Come sapere quando un file è stato cancellato in un filesystem NTFS?

Naviga le tue risposte
2

È possibile sapere quando un file in un filesystem NTFS è stato cancellato? Ad esempio, se il file è nel cestino, il file dei metadati viene archiviato quando il file è stato inviato a il cestino. Tuttavia, se il file non è mai stato nel cestino o il cestino è stato svuotato, come puoi sapere il timestamp della cancellazione di un file?

Sebbene non fosse possibile conoscere la data e l'ora esatta, è possibile avere un intervallo di date?

EDIT: So che esistono più soluzioni che possono essere installate o configurate per monitorare la cancellazione dei file, ma sto parlando del caso in cui si riceve un HD e si deve fare un'analisi forense di esso. In questo caso, probabilmente avresti solo ciò che è installato di default.

    
posta kinunt 16.06.2014 - 18:27
fonte

2 risposte

3

Non è sempre possibile ottenere una risposta esatta in medicina legale. A volte il risultato è un intervallo di tempo di possibilità. Detto questo, puoi ottenere risposte esatte a volte.

Per il tuo scenario, dipende da quale versione di Windows è stata utilizzata per creare e mantenere questo volume.

NTFS ha supportato a lungo il journaling (registrazione a breve termine) nel file denominato $LogFile nella directory principale del volume. Qui non troverai una grande quantità di record poiché è progettato per essere un meccanismo di recupero, ma se ottieni il disco entro un certo tempo dopo l'azione di eliminazione hai la possibilità di trovarlo lì. Molti degli strumenti forensi (come EnCase) sono in grado di analizzare questo registro, ma qui c'è uno strumento open source con ulteriori informazioni.

link

Se si sta esaminando un sistema Vista o più recente, è possibile che sul disco sia presente un registro in esecuzione più lungo. Questa registrazione era disponibile nelle versioni precedenti di NTFS, ma non era abilitata per impostazione predefinita fino a Vista. Il file si chiama $UsnJrnl e si trova in una cartella chiamata $Extend . Questo file registra ogni azione che accade in un file: rinomina, sposta, crea, cancella, ecc. Ancora una volta, molti degli strumenti forensi lo analizzeranno, ma qui c'è un link open source per l'uso.

link

    
risposta data 17.06.2014 - 17:20
fonte
2

Puoi vederlo negli eventi del computer. È necessario attivare la funzionalità di controllo nei criteri di gruppo.

Questo è quello che facevo.

  • Avevo una rete aziendale e le workstation erano collegate a un controller di dominio (server 2008).
  • Avevo un file server a cui gli utenti avevano accesso (che era anche collegato allo stesso dominio).
  • Ho attivato i registri di controllo per una determinata cartella condivisa (a cui i miei utenti hanno avuto accesso) nei criteri del gruppo locale di quel file server.
  • Sono quindi riuscito a vedere ogni utente eseguire le operazioni sui file osservando i codici evento del computer.

Questo documento Microsoft Technet potrebbe aiutare

    
risposta data 16.06.2014 - 18:32
fonte

Leggi altre domande sui tag

Che cosa tiene al sicuro la chiave privata se un utente malintenzionato ha sia copie chiare e crittografate di un messaggio sia la chiave pubblica? Come hai potuto trovare sottodomini wildcard sui siti web?