Non avendo esperienza in informatica forense, mi piacerebbe sapere se è possibile per qualcuno monitorare se l'HDD / partizione di un laptop è stata recentemente formattata OPPURE è stata distribuita un'immagine fantasma.
Qualsiasi idea / strumento / metodo sarebbe apprezzato.
Esiste un enorme numero di software di recupero dati tra cui:
Ho usato Recuva per molte attività di ripristino. È leggero, potente e soprattutto gratuito! È solo una scorciatoia che potrebbe non recuperare i file completi. Se si tratta di informazioni davvero importanti, è sempre possibile cercare un aiuto professionale che, pur essendo incredibilmente costoso, è spesso il modo più efficace per recuperare i dati.
Spero che questo aiuti.
Non hai bisogno di strumenti per vedere se un disco è stato formattato di recente. La maggior parte dei filesystem ha data di creazione, data di modifica e data di accesso per i propri file. Effettua una rapida ricerca di tutti i file e ordina per data di modifica e avrai una buona ipotesi quando il disco è stato formattato per l'ultima volta.
Quando dici "immagine fantasma distribuita", presumo tu intenda che hanno installato un'immagine fantasma su un disco. Se controlli i log di sistema per le voci di accesso, sarai in grado di indovinare approssimativamente quando è stata distribuita un'immagine fantasma. Se c'è un'immagine fantasma, ci si può aspettare che ci sia una lacuna nelle voci del registro in cui non si è verificata alcuna attività, a quando l'utente del sistema accede regolarmente. Questa è una buona indicazione che il sistema è stato inutilizzato per un periodo di tempo, o se è stata dispiegata un'immagine fantasma.
la mia comprensione è questa:
'recentemente' formattato, no (forse a meno che l'unità sia in uso da allora). formattato ad un certo punto nel tempo, sì. In genere un formato "rapido" cancella le tabelle indice delle partizioni dell'unità, ma lascia intatti i file, quindi sai che c'è stato un formato. Un formato di partizione completo (in teoria) farà sì che l'unità venga restituita a uno stato vuoto, ma le tabelle delle partizioni rimarranno intatte in modo da sapere che l'unità non è stata utilizzata da quel momento o che è avvenuto un formato. È inoltre possibile trovare i dati sulle aree lasciate non partizionate dal precedente utilizzo. potresti anche essere in grado di andare su prove circostanti, ad esempio: se questa unità è nota per avere una partizione di ripristino su di essa quando è stata emessa ed è ora senza parzializzazione e oscurata, se l'unità è completamente vuota ma i dati SMART sul disco mostrano è stato usato.
un'applicazione di immagine fantasma è più difficile da dire. Se si dispone dell'immagine originale, è possibile rimuovere l'unità e verificare che corrisponda esattamente all'immagine, il che sarebbe altamente improbabile se non fosse possibile applicare un'immagine, ma una volta che i dati sono stati modificati sull'unità, si ha poco più che prove circostanziali che due semplicemente capita di essere lo stesso. Faresti meglio a cercare i dati sul disco come le chiavi del prodotto e le marche temporali su determinati file a quel punto.
Questo è il modo in cui lo capisco e potrebbe non essere corretto, sarei felice di ricevere feedback.
L'utilizzo di software come Encase o Autopsy potrebbe essere utile, in quanto consente di controllare il cluster non assegnato. Questo potrebbe potenzialmente mostrare una grande quantità di informazioni che sono state "formattate" o cancellate. Ciò è dovuto alla maggior parte della formattazione veloce che nasconde semplicemente le informazioni e consente che venga sovrascritta dai nuovi file sul disco.
Leggi altre domande sui tag forensics