Vrátený PC z expertízy - poškodený HDD
Zdravím..
Dnes mi prišiel PC z forenznej expertízy (dôvod netreba udávať) s tým, že som až teraz (kvôli tomu že som bol cez deň v práci) zistil, že mám pokazený HDD.
Nejdú spúšťať žiadne programy, nejdú presúvať súbory, nejdú dokonca ani odinštalovať programy.
Chyby: -Error writing temporary file. Make sure your temp folder is valid.
-Error 1392: Setup adorted
-Unknown Hard Error
-C://Users/xxx-1/AppData/Lical/Temp/is-3ERIM.tmp/-isetup" Súbor alebo adresár je poškodený a nečitateľný
Môžem žiadať náhradu škody?
Vopred ďakujem
Zformátovat a obnovit soubory ze zálohy. Disku nic nebude.
Zajtra vyskúšam. A keby predsa sa nepodarí? Mohli tam niečo dobabrať?
Ďakujem
Mohli dobabrat, ale spíš s tím diskem (celým počítačem) někdo nezacházel slušně - drsná doprava v autě, spadnul apod.
Už som to vyriešil, odstránil som TEMP v ccleaneri a funguje vše jak má.
Ale aj tak ďakujem za pomoc ;)
To je úspěch, když žádný program nešel spustit.
To fízli ani experti z Úradu optoelektorniky pri SAV nemali s forenzkou veľký problém vyštrachať dáta z oddielu či disku (určite šifrované 1.024bit. heslom), ak stačilo zmazať temp zložky a dáta sa dajú spustiť či prečítať.
Na tvojom mieste by som okamžite vykonal:
- Reset Bios jumperom do výrobného,
- Diskpart.exe - Clean (zmazať, odstrániť oddiely)
- Komplet pevný disk prepísať strojovým kódom jedničiek a núl alebo zaplniť po okraje 3x nejakým fest komprimovaným videom.
- Znovu Diskpart.exe - Clean, zmazať hlavičku prvého sektora.
- Nastaviť aktívny a primárny disk s novým formátom tabuľkou NTFS.
- Čistá inštalácia systému z ISO.
vole, nebude jednoduchsie vyhodit HDD a kupit novy?
Proste som vyčistil TEMP súbory skrz CCleaner, reštartoval PC a vše funguje :/ Išiel som podľa návodu na jednom fóre.
Už by sa mi teoreticky nemalo nič pokaziť, či?...
Jsi si jistý, že je ten disk čistý?
Nevím, proč ti ho prověřovali, ale asi bych ho (ve stavu, jaký teď máš) nepoužíval..
Mám to prejsť všetko cez CHKDSK či to niečo nájde? Poprípade by bolo asi fakt všetko zálohovať a zaobstarať si nový... :/
"chkdsk /x /f /r /v /b" - ti akurát nájde a opraví skrížené sektory.
V prípade akéhokoľvek podozrenia sa maže komplet disk, tj. aj zavádzací prvý sektor, ideálne aj nultý sektor disku s ID HW, len k tomu potrebuješ nástroje.
Z ISO Windows nasleduje znovu čistá inštalačka "maľovaného", čerstvého, práve porodeného systému.
No takto, PC mi sám navrhol opravu chýb pevného disku. Po reštartovaní PC sa mi sám opravil a naskočil. Všetko pohode... :/ (nateraz, a to mám Win 8.1)
To je všetko pekné, bežná rutina.
Len ak mali fízli prípadne iný nimi poverený kontrolný orgán v paprčiach komplet mašinu na forenznú kontrolu, v tom prípade postupujú "orgány" tak, že vždy pri vypnutej mašine odpoja opatrne disk, ktorý vlastnou kabelážou zapoja, ako sekundárny, na vlastný HW, aby sa náhodou nespustilo mazanie prípadne likvidácia dát na diskoch.
Preto nie je podstatná nejaká kontrola sektorov, ale je podstatné, či ti na systémovom disku nepribudol nejaký sofistikovaný SW, ktorým ťa majú v hrsti, lebo veselo špehujú tvoju činnosť na PC cestou netu na voľných portoch od 0 po 65553 cestou ich serverov.
Tu je pes zakopaný, aby si mal systém čistý v prípade, ak sa v ňom rýpali tieto naše fašistické, fízlovské, eštébácke, zdegenerované, skomunizované paprče, potomkovia naštepených milicionárskych tupcov, dnes sú to síce špičkoví absolventi prestížnych univerzít s VŠ kvasením písmenok "JUDr." v známom indiánskom Údolí dutých hláv PZ SR, možno aj v Sládkovičove.
Je třeba rozlišit 2 faktory (ty se nevylučují):
1: odcizení dat : měl jsi je šifrovat
2: zničení dat měl si mít zálohu (že o ně přijdeš)
3. mohli data modifikovat (nebyla li šifrovaná) a pozměnit )
1. Neměl jsi jim počítač dávat (protože když dáš někomu, může data zničit, případně přečíst, nebo modifikovat)
1. případně s jiným nebo fake harddiskem
2. měl sis udělat zálohu, a porovnat vrácená data (ostatně by bylo zajímavé vidět, co se změnilo)
3. měl jsi data šifrovat (oni by si těžko je přečetli)