[問卦] Logicube Falcon 和MagnetAxiom
Logicube Falcon 和MagnetAxiom
一起進行刑事數位採證,
還有可能無法檢驗造假檔案嗎
阿肥問了chatgpt給出以下答案
無論如何
要如何證明數位檔案是本人輸入的?
即使將 Logicube Falcon 和 Magnet AXIOM 結合使用,仍然有可能無法完全檢驗出某些造假的檔案,特別是在技術熟練的攻擊者採用極端手段進行隱藏或篡改的情況下。以下是詳細分析:
---
為什麼結合這兩款工具仍可能失敗?
1. 高級造假技術:
攻擊者可能直接修改磁碟的原始數據(Raw Data),或者篡改檔案系統的結構(如 NTFS 的 $MFT 或日誌檔),讓所有日期戳看起來一致。
使用低層級工具(如磁碟編輯器)進行修改,並完全清除篡改的痕跡,可能逃過常規取證工具的檢測。
2. 數據刪除或損毀:
使用專業數據擦除工具(如 DBAN)或技術(如 TRIM 指令)清除檔案及其元數據,讓檔案篡改的證據變得不可恢復。
磁碟或設備受到物理損毀,也會導致部分數據無法被提取和分析。
3. 檔案系統限制:
FAT32 等簡單檔案系統不會保存完整的元數據,篡改後難以檢測到異常。
部分檔案系統無法記錄過去的修改歷史,僅保留最新的數據。
4. 造假過程精心設計:
如果攻擊者在造假時模擬了真實的操作流程,並合理設置修改時間等屬性,這些日期可能看起來毫無異常。
配合篡改系統日誌、應用程式記錄等其他證據來源,讓檔案的篡改過程更加隱蔽。
5. 工具的局限性:
Logicube Falcon 側重於磁碟克隆和數據完整性,但不會深入分析檔案系統或元數據篡改。
Magnet AXIOM 雖然功能強大,但對極端情況下的篡改可能無法提供足夠的證據。
--
※ PTT 留言評論
58
[討論] 篡改歷史是不是根本不可能的事?看了進巨還有其它好多作品 每每有某人想要篡改歷史 但最後都是徒勞無功 就算過程會變 但結果都還是一模一樣![[討論] 篡改歷史是不是根本不可能的事?](https://i.imgur.com/NbuCmlrb.png "[討論] 篡改歷史是不是根本不可能的事?")
24
[情報] 微軟打算在Windows 11重啟ReFS的支援這個ReFS微軟從10年前的Server 2012就已經提出,主要是取代從Windows NT 3.1引入的 NTFS檔案系統。但這10年來實際上都只在Windows Server有較大規模的運用 微軟曾經在Windows 10嘗試引入ReFS的支援,但在1709後就限制只能在企業版和工作站專 業版建立新的ReFS分割區(其餘版本只支援讀寫已建立的分割區)![[情報] 微軟打算在Windows 11重啟ReFS的支援](https://pureinfotech.com/wp-content/uploads/2023/01/windows-11-refs-install-support-hero.webp "[情報] 微軟打算在Windows 11重啟ReFS的支援")
18
Re: [新聞] 柯文哲不認罪稱「1500」不知誰做的 再批我說一下我的看法 那個excel應該不能當證據才對 就像前面有人推文說的一樣 這些excel, 找到的便條碎片… , 都應該是當作辨案的線索 而不是直接證據 不然如果隨便有個人寫個紙條撕碎亂丟就可以當證據? excel的部份內容是可以被修改的 你看檔案修改時間(mtime)恐怕也不準確 檔案修改時間是紀錄在檔案系統裡面的 這個修改的成本高不高?14
[救援] 傳統硬碟損壞我的是筆記型電腦 前言: 因為iphone用iTunes備份只能放在C槽 而我手機資料約300G C槽只有256G 故用此方法讓檔案放在D槽&連結至C槽![[救援] 傳統硬碟損壞](https://i.imgur.com/632fICeb.jpg "[救援] 傳統硬碟損壞")
12
Re: [新聞] 測試造假風波延燒 大發暫停所有車款出貨補充一下他們的玩法好了 造假樣態有174種,其中改裝測試車28個,造假資料143個,篡改數據3個,包含但不限於: 頭枕測試只測副駕位,駕駛座的直接用編的 為了過測試改裝儀表板![Re: [新聞] 測試造假風波延燒 大發暫停所有車款出貨](https://img.youtube.com/vi/CJthWhmQTuk/mqdefault.jpg "Re: [新聞] 測試造假風波延燒 大發暫停所有車款出貨")
7
[情報] 微軟將在Win10新增磁碟空間分析工具這是在昨天Insider Preview新增的工具 目前一般使用者會使用第三方的磁碟分析工具來觀察該分割區下那些檔案有重複或是 那個檔案/資料夾占用大量空間。像是Treesize這類的軟體 微軟在Insider Preview組建20277和21277下新增了磁碟分析工具。不過並沒有公開在![[情報] 微軟將在Win10新增磁碟空間分析工具](https://i.imgur.com/VnUfLjhb.png "[情報] 微軟將在Win10新增磁碟空間分析工具")
6
[問卦] 微軟的ReFS檔案系統 真的很爛嗎?我看win11有開發人員磁碟區 可以格式化REFS檔案系統 畢竟NTFS也用很久了 所以微軟做新的REFS 說比較可靠的樣子 但是實際上好像也不能放各種檔案進去不方便 也不能安裝win11 感覺還沒有NTFS方便 所以說為什麼微軟不直接做一個通用的檔案系統 像是弄個新版的NTFS 把新功能加上去就好?3
[心得] 檔案系統檢查結束代碼為8硬碟: WD Elements 4TB 2.5吋 外接硬碟 電腦: 蘋果 Macbook pro 狀況: 外接硬碟有點讀取不良 或是運轉過程有抖動or雜音 桌面已經顯示不出硬碟圖案,但是磁碟程式工具中可以看到![[心得] 檔案系統檢查結束代碼為8](https://i.imgur.com/arNNZR5b.jpg?fb "[心得] 檔案系統檢查結束代碼為8")
3
[請益] 外接硬碟檔案損毀最近把一個外接硬碟的資料轉存到電腦硬碟內 過程中出現一些檔案顯示無法打開 錯誤顯示是資料已毀損或不存在 執行windows內建的磁碟檢查工具顯示有錯誤 修復磁區後那些檔案就消失了![[請益] 外接硬碟檔案損毀](https://i.imgur.com/62gcvsvb.jpg "[請益] 外接硬碟檔案損毀")
Re: [問卦] 幹你娘微軟這什麼智障系統(改標題)如果..... A程式讀取XXX檔案,修改..... B程式讀取XXX檔案,修改..... A程式存檔 B程式存檔
爆
[問卦] 洗錢2千億嫌犯從北檢手中烙跑 代表什麼![[問卦] 洗錢2千億嫌犯從北檢手中烙跑 代表什麼](https://i.imgur.com/DXFUPXxb.jpeg "[問卦] 洗錢2千億嫌犯從北檢手中烙跑 代表什麼")
爆
[問卦] 行李箱貼我不是中國人 日本人:那就改國![[問卦] 行李箱貼我不是中國人 日本人:那就改國](https://i.imgur.com/sinjxJ4b.jpeg "[問卦] 行李箱貼我不是中國人 日本人:那就改國")
爆
[問卦] 88會館的人跑了,有誰會負責嗎==?![[問卦] 88會館的人跑了,有誰會負責嗎==?](https://i.imgur.com/LRAFwe9b.jpeg "[問卦] 88會館的人跑了,有誰會負責嗎==?")
爆
[問卦] 急!線上等!要家庭革命了![[問卦] 急!線上等!要家庭革命了](https://i.imgur.com/zApG5ZFb.jpeg "[問卦] 急!線上等!要家庭革命了")
爆
[問卦] 北檢放其他大咖出去 怎麼不怕烙跑或串證![[問卦] 北檢放其他大咖出去 怎麼不怕烙跑或串證](https://img.youtube.com/vi/4Ss8h7xSYgQ/mqdefault.jpg "[問卦] 北檢放其他大咖出去 怎麼不怕烙跑或串證")
爆
Re: [問卦] 史書華:有編號不代表有收據![Re: [問卦] 史書華:有編號不代表有收據](https://i.imgur.com/xsknzNMb.jpeg "Re: [問卦] 史書華:有編號不代表有收據")
85
[問卦] 蔡阿嘎前員工蘿拉這樣算低薪嗎?![[問卦] 蔡阿嘎前員工蘿拉這樣算低薪嗎?](https://img.youtube.com/vi/XCrA9l7UGas/mqdefault.jpg "[問卦] 蔡阿嘎前員工蘿拉這樣算低薪嗎?")
48
[爆卦] 支那科學家用周杰倫歌曲命名蜘蛛![[爆卦] 支那科學家用周杰倫歌曲命名蜘蛛](https://i.imgur.com/JBAbASGb.jpeg "[爆卦] 支那科學家用周杰倫歌曲命名蜘蛛")
43
[問卦] 科技業工程師真的年薪百萬以上嗎?![[問卦] 科技業工程師真的年薪百萬以上嗎?](https://i.imgur.com/SBlPtCUb.png "[問卦] 科技業工程師真的年薪百萬以上嗎?")
27
Re: [問卦] 紐西蘭好玩又安全 大家怎都去日本43
[問卦] 紐西蘭好玩又安全 大家怎都去日本44
[問卦] 所以去日本旅遊哪裡才看不到台灣人![[問卦] 所以去日本旅遊哪裡才看不到台灣人](https://i.imgur.com/7eBDRC0b.jpeg "[問卦] 所以去日本旅遊哪裡才看不到台灣人")
爆
[爆卦] 陳智菡 Vicky FB![[爆卦] 陳智菡 Vicky FB](https://i.imgur.com/NlbBYagb.jpeg "[爆卦] 陳智菡 Vicky FB")
53
Re: [新聞] 慎入!俄烏戰士「尖刀格鬥片」讓馬![Re: [新聞] 慎入!俄烏戰士「尖刀格鬥片」讓馬](https://i.imgur.com/wDAy5Orb.jpeg "Re: [新聞] 慎入!俄烏戰士「尖刀格鬥片」讓馬")
35
[問卦] 回過頭看,砍軍公教退休金是不是錯了?![[問卦] 回過頭看,砍軍公教退休金是不是錯了?](https://i.imgur.com/8Di0cMnb.jpeg "[問卦] 回過頭看,砍軍公教退休金是不是錯了?")
68
[問卦] 為什麼台灣牛奶會是世界第二貴?![[問卦] 為什麼台灣牛奶會是世界第二貴?](https://i.imgur.com/buuN5ROb.jpeg "[問卦] 為什麼台灣牛奶會是世界第二貴?")
36
[爆卦] 地震![[爆卦] 地震](https://i.imgur.com/MxuQYsZb.png "[爆卦] 地震")
36
[問卦]老青鳥、老蟾蜍都有什麼特徵![[問卦]老青鳥、老蟾蜍都有什麼特徵](https://i.imgur.com/HdLGLm3b.gif "[問卦]老青鳥、老蟾蜍都有什麼特徵")
32
[問卦] youtube12月抖內出爐,館長近90萬奪冠![[問卦] youtube12月抖內出爐,館長近90萬奪冠](https://i.imgur.com/BJQ4k8ub.jpeg "[問卦] youtube12月抖內出爐,館長近90萬奪冠")
33
[問卦] 什麼魚好吃?![[問卦] 什麼魚好吃?](https://i.imgur.com/CxZ2XJ4b.jpg "[問卦] 什麼魚好吃?")
29
[問卦] 為什麼奧地利和德國不會吵同文同種?26
[問卦] 九年了 為什麼還叫中華民國![[問卦] 九年了 為什麼還叫中華民國](https://i.imgur.com/FxG06o6b.jpeg "[問卦] 九年了 為什麼還叫中華民國")
92
[問卦] 什麼是更大的民主![[問卦] 什麼是更大的民主](https://i.imgur.com/cA1mVQHb.jpeg "[問卦] 什麼是更大的民主")
爆
[問卦] 台灣何時開始這麼多瘋狂造謠?![[問卦] 台灣何時開始這麼多瘋狂造謠?](https://i.imgur.com/4W3ZPmTb.jpeg "[問卦] 台灣何時開始這麼多瘋狂造謠?")
20
[問卦] 2476億洗錢大咖潛逃出境誰要負責?![[問卦] 2476億洗錢大咖潛逃出境誰要負責?](https://i.imgur.com/7VnG0wKb.jpg "[問卦] 2476億洗錢大咖潛逃出境誰要負責?")
23
[問卦] 手錶圈真的是「機械貴 石英賤」嗎?20
[問卦] 為什麼這些人不用羈押不上電子腳鐐?爆
[問卦] 真的打仗時 黑熊學院跟慈濟哪個有用= =?![[問卦] 真的打仗時 黑熊學院跟慈濟哪個有用= =?](https://img.youtube.com/vi/sbDdBGkBesg/mqdefault.jpg "[問卦] 真的打仗時 黑熊學院跟慈濟哪個有用= =?")
14
[爆卦] 清大連續兩天停電![[爆卦] 清大連續兩天停電](https://i.imgur.com/lcvvRBTb.jpeg "[爆卦] 清大連續兩天停電")
16
[問卦] 日俄為何當初要搶中國東北啊?![[問卦] 日俄為何當初要搶中國東北啊?](https://i.imgur.com/QhUhdxDb.jpeg "[問卦] 日俄為何當初要搶中國東北啊?")