| Autore |
Messaggio |
lunapeppeg
Membro
|
# Scritto: 28 Giu 2009 16:08
Rispondi
Buongiorno a tutti. Sono nuovo del forum. Volevo, se possibile, la seguente informazione: esiste un software che permetta di rilevare la modifica manuale di dati contenuti in un file di una banca dati? Se ce n'è più di uno qual'è il migliore?
Grazie
|
lunapeppeg
Membro
|
# Scritto: 29 Giu 2009 08:18
Rispondi
Salve. Ho riletto la mia domanda e forse non è molto chiara. Mi è stato chiesto di determinare se il contenuto di una banca dati ha subito modifiche manuali (cioè è stato aperto e modificato direttamente) piuttosto che col programma da cui viene gestito. E' possibile? A me non vengono buone idee.
|
denis_1971
Moderatore
|
# Scritto: 1 Lug 2009 09:50
Rispondi
dovrebbe comunque essere rilevabile un accesso ai file del db, una sua modifica nei MAC time.
Se non è stato utilizzato l'apposito programma di gestione del db, è possibile che nella time line si possa vedere che in concomitanza con l'accesso/modifica ai file del db non vi è stata "l'attivazione" di file e librerie del programma di gestione del db, ma (ad esempio) dell'editor di testo, o dell'editor esadecimale.
|
lunapeppeg
Membro
|
# Scritto: 1 Lug 2009 14:16
Rispondi
Grazie per la risposta!! Effettivamente è una cosa a cui avevo pensato, ma mi ero ricreduto su questa ipotesi pensando che la persona potrebbe aprire il prgramma di gestione senza caricare i file del db e aprire manualmente i file del db per cui la time line non darebbe forse indicazioni significative.
Cos'è il MAC time? Sul forum non ho trovato spiegazioni a riguardo..
|
denis_1971
Moderatore
|
# Scritto: 10 Lug 2009 10:13
Rispondi
la persona potrebbe aprire il prgramma di gestione senza caricare i file del db e aprire manualmente i file del db
per aprirle "a mano" si userà comunque un qualche software, sia esso un editor di testo o un editor esadecimale, o un qualsiasi altro tool.
Cos'è il MAC time?
Il MAC time è una meta-informazione, un meta-dato che il file system memorizza abbinata ad un determinato file, indicante il tempo di creazione, modifica ed ultimo accesso, con alcune variazioni sul tema dipendentemente dal file system in uso.
Quindi quando apri un file e lo modifichi, il sistema operativo procederà adeguando il MAC time, modificando la data di modifica ed accesso. Se il file lo visualizzi solamente verrà modificata unicamente la data di ultimo accesso.
Questo per sommi capi.
|
lunapeppeg
Membro
|
# Scritto: 11 Lug 2009 16:56
Rispondi
Grazie ancora per la risposta.
con alcune variazioni sul tema dipendentemente dal file system in uso.
Il file system su cui sto lavorando è NTFS. Ho tracciato la timeline con Autopsy. Il risultato è che ho quattro possibili situazioni nella "vita" dei file: m, a, c, b. Il mio intuito ( e quello che mi ha scritto lei sopra) mi dice che :
1) m è il tempo di modifica (è preceduto per forza da un accesso?)
2) a è il tempo di accesso (il file è stato aperto con un doppio click?)
3) c è il tempo di creazione (qualcosa non quadra..)
4) b ..... (pensavo stesse per born e quindi creazione del file..)
Riguardo Autopsy devo dire che mi ha lasciato di stucco quando ho visto date del tipo 31 Dicembre 1979 (e vabbè, può essere visto che i file in questione sono file di installazione del sistema operativo affiancati da b il che avvalora la tesi che b sta per creazione), 9 agosto 1957 (sempre file del sistema operativo..) e i seguenti anni: 1988, 1990, 1994, 1995, 1996 fino al 2001. Ora il punto è il seguente lasciando stare il 1979 e il 1957, in corrispondenza degli altri anni vi sono accessi a file e quant'altro.
Devo pensare che l'orologio del pc su cui era montato il disco fisso sia andato fuori di sè per un certo periodo di tempo?
|
