátování).

Jestli jsi ty projekty neměl nikde jinde zálohované, tak nebyly důležité.

Loučit se s nimi nemusíš, jak jsi snad pochopil, pokud je smazaná jenom tabulka.

PowerShell:
Get-Item 'C:\' | Select-Object CreationTime

Funguje to i na smazane soubory?

Je to na zistenie, kedy bol disk naformátovaný...

PS C:\WINDOWS\system32> Get-Item 'E:\' | Select-Object CreationTime

CreationTime
------------
07.04.2025 10:26:31

PS C:\WINDOWS\system32>

Co to tedy znamena prosim pěkně pro laika?

Vůbec nic, co by obstálo u soudu. Mně to třeba ukazuje 3,5 roku starý datum, ale zcela určitě jsem od té doby disk formátoval.

sakra... to je škoda protože to by odpovídalo době kdy jsem disk měl u bejvalky a kdy mi psala o souborech a discích... dopytla

I kdyby to opravdu znamenalo datum formátování, tak to stejně nedokazuje, že se to ten den stalo. Jen to, že měl počítač takhle nastavený datum.

aha... tam je více "ALE..." než jsem čekal :( Dobře. Moc Vám děkuji pane Wikan :)

Nemám ani potuchy o čo Ti presne ide, ale je evidentné, že "Created Time" pri všetkých súboroch je rovnaký 27.6.2025, čas sa mierne líši...
Evidentne tie súbory tam boli na ten disk v tento deň a čas nakopírované... Súbor mohol byť vytvorený alebo upravený v iný deň a čas...

no... jak je možné že čas vytvořeni je 27.6.2025, když to už tam ty soubory nebyly? byly tam do dubna max.... pak už jsem měl disky u sebe respektive pak u znalce. ty soubory tam ležely roky. ale v dubnu pak už ne. Po tom co se mi to vratilo od znalce už ten HDD použivam jen se v tom prostě ještě štouram :)

konkretně z rozhodnutí o odložení věci abych v tom měl i ja přehled: "Dále uvedl, že od tohoto dne 18.04.2025 svůj notebook normálně používal,kdy za tu dobu dal svůj notebook jednou do továrního nastavení. Následně dne 04.11.2025 uvedl,že při stěhování v bytě s počítačem žádným způsobem nemanipuloval, což potvrdila také jeho matka"

takže od 18.4. jsem měl disky a laptop. a po prvotnim spuštění notebooku toho dne jsem měl prvotní nasstaveni systemu, všechny data z celkem 4 disku smazána.
Jen se v tom štouram protože se mi nelibi že ji tohle prostě projde :(

I kdyby se ti nějak podařilo prokázat, kdy se to stalo, jak prokážeš, kdo to udělal? Taháš za velmi krátký kus provazu.

To je cele nejake divne, i to s tou Polici, kde jsi prinesl neco na stanici Policie kde tech 6 lidi v uniforme dohromady s IQ strouhanky jsi prisem oznamit ze jsi se dostal k datum pouziim Autopsyatd ... bys nemel problem spis ty.

Hned by jsi porusil 3 zakony, vcetne pouzivani Autopsy ti to zakazuji, od paragafu § 182, § 230 trestnho, nebo obcanskeho zakoniku o ochrane soukromi.

Jako ze prislapes na policii a ukazes nejake ulozene soubory ktere patri k nakym hernim texturam typu "chest_fanci, nebo "mech" (objketu 3D), *** .dds (DDS = DirectDraw Surface) z jakesi hry pomoci AutoPsy. Policie by musela resit, jestli jsi se nedopustil neopravneneho pristupu k cizim datum.

I kdyz to myslys dobre, zakon to neresesi podle umyslu, ale podle toho, zda jsi mel pravo s daty manipulovat nebo s nema jakoliv nakladat.

Doporucil bych mozna radci FTK Imager, doufam ze sis udelal pred tim vsim bitovou kopii toho disku..