
поиски ввели к локальному компьютеру и возникли нескоьлко вопрос..
OS - Windows 7 Ultimate
1. Посоветуйте пожалйста нормальную ПО, который считывает NTUSER.DAT файт и дает отчет (расшифрованном виде) ветвь UserAssist. пробовал regdecoderR103 - падает после импорта , UserAssist - при импорте файла(dat) говорит, что нет там ничего, UserAssistview - только локальный показывает. нет возможности цеплять файл.
Очень понравился RegDecoder, но почему то именно при импорте файла NTUSER.DAT рушиться (пробовал как с read-only диском, так и без). с другими ветками реестра из Rapair все ОК
2. что касаеться разделу реестра HKLM\system\currentControlSet\Enum\USBStor - там дата создания только пишеться или дата последнего подключение USB носителей? возможно ли узнать дату последнего подключения? мне кажется там даты регистрации просто, т.к. они сделаны несколько месяцев назад, а в копьютер загружен фотки из фотоаппарата недавно, собственно - была подключена флешка
3. Сделал образ RAW, монтировал и через windows explorer захожу в этот диск (read-only), чтоб просто посмотреть обьем информации визуально - нет ничего, кроме стандартных папок, как будто только установленный windows 7. ставлю галочку отображать скрытые файлы у системные защишенные, то тогда появляются несколько еще, куда не могу зайти(запрешен доступ), загрузил Autopsy и вижу, что там есть папка, в котором и находится весь документ/фото/видео пользователя.
Я вот теперь в недопниманя... это получается пользовтель чем то скрыл папку эту, что даже после разрешение показа скрытых она не отображаеться?
(могу скрины показать, если что)
4. Возможно ли достать логи скайпа? я слышал, что они хранятся на сервере.. А на локальном компе ничего нельзя достать? может дублируются гд то или что то типа такого... хотяб котакты, с кем имело дело пользователь.