Следы при клонировании hd

Ничего умнее посмотреть SMART не придумал. Выложи, у нас тут есть гадалки, может там что супер очевидное всплывет (типа Spin-up Count = 1, Uptime Hours = 16).

К сожалению нет возможности кудато его передавать. Погуглил по смарту - получается это софт, с помощью который мониторит характеристики hdd, проанализировав которые можно убедиться что было клонирование?

Нет, я говорил про сами характеристики. Гарантии результата не даю.

Что куда передать — ничего не понятно.

Если не знаешь, как их посмотреть — ничего не делай, иди советуйся со специалистами.

Можно с вами на платной основе?

Нет. Поищите профильный форум, каких-нибудь data recovery ребят, например. На этом есть раздел Job, но я бы даже не пытался.

Если этот диск ранее был в работе до клонирования на него ОС, ничего это не даст.

Ещё такой вопрос — а зачем тебе это? Ну клон, и что плохого?

только косвенно (время наработки, дата создания каталогов и дата производства диска, и т.п.)

Очень просто: сравни этот диск с предполагаемым клоном.
Если это клон, то будут совпадать вещи, которые обычно не совпадают: серийный номер раздела NTFS, хэши паролей, а то и вовсе SID (если его не поменяли при клонировании).

Ты ещё бы предложил у прошлого владельца спросить.

Ещё такой вопрос — а зачем тебе это? Ну клон, и что плохого?

Анонимус подозревает, что товарищ работает в какой-нибудь МВД-шной лабе компьютерную экспертизу проводит. Причем еще очень хороший спец: умеет гуглить и даже что-то находить при этом.

Мну не помнит пишет ли акронис что-то внутрь клона. По идее как бы не должен, но это надо брать акронис клонировать и проверять.

Если не пишет, то прямых данных, что диск склонирован найти не удастся. Только косвенные. Например, это диск от ноутбука, тогда точно знаю что винда 10-я пишет всякое разное, например, серийный номер ноутбука (его биоса, его матплаты etc). Куда конкретно - не помню, да и не интересовался. Помню, что находил инфу.

И если эти данные не совпадают с данными ноута, откуда диск или несколько разных записей такого рода, то да, вероятность, что клонирнули диск высокая. Ну можно еще порыться в кэше браузера, файле подкачки, внутри метаданных офисных документов (ворд и не только) - там тоже могут быть следы прежнего компьютера.

метаданные/кеш - нет.

а вот пустое место - тут совсем другое дело. для клона - там будет либо пусто (если диск затерт до того был), либо ошметки старой ОС, которая стояла до клонирования (соответственно, на другом железе - с другими драйверами и т.п.)

А если размеры совпадали? На оригинале тоже ошметки ОС могут быть. Оригинал тоже может быть с разной историей, например намного моложе ОС. Вообще надо определение клона, диск на котором ОС вообще никогда не запускалась или как.

Конкретизирую: на руках имеется sdd 2.5 с Win10. Как по нему (не имея при этом других ssd) можно понять, что это клон? Любыми инструментами. Вижу что в комментариях предлагали сравнить с другим ssd)

Размеры совпадали, для нашей задачи вводные таки, что возможно и модель ssd совпадала.

То есть задача заключается НЕ в том чтобы узнать не склонировали ли вас, а в том что не подсунули ли вам овцу?

В венде есть логи «журнал событий». Если ваши ноутбуки разные то там в журнале будет много информации об установке драйверов. Если конечно их не стёрли. Возможно вы их никогда и не стирали то пропажа будет сразу заметна. Ещё можно сравнить smart когда был произведен этот диск, возможно он новее чем ноутбуке.

Да и вообще там же лицензия венды при таком слетает, если она грузилась на разных материнках.

Да и вообще есть ли там пользователь венды то? Или вы его не включаете из-за безопасности? Ну тогда несите его к человеку разбирающегося в цифровой безопасности платно.

Результат его экспертизы можешь выложить сюда, мы оценим качество его работы.

Кстати причем тут Линукс то?

Что ты называешь клоном? Если только нечто, типа лицензионной программы, сохранило серийник диска где-то у себя. Винда, например, недокументировано.

Да, вы очень четко поняли что я имел ввиду. Имеется ноутбук с ssd. Также подумал об установке драйверов. Даже если ноутбуки похожи - каике то разные серии железа все равно заставят подгрузить драйвера.

Вот где найти этих экспертов =) Хотябы удаленно.

А смысл злого умысла в подсовывании нового диска вместо старого? Тогда уж снять копию на новый и оставить себе.

Хорошая мысль.

Ок, тогда встает еще вопрос: Каким образом определить, что с текущего ssd не делали клонирование?

Мне кажется, чел хочет по каким-то следам узнать, не сняли ли с диска копию до того, как отдать ему.

Вернее, он хочет, чтобы кто-то дал ему результат «экспертизы» с подписью и печатью, на конкретику ему плевать.

Это никак не определить если не записывать себе каждый раз количество наработанных часов и или количество прочитанных данных или количество включений, все это из smart но всякие ФСБ давно умеют записывать smart вручную

Найти человека ответственного за бэкапы)

Да! Мне надо понять не делали ли с этого диска клон. Именно в терминологии Acronis и подобных программ.

По второй части вы не правы, мне нужно разобраться как.

На диск надо было наклеивать галаграмму с подписью типа пломбы. И посмотреть не были ли откручены винты корпуса.

Что имеем..

И пароль на Биос иначе клонировали с флешки при целостности корпуса.

А так да узнать что вас склонировали без знания smart данных до момента выключения ПК - никак.

Acronis может делать копию секторов, тогда не отличишь, может по файлам, тогда, имхо, на копии не будет сегментации.

Может он метки какие то оставляет?

Джельтенмэны, кто за монету сможет проконсультировать, буду благодарен.

Нет. Ему нужно знать не склонироапли ли его, а не то что ему подсунули клон (в этом нет смысла).

Это можно было бы знав тс значение Total LBAs Read из smart до клона. После оно бы выросло на объем прочитанных данных.

Да и вообще шифроваться нужно. На венде битлокер.

клонирование диска не клонирует свободное место (ну если только не упороться и не делать посекторную копию что нафиг не надо - медленно и бессмысленно).

и диск не может быть моложе папки установленой ОС в принципе.

Если клонировали на уровне ФС, а не посекторно - то все файлы будут иметь одинаковый в рамках времени копирования атрибут last access. Только я не уверен, что на ssd этот атрибут не отключён по умолчанию.

Но имеет смысл проверить - если last access действительно везде одинаковый - то 99% диск был скопирован.

С другой стороны, эти ваши акронисы могут его и восстанавливать…

Можно разобрать винт и анализировать намагниченность (соответствующим оборудованием). Если диск клонированный, то он весь был записан в одно время, и все домены будут намагничены примерно одинаково

Total LBAs Read из smart до клона

Это только даст подозрения, что с диском что-то делали. Да и то не обязательно, что люди. Десяточка ведь сильно умная и умеет сама просыпаться, чтобы обновится, а может и для дефрагментирования диска.

Если клонировали на уровне ФС, а не посекторно - то все файлы будут иметь одинаковый в рамках времени копирования атрибут last access. Только я не уверен, что на ssd этот атрибут не отключён по умолчанию.

не факт. тот же акронис например работает на уровне ФС - но аттрибуты файлов не факт что меняет.

если всё так уж серьёзно, обратитесь в ростовскую ACELab