タグ付けされた質問 「forensics」

それでは、conv=sync,noerrorハードディスク全体をイメージファイルにバックアップするときに、追加が違いを生む場合はどうなりますか？conv=sync,noerror法医学的なことをするときの要件はありますか？もしそうなら、なぜLinux fedoraを参照しているのですか？ 編集： OK、だからddをせずconv=sync,noerrorにdd、ブロックの読み取り時に読み取りエラーが発生した場合（サイズを100Mとしましょう）、ddは100Mブロックをスキップし、何も書き込まずに次のブロックを読み取ります（dd conv=sync,noerror100Mの出力に0を書き込みます。 ？）？ 元のハードディスクと出力ファイルのハッシュが異なる場合、異なる場合はどうなりますconv=sync,noerrorか？または、これは読み取りエラーが発生したときのみですか？

39 linux  backup  dd  forensics 

機密データを含む壊れたHDDがあります。ソフトウェアがディスクにアクセスできないため、一般的に推奨されるツールを使用してディスクを消去することはできません。 ディスクを物理的に非常に小さな部分に分割するだけで十分でしょうが、そのためにはいくつかの優れたツールが必要です。ディスクの周りに磁石を振るだけで、データ回復の専門家がデータを回復できるようにすることができますか、それとも間違っていますか？ 機密データを消去する効果的な方法は何ですか？

27 security  data-recovery  hardware-failure  forensics 

私はウィキリークスFAQ（ここにアーカイブされています）を読んでいました、それは言います： 多くのCDおよびDVDライターは、書き込むCD / DVDにDVDまたはCDライターのシリアル番号を含めます。投稿が傍受された場合、理論的にはこの情報を使用して製造業者を追跡し、協力、販売業者、販売代理店などを追跡できます。あなたの敵が私たちへの手紙を傍受する能力があり、この種の高価な調査を行う意思がある場合、CD / DVDライターの販売にあなたを結び付ける財務記録があるかどうかを検討してください。CD / DVDライターの場合は、現金で支払います。 この番号はどこに保存されますか？CDを書き込んだデバイスからソフトウェアでアクセスできますか？

15 security  dvd  compact-disc  dvd-burning  forensics 

ディスクが確実に書き込まれた/書き込まれた日時を判断する方法/ツールはありますか？これはデータフォレンジックに関するものであり、確実な証拠となるはずです。既にIsoBusterを試しましたが、トラックが書き込まれた日付/時刻は表示されませんでした。

13 security  dvd  compact-disc  burning  forensics 

侵害されたシステムで、新しくインストールされたサービスを分析しようとしている場合、またはサービスがインストールされたときに、どのようにそれを行いますか。Windowsレジストリ内の特定のサービスの作成日はどこで確認できますか？

12 forensics 

主な違いは何ですかdd_rescue、dcflddとはdd？どの状況でどちらを使用しますか？なぜ3つの異なるプログラムに似ているのですか？

10 linux  dd  forensics  imaging 

カスタムハードウェアで使用されているコンパクトフラッシュカードを持っています。WAVファイルが書き込まれます。Windowsがメディアを認識せず、フォーマットしようとしています。これにより、FAT 16/32、NTFS、UDFなどが除外されます。メディアが使用しているファイルシステムを判別し、コンテンツを読み取ることができるWindowsツールはありますか？ dskprobe.exeを試しましたが、うまくいきませんでした。

9 windows  filesystems  memory-card  forensics  compact-flash 

3週間前、私のラップトップはキャンパスから盗まれました。私はすぐにそれを警察とメーカーのウェブサイトで報告しました。数日前、製造業者に電話をかけ、ウェブで中古のラップトップを購入し、シリアル番号で保証を確認したいと言った男性がいました。メーカーはそれが盗まれたことを確認し、警察は貧しい買い手に連絡を取り、彼からラップトップを取り出してそれを私に返しました。 警察は、購入者の説明から泥棒を探し出そうと試みると私に言った。しかし、彼らはそれを見落とすことさえせずにラップトップを私に返してくれただけです！ 私はそれをオンにして、泥棒が販売する前にWindows（Windows 7 Professional）を再インストールしたのを見ました。 おそらく、インストールが行われたIPアドレスなど、システムに再インストールした人に関する手掛かり、または泥棒の身元についての手がかりを与える可能性のある再インストールされたソフトウェアのライセンスがあるはずです。 質問： インストール後、コンピューターが最初にWebに接続した場所に関する詳細は、ログのどこにありますか？ インストールされているウィンドウとオフィスのプロダクトキー\ライセンスに関する情報はどこにありますか？ SOBを追跡する方法に関する他のアイデア（おそらく1週間前に別のコンピューターを盗んだ人）

8 windows-7  logging  windows-installation  forensics 

私は最近、故障したUSBハブが外付けハードドライブを「安全に取り外せない」ことを引き起こさない状況に遭遇しました。 WindowsがRAWファイルシステムとして認識しないようにドライブを修復する過程で、私はchkdskユーティリティが数千の「EAレコード」を処理したことに気付きました。として @jcrawford で親切に説明する この答え 、これらはNTFSがメタデータを格納することを可能にする拡張属性レコードです。 私は以前はWindowsファイルサーバーを使ってMacintoshファイルを保存していた会社で働いていましたが、私たちが使ったソフトウェアは独自のMacファイルデータをNTFSに保存することを漠然と覚えていました 代替データストリーム 。最初はこれは同じことかもしれないと思いましたが、そうは見えません。 EAレコードは、少なくともそれらをよりよく理解するための厄介な検索からは、めったに使用されないようです。そのため、ほとんどのユーザーはそれらをほとんど持っていません。私は自分のドライブに何千ものファイルを持っているので、それらがどんなファイルに関連付けられていて、それらが何を含んでいるのか興味があります。 MFTにEAレコードが含まれているファイルをどのようにして見つけることができますか。また、それらを最も簡単に表示する方法を教えてください。

3 ntfs  forensics 

故障したハードディスクにVirtualbox VMがあります。 ディスクから回復できる唯一のものは、VMで使用されているダイナミックVDIディスクのスナップショットであり、ファイルの前半しか回復できませんでした。 それはまだVDIヘッダ、VDIブロックマップ、そしてかなりの量のブロックを含んでいます。 私はいくつかのファイルを回復することにだけ興味があります、そして、私は失敗の前にそれらに取り組んでいたので、そしてそれらはVDIブロックサイズ（1Mb）より小さかったです私は実際にそれのためにgrepしてそれの部分を見つけることができますが、スナップショットのブロックは論理的な順序で順序付けられていません。 しかし、それは完全なVDIファイルではないので、virtualbox-fuseやlibguestfsのようなツールはそれを扱うことを拒否しているので、私は私自身のフォレンジックスクリプトを書く必要があります。 私が理解できないのは、VDIブロックマップがどのように機能するか、そして私が持っているVDIの一部にまだ存在するブロックを抽出し、それらを論理順に書き換えるスクリプトを書く方法わかりやすいバイトパターン）

2 virtualbox  data-recovery  vdi  forensics 

Adobe Photoshopは、次のパスで緊急復旧用の一時* .psbファイルを作成します。 ~/Library/Application Support/Adobe/Adobe Photoshop CS6/AutoRecover 作成されたファイルの名前は、_Untitled-10FDB62ECBABBFF5C8EAD958EBC9CFAE2E.psbのようになり、指定された所有者として現在のuser：groupが使用されます。 作業中のファイルを保存するか、プロンプトが表示されたときに「保存しない」を押すと、一時ファイルは削除されます。 現在、システムはこれらのファイルを作成および削除します。私は緊急ファイルを回復しようとしていますが、「ユーザー」がファイルを削除すると仮定して「undelete」ユーティリティが作成されたと思います-ゴミ箱に入ってゴミ箱を空にするなど... これについて経験がある人はいますか？ありがとう。

macos  data-recovery  forensics