Questa domanda fa seguito a una domanda posta in precedenza sul recupero di dati da un disco cancellato. Sono stato informato che nessun file è stato trovato sul computer sul disco rigido o nei file cancellati (spazio non allocato / allentamento). Pertanto, se sul computer era presente un qualsiasi file (anche in questo caso, non ne ero a conoscenza), il programma di cancellazione eseguito periodicamente lo avrà rimosso (il mio disco rigido si è rivelato un HDD non un SSD o ibrido, vedere il collegamento sopra per alcune ottime informazioni sulle unità SSD). Ora mi viene detto che la "storia di internet" sarà analizzata, non mi preoccupo molto di questo dato che la mia cronologia di navigazione su Internet non conterrà nulla che non dovrebbe esserci. Sono principalmente preoccupato per un singolo file che potrebbe essere stato scaricato inavvertitamente con 100 + di altri file. Ho esaminato gli aspetti legali del recupero e quindi non sono così preoccupato per il nome di un file, la dimensione, la creazione ecc. Ecc., Ma ancora di più se un file / frammenti di un file può essere ripristinato da altri luoghi diversi dall'HDD e visualizzato .
Ho fatto qualche ricerca e sembra che i siti di interesse siano la cache della cronologia di Internet (che regolarmente chiarisco con ccleaner come una cosa ovvia), il file di scambio o di pagina e le anteprime. Quindi vorrei fare alcune domande su questi ultimi due.
Domande
Scambia file - In che modo un file di scambio memorizza i dati, quali dati sono archiviati e per quanto tempo
1) Ho letto che i file di scambio vengono creati e cancellati periodicamente, e i file di swap cancellati vengono spostati nello spazio non allocato, è corretto? Quindi sovrascrivere lo spazio libero rimuove i file di scambio passati?
2) Con quale frequenza viene creato un nuovo file di scambio?
3) Se questo è vero, allora come possono essere recuperate le informazioni di qualche tempo fa?
Answer from @forest One file is used and it is changed when needed. I don't know if Windows creates a new swap file when it reboots or if it uses the existing one. I would think it just keeps using the existing one. So let's say some of this page in your computer's memory is put in swap. Imagine the ASCII string "will remain on the disk until" from my comment gets swapped. Let's pretend it is the only thing that is swapped, so you have a 1 GiB swap file (for example) with that 30 byte string somewhere in it. If that swap file is deleted, that string will still be on the disk until it happens to be overwritten by chance. If the swap file is deleted, then wiping free space should overwrite it, probably.
4) Ho letto processi intensivi come i giochi, l'intensa navigazione su Internet (dove sono aperti numerosi browser / schede), l'editing video, lo streaming ecc. ecc. possono "svuotare" il file di scambio è corretto? Come si "svuota" il file di scambio?
Answer from @forest It's generally not overwritten once it's in the swap file unless the memory pressure gets really high and the entirety of swap is used up. And a video would likely be stored in fragments unless there's pretty much no free memory remaining. It would usually be enough to identify what the video is.
5) Per quanto riguarda il recupero dei file da un file di scambio, quale forma assumerebbe? Sarebbero frammenti? Un file più grande come un file video (ad esempio 100 MB +) può essere recuperato completamente dal file di scambio?
Answer from http://www.forensicfocus.com/Forums/viewtopic/p=6530317 It is possible that you might find traces of one or more files but I would think it rather unlikely that you could recover an entire file for a couple of reasons. Finally, remember that the pagefile contains only those parts of the application which the OS determines does not need to be in physical memory. Typically that is less than the total program size including any open data files. In addition, unless the program loads all of the data into virtual memory, and many programs don't, you are unlikely to find all of your program (or all of your data), in pagefile.sys.
There is evidence that image files can be recovered quite easily from the swap file https://www.forensicfocus.com/Forums/viewtopic/t=10558/postdays=0/postorder=asc/start=7/ ... "Yes I found thousands of contraband images in the pagefile.sys."
Several papers deal with recovery of fragments from unallocated space https://www.researchgate.net/publication/313809224_Identification_and_recovery_of_video_fragments_for_forensics_file_carving https://ieeexplore.ieee.org/document/7856710/ https://link.springer.com/article/10.1007/s11042-016-3716-4
Video files seem to be not so simple... "Video files are particularly sensitive, because breaking news the chain in one spot can mean the entire file is garbage. I'm mostly a "push button" forensic analyst (being in a high volume law enforcement office), but even when trying to manually carve video the results are usually pretty bad. Unlike a JPG, which can show the beginning of the file from the top down (and garbage below that), video files don't handle interruptions well at all" https://www.reddit.com/r/computerforensics/comments/2qsaul/recover_deleted_video/
Also... https://link.springer.com/article/10.1007/s11042-016-3716-4 ... "Video files are more likely to be fragmented since their sizes are relatively large that recovering video files without the file system information is meaningful."
6) Che dire del movimento dei file, ad esempio se un file viene copiato / tagliato e incollato da una posizione a un'altra? Sono memorizzati nel file di scambio? C'è una certa allocazione di spazio nel file di scambio per un processo come questo? Questo causerebbe il movimento attuale dei file per sovrascrivere i file precedentemente spostati?
Answer from @forest Swap is very complex, it doesn't store individual files, but pages of memory. Generally once something is in swap, it won't leave until the computer reboots or the swap file becomes very close to full. The specific algorithms that determine what is removed from swap under any given circumstance are complex and highly dependent on what exactly is happening on the system. If something got to swap, you should assume that it'll be lurking somewhere in the unallocated disk space for a very long time.
7) Che tipo di dati del browser Web potrebbero essere recuperati da un file di scambio? Immagini, video? Parte del video di YouTube guardato può essere presente nel file di scambio? (questa domanda è solo per interesse e per capire il file di swap un po 'di più)
Answer from @forest A video from a browser is probably more likely to be stored in swap, since browsers are memory-hungry beasts. Video players at most cache only a small portion of the video, since they don't need to stream them over a network. Of course, if the video is stored on the disk then it shouldn't matter if it's in swap or not, since both swap and a video file are kept on the disk.
Answer from @SteveSether I would say a youtube video is unlikely to go to swap because primarily it's going to be buffered, then freed shortly after being played. As you said, memory that's infrequently accessed is more likely to be swapped, and a youtube video isn't long lived enough to be infrequent.
Pagefiles are black boxes. The reality is that even in high-memory computers, the pagefile can, and often is, actually used regularly, even when to an observer it would not be needed.
The larger the file you're seeking to carve, the less likely you will get it intact. Video data is by nature large, and depending on its codec, can be so highly compressed or dependent on other parts of the file that even if you find a chunk, it's unviewable.
The best chances for video file recovery would be to find the stored file in long term nonvolatile memory (e.g. HDD). If the video were streamed from a network then only the amount that is cached would be possible to be recovered (say, 10 seconds' worth or so). If you absolutely insisted on carving the pagefile, as a forensic examiner, I would also ask to have a live image of the RAM of the target computer, as it would be most likely to fill in any gaps or have a more intact copy than just the pagefile alone.
8) Un computer utilizzerà prima la RAM e poi lo sostituirà? Ho sentito opinioni contrastanti. Alcuni dicono che il file di swap verrà usato per primo.
Answer from @forest If no memory-hungry processes are running and there is still a whole lot of free RAM, then it's likely that nothing or next to nothing will get swapped out. Swapping is done when the free memory is starting to run out. Answer from @forest Swap is only used if RAM is full because swap is so slow. The way it works is, data is sent to RAM. If there is not enough room, that data may be copied to swap so its place in RAM can be taken by data that needs it more. When the now swapped data has to be accessed, it's read bit by bit back into RAM, which is a very slow process, so it tries to swap as little as it can. When the RAM and swap is very full, the CPU has to rapidly move data ("thrashing") between RAM and disk, which is slow. I don't know exactly how aggressive Windows is with swapping, but it's very likely that, if you have 32 GiB of RAM and didn't open a whole lot of tabs or programs, then a couple of YouTube videos are unlikely to touch swap, at least not all of them. Of course, the browser probably saves browsing history. :P
From http://www.forensicfocus.com/Forums/viewtopic/t=15008/ ... Pagefile.sys exists in nearly every case, but nowadays a lot of PC have so much RAM that they do not swap any memory content into pagefile.sys.
"Il file di paging viene usato anche quando la RAM libera è disponibile per progettazione.
I processi con meno attività sono sfogliati per fare spazio ad altre richieste di memoria. Si consideri che Windows utilizza sempre prima tutta la RAM. Nel caso in cui la RAM sia piena e venga avviata una nuova applicazione, Windows dovrebbe identificare quali processi possono essere scaricati, leggerli dalla ram, scriverli su disco, leggere il nuovo programma dal disco e caricarlo nella RAM liberata. Questo consuma molto tempo poiché la lettura / scrittura del disco è un'operazione molto lenta, e mentre l'utente è in attesa di avviare il suo programma.
So to work around this performance hit, Windows will monitor memory usage and page away all that is not often used to keep RAM free for new processes that might start." https://social.technet.microsoft.com/Forums/windowsserver/en-US/994e9f48-f319-444b-a45e-226030ec3b6e/should-the-pagefile-be-used-even-if-i-have-sufficient-physical-memory?forum=winservergen
9) Se un file o parte di un file viene recuperato dallo swap, ci sono altri dati ad esso associati? il tempo è stato scaricato, visualizzato ecc ecc
From https://www.forensicfocus.com/Forums/viewtopic/t=10558/postdays=0/postorder=asc/ ... I would be concerned that data carved from pagefile.sys might not be sufficient, lacking temporal data.”
Miniature
1) Capisco che le immagini in miniatura siano memorizzate in thumbs.db (Windows 8). Quanti dati sono memorizzati in questo file?
ogni singola miniatura è mai stata creata lì?2) È possibile che sia stata creata una miniatura di un file che non avevi nemmeno realizzato?
Ho apprezzato che ci sono molte domande, ma se qualcuno ha esperienza con una di queste aree qualsiasi informazione sarebbe molto apprezzata.