問題タブ [computer-forensics]

.IETLD オプション番号 コンピューター システムを調査しているときに、ブラウザーの履歴でこれを見つけました。デジタル コンピューター フォレンジックに有効ですか。例：1。場所: ietld:hotel.lk ヒット数: 1 キャッシュ ファイル サイズ: 0 2.場所: ietld:gob.ni ヒット数: 1 キャッシュ ファイル サイズ: 0 など よろしくお願いします

この説明 [1] によると、削除されたレコードを SQLite データベースから回復する方法は、レコードを削除すると 2 つのことが起こります。削除されたレコードを含む領域がフリー リストに (フリー ブロックとして) 追加され、コンテンツ領域の「header」が上書きされます。

コンテンツ自体は (または数バイトだけ) 上書きされません。たとえば、16 進エディタでデータベース ファイルを開くと、削除されたレコードの一部を表示できます。

これが正しいかどうかを確認するために、最小限の例を次に示します。

私が今期待しているのは、16 進エディタでファイルを開くと、CCCC と AAAA の間にまだいくつかの B があることです (ただし、B の前の数バイトまたは最初の数 B は上書きされているはずです)。実際に起こることは、B のある領域全体がヌルバイトで上書きされたことです。

これは、大規模なデータベースでも発生します。コンテンツ領域は常にヌルバイトで消去されるため、何も回復できません。

ブログ投稿に表示される結果を取得するために使用する必要があるオプションまたはフラグはありますか?

法医学ツールを使用して削除されたレコード (またはそれらの一部) を回復できるようにするには、その方法で SQLite データベースを作成する必要があります。

[1] http://sandersonforensics.com/forum/content.php?222-Recovering-deleted-records-from-an-SQLite-database

バックアップおよび復元ソフトウェアをテストしているときに、次の異常な状況に遭遇しました: ファイルとフォルダーの包括的なインベントリを実行した後、Archive | Sparse | ReparsePoint. 復元後、これらのファイルはArchive | Sparse.

インベントリで、一連のBackupReadストリームの SHA1 ハッシュを生成します。これらのハッシュは、復元の前後で一致しています... つまり、最初に読んだものを元に戻しました。それでも、ReparseDataブロックがあり、それを書き出せなかった場合、ハッシュは一致しませんでした。

この一連の属性を持つ他のファイルでは、正常に復元が行われ、予想されるすべての属性が復元されます。これは、それが検出されたことを意味しReparseData、結果のファイルはReparsePoint復元後のファイルとして表示されます。

復元後、オペレーティング システムは正常に動作しているように見え、ファイルが読み込まれて実行されます (これらの奇妙なファイルの多くは .DLL です)。

パーミッションに問題はありません。必要なすべての特権を主張しましFILE_FLAG_OPEN_REPARSE_POINTたBackupWrite。すべてが正しく動作しているように見えます。

でも心配です。ReparsePoint フラグを失った方法や理由がわかりません。そもそもどのようにして ReparsePoint としてマークされたのかわかりません。これが元のインストールの奇妙なアーティファクトかどうかはわかりません。ReparsePoint実際にファイルに再解析ポイントを持たずに属性を設定する方法はありますか?

影響を受けるファイルと場所のいくつかの短いリストを次に示します。

問題のあるファイルのほとんど (すべてではない) は、ボリューム上の他の場所 (通常は下の方) にもハードリンクされていProgram Filesます。ハードリンクは間違いなく再解析ポイントではありません (実装方法が異なります)。

これらは（全部で）数百あります。ボリューム全体で約 160K のファイルがあります。私はそれを乗り越えるべきですか？

非常に多くの場合、文字列を含む基本的に混合データを含む、さまざまな形式の非常に大きなバイナリ ファイル (50 ～ 500Gb) を処理する必要があります。

ファイル内の文字列にインデックスを付けて、データベースまたはインデックスを作成する必要があるため、迅速な検索 (基本的な検索または正規表現を使用した複雑な検索) を実行できます。もちろん、検索の出力は、バイナリ ファイル内で見つかった文字列のオフセットになります。

このタスクに役立つツール、フレームワーク、またはライブラリを知っている人はいますか?

Androidファイルエクスプローラーツールやフォレンジック分析用の外部ツールを使用せずに、Androidでファイルを削除および復元する方法を見つけようとしています。これまでのところ、ほとんどのデバイスにはext4ファイルシステムがあり、消去されたデータがまだ存在し、メタデータのみが削除されることを理解しています. フォレンジック分析に関する記事はほとんど読んだことがありませんが、それらはすべてツールを使用しています。Adbシェルを使用してファイルのヘッダーを見つけて変更する必要があると思いますが、その方法についての説明は見つかりませんでした。私は正しい方向に向かっていますか、それとも間違っていますか？どんな助けでも感謝します。（ルート化されたデバイスとルート化されていないデバイスが1つあり、両方とも5.0 Android以上です）

デリケートなトピックだと思いますが、この質問は研究用です。

私の質問は本当に簡単でした。

「Firefox からキャッシュを抽出するだけでなく、どうすれば変更できますか?」

しかし、このトピックを徹底的に検索すると、さらに多くの質問が表示されました。

まず、すべてのリソースから、ローカル キャッシュがサーバーのファイルと同一であることを確認するためにのみキャッシュの検証が行われると想定していますが、** ETag と最終変更の両方がサーバーをだますために操作される可能性があります**。だから私の質問1は、

フォレンジックの目的ではないのに、なぜ Firefox や他のブラウザは誰もキャッシュを変更できないように努力しているのですか?

次に、この Web ページ http://encase-forensic-blog.guidancesoftware.com/2015/02/firefox-cache2-storage-breakdown.htmlを参照すると、キャッシュが「フォレンジック」と見なされるのはなぜですか? キャッシュの変更が行われないようにする方法があると思いますが、その正当な証拠を見つけることができません。そう、

Firefox のようなブラウザがキャッシュの変更を防ぐために使用する方法/メカニズムは何ですか?

cygwin を使用して dd コマンドで USB スティックのイメージを作成する Windows 8 (64 ビット) 用のバッチ スクリプトを作成しました。それからmd5コマンドを使ってハッシュ値を比較していますが、画像とusbを読み直すのにかなり時間がかかります。

イメージング プロセス中にその場でハッシュ値を作成するための Windows 64 ビット用のコマンドはありますか?

Win 64 と互換性があるのは dd だけです。その他のコマンド ライン用の dcfldd と FTKimager は、Win32 ビットでのみ使用できます。

多分あなたは何か他のことを知っていますか？

git を使用して、ファイルが作成されたコンピューターを調べることはできますか? コード リポジトリがある場合、ファイルを調べて、それらが作成されたコンピューターとユーザー名を確認することはできますか? たとえば、それらは Mac または Linux で作成されましたか?