Страница 2 из 2

Re: Вопросы по реестру и не только

СообщениеДобавлено: 11 апр 2013, 15:36
andre_m
1) найденный Вами фрагмент очень похож на текст обрамленный HTML-тегами и является частью сохраненной (браузером) на диск страницы сайта почтового сервиса, которая была удалена.
я б так примерно и написАл...
тем более, я уверен, показанные на скриншоте выше данного фрагмента файлы будут иметь такую же структуру...

2) не путайте разделы и каталоги.
root
unallocated
orphan
это все виртуальные каталоги а не разделы
любой forensic soft чтоб быть в тренде должен созадавать кейсы :D и показывать эксперту для анализа все области дискового пространства - корневой каталог (root) с файлами, свободное пространство (unallocated), удаленные "потерянные" каталоги - путь к корневому каталогу которых утерян но в MFT остались их записи (Lost Folders = orphan).
+ FTK imager показал Вам служебные области - слэк раздела и последний сектор раздела с копией бут-сектора.
Все это будет на каждом NTFS разделе.
кста, а что за софт на картинке с фрагментом?

Re: Вопросы по реестру и не только

СообщениеДобавлено: 12 апр 2013, 00:34
Krec
1) найденный Вами фрагмент очень похож на текст обрамленный HTML-тегами и является частью сохраненной (браузером) на диск страницы сайта почтового сервиса, которая была удалена.
я б так примерно и написАл...

все почти так и есть.. только не использовался там почтовый клиент. почту проверяли через браузер. А текст декодирован Unicode.
2) не путайте разделы и каталоги.
root
unallocated
orphan
это все виртуальные каталоги а не разделы

ну если папка orphan хранит удаленные файлы, то что хранит папка unallocated ? просто не пойму тогда их разницу.

кста, а что за софт на картинке с фрагментом?

а это Autopsy, бесплатный софт.