AutoPsy - naformátování disku
Zdravím vás všechny.
Proč program AutoPsy ukazuje datum, které je zvýrazněno na fotce? To datum mne hodně zajímá a lze dohledat v tom programu napřiklad u Deleted files -> File System -> soubor a sloupec "Modified Time" ...
Co to datum znamená?
Moc Vám děkuji.
A o jake HDD vubec jde, mysleno tak, jestli jsi jeho majitelem.
Pouzit ho muzes jen v pripade ze se bude drzet forenznich standardu.
SEAGATE BACKUP PLUS model SRD0PV1
Možná ještě doplním, že jde o externí 6TB HDD na usb :) značka Seagate. Nikdy na tom nebyl žádný systém, sloužilo to 12 let pouze pro mé zálohy souborů
A co teda vlastně potřebuješ zjistit? A proč by to měl řešit soud?
Stačí mi zjistit kdy byl disk naformátován... Ono to souvisí ještě s jiným TČ, který je rozsáhlejší... S projekty, které na disku byly, jsem se už však rozloučil :(
PowerShell:
Get-Item 'C:\' | Select-Object CreationTime
Funguje to i na smazane soubory?
Je to na zistenie, kedy bol disk naformátovaný...
PS C:\WINDOWS\system32> Get-Item 'E:\' | Select-Object CreationTime
CreationTime
------------
07.04.2025 10:26:31
PS C:\WINDOWS\system32>
Co to tedy znamena prosim pěkně pro laika?
Vůbec nic, co by obstálo u soudu. Mně to třeba ukazuje 3,5 roku starý datum, ale zcela určitě jsem od té doby disk formátoval.
sakra... to je škoda protože to by odpovídalo době kdy jsem disk měl u bejvalky a kdy mi psala o souborech a discích... dopytla
I kdyby to opravdu znamenalo datum formátování, tak to stejně nedokazuje, že se to ten den stalo. Jen to, že měl počítač takhle nastavený datum.
aha... tam je více "ALE..." než jsem čekal :( Dobře. Moc Vám děkuji pane Wikan :)
Nemám ani potuchy o čo Ti presne ide, ale je evidentné, že "Created Time" pri všetkých súboroch je rovnaký 27.6.2025, čas sa mierne líši...
Evidentne tie súbory tam boli na ten disk v tento deň a čas nakopírované... Súbor mohol byť vytvorený alebo upravený v iný deň a čas...
konkretně z rozhodnutí o odložení věci abych v tom měl i ja přehled: "Dále uvedl, že od tohoto dne 18.04.2025 svůj notebook normálně používal,kdy za tu dobu dal svůj notebook jednou do továrního nastavení. Následně dne 04.11.2025 uvedl,že při stěhování v bytě s počítačem žádným způsobem nemanipuloval, což potvrdila také jeho matka"
takže od 18.4. jsem měl disky a laptop. a po prvotnim spuštění notebooku toho dne jsem měl prvotní nasstaveni systemu, všechny data z celkem 4 disku smazána.
Jen se v tom štouram protože se mi nelibi že ji tohle prostě projde :(
To je cele nejake divne, i to s tou Polici, kde jsi prinesl neco na stanici Policie kde tech 6 lidi v uniforme dohromady s IQ strouhanky jsi prisem oznamit ze jsi se dostal k datum pouziim Autopsyatd ... bys nemel problem spis ty.
Hned by jsi porusil 3 zakony, vcetne pouzivani Autopsy ti to zakazuji, od paragafu § 182, § 230 trestnho, nebo obcanskeho zakoniku o ochrane soukromi.
Jako ze prislapes na policii a ukazes nejake ulozene soubory ktere patri k nakym hernim texturam typu "chest_fanci, nebo "mech" (objketu 3D), *** .dds (DDS = DirectDraw Surface) z jakesi hry pomoci AutoPsy. Policie by musela resit, jestli jsi se nedopustil neopravneneho pristupu k cizim datum.
I kdyz to myslys dobre, zakon to neresesi podle umyslu, ale podle toho, zda jsi mel pravo s daty manipulovat nebo s nema jakoliv nakladat.
Doporucil bych mozna radci FTK Imager, doufam ze sis udelal pred tim vsim bitovou kopii toho disku..
Tak tohle mě teda zajímá. Jak jsi na to prosímtě přišel?
Protože když přebíráme zařízení na opravu nebo zničení datových úložišť, podepisujeme: Souhlas se zpracováním dat, Souhlas s přístupem k datům, Prohlášení o souhlasu se zásahem do dat, atd. Dela to 2 mensi stranky pri prebirani.
Když dojde na opravu třeba notebooku, musí být dodržován : Technik nesmí bez souhlasu:
• otevírat osobní soubory
• přistupovat k uloženým datům
• manipulovat s hesly nebo šifrovanými oddíly
• Mit výslovný souhlas s přístupem k datům
• rozsah oprávnění (např. jen diagnostika, nebo i kopírování dat)
V podstate dokument ktery slouzi jako pravni kryti pro servis
Jelikoz bydlim v jine zemi, nechal jsem si pres AI vypsat prelozit zakony ktere jsou uplatnovany zde do tch ktere jsou aplikovany v CR.
Zkrátka bez souhlasu majitele HDD nemá právo se v něm hrabat nebo se pokoušet získávat dokumenty, ať už přes Autopsy nebo jiné utility.
Pak zalezi jestli tva otazka byla jen skepticka. Tedy jestli jsem spravne pochopil,ze ten HDD nepatri jemu.
Co je sakra k nepochopení na tom že to je muj disk proboha?
Kde bych uložil tu bitovou kopii?
Na jakýkoliv jiný disk.
Jen ze zvědavosti: pokud bylo to HDD "laicky smazané", včetně běžného formátování, tak to jde snadno obnovit. Umíš to a pokusil ses o to ??? Obvykle se začíná bitovou kopií, máš ji ???
Recuva to nedokázala.
Tak zkus HDD Raw Copy Tool nebo Macrium Reflect (Free).
dnes se jmenuje macrium x je už jen trial, nebo za roční výpalné.
ale ještě furt existuje hirens.
(ten hdd raw copy může být zajímavý)
O proti HDD Raw Copy Tool (ktery bych mohl opravdu doporucit), Marcium vubec nesleduju a nepouzivam, vim ze s nim byla skupina lidi spokojena tak jsem ho pripsal, dik za info.
https://hddguru.com/software/ ma zajimavy a kvalitni SW, velmi zakladni GUI ale dela co ma a jak ma i kdyz uz ma neco najeto.
Jestli znáš jen Recuva, taks to měl dát někomu, kdo umí víc ...
Ovšem ZÁSADNÍ je to, že se na ten HDD po "akci" už nic nepsalo, jinak už může být leccos nevratně přepsané, včetně klíčových záznamů pro obnovení. Pokud tam ještě jsou nepřepsaná data (sektory), lze je obnovovat kontextuálně podle typu (txt, jpg, atd.), což už obvykle vyžaduje placený SW a znalosti. Záleží na tom, jak moc si toho ceníš a co se s HDD odehrálo po "akci", která vedla ke "ztrátě dat". Amatérské/laické pokusy to mohou dost pokazit.