AutoPsy - naformátování disku

Pozdravuje tě AI.

Děkuji moc. Každopádně. Lze říct, že v té době byl disk naformátován? Je to pro mě duležite vuči soudu, jestli by to brali z mé strany jako relevantní zdroj informace, že byl v té době disk formátován či smazán. :)

Soud (Policie) by si nechal udělat vlastní expertízu a nebudou brát ohled na nějaký tvůj screenshot.

Právě že znalec nic nezjistil tak se v tom vrtám sám. :( Mi upřimně přijde že znalec se na to sotva podíval ale to je muj stupidní subjektivní dojem

Pokud to nezjistil znalec, tak to soud dost těžko přijme od laika.

To si právě taky říkám... Ale nechápu, jak znalec na to nemohl přijít :( proto se v tom vrtám teď ještě já, po tom co se mi to vrátilo od znalce... Bejvalka mi smazala celkem 2 externí HDD a 2 SSD v notebooku. ty SSD a ten jeden HDD kašlu, tam jsem neměl nic duležiteho. Ale na tom HDD který tady řeším jsem měl cely svuj digitalni život. Od středni školy ruzne projekty v 3DS maxu, pythonu a podobně. Fotky od rodiny a moje, všechno možný,

Gratulujem. Su ludia co nezalohuju. A su ludia, co sa to uz naucili. Vacsinou podobnym sposobom, kedy si trhali vlasy a o data prisli.
Radsej by som sa v tom nevrtal, aby si to nedobabral tak, ze uz nik na svete s tym nic neurobi.

Kedy bol disk naformatovany sa da priblizne zistit podla datumu vytvorenia skryteho adresara System volume information, kt. sa automaticky vzdy vytvara na kazdom disku, ked sa pripoji k systemu. Alebo z datumu vytvorenia skryteho adresara $RECYCLE.BIN. Jeden ci druhy adresar by mal byt automaticky vytvoreny, ked Windows po sformatovani disku zdetekoval jeho nove pripojenie (remount filesystemu ihned po formatovani)

Formátování nemění obsah souborů.

Jakto že ne? Takže ti můžu přijít naformátovat disk?

Formatovanie vymaze FAT tabulky, data na disku ostavaju.
Aby si odstranil aj data, musis dat kompletny format, kedy sa prepisu vsetky sektory a to na HDD trva X hodin. Posledne som podobnu chybu spravil davno na 40GB HDD, trvalo to hodinu.

modified time je starší než created time, zajímavé.

u systémového disku s windows bych se díval po jeho adresářích, kdy vznikly.
naopak poslední záznam budou mít třeba soubory z eventlogu.

"modified time je starší než created time, zajímavé"

Prostě byl přenesen/zkopírován odjinud.

A o jake HDD vubec jde, mysleno tak, jestli jsi jeho majitelem.
Pouzit ho muzes jen v pripade ze se bude drzet forenznich standardu.

SEAGATE BACKUP PLUS model SRD0PV1

Možná ještě doplním, že jde o externí 6TB HDD na usb :) značka Seagate. Nikdy na tom nebyl žádný systém, sloužilo to 12 let pouze pro mé zálohy souborů

A co teda vlastně potřebuješ zjistit? A proč by to měl řešit soud?

Stačí mi zjistit kdy byl disk naformátován... Ono to souvisí ještě s jiným TČ, který je rozsáhlejší... S projekty, které na disku byly, jsem se už však rozloučil :(

NTFS?

U NTFS disků lze datum formátování zjistit pomocí specializovaného nástroje, který umí číst tabulku $MFT (Master File Table).

Použijte DMDE (zdarma): Stáhněte si bezplatnou verzi nástroje DMDE.
1) Vyberte svůj externí disk a potvrďte.
2) Poklepejte na oddíl (partition) disku.
3) Rozbalte položku $Root.
4) Vyhledejte meta-soubor s názvem $MFT.
5) Datum vytvoření tohoto souboru odpovídá okamžiku, kdy byl na disku vytvořen souborový systém (tedy naformátování).

Jestli jsi ty projekty neměl nikde jinde zálohované, tak nebyly důležité.

Loučit se s nimi nemusíš, jak jsi snad pochopil, pokud je smazaná jenom tabulka.

PowerShell:
Get-Item 'C:\' | Select-Object CreationTime

Funguje to i na smazane soubory?

Je to na zistenie, kedy bol disk naformátovaný...

PS C:\WINDOWS\system32> Get-Item 'E:\' | Select-Object CreationTime

CreationTime
------------
07.04.2025 10:26:31

PS C:\WINDOWS\system32>

Co to tedy znamena prosim pěkně pro laika?

Vůbec nic, co by obstálo u soudu. Mně to třeba ukazuje 3,5 roku starý datum, ale zcela určitě jsem od té doby disk formátoval.

sakra... to je škoda protože to by odpovídalo době kdy jsem disk měl u bejvalky a kdy mi psala o souborech a discích... dopytla

I kdyby to opravdu znamenalo datum formátování, tak to stejně nedokazuje, že se to ten den stalo. Jen to, že měl počítač takhle nastavený datum.

aha... tam je více "ALE..." než jsem čekal :( Dobře. Moc Vám děkuji pane Wikan :)

Nemám ani potuchy o čo Ti presne ide, ale je evidentné, že "Created Time" pri všetkých súboroch je rovnaký 27.6.2025, čas sa mierne líši...
Evidentne tie súbory tam boli na ten disk v tento deň a čas nakopírované... Súbor mohol byť vytvorený alebo upravený v iný deň a čas...

no... jak je možné že čas vytvořeni je 27.6.2025, když to už tam ty soubory nebyly? byly tam do dubna max.... pak už jsem měl disky u sebe respektive pak u znalce. ty soubory tam ležely roky. ale v dubnu pak už ne. Po tom co se mi to vratilo od znalce už ten HDD použivam jen se v tom prostě ještě štouram :)

konkretně z rozhodnutí o odložení věci abych v tom měl i ja přehled: "Dále uvedl, že od tohoto dne 18.04.2025 svůj notebook normálně používal,kdy za tu dobu dal svůj notebook jednou do továrního nastavení. Následně dne 04.11.2025 uvedl,že při stěhování v bytě s počítačem žádným způsobem nemanipuloval, což potvrdila také jeho matka"

takže od 18.4. jsem měl disky a laptop. a po prvotnim spuštění notebooku toho dne jsem měl prvotní nasstaveni systemu, všechny data z celkem 4 disku smazána.
Jen se v tom štouram protože se mi nelibi že ji tohle prostě projde :(

I kdyby se ti nějak podařilo prokázat, kdy se to stalo, jak prokážeš, kdo to udělal? Taháš za velmi krátký kus provazu.

To je cele nejake divne, i to s tou Polici, kde jsi prinesl neco na stanici Policie kde tech 6 lidi v uniforme dohromady s IQ strouhanky jsi prisem oznamit ze jsi se dostal k datum pouziim Autopsyatd ... bys nemel problem spis ty.

Hned by jsi porusil 3 zakony, vcetne pouzivani Autopsy ti to zakazuji, od paragafu § 182, § 230 trestnho, nebo obcanskeho zakoniku o ochrane soukromi.

Jako ze prislapes na policii a ukazes nejake ulozene soubory ktere patri k nakym hernim texturam typu "chest_fanci, nebo "mech" (objketu 3D), *** .dds (DDS = DirectDraw Surface) z jakesi hry pomoci AutoPsy. Policie by musela resit, jestli jsi se nedopustil neopravneneho pristupu k cizim datum.

I kdyz to myslys dobre, zakon to neresesi podle umyslu, ale podle toho, zda jsi mel pravo s daty manipulovat nebo s nema jakoliv nakladat.

Doporucil bych mozna radci FTK Imager, doufam ze sis udelal pred tim vsim bitovou kopii toho disku..

Hned by jsi porusil 3 zakony, vcetne pouzivani Autopsy ti to zakazuji, od paragafu § 182, § 230 trestnho, nebo obcanskeho zakoniku o ochrane soukromi.

Tak tohle mě teda zajímá. Jak jsi na to prosímtě přišel?

Tak tohle mě teda zajímá. Jak jsi na to prosímtě přišel?

Protože když přebíráme zařízení na opravu nebo zničení datových úložišť, podepisujeme: Souhlas se zpracováním dat, Souhlas s přístupem k datům, Prohlášení o souhlasu se zásahem do dat, atd. Dela to 2 mensi stranky pri prebirani.

Když dojde na opravu třeba notebooku, musí být dodržován : Technik nesmí bez souhlasu:
• otevírat osobní soubory
• přistupovat k uloženým datům
• manipulovat s hesly nebo šifrovanými oddíly
• Mit výslovný souhlas s přístupem k datům
• rozsah oprávnění (např. jen diagnostika, nebo i kopírování dat)
V podstate dokument ktery slouzi jako pravni kryti pro servis

Jelikoz bydlim v jine zemi, nechal jsem si pres AI vypsat prelozit zakony ktere jsou uplatnovany zde do tch ktere jsou aplikovany v CR.

Zkrátka bez souhlasu majitele HDD nemá právo se v něm hrabat nebo se pokoušet získávat dokumenty, ať už přes Autopsy nebo jiné utility.

Pak zalezi jestli tva otazka byla jen skepticka. Tedy jestli jsem spravne pochopil,ze ten HDD nepatri jemu.

Zkrátka bez souhlasu majitele HDD nemá právo se v něm hrabat nebo se pokoušet získávat dokumenty, ať už přes Autopsy nebo jiné utility.

Ale majitelem HDD je tazetel. Jen se snaží zjistit, kdy mu ho někdo naformátoval...

A tak jestli je jeho at si s nim dela co chce.

Tedy jestli jsem spravne pochopil,ze ten HDD nepatri jemu.

A to bude ten problém.

Jojo, HOST me na to uz slusne upozornil, v tom pripade sem napsal samozrejme totalni blbost.
Jak sem to cetl prubezne vcera vecer jsem mel nejak za to, ze ten HDD mel patrit te pritelkyni.
(dekuji za opravu)

Co je sakra k nepochopení na tom že to je muj disk proboha?

Kde bych uložil tu bitovou kopii?

Na jakýkoliv jiný disk.

Jen ze zvědavosti: pokud bylo to HDD "laicky smazané", včetně běžného formátování, tak to jde snadno obnovit. Umíš to a pokusil ses o to ??? Obvykle se začíná bitovou kopií, máš ji ???

Recuva to nedokázala.

Tak zkus HDD Raw Copy Tool nebo Macrium Reflect (Free).

Jestli znáš jen Recuva, taks to měl dát někomu, kdo umí víc ...

Ovšem ZÁSADNÍ je to, že se na ten HDD po "akci" už nic nepsalo, jinak už může být leccos nevratně přepsané, včetně klíčových záznamů pro obnovení. Pokud tam ještě jsou nepřepsaná data (sektory), lze je obnovovat kontextuálně podle typu (txt, jpg, atd.), což už obvykle vyžaduje placený SW a znalosti. Záleží na tom, jak moc si toho ceníš a co se s HDD odehrálo po "akci", která vedla ke "ztrátě dat". Amatérské/laické pokusy to mohou dost pokazit.