Вопросы по реестру и не только

Персональный раздел для Krec.

Re: Вопросы по реестру и не только

Сообщение andre_m » 11 апр 2013, 15:36

1) найденный Вами фрагмент очень похож на текст обрамленный HTML-тегами и является частью сохраненной (браузером) на диск страницы сайта почтового сервиса, которая была удалена.
я б так примерно и написАл...
тем более, я уверен, показанные на скриншоте выше данного фрагмента файлы будут иметь такую же структуру...

2) не путайте разделы и каталоги.
root
unallocated
orphan
это все виртуальные каталоги а не разделы
любой forensic soft чтоб быть в тренде должен созадавать кейсы :D и показывать эксперту для анализа все области дискового пространства - корневой каталог (root) с файлами, свободное пространство (unallocated), удаленные "потерянные" каталоги - путь к корневому каталогу которых утерян но в MFT остались их записи (Lost Folders = orphan).
+ FTK imager показал Вам служебные области - слэк раздела и последний сектор раздела с копией бут-сектора.
Все это будет на каждом NTFS разделе.
кста, а что за софт на картинке с фрагментом?
Аватара пользователя
andre_m
Член клуба
 
Сообщения: 631
Зарегистрирован: 20 сен 2007, 19:32
Откуда: ГКСЭ Республики Беларусь
Благодарил (а): 35 раз.
Поблагодарили: 39 раз.

Re: Вопросы по реестру и не только

Сообщение Krec » 12 апр 2013, 00:34

1) найденный Вами фрагмент очень похож на текст обрамленный HTML-тегами и является частью сохраненной (браузером) на диск страницы сайта почтового сервиса, которая была удалена.
я б так примерно и написАл...

все почти так и есть.. только не использовался там почтовый клиент. почту проверяли через браузер. А текст декодирован Unicode.
2) не путайте разделы и каталоги.
root
unallocated
orphan
это все виртуальные каталоги а не разделы

ну если папка orphan хранит удаленные файлы, то что хранит папка unallocated ? просто не пойму тогда их разницу.

кста, а что за софт на картинке с фрагментом?

а это Autopsy, бесплатный софт.
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Пред.

Вернуться в KREC

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 0

cron