Abbiamo avuto qualcuno che rubava alcuni file prima di smettere e alla fine si è concluso in una causa. Ora mi è stato fornito un cd di file e devo "provare" che sono i nostri file abbinandoli ai nostri file dal nostro file server.
Non so se questo è solo per il nostro avvocato o prove per il tribunale o entrambi. Mi rendo anche conto di non essere un terzo imparziale.
Pensando a come "provare" che questi file provengono dai nostri server ci siamo resi conto che dovevo anche provare di avere i file prima di ricevere il cd. Il mio capo ha catturato schermate delle finestre dei nostri esploratori dei file in questione con le date di creazione e i nomi dei file mostrati e li ha inviati via email al nostro avvocato il giorno prima che avessimo ricevuto il cd. Mi sarebbe piaciuto fornire md5sums ma non ero coinvolto in quella parte del processo.
Il mio primo pensiero è stato quello di utilizzare il programma diff Unix e fornire l'output della shell della console. Ho anche pensato di poterlo abbinare alle somme md5 sia dei nostri file che dei loro file. Entrambi possono essere facilmente simulati.
Sono in perdita di ciò che dovrei effettivamente fornire e poi di nuovo in perdita su come fornire una traccia verificabile per riprodurre le mie scoperte, quindi se deve essere dimostrato da una terza parte può essere.
Qualcuno ha qualche esperienza con questo?
Fatti sul caso:
- I file provengono da un file server Windows 2003
- L'incidente è accaduto oltre un anno fa e i file non sono stati modificati da prima dell'incidente.