2

Есть ли инструмент, который позволил бы мне определить, какие блоки данных были в последний раз (последние) записаны в том NTFS? Возможно, файл $ Journal тома NTFS может содержать информацию, которую можно извлечь или проанализировать / интерпретировать. Существует ли инструмент, который определит, какие кластеры или сектора были в последний раз записаны или изменены на томе NTFS или FAT?

Я спрашиваю, потому что компьютер, который я использовал, умер (быстро, без какого-либо синего экрана - я предполагаю, что дамп памяти не был сделан Windows), когда 2-4 или около того файла MB сохранялись на внутренний жесткий диск. Интересно, действительно ли какое-либо содержимое этого файла было физически записано на жесткий диск? Возможно, что любое содержимое файла, которое должно было быть записано физически, все еще находилось только в буфере оперативной памяти ввода-вывода. Если это так, я не думаю, что смогу извлечь / найти какие-либо (даже части) данных, принадлежащих этому файлу (если только *). Однако мне интересно, возможно ли, что частичное содержимое этого файла действительно было записано в постоянное хранилище. Я работал под управлением Windows 7 64 bit и записывал на том C: (основной системный том NTFS на этом жестком диске). Материнская плата (и / или блок питания) в течение некоторого времени не работала. Это разбилось на меня, как это раньше.

Я начал узнавать о наборе Sleuth Kit. Это бесплатный программный пакет Forensic с открытым исходным кодом, который можно установить в любом дистрибутиве GNU/Linux (или, на мой взгляд, и в других UNIX-подобных системах). Perhpas одно из приложений, которые являются частью этого набора инструментов, может быть использовано для этой цели. Одним из таких приложений в TheSleutKit является blkls. Запуск его в режиме по умолчанию, без каких-либо переключателей будет выводить raw (двоичный файл?) содержимое всех нераспределенных блоков / секторов на устройстве хранения / разделе в stdout (1 >>) (или |). Тем не менее, я не думаю, что это будет полезно, так как это системный том NTFS, и многие из этих нераспределенных блоков содержат удаленные файлы, которые старше, чем один файл, для которого я ищу фрагменты. Если бы все эти нераспределенные блоки никогда ранее не содержали каких-либо данных, возможно, blkls был бы полезен для этой цели.


Говоря о возможности дампа ОЗУ, я недавно прочитал, что когда Windows создает дамп памяти, содержимое (некоторых или всех) (возможно, только процесс (ы), если не весь образ ОЗУ) копируется в hibfil.sys, а затем, при следующей загрузке Windows, этот дамп памяти извлекается и сохраняется в отдельный файл .dmp где-то в C:\Windows или в папке пользователя. Возможно ли, что если какие-либо данные, которые должны были быть записаны на том NTFS, сначала были в буфере ввода-вывода ОЗУ, что-либо из этого было бы частью дампа памяти?

0