タグ付けされた質問 「forensics」

2
dd conv = sync、noerrorは何をしますか?
それでは、conv=sync,noerrorハードディスク全体をイメージファイルにバックアップするときに、追加が違いを生む場合はどうなりますか?conv=sync,noerror法医学的なことをするときの要件はありますか?もしそうなら、なぜLinux fedoraを参照しているのですか? 編集: OK、だからddをせずconv=sync,noerrorにdd、ブロックの読み取り時に読み取りエラーが発生した場合(サイズを100Mとしましょう)、ddは100Mブロックをスキップし、何も書き込まずに次のブロックを読み取ります(dd conv=sync,noerror100Mの出力に0を書き込みます。 ?)? 元のハードディスクと出力ファイルのハッシュが異なる場合、異なる場合はどうなりますconv=sync,noerrorか?または、これは読み取りエラーが発生したときのみですか?
39 linux  backup  dd  forensics 

17
故障したHDDからデータを物理的に破壊するにはどうすればよいですか?
機密データを含む壊れたHDDがあります。ソフトウェアがディスクにアクセスできないため、一般的に推奨されるツールを使用してディスクを消去することはできません。 ディスクを物理的に非常に小さな部分に分割するだけで十分でしょうが、そのためにはいくつかの優れたツールが必要です。ディスクの周りに磁石を振るだけで、データ回復の専門家がデータを回復できるようにすることができますか、それとも間違っていますか? 機密データを消去する効果的な方法は何ですか?

1
DVD / CDライターのシリアル番号はCDのどこに保存されていますか?
私はウィキリークスFAQ(ここにアーカイブされています)を読んでいました、それは言います: 多くのCDおよびDVDライターは、書き込むCD / DVDにDVDまたはCDライターのシリアル番号を含めます。投稿が傍受された場合、理論的にはこの情報を使用して製造業者を追跡し、協力、販売業者、販売代理店などを追跡できます。あなたの敵が私たちへの手紙を傍受する能力があり、この種の高価な調査を行う意思がある場合、CD / DVDライターの販売にあなたを結び付ける財務記録があるかどうかを検討してください。CD / DVDライターの場合は、現金で支払います。 この番号はどこに保存されますか?CDを書き込んだデバイスからソフトウェアでアクセスできますか?

2
ディスク(DVD)の書き込み/書き込みがいつ行われたかを調べる方法は?
ディスクが確実に書き込まれた/書き込まれた日時を判断する方法/ツールはありますか?これはデータフォレンジックに関するものであり、確実な証拠となるはずです。既にIsoBusterを試しましたが、トラックが書き込まれた日付/時刻は表示されませんでした。

2
Windowsでサービスの作成日を見つけますか?
侵害されたシステムで、新しくインストールされたサービスを分析しようとしている場合、またはサービスがインストールされたときに、どのようにそれを行いますか。Windowsレジストリ内の特定のサービスの作成日はどこで確認できますか?
12 forensics 


2
リムーバブルメディア上のファイルシステムを決定するツール
カスタムハードウェアで使用されているコンパクトフラッシュカードを持っています。WAVファイルが書き込まれます。Windowsがメディアを認識せず、フォーマットしようとしています。これにより、FAT 16/32、NTFS、UDFなどが除外されます。メディアが使用しているファイルシステムを判別し、コンテンツを読み取ることができるWindowsツールはありますか? dskprobe.exeを試しましたが、うまくいきませんでした。

3
警察は盗難されたノートパソコンを泥棒が再フォーマットして見つけ、返却しました。インストールログは泥棒を見つけるのに役立ちますか?
3週間前、私のラップトップはキャンパスから盗まれました。私はすぐにそれを警察とメーカーのウェブサイトで報告しました。数日前、製造業者に電話をかけ、ウェブで中古のラップトップを購入し、シリアル番号で保証を確認したいと言った男性がいました。メーカーはそれが盗まれたことを確認し、警察は貧しい買い手に連絡を取り、彼からラップトップを取り出してそれを私に返しました。 警察は、購入者の説明から泥棒を探し出そうと試みると私に言った。しかし、彼らはそれを見落とすことさえせずにラップトップを私に返してくれただけです! 私はそれをオンにして、泥棒が販売する前にWindows(Windows 7 Professional)を再インストールしたのを見ました。 おそらく、インストールが行われたIPアドレスなど、システムに再インストールした人に関する手掛かり、または泥棒の身元についての手がかりを与える可能性のある再インストールされたソフトウェアのライセンスがあるはずです。 質問: インストール後、コンピューターが最初にWebに接続した場所に関する詳細は、ログのどこにありますか? インストールされているウィンドウとオフィスのプロダクトキー\ライセンスに関する情報はどこにありますか? SOBを追跡する方法に関する他のアイデア(おそらく1週間前に別のコンピューターを盗んだ人)

0
「EAレコード」(NTFSのMFTの一部と思われる)を表示するにはどうすればよいですか?
私は最近、故障したUSBハブが外付けハードドライブを「安全に取り外せない」ことを引き起こさない状況に遭遇しました。 WindowsがRAWファイルシステムとして認識しないようにドライブを修復する過程で、私はchkdskユーティリティが数千の「EAレコード」を処理したことに気付きました。として @jcrawford で親切に説明する この答え 、これらはNTFSがメタデータを格納することを可能にする拡張属性レコードです。 私は以前はWindowsファイルサーバーを使ってMacintoshファイルを保存していた会社で働いていましたが、私たちが使ったソフトウェアは独自のMacファイルデータをNTFSに保存することを漠然と覚えていました 代替データストリーム 。最初はこれは同じことかもしれないと思いましたが、そうは見えません。 EAレコードは、少なくともそれらをよりよく理解するための厄介な検索からは、めったに使用されないようです。そのため、ほとんどのユーザーはそれらをほとんど持っていません。私は自分のドライブに何千ものファイルを持っているので、それらがどんなファイルに関連付けられていて、それらが何を含んでいるのか興味があります。 MFTにEAレコードが含まれているファイルをどのようにして見つけることができますか。また、それらを最も簡単に表示する方法を教えてください。
3 ntfs  forensics 

0
破損したVDIスナップショットから論理的な順序でブロックを抽出する
故障したハードディスクにVirtualbox VMがあります。 ディスクから回復できる唯一のものは、VMで使用されているダイナミックVDIディスクのスナップショットであり、ファイルの前半しか回復できませんでした。 それはまだVDIヘッダ、VDIブロックマップ、そしてかなりの量のブロックを含んでいます。 私はいくつかのファイルを回復することにだけ興味があります、そして、私は失敗の前にそれらに取り組んでいたので、そしてそれらはVDIブロックサイズ(1Mb)より小さかったです私は実際にそれのためにgrepしてそれの部分を見つけることができますが、スナップショットのブロックは論理的な順序で順序付けられていません。 しかし、それは完全なVDIファイルではないので、virtualbox-fuseやlibguestfsのようなツールはそれを扱うことを拒否しているので、私は私自身のフォレンジックスクリプトを書く必要があります。 私が理解できないのは、VDIブロックマップがどのように機能するか、そして私が持っているVDIの一部にまだ存在するブロックを抽出し、それらを論理順に書き換えるスクリプトを書く方法わかりやすいバイトパターン)

1
MacOSXで保存されていないPSDファイルを回復する方法
Adobe Photoshopは、次のパスで緊急復旧用の一時* .psbファイルを作成します。 ~/Library/Application Support/Adobe/Adobe Photoshop CS6/AutoRecover 作成されたファイルの名前は、_Untitled-10FDB62ECBABBFF5C8EAD958EBC9CFAE2E.psbのようになり、指定された所有者として現在のuser:groupが使用されます。 作業中のファイルを保存するか、プロンプトが表示されたときに「保存しない」を押すと、一時ファイルは削除されます。 現在、システムはこれらのファイルを作成および削除します。私は緊急ファイルを回復しようとしていますが、「ユーザー」がファイルを削除すると仮定して「undelete」ユーティリティが作成されたと思います-ゴミ箱に入ってゴミ箱を空にするなど... これについて経験がある人はいますか?ありがとう。
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.