70729 IMG53 (7)

■ uruchomienie procesu kopiowania • archiwizacja kopii binarnej nośnika na płyty DVD

3,2.2. Analiza zawartości dysku twardego / pamięci przenośnej

3.2.2.1.    uruchomienie aplikacji EnCase ver. 6.19 firmy Guidance Software

♦    odzyskanie danych uprzednio skasowanych

*    policzenie skrótów MD5 (hash) dla ujawnionych plików

» generowanie raportów właściwości plików zapisanych na nośniku

•    uruchomienie specjalistycznych skryptów i filtrów aplikacji diagnostycznej

♦    wyselekcjonowanie danych

3.2.2.2.    archiwizacja danych na płyty CD/DVD/BD

ł Sposób przeprowadzenia badania

V gadania przeprowadzono w dniach 27.06. - 27.08.2014 r.

Przekazany do badań nośnik informacji opisany w punkcie 1.1. podłączono do stacjonarnego tlanowiska laboratoryjnego poprzez urządzenie blokujące zapis i za pomocą aplikacji EnCase uMorzono jego kopię binarną do plików o nazwie SanDisk i rozszerzeniu od .E01 do .E04, dla ttórej wyliczono wartości skrótów MD5: 5C37EG533408B12900A88551C8C4CC4 i SHA1: ©1D49887C94B79DBACEC82E325180986CD00A9F.

Hi kopii binarnej zarchiwizowano na płycie DVD w dwóch egzemplarzach. Zgodnie z przedmiotowym postanowieniem pierwszy egzemplarz płyty DVD wraz z dostarczonym do badań nośnikiem przekazano do Prokuratury Okręgowej Warszawa Praga w Warszawie pismem nr H-2324/2014/JAM z dnia 03.07.2014 r. Drugi egzemplarz płyty DVD, której nadano oznaczenie BBK1684/01, stanowi załącznik nr 2 do niniejszej opinii.

Dalsze badania wykonywano wyłącznie na tak przygotowanej kopii nośnika.

Wygenerowano raport dotyczący badanej pamięci zewnętrznej i procesu wykonania jego kopii binarnej, który zapisano na płycie CD: 6BK1684/02 (załącznik nr 3 do opinii) w pliku:

• \\RAPORTY\właściwości.rtf.

Przeprowadzono proces odzyskiwania plików uprzednio skasowanych, a następnie policzono wartość skrótu MD5 dla plików zapisanych na pamięci zewnętrznej.

Wygenerowano raport zawierający właściwości ujawnionych zbiorów danych, który zapisano ra płycie CD: BBK1684/02 (załącznik nr 3 do opinii) w pliku:

•    \\RAPORTY\właśdwośd_PLIKI.txt.

lapisy ujawnione na pamięci zewnętrznej przebadano pod kątem obecności plików dokowych. Analizę przeprowadzono z wykorzystaniem filtrów aplikacji EnCase. Wyselekcjonowano osiem plików:

•    krewiec_gras.WAV o wartości skrótu MD5:674B8318CC677E8020786FF73EA80566,

•    krawiec_karpinski.WAV    o wartości skrótu MD5:

4A2D35864E3BAB24B6C5F414BB71D0B3,

' Sikorski Rostowski (1).WAV o wartości skrótu MD5: D91FD08D182FF731D59E6F5AA651C74,

M4C2I1I M 1 OHMA M IU4/14/MAW/ MK11»4

W(WK'TUNtGO ^{0 ,l0}** MTNIIAUSTYCZNYCM