Y
@aiib אמר במידע על התקנה במחשב:
תודה על הבדיחה [אמנם על חשבוני...]
ממש לא היה כוונה לפגוע רק להציג את הדברים כמו שהן, מקוה שהדברים התקבלו בצורה הנכונה
זה באמת כ"כ מסובך או שזה חלק מההצגה?
זה קצת יותר מסובך ממה שהצגתי, כי דלגתי על כמה שלבי ביניים (אולי יש פה מישהו שיש לו רעיון יותר פשוטה?)
בקיצור להתייאש?
ממה? מהמחשב לא, מהכסף כן.
בeverything אפשר להגדיר יצירת אינדקס עבור הכונן ואז לחפש את שם הכונן, למשל :f וללחוץ ctrl+s לשמור תוצאות החיפוש לקובץ.
או בcmd תקליד שם הכונן, למשל :g ואנטר. ואז הפקודה
tree /F
PP: שירות פייפאל שלום,
aiib: שלום, קניתי מחשב בתאריך 01/11/18 וזה הגיע עם סיסמא. המוכר לא נתן לי את הסיסמא ועכשיו המחשב לא שימושי בשבילי.
PP: אדוני, חוץ מזה יש עוד תלונות? המחשב במצב פיזי טוב?
aiib: .... כן.
PP: אדוני, אתה בטח יודע שניתן לאפס סיסמא, או להתקין מערכת הפעלה מחדש (דבר שבין כך מומלץ בקניית מחשב ממוכר לא מוכר)?
aiib: סליחה, אבל אני לא אמור לדעת איך עושים את זה, בשבילי המחשב לא שימושי!
[בדיוק נתקלת בנציג אדיב וקצת משועמם]
PP: אדוני, אתה יכול להוכיח לנו שהמוכר הוא שהגדיר את הסיסמא?
aiib: כן, בבקשה, הכנתי הצגה שלימה בשבילך, אתה מוכן?
PP: בבקשה!
aiib: טוב, אז הנה אני מדליק את המחשב עם מערכת הפעלה מדיסק און קי הזה שהכנתי לפני כן. בדיסק מותקן Windows-to-go שזה מערכת windows ניידת שניתן להתקין על דיסק און-קי.
PP: מעניין, פעם ראשון שאני שומע על זה... תמשיך בבקשה.
[המחשב נדלק]
PP: הלו, אני רואה שהמחשב די שימושי.
aiib: לא, לא, זה מערכת הפעלה חיצונית, אני רוצה שמערכת ההפעלה הפנימית יעבוד לי!
PP: אוקיי, תמשיך בבקשה.
aiib: לצורך הענין אני צריך לייבא את הregistry מהמערכת הפנימית לתוך עורך הרג'יסטרי.
PP: אההה, אוקיי.
[מדגים ייבוא הרג'יסטרי]
aiib: טוב, עכשיו אני פותח את הערך הבא HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate והנה אתה רואה את התאריך שמערכת ההפעלה הותקנה: 1538379339.
PP: לא הבנתי, מה זה?
aiib (בסבלנות...): זה בפורמט "Unix Time" דהיינו מספר השניות שחלפו מאז 01/01/1970, בחישוב קל נראה שזה יוצא 01/10/2018 שזה כחודש לפני הקנייה.
PP: אהה, הבנתי, כלומר.. אתה רציני?
aiib: כן, רציני לגמרי!
PP: ואתה טוען שהמוכר הגדיר סיסמא, אתה יכול להוכיח מתי הסיסמא הוגדרה?
aiib: בשביל נצטרך לפתוח Powershell.
PP: ?!?
aiib: תיכף תבין...
aiib: קודם כל נראה מה הערך של המפתח הבא HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003E9\F
טוב, רואים שמתקבל:
עכשיו נזין את זה לפונקציה הבאה בpowershell:
function Get-PasswordLastSet([byte[]]$F) {
$i=0
$passwordLastSet = ""
$hexPasswordLastSet = @()
while($i -lt $F.Length) {
if($i -eq 24 -or ($i -gt 23 -and $i -lt 32)) {
$passwordLastSet = $passwordLastSet + $F[$i]
$hexPasswordLastSet += '{0:X2}' -f $F[$i]
}
$i++
}
$i=$hexPasswordLastSet.Length - 1
$passwordLastSet = ""
while($i -ge 0) {
$passwordLastSet = $passwordLastSet + $hexPasswordLastSet[$i]
$i--
}
$passwordLastSet = "0x$passwordLastSet"
return $passwordLastSet
}
טוב, עכשיו הוכחתי בצורה ברורה שאינה משתמעת לשתי פנים ש...
הלו, הלו, הלו איפה אתה..... הלו, הלו........
אבל, אבל, המליצו בתחומין.....
@ארי63 אמר במידע על התקנה במחשב:
אני חושב שאתה מחפש משהו שלא בנמצא לכן אני מנסה לעזור בדרך אחרת
אני מאמין שכל מה שהוא מבקש אפשרי, כמש"כ למעלה הרג'יסטרי שומר תאריך שינוי אחרון של כל ערך, ומערכת הקבצים שומר על תאריך יצירה ותאריך שינוי. אפשר גם לקבל הרבה מידע מיומני המערכת וכו' וכו' אבל צריך קצת מומחיות להגיע לנתונים הנכונים.
בנוסף לזה אני מאמין שאין טעם להשקיע במהלך זו... 1) א"א להוכיח כלום כי הכל ניתן לזייף 2) מי מפייפאל ישב לשיעור של חצי שעה עם הוכחות מדעיות וכו' להוכיח שהמוצר לא הגיע במצב חדש? בפרט כאשר המוצר שימושי לגמרי.
אם @aiib יעלה תמונת מערכת לאיזשהו מקום, אולי איזה חוקר פלילי ירצה להתנדב לבדוק כמה מידע אפשר לחלץ משם...
@WWW אני לא מכיר טיימר כזאת
אז עוד רעיון.
יש קבצים תקינים ג"כ? אם כן, תדרוס אותם עם dev/random או dev/null (אחרי גיבוי כמובן)
תעשה Photorec על הכרטיס. אם היה משהו בתוך קבצי הCHK אז Photorec כבר ימצא.
אני הייתי משתמש בhex editor. גם פקודת file יכול לעזור.
אתה מחפש קובץ מסויים שנאבד לך? אפשר להכיר קובץ מבוסס zip ע"י הPK בהתחלה. PNG ע"י PNG בהתחלה, וכן הלאה...
בינתיים לא להדליק את המחשב. בכל השתמשות את מסתכנת במחיקת עוד מידע חשוב. לפנות למומחה לשיחזור מידע.
@aiib אמר במידע על התקנה במחשב:
אני מנסה במחשב שלי הישן לפתוח את הקבצים של הרישום. איך הם נפתחים?
בRegedit.
כאשר HKEY_LOCAL_MACHINE מסומן.
קובץ > load hive... (אין לי מושג איך הם כותבים את זה בעברית....)
זה לא יעבוד על קבצים שהם בשימוש, אם אתה רוצה לנסות תביא קבצים מגיבוי ולא מהמכונה שעליו אתה עובד.
הערה: בRegedit א"א לראות תאריך שינוי אחרון זה אפשרי בPowershell או בתוכנות אחרות.
כדי להבין יותר, התביעה שלך כי הוא היה אמור להיות חדש והתברר שהוא לא, או רק בגלל הסיסמא?
פיפאל הסבירו למה דחו את התביעה?
עם דיסק און קי של לינוקס למשל.
הRegistry נשמר בכמה קבצים מפוזרים בתוך מערכת ההפעלה, העיקר בנתיב C:\Windows\System32\config
לכאורה לא הייתי תולה הרבה תקוות במהלך זו... האם נראה לך שפיפאל יעיינו בהוכחות שלך ומן הסתם יצטרכו להביא חוות דעת ממומחה לבדוק שלא זייפת וכו'
@aiib אמר במידע על התקנה במחשב:
@yossiz הבעיה היא שהRegistry הוא רק מתוך המחשב לא?
אתה לא רוצה ליכנס או שאינך יכול?
בכל אופן אפשר להעתיק את הRegistry בלי ליכנס לווינדוס
@aiib אמר במידע על התקנה במחשב:
האם ישנה דרך לדעת מתי הותקן הווינדוס במחשב וכן מתי נעשתה הסיסמא הראשונה ושלא שונתה הסיסמא?
לכאורה כן. הRegistry שומר תאריך שינוי אחרון של כל ערך. וכן מערכת הקבצים.
@aiib אמר במידע על התקנה במחשב:
לכן אני שואל האם ישנה דרך להוכיח שלא שינתי את הסיסמא מאז שהוא הכניס אותה?
לכאורה לא. הכל ניתן לזייף ואין דרך להוכיח שלא זייפת.
@dovid איך הסקריפט שלך מסתדר עם תקייות שיש רווח בשם שלהם (אני בדקתי והוא מסתדר, השאילה איך)?
@אלי-tza אמר ביצירת קבצי ארכיון מרובים:
יש אפשרות להכין מזה קובץ שאני יריץ במיקום המבוקש?
ניסיתי לשמור כטקסט עם סיומת cmd או bat אך הקובץ לא רץ.
תודה רבה!
כדי שיעבוד כbat צריך לכתוב כך:
for /D %%a in (*) do ("C:\Program Files\7-Zip\7z.exe" a "%%a.zip" "%%a\")
למה? אין לי מושג...