---

※ 引述《innominate (innominate)》之銘言：
: 台灣桃園地方法院檢察署檢察官不起訴處分書
: 原文:
: http://www.tyc.moj.gov.tw/public/Attachment/38212542690.pdf
: 整理重點:
: 1.透過主機系統進行任何檔案或系統操作,皆會在事件列表及事件列表中存有紀錄(log)
:   而經過清查這兩個檔案中並沒有發現檔案變造的紀錄
: 2.透過遠端操作一樣會留有紀錄
: 3.如果將硬碟單獨取出並執行操作,在原系統設定中如果不是完全拷貝(full copy)
:   而是單獨覆蓋,刪除部分檔案或變造log等,在裝回原系統後,原系統程式會拒絕讀取
:   但並未發現此現象
:   如果只是將部分檔案選擇性的拷貝到另一顆硬碟,或是覆蓋某些檔案等操作均同
:   (註:原系統應該會先經由Hash造出某個值,並且比對驗證是否有經過變造,刪除,覆蓋)
:   (這應該是為了防止單獨取出硬碟進行操作的保護措施)
: 4.透過EnCase鑑識軟體(可以查出硬碟中磁區是否有變造的軟體)掃描硬碟中全部檔案
:   也同樣並未發現硬碟檔案有刪除變造的情形
: 5.同樣,檢查log file也並未發現有變造,刪除,覆蓋的情形
: 這篇是整理關於檔案變造的部分
: 至於黑畫面的部分不在討論範圍內
重點整理:

Q7月1日監視錄影檔案有無遭事後刪除?

A無

r1主機內設有程式會將所有執行動作寫入日誌列表

  而日誌列表內無刪除檔案之動作

r2設計本案監視器主機程式廠商表示

並沒有撰寫可刪除或修改日誌列表程式內容之程式

故無法事後刪除或修改日誌列表內容

r3經鑑識單位以軟體檢視日誌列表

沒有發現竄改痕跡



Q監視器錄影主機內之硬碟是否有遭複製部分檔案後再更換為新硬碟?

A無

r1本案主機硬碟之複製只能完全拷貝 無法複製部分

否則一部複製依照程式設計 將會拒絕讀取

但本案沒有拒絕讀取現象

r2若要從外部更換新硬碟再複製難度很高

要先拆掉7螺絲

經廠商表示如果要複製硬碟

需要2 3名專業工程師及1 2工作日才能完成

本案硬碟在7月4日即遭扣押 時間上來不及完成複製



Q監視錄影畫面如何儲存至主機硬碟?

A畫面必須要拍至128mb才會產生檔案存入硬碟

並非隨錄隨存 也沒有自動備份功能

也會因為畫面動態多寡導致各鏡頭拍至128mb產生檔案所需時間不同

若未滿128mb則將畫面先存入暫存區

在存入暫存區但是未產生檔案的情形下斷電

影像將會滅失

（簡單說就像打報告用txt忘了存檔 重開機檔案就不見了)


Q所謂消失80分鐘是怎麼回事？



（簡單說就像報告打一半

電腦當機 不知道問題在哪  直接重開機試試看

剛打的報告就不見了)


Q資訊兵和政戰主任之關係？

A兩人無通連記錄 也不認識


Q"黒畫面"是?????

A因為調查局在出具鑑定報告時

是以一次播放16格畫面之方式來鑑識

如果事後在主機上以一次播放16格畫面之方式來觀看

沒有錄影檔案的時點就會因為無資料可讀取而使螢幕呈現黒畫面



Q之前軍檢說非人為操作？

A軍檢的意思是指沒有監視器正常關機之情形

而本案確實是以切斷電源而不正常關機


剩下懶得打..

--
Time is Money => T = M
Knowledge is Power => K = P
Power = Work/Time =>T = W/P
M = T = W/P = W/K
故當Knowledge趨近於0時 Money趨近無限大


--
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 210.69.124.32

--