W dniu 07.01.2022 o 13:48, Tomasz Kaczanowski pisze:
> Partycja szyfrowana ma to do siebie, że zmiana na niej powoduje
> nadpisanie danych. Więc o ile Rober miał zapewne na myśli, że wiele
> filesystemów przy usuwaniu pliku unieważnia tylko nagłówek,
> identyfikujący i przejrzenie dysku w trybie raw może pozwolić dużo
> rzeczy odzyskać (wręcz były kiedyś do takich rzeczy odpowiednie
> narzędzia), to przy partycji szyfrowanej zapisywane są (w zależności od
> sposobu szyfrowania oraz kilku innych rzeczy) za każdym razem duże
> partie dysku różnymi danymi, więc przejrzenie tego w trybie raw nie
> pozwoli znaleźć tych danych.  Najprostszy sposób szyfrowania (najmniej
> wydajny oraz szkodliwy dla dysków, ale najbezpieczniejszy jeśli chodzi o
> bezpieczeństwo dostępu do danych), przy każdej zmianie nadpisuje całą
> partycję - oczywiście z takich metod nie korzysta się przy większych
> dyskach, ale chodzi o to by zrozumieć sposób działania - to nie jest
> jedynie szyfrowanie pliku, zapisywanie dużych fragmentów fizycznych dysku.

Tylko właśnie z powodu czasu dostępu dużych serwerów pocztowych się
chyba nie szyfruje. Ja do analizy dostałem akurat obraz w EnCase i
przyznam się, że nie zastanawiałem się jak to wcześniej zrobili. W
każdym razie każdy email był pierdylion razy powtórzony i pierwsze co
zrobiłem, to wyszukałem i usunąłem duble po prostu licząc sumę kontrolną
poszczególnych plików. Na tym "poległ" poprzedni biegły, bo nie
zauważył, ze one się powtarzają i po dwóch latach nie było widać końca.
Przede wszystkim po prostu przerósł go rozmiar danych, bo to był jedne z
popularniejszych w Polsce serwerów pocztowych i przy komputerach sprzed
kilku lat miało znaczenie, czy analizujemy raz, czy 10 razy ten sam email.

Ja wywaliłem duble, a następnie LINK-iem zrobiłem graf, na którym było
widać kto, do kogo, w jakim adresie i ile wiadomości wysłał. Nawet się
nie zastanawiałem, do czego im to było. Pokazałem im, jak szybko
wyszukać na nośniku interesujących ich email i oddałem materiał. W
każdym razie w tym wypadku emaile były widoczne jako pliki tekstowe,
natomiast gdyby była tam baza danych opisywana przez kolegów, to pewnie
by z tego skorzystano. Ja ją musiałem zrobić właśnie.

Ja to robiłem kilka lat temu, a oni chyba ze 2~3 lata wcześniej dane
pozyskali, więc trzeba jeszcze wziąć poprawkę, że przez 5 lat standardy
się trochę zmieniły. Może teraz są jakieś skorowidze.

--
Robert Tomasik