Oppure

Loading
11/04/20 8:58
Mikelius
Semplice domandina molto tecnica.

Il Bios ha una cronologia? (tipo hardware collegato, modifiche all'orologio ecc ecc)
Se si come si potrebbe recuperare?
Ultima modifica effettuata da Mikelius 11/04/20 9:03
aaa
11/04/20 10:09
Carlo
Ciao Mikelius.
I Bios presenti sulle nostre schede madri risiedono in ROM EEPROM cancellabili, per memorizzare i dati, usano una piccola NVRAM non volatile, altro spazio usabile è la memoria dell'orologio, che mantiene i dati finquando la batteria è carica, per questo la risposa è no, una cronologia può essere creata da S.O.
Ci sono dei Bios avanzati, presenti nei server o in computer usati nella ricerca, che usano delle memorie flash, e vengono programmati per compiti specifici e per le più svariate ragioni, nelle flash insieme al bios può coesistere un kernel che permette operazioni di IO su flash o HDD.
Questo nella norma, ma potrebbero esistere versioni custom che non conosco, ma possibili.
Ultima modifica effettuata da Carlo 11/04/20 10:13
in programmazione tutto è permesso
11/04/20 10:15
Mikelius
So cos'è e più o meno come funziona il BIOS. Speravo fosse possibile avere un "event Log" in qualche modo.
Ultima modifica effettuata da Mikelius 11/04/20 10:16
aaa
11/04/20 10:28
Carlo
Si, da sistema operativo lo puoi creare, negli eventi di windows trovi tutto, puoi estrarre in base all'id quelli che ti interessano e parcheggiarli come meglio credi.
Ho partecipato ad una discussione:
pierotofy.it/pages/extras/forum/…
L'esempio che ho postato cercava l'evento di avvio S.O. ma puoi modificare a piacere.
ti allego ultima ver.
Ultima modifica effettuata da Carlo 11/04/20 10:37
in programmazione tutto è permesso
11/04/20 10:51
Mikelius
Forse se chiarisco a cosa serve meglio XD.

Per un progetto di Digital Forensics, devo cercare prove che è stata modificata l'ora del PC.

- Se il registro di windows non è stato pulito, ok la so trovare.
- Se il registro è cancellato/vuoto ok. Lo hanno cancellato per eliminare tracce.

- Se inserisco un HD diverso? Da sistema non vedrò modifiche fatte col 1° hard disk.
Quindi cercavo qualcosa che potesse dirmi se è stato cambiato HD. Questo solo il BIOS potrebbe dirmelo, o sbaglio?
aaa
11/04/20 11:23
Carlo
Mi viene da dire che non sbagli, se il registro è stato cancellato, il log eventi è stato cancellato, l'HDD e il S.O è stato cambiato, sei fregato.
Non hai più nulla e anche sul bios, non trovi nulla.
Se quel PC naviga con un indirizzo IP pubblico statico, i siti tengono traccia degli IP che si collegano e memorizzano l'ora del PC collegato con quell'IP, per un confronto con l'ora reale. Serve per la validazione dei certificati.
Se naviga con IP dinamico, bisogna richiedere al provider l'elenco degli IP assegnati di volta in volta.
Se il PC non ha connessione, ho esaurito le idee, per ora.

EDIT:
Se il pc è connesso ad internet in modo univoco, e in un certo giorno la connessione risulta attiva, significa che qualcuno la stava usando. Ora se nel log di sistema risulta che nello stesso periodo windows era in arresto o in sospensione, significa che l'utente stava navigando con un altro HDD, o con un altro PC occultato.
Ultima modifica effettuata da Carlo 11/04/20 11:32
in programmazione tutto è permesso