Имеется файловая система FAT, содержащая незначительный набор файлов и каталогов. Возможно, дело в том, что файловая система мало использовалась, была недавно отформатирована или в ней присутствуют скрытые данные. Чтобы проверить вторую гипотезу, мы анализируем временные штампы записи каталога с атрибутом метки тома, находящейся в корневом каталоге. Программа выводит запись каталога как обычный файл, и мы видим, что форматирование было выполнено за две недели до снятия данных с диска. Это объясняет малое количество имен файлов, однако в системе все равно могут присутствовать скрытые данные, а также данные, оставшиеся от предыдущей файловой системы (их поиск рассматривается в следующем сценарии).

Выделение записей каталогов | Криминалистический анализ файловых систем | Поиск удаленных каталогов


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс