Total при поиске натыкается на ссылку и ищет в моих файлах!

Консультации, советы начинающим.

Модератор: pruss

Total при поиске натыкается на ссылку и ищет в моих файлах!

Сообщение suyda » 28 мар 2013, 13:02

Ситуация. Я хочу найти все файлы с расширением *.doc на скопированном разделе с Windows 7. Total Commander натыкается на ссылку "Documents and Settings" и по ошибке ищет среди моих файлов!
Как сделать чтобы Тотал исках файлы без учета символьных ссылок: "Documents and Settings", "Default User", "Все пользователи", "Application Data", "Desktop" и т.д. ???

Изображение
Последний раз редактировалось suyda 29 мар 2013, 08:20, всего редактировалось 1 раз.
Ничто так не сближает админа и главбуха как налет ОБЭПа.
suyda
Член клуба
 
Сообщения: 15
Зарегистрирован: 03 апр 2009, 12:09
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Total при поиске натыкается на ссылку и ищет в моих файл

Сообщение suyda » 28 мар 2013, 13:56

Кстати Архивариус 3000 и AVSearch делают тоже самое. Что делать? У меня установлена Windows 8.
Ничто так не сближает админа и главбуха как налет ОБЭПа.
suyda
Член клуба
 
Сообщения: 15
Зарегистрирован: 03 апр 2009, 12:09
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Total при поиске натыкается на ссылку и ищет в моих файл

Сообщение andre_m » 28 мар 2013, 15:58

это называется "переход по жесткой ссылке". имхо ничего не поможет, раз программа не анализирует перед переходом является ли текущий "каталог" "жесткой ссылкой" и куда она ведет.

1. раз Вы переписали себе раздел - удалить их (жесткие ссылки) нафиг
Программа Junction от Русиновича (ищите на MS support) поможет их найти все на диске
2. Выделить нужные каталоги в которых искать (ну это если в подкаталогах нет жестких ссылок)

решение в виде даунгрейда до WinXP не подходит?
Аватара пользователя
andre_m
Член клуба
 
Сообщения: 631
Зарегистрирован: 20 сен 2007, 19:32
Откуда: ГКСЭ Республики Беларусь
Благодарил (а): 35 раз.
Поблагодарили: 39 раз.

Re: Total при поиске натыкается на ссылку и ищет в моих файл

Сообщение Igor Mikhaylov » 29 мар 2013, 05:04

suyda писал(а):Ситуация. Я хочу найти все файлы с расширением *.doc на скопированном разделе с Windows 7.

А каким ПО вы копировали данные? Если Total Commander - то ваши данные были скопированы в каталоги, еще во время переноса данных. Попробуйте переносить данные используя опцию "Copy Folders" Encase.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Re: Total при поиске натыкается на ссылку и ищет в моих файл

Сообщение suyda » 29 мар 2013, 08:10

andre_m,
Программа Junction от Русиновича (ищите на MS support) поможет их найти все на диске

Скачал программу Junction тут: http://technet.microsoft.com/ru-ru/sysinternals/bb896768
Программа консольная, версия 1.06. Три режима работы:
1. Поиск ссылок
2. Создание
3. Удаление
Первые два пункта работают, а удаление не работает. Вопросы какие-то пишет.
(Запускал от имени Администратора, NTFS права на все файлы получил.)
Изображение

Igor Michailov
А каким ПО вы копировали данные?

Скопировал весь диск целиком "Paragon Hard Disk Manager™ 12 Professional"
Ничто так не сближает админа и главбуха как налет ОБЭПа.
suyda
Член клуба
 
Сообщения: 15
Зарегистрирован: 03 апр 2009, 12:09
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Total при поиске натыкается на ссылку и ищет в моих файл

Сообщение suyda » 29 мар 2013, 08:17

Короче нет пока времени с этим разбираться. Решил воспользоваться первым режимом (поиском ссылок). Программа Junction выкатывает список ссылок.
Глядя на этот список, нашел ссылки в Тотал Коммандере и грохал их. Потом искал снова, потом снова удалял... и так несколько раз пока все не удалил. Заняло минут 5.
Похоже данную процедуру придется проводить перед каждой экспертизой на котором есть такие ссылки. И другим советую.
Ничто так не сближает админа и главбуха как налет ОБЭПа.
suyda
Член клуба
 
Сообщения: 15
Зарегистрирован: 03 апр 2009, 12:09
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Total при поиске натыкается на ссылку и ищет в моих файл

Сообщение andre_m » 29 мар 2013, 09:26

да Junction удаляет только по одной ссылке. для безопасности сделано видно.

------------
UPDATE: Если долго мучиться - то что-нибудь получится... или люблю я извращения :D

Вот содержимое bat файла (в командной строке вместо двух %% следует писать один %):
Код: Выделить всё
for /f "tokens=*" %%i in ('type list.txt') Do junction.exe -d %%i

где файл list.txt содержит построчно пути к символическим ссылкам, например:

Код: Выделить всё
c:\users\hl1
c:\users\gdf\hl2

здесь hl1 и hl2 - символические ссылки

* в предыдущих постах я перепутал hardlink и symbolic link

Кстати имея список список с путями к файлам описанным батником можно делать многие вещи...
например, создание среза, скопировать файлы с нужными ключевыми словами в иное место и т.д.
Аватара пользователя
andre_m
Член клуба
 
Сообщения: 631
Зарегистрирован: 20 сен 2007, 19:32
Откуда: ГКСЭ Республики Беларусь
Благодарил (а): 35 раз.
Поблагодарили: 39 раз.

Re: Total при поиске натыкается на ссылку и ищет в моих файл

Сообщение suyda » 29 мар 2013, 12:58

andre_m
файл list.txt содержит построчно пути к символическим ссылкам


Блин, это надо базу путей ссылок создать... А если чего пропустишь...
Ладно, в следующей экспертизе попробую.
Спасибо!
Ничто так не сближает админа и главбуха как налет ОБЭПа.
suyda
Член клуба
 
Сообщения: 15
Зарегистрирован: 03 апр 2009, 12:09
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Total при поиске натыкается на ссылку и ищет в моих файл

Сообщение miapress » 30 мар 2013, 12:12

и что это вы там тоталом ищете :) ручками надо ручками... или encase-ом
Аватара пользователя
miapress
Член клуба
 
Сообщения: 238
Зарегистрирован: 12 авг 2011, 17:35
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Re: Total при поиске натыкается на ссылку и ищет в моих файл

Сообщение Igor Mikhaylov » 30 мар 2013, 14:21

miapress писал(а):и что это вы там тоталом ищете :) ручками надо ручками... или encase-ом

Архивариусом.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 116 раз.
Поблагодарили: 149 раз.

Re: Total при поиске натыкается на ссылку и ищет в моих файл

Сообщение suyda » 04 апр 2013, 05:51

suyda
надо базу путей ссылок создать... А если чего пропустишь...
Ладно, в следующей экспертизе попробую.


Короче при создании базы ссылок существует проблема
1. каталоги с профилями пользователей могут по-разному называться.
2. ссылки могут находится в разных местах.
3. пользователь, программы или операционная система могли создать ссылки в других каталогах.

Так что какого-то универсального списка создать не получится, всё-равно придется запускать Junction на поиск ссылок.
Перед этим надо обнулить NTFS права.
Кстати кто как обнуляет? Если обнуляет вообще... И указываете ли это в экспертизе?
Ничто так не сближает админа и главбуха как налет ОБЭПа.
suyda
Член клуба
 
Сообщения: 15
Зарегистрирован: 03 апр 2009, 12:09
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Total при поиске натыкается на ссылку и ищет в моих файл

Сообщение kfv » 04 апр 2013, 09:06

А вы вообще как ищите то, не захватывая прав?
А если профиль пользователя закрыт на чтение? - поиск его пропустит, при этом Вас зачастую не поставив в известность.
Видишь суслика?
- Нет.
А он есть.
Аватара пользователя
kfv
Член клуба
 
Сообщения: 765
Зарегистрирован: 23 янв 2008, 08:59
Откуда: Омск
Благодарил (а): 26 раз.
Поблагодарили: 30 раз.

Re: Total при поиске натыкается на ссылку и ищет в моих файл

Сообщение andre_m » 04 апр 2013, 09:13

1) при создании ссылок может и есть проблема, но небольшая (имхо)
просто отчет Junction надо сохранить в файл,
с помощью FINDSTR выделить нужные строки (а в пределах одного диска они будут иметь одинаковые вхождения, типа "\\?\c:\...")
а потом немного допилить файл с уже выделенными строками автозаменами лишнего - символов и строк.

можно даже батник написать для этого

но если ссылок в пределах десятка, то легче наверное вручную.


2) а изменение NTFS-прав на каталоги я никак не указываю, EnCase дает доступ к ним "прозрачно" и незаметно.
На смонтированном образе, например для Forensic Assistant и т.п., надо изменять права, но я такие мелочи не описываю. Кстати FA пишет в отчет ошибок о невозможности доступа к таким каталогам - спасибо ему за это.
Хотя при описании методики исследования в него можно было бы и добавить фразу об изменении разрешений на доступ ко всем объектам файловой системы.
Аватара пользователя
andre_m
Член клуба
 
Сообщения: 631
Зарегистрирован: 20 сен 2007, 19:32
Откуда: ГКСЭ Республики Беларусь
Благодарил (а): 35 раз.
Поблагодарили: 39 раз.

Re: Total при поиске натыкается на ссылку и ищет в моих файл

Сообщение suyda » 04 апр 2013, 10:28

kfv
А вы вообще как ищите то, не захватывая прав?


Ну это понятно понятно... ну ну а как Вы осуществляете доступ?
Я жеж про это спрашивал.
Ничто так не сближает админа и главбуха как налет ОБЭПа.
suyda
Член клуба
 
Сообщения: 15
Зарегистрирован: 03 апр 2009, 12:09
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.

Re: Total при поиске натыкается на ссылку и ищет в моих файл

Сообщение Sergey52 » 04 апр 2013, 15:27

suyda писал(а):kfv
А вы вообще как ищите то, не захватывая прав?


Ну это понятно понятно... ну ну а как Вы осуществляете доступ?
Я жеж про это спрашивал.

Обход прав в NTFS можно осуществить открыв диск в R-Studio.
Sergey52
Член клуба
 
Сообщения: 155
Зарегистрирован: 28 янв 2009, 20:51
Откуда: Нижний Новгород
Благодарил (а): 0 раз.
Поблагодарили: 3 раз.

След.

Вернуться в Помощь новичкам

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron