服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 我如何certificate两个文件是合法的?
Intereting Posts
Google Search Appliance的开源替代品? 为什么sc查询从一台机器失败,但从另一台机器 用puppetpipe理ssh_known_hosts 出现错误后,如何撤销Apache服务帐户中目录的所有权? Bacula无法通过糟糕的networking连接工作 命令在DB2中列出事件监视器 如何创build一个非高速caching的nginx反向代理? 如何使用密码保护弹性beanstalk docker nginx中的网站 Asterisk传出CDRlogging到Mysql Centos 5服务命令 随机IP不断尝试连接到SQL Server 如何运行input文件的部分命令 如何重新加载screenrc而不重新启动屏幕? PHP应该安装在Apache Web服务器还是MySQL数据库服务器上? 在IIS 5.1上的Ionics重写筛选器设置

我如何certificate两个文件是合法的?

在退出之前,我们有人偷了一些文件,最终还是起了一个官司。 现在我已经提供了一个文件的CD,我必须通过将它们与我们自己的文件服务器上的文件进行匹配来“certificate”它们是我们的文件。

我不知道这是否仅仅是为了我们的律师或法院的证据或两者兼而有之。 我也意识到,我不是一个公正的第三方。

在考虑如何“certificate”这些文件来自我们的服务器时,我们意识到我还必须certificate我们在收到CD之前已经有了这些文件。 我们的老板在我们收到CD之前的一天,把创builddate和文件名称显示在我们的资源pipe理器窗口的屏幕截图上,并通过电子邮件将它们发送给我们的律师。 我本来希望提供md5sums,但是我并没有参与这个过程。

我的第一个想法是使用unix diff程序并给出控制台shell输出。 我也认为我可以将它与我们的文件和文件的MD5总和。 这两个都很容易被伪造。

我不知道我应该提供什么东西,然后再次茫然地提供一个可审查的线索来重现我的发现,所以如果它确实需要第三方的certificate的话。

有没有人有这方面的经验?

关于案件的事实:

  1. 这些文件来自Windows 2003文件服务器
  2. 事件发生一年多以前,事件发生前档案并未修改。

    技术问题非常简单。 使用SHA和MD5哈希的组合在取证行业是非常典型的。

    如果您正在讨论可能被修改过的文本文件(比如说源代码文件等等),那么执行某种types的结构化“diff”将会非常普遍。 我不能引用案例,但是有一个先例:“被盗”文件是“原创”的衍生作品。

    监pipe链问题比certificate文件匹配更令人担忧。 我会和你的律师谈谈他们在找什么,并且会强烈地考虑与这类诉讼或计算机取证专业的律师取得联系,并就最好的方式得到他们的build议,打击你的情况。

    如果你真的收到了这些文件的副本,我希望你在维护一个监pipe链上做得很好。 如果我是对方的律师,我会争辩说,你收到了CD,并用它作为源文件来制作“被盗”的“原始”文件。 我本来就把这些“复制”的文件放在远离“原件”的地方,让独立的一方对文件进行“区分”。

    通常你的律师应该已经有很多这个在控制之下了。

    为了certificate这些文件是相同的,应该使用md5。 但更重要的是,您需要使用可审计的线索来certificate监pipe链。 如果有其他人被拘留,那么在法庭上certificate证据没有被“种植”是很难的。

    有电子证据和法医公司专门处理这个问题。 根据你的公司对这个案子的认真程度,你需要聘请一个有这方面知识的律师,并且可以把你介绍给一个可以帮助你完成这个过程的公司。

    一个重要的问题是如何login对公司文件的访问,以及如何pipe理公司文件的版本控制。

    就文件本身而言,你想使用像diff这样的工具而不是像md5这样的工具,因为你想要certificate这些文件是“相同的”,除了一开始有一个版权声明而另一个有不同的版本版权声明在文件的开头。

    理想情况下,您可以准确地展示有问题的文件来自哪里,何时从您的环境中复制,以及谁有权访问这些文件,以及谁制作了这些文件的副本。

    a)是的,我有这方面的经验。

    b)上面有关使用散列的答案只回答你在这个线程的标题中提出的问题,而不是在本体中。 为了certificate你拿到CD-ROM之前已经有了它们,你需要提供上次被触摸的日志,这可能是你没有的,因为这种信息很less被保存。

    c)话虽如此,你的公司可能会保留备份,而这些备份有date,这些备份可以有select地从它们恢复文件进行匹配。 如果您的公司有书面的备份策略,并且保留的备份与策略相匹配,则可以更容易说服某人您没有伪造备份。 如果你没有一个政策,但备份明确标记,这可能是足够的(虽然对方的律师会质疑这个wazoo)。

    d)如果你的公司没有备份,而你所拥有的只是描述的屏幕截图,那么就忘记了。 你将很难说服任何人你已经掌握了足够的数据来certificate你已经有了这些文件。

    差异是我会用,我认为你在正确的轨道上。

    我在想MD5sum,并比较校验和。 但是,任何一点区别都可能会破坏校验和。

    你还应该在磁带或某个地方备份,以certificate你在XYZ时间之前有这些备份,因为任何人都可能会争辩说,你把这些文件从CD上保存到服务器上(创builddate可以通过一些巧妙的时钟设置来改变,图片可以是photoshopped等)

    你真的需要find一种方法来build立,无论是通过备份还是其他的证据,你有文件第一,因为他们出于某种原因给你所需的文件,可以用来方便地制造你的故事(他们为什么这样做那??)

    你需要从你的律师那里find一个知道技术的人,究竟需要什么,或者和专门从事数字取证的安全人员交谈。

    事实是,除非这里有人是律师,我们所能告诉你的是如何比较这些文件(md5sum),也许你最好的防御措施是旧的媒体备份,以确保你在获得CD之前获得了文件,并希望在XYZ离开之前与您的数据(通过电子邮件发送的一些文件,所以你有时间戳呢?仍然存档数据?)