Ho Encase. e mi piacerebbe sapere dove posso trovare se qualcuno ha eseguito il software CCleaner o CleanUp per cancellare le prove.
Puoi esaminare le voci del registro UserAssist per ciascun utente (situato in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist ) oppure controllare i file precaricamento (situati in %SystemRoot%\Prefetch ).
Entrambi mantengono un elenco di programmi di esecuzione sulla macchina, inclusa l'ultima volta che sono stati eseguiti e il numero di volte in cui è stato eseguito il programma.
Ulteriori letture:
Alcune volte la mancanza di prove è una prova in sé. Se trovi settori con assolutamente nulla in essi, è possibile che siano stati utilizzati gli Strumenti di pulizia. Quasi tutti i dischi avranno lasciato i dati nei settori non utilizzati. Potresti essere in grado di utilizzare questo metodo per determinare se pezzi di dati di grandi dimensioni sono stati rimossi.