¿Es posible probar una fecha en la que eliminó un archivo a través de la papelera de reciclaje? Borro una carpeta de fotos hace 2 meses y alguien me pide que demuestre que lo hice.
¿Es posible probar una fecha en la que eliminó un archivo a través de la papelera de reciclaje? Borro una carpeta de fotos hace 2 meses y alguien me pide que demuestre que lo hice.
Lo que está hablando requeriría un sistema DRM perfecto que pueda probar que solo puede acceder al archivo de la manera que se rige por un sistema que no permite copiar y proporciona un recibo criptográfico para su eliminación.
Hay sistemas que intentan hacer esto, pero todos son susceptibles de ser descifrados ya que hasta ahora DRM no es realmente una plataforma segura y nunca lo será a menos que el hardware deje de ser propiedad del usuario. (Lo que sería muy malo por varias razones y es de esperar que nunca suceda).
En lo que respecta a su simple caso de un sistema no DRM en el que simplemente pone el archivo en la papelera, no hay absolutamente ninguna manera de demostrarlo, porque el sistema ni siquiera intenta realizar un seguimiento de los archivos. se han copiado y cuándo, por lo que incluso si pudiera probar que eliminó una copia (lo que probablemente requiera recuperar el archivo), no puede probar que incluso una copia del archivo haya sido eliminada permanentemente de la forma en que funcionan la mayoría de los sistemas de archivos.
Responda pidiéndoles que demuestren que se lavaron los dientes la noche del 14 de marzo de 2013.
Desde una perspectiva técnica, esto no es posible a menos que haya configurado explícitamente la auditoría de directorios para registrar cuándo se eliminan los archivos. Ya que casi te garantizo que no has hecho esto: no , no hay forma de que puedas demostrarlo. Incluso con la auditoría con , es posible que haya copiado los datos a un lugar secundario a través de otros canales, incluso algo tan poco tecnológico como una pantalla de impresión o una foto de su monitor.
Después de haber construido sistemas de exhibición de documentos electrónicos para corporaciones, TODA la filosofía a un lado ... en un sistema de computadora, incluso con todas las auditorías implementadas, NO hay una manera legal de probar que un archivo ha sido eliminado sin testigos jurados, y eso es incluso especioso. Incluso si tuvo una auditoría del sistema de archivos, he escrito herramientas de eDiscovery de bajo nivel que, al mover elementos, tuvieron que manipular la información de la marca de tiempo del archivo para mantenerlos sincronizados y no perder información valiosa de forma forense (sí, sé un truco, pero desafortunadamente un truco requerido). Así que es posible hacer trampa.
La existencia de un archivo está ahí o no. La prueba de cualquier acto de eliminación en una fecha / hora determinada es otra cuestión totalmente diferente de que las computadoras no serían capaces de proporcionar una prueba confiable y legalmente aceptable, sin intervención humana.
Ok, antes de decirte que si puedes o no, analicemos lo que sucede en la computadora, paso a paso.
1- Tienes una foto de alguna manera. Ya sea copiando desde el teléfono celular, o descargándolo de un sitio, o guardando desde un archivo adjunto de un correo electrónico.
(Imagino que estás usando Windows, pero funcionaría casi igual si fuera una Mac o una Linux o cualquier otra cosa)
En ese caso, Windows almacenará la imagen (el archivo) en su disco duro. Y creará referencias a ese archivo, como el nombre, el tamaño, la carpeta en la que se guardó, etc. Cuando abre el Explorador de Windows, puede navegar a través de las carpetas y encontrar el archivo, abrirlo, etc.
2- Alguien le pide que elimine el archivo.
Lo mueves a la papelera. Windows solo actualiza la información que tenía: ahora sabe que el archivo está en la Papelera, pero antes estaba en la carpeta blahblah, lo que le permite deshacer la eliminación. Ok?
3- Lo eliminas de la Papelera.
Vacías el contenedor de basura, o entras al contenedor de basura y borras solo el archivo. Windows sabrá que ya no desea recuperar ese archivo, por lo que elimina todas las referencias de ese archivo. El contenido aún está en su disco duro, pero ya no hay forma de abrirlo con el Explorador de Windows.
3.1 - Digamos que era un archivo importante que desea recuperar.
Algunos programas especiales podrían acceder a la totalidad de su disco duro, intentando leer el archivo. Dado que el contenido del archivo estaría dentro del disco duro, podría encontrarlo. Y luego el programa lo recuperaría, creando de nuevo todas las referencias a las carpetas, etc., para que pudieras abrirlo de nuevo.
Pero, a medida que pasa el tiempo, ese espacio en el disco duro podría haberse reescrito: como Windows ya no sabe que en esa posición solía ser un archivo, puede sobrescribirlo con un archivo más nuevo, y usted Nunca podrás recuperarlo nuevamente.
Bien, sabemos que puede tener un archivo dentro de su computadora, puede borrarlo, puede intentar recuperarlo, pero puede que no sea tan fácil.
Lo que estás preguntando es "¿has grabado Windows, en algún lugar, que he eliminado el archivo?"
Como puede ver, nunca dijimos que Windows mantendría un registro de sus actividades, así que hay muchas cosas que Windows no sabrá: 1. no sabrá si ha copiado el archivo a un pendrive, a otra carpeta, o si lo ha copiado y le ha cambiado el nombre. 2. no grabará, en ningún lugar, cuando movió el archivo a la papelera, cuando vació la Papelera 3. no sabrá si esa posición en el disco duro se sobrescribió, porque ya no sabrá dónde se guardó la imagen, ya que la borró. Solo sabrá dónde se almacenan los nuevos archivos.
Algunos sistemas especiales intentan hacer un seguimiento de todo. Algunas versiones de Windows, por ejemplo, cuando las opciones de auditoría están habilitadas, pueden hacer un seguimiento de todas sus acciones en la computadora. Pero no la versión general de Windows.
E incluso en esos sistemas hay maneras de engañarlo y copiar el archivo, haciendo una "copia de seguridad" de la imagen, etc.
Lo que las otras respuestas intentan decirte es exactamente eso: en general, una computadora del hogar no hará un seguimiento de tus acciones, de modo que puedas probar que ya no tienes el archivo. Algunos programas podrían probar al revés: que tenías el archivo, que todavía hay alguna copia dentro de tu disco duro, etc. Pero es imposible probar que ya no lo tienes.
Y eso es lo que tendrá que explicar a la persona que lo está preguntando: su computadora no realiza un seguimiento de todas sus acciones, e incluso si lo hiciera, hay personas con conocimientos especiales que pueden eludir eso.
Esto es casi más allá de una pregunta técnica (que va a la teoría de la información / filosófica), ya que está intentando demostrar que es negativo (la inexistencia de dichas imágenes). Si realmente los eliminó, entonces él / ella solo tendrá que confiar en usted. Si se siente cómodo con él, podría permitirles realizar un cierto nivel de búsqueda en su (s) sistema (s) para satisfacer un cierto nivel de verificación, pero no existe una forma tecnológica de demostrarlo.
También, use SnapChat la próxima vez (si confía en que no usen el truco de captura de pantalla).
Lea otras preguntas en las etiquetas deletion forensics file-system