Можно ли доказать, что жесткий диск был внутри определенного ПК?

Question

Можно ли доказать, что жесткий диск был внутри определенного ПК?

У меня есть ситуация, когда человек получал доступ к конфиденциальной информации с другого компьютера, к которому он не должен был обращаться, и сохранял полученную информацию на своем собственном компьютере.

Поскольку все компьютеры находятся в пределах моей юрисдикции, я несу ответственность за любые утечки информации, и, поскольку я не знаю, будет ли этот человек использовать информацию не по назначению, я мог бы скопировать / клонировать / отобрать их жесткий диск, чтобы он служил в качестве доказательство того, что они украли и имели эту информацию на своем ПК, если они попытаются, например, продать эту информацию для конкуренции.

Что меня интересует: если информация попадет в руки конкурентов, я точно буду знать, что они это сделали, но могу ли я доказать это, показав, что оригинальный диск был внутри их ПК? Есть ли следы, которые могли бы связать этот жесткий диск с его ПК, например, конфигурация материнской платы / процессора, имя пользователя и т. Д., Или это было бы отклонено из-за аргумента, что я мог записать эту информацию на диск?

3

security data-recovery desktop-computer

Источник

16 мар '16 в 17:44

1 ответ

Другие вопросы по тегам security data-recovery desktop-computer

Ben N 16 мар '16 в 20:32 2016-03-16 20:32 · Answer 1 · 2016-03-16 20:32

Это не может быть доказано, извини.

Когда жесткий диск подключен к компьютеру в качестве диска с данными, на него ничего не будет записано, если пользователь явно не вставит туда что-либо. Даже если пользователь записывал в нее, ни одна файловая система, о которой я знаю, не регистрирует какую-либо аппаратную информацию в журналах изменений.

Если компьютер загрузил диск, все немного иначе. (Информация, относящаяся к Windows. Впереди. Установки драйверов регистрируются, но тогда вы сможете только догадываться, на какой машине находился диск, исходя из того, какие драйверы и идентификаторы PnP использовались. Можно предположить, что программы устранения неполадок / телеметрии Windows записывали специфичные для оборудования данные и записывали их на диск, но нет никакого способа доказать, что они точны. В конце концов, вы могли подделать данные на диске (или поиграться со сборщиком данных, если вы умны).

Даже вещи, которые могут показаться специфичными для компьютера (например, некоторые места в реестре), на самом деле содержат только информацию, специфичную для установки ОС. SID машины - хороший пример таких данных.

Вы можете написать программу, которая при запуске компьютера записывает много информации, такой как серийный номер материнской платы и MAC-адрес, но, опять же, даже если вы уверены, что диск был там, вы не можете без сомнения доказать, что Собранные данные реальны.