Hardware - Cronologia del BIOS

Forum - Hardware - Cronologia del BIOS

Mikelius (Member)
Expert

Messaggi: 525
Iscritto: 14/04/2017

Postato alle 10:58
Sabato, 11/04/2020

Semplice domandina molto tecnica.

Il Bios ha una cronologia? (tipo hardware collegato, modifiche all'orologio ecc ecc)
Se si come si potrebbe recuperare?

Ultima modifica effettuata da Mikelius il 11/04/2020 alle 11:03

Carlo (Member)
Guru

Messaggi: 1344
Iscritto: 29/01/2018

Postato alle 12:09
Sabato, 11/04/2020

Ciao Mikelius.
I Bios presenti sulle nostre schede madri risiedono in ROM EEPROM cancellabili, per memorizzare i dati, usano una piccola NVRAM non volatile, altro spazio usabile è la memoria dell'orologio, che mantiene i dati finquando la batteria è carica, per questo la risposa è no, una cronologia può essere creata da S.O.
Ci sono dei Bios avanzati, presenti nei server o in computer usati nella ricerca, che usano delle memorie flash, e vengono programmati per compiti specifici e per le più svariate ragioni, nelle flash insieme al bios può coesistere un kernel che permette operazioni di IO su flash o HDD.
Questo nella norma, ma potrebbero esistere versioni custom che non conosco, ma possibili.

Ultima modifica effettuata da Carlo il 11/04/2020 alle 12:13

in programmazione tutto è permesso

Mikelius (Member)
Expert

Messaggi: 525
Iscritto: 14/04/2017

Postato alle 12:15
Sabato, 11/04/2020

So cos'è e più o meno come funziona il BIOS. Speravo fosse possibile avere un "event Log" in qualche modo.

Ultima modifica effettuata da Mikelius il 11/04/2020 alle 12:16

Carlo (Member)
Guru

Messaggi: 1344
Iscritto: 29/01/2018

Postato alle 12:28
Sabato, 11/04/2020

Si, da sistema operativo lo puoi creare, negli eventi di windows trovi tutto, puoi estrarre in base all'id quelli che ti interessano e parcheggiarli come meglio credi.
Ho partecipato ad una discussione:
http://www.pierotofy.it/pages/extras/forum/viewtopic.php?f ...
L'esempio che ho postato cercava l'evento di avvio S.O. ma puoi modificare a piacere.
ti allego ultima ver.

Carlo ha allegato un file: LettoreEVENTI.zip (98838 bytes)
Clicca qui per scaricare il file

Ultima modifica effettuata da Carlo il 11/04/2020 alle 12:37

in programmazione tutto è permesso

Mikelius (Member)
Expert

Messaggi: 525
Iscritto: 14/04/2017

Postato alle 12:51
Sabato, 11/04/2020

Forse se chiarisco a cosa serve meglio XD.

Per un progetto di Digital Forensics, devo cercare prove che è stata modificata l'ora del PC.

- Se il registro di windows non è stato pulito, ok la so trovare.
- Se il registro è cancellato/vuoto ok. Lo hanno cancellato per eliminare tracce.

- Se inserisco un HD diverso? Da sistema non vedrò modifiche fatte col 1° hard disk.
Quindi cercavo qualcosa che potesse dirmi se è stato cambiato HD. Questo solo il BIOS potrebbe dirmelo, o sbaglio?

Carlo (Member)
Guru

Messaggi: 1344
Iscritto: 29/01/2018

Postato alle 13:23
Sabato, 11/04/2020

Mi viene da dire che non sbagli, se il registro è stato cancellato, il log eventi è stato cancellato, l'HDD e il S.O è stato cambiato, sei fregato.
Non hai più nulla e anche sul bios, non trovi nulla.
Se quel PC naviga con un indirizzo IP pubblico statico, i siti tengono traccia degli IP che si collegano e memorizzano l'ora del PC collegato con quell'IP, per un confronto con l'ora reale. Serve per la validazione dei certificati.
Se naviga con IP dinamico, bisogna richiedere al provider l'elenco degli IP assegnati di volta in volta.
Se il PC non ha connessione, ho esaurito le idee, per ora.

EDIT:
Se il pc è connesso ad internet in modo univoco, e in un certo giorno la connessione risulta attiva, significa che qualcuno la stava usando. Ora se nel log di sistema risulta che nello stesso periodo windows era in arresto o in sospensione, significa che l'utente stava navigando con un altro HDD, o con un altro PC occultato.

Ultima modifica effettuata da Carlo il 11/04/2020 alle 13:32

in programmazione tutto è permesso