Autopsia che rivela lo spazio allentato di un file

Naviga le tue risposte
1

Sto usando l'autopsia e ho bisogno di recuperare una password nascosta all'interno di uno spazio allentato in un altro file.

L'autopsia mostra che ogni settore per il mio disco è 512 byte. Il file inizia a 4365 del settore e il file ha una lunghezza di 677 byte. Calcolo con 4365 settori * 512 byte / settore + 677 byte = 2.235.557 che dovrebbe essere il punto in cui si trova il mio spazio libero.

Il mio file che ho bisogno di guardare non ha un grosso offset, e il file $ Unalloc non ha mostrato nulla quando vado a compensare 2.235.557.

Non sono sicuro di dove dovrei guardare, il vero file esistente o il file $ Unalloc che ha contenuto cancellato che ha l'offset che sto cercando, ma non ha nient'altro che 0 su quell'offset.

    
posta hicu0 13.10.2017 - 08:44
fonte

1 risposta

1

Non sono sicuro, ma sai che il lasso di file è la differenza tra la dimensione fisica del file e la dimensione logica del file?

Supponendo che si stia investigando su un PC Windows standard con un disco rigido standard e dando la dimensione del settore da te fornita, la dimensione del cluster dovrebbe essere di 8 settori, ovvero 4Kb.

Il tuo file è 677 byte, il che significa che ha 4096 byte di spazio (che è 1 cluster o l'unità più piccola che può essere gestita dal tuo file system), ciò significa che la differenza tra la fine del file logico (677bytes) e la fine della dimensione fisica data (4096 byte) è il tuo allentamento.

Controlla questo link può aiutare: Analisi dei dati nascosti nel file system NTFS

    
risposta data 13.10.2017 - 10:38
fonte

Leggi altre domande sui tag

MFA per Windows 7 Provider di autenticazione per applicazioni senza connessione Internet