Come posso disattivare temporaneamente i collegamenti alle cartelle come Utenti \ Tutti gli utenti per eseguire un'analisi forense?

Naviga le tue risposte
1

Sto facendo un'analisi forense di un disco rigido che ho immaginato su un'immagine dd. L'immagine è un filesystem NTFS che monto nel mio sistema Windows con FTK Imager in modalità di sola lettura.

Quindi, cerco nell'unità montata un file ma nella ricerca compaiono file all'interno delle directory del mio sistema. Nell'unità D montata: ci sono collegamenti alla mia C: unità, ad esempio, in D: \ Utenti \ Tutti gli utenti compaiono anche i miei utenti!

Come disattivare temporaneamente questi collegamenti per eseguire l'analisi forense del filesystem NTFS?

    
posta kinunt 16.06.2014 - 12:50
fonte

1 risposta

1

Windows cerca naturalmente di deferire i punti di giunzione NTFS, in modo molto simile a Linux che elimina automaticamente i punti di riferimento e i collegamenti simbolici. Non è possibile aggirare questo problema direttamente nel sistema operativo Windows, poiché Windows ha bisogno di punti di giunzione per funzionare correttamente, tranne forse quando si utilizza una shell alternativa in modalità provvisoria, anche se questo probabilmente avrebbe alcuni effetti collaterali interessanti durante l'accesso. L'unico modo per "disabilitare" un junction NTFS è cancellarlo completamente, non qualcosa che potresti fare in modalità di sola lettura.

Ciò che puoi fare, tuttavia, non è utilizzare direttamente Windows. Ad esempio, avvia il tuo sistema in Linux, possibilmente utilizzando una chiavetta USB economica e un Linux-on-a-stick, e puoi montare l'immagine direttamente in Linux ed eseguire tutte le operazioni di ricerca che desideri senza preoccuparti di vagare nel tuo disco rigido, dal momento che l'unità non verrà montata e Linux non ha comunque alcuna idea di lettere di unità. Il tuo chilometraggio può variare qui, dato che il supporto NTFS, sebbene piuttosto eccellente, non è altrettanto buono del supporto NTFS di Windows. Personalmente, vorrei appena estrarre una copia della versione USB di Ubuntu, avviarla, montare l'immagine ed esplorare.

Un'altra eccellente alternativa sarebbe semplicemente montare l'unità in una macchina virtuale che esegue Windows. Probabilmente ti qualifichi per la modalità Windows XP se utilizzi quasi tutte le versioni moderne di Windows. Installa, monta l'unità ed esamina i contenuti del tuo cuore. Dato che sei in una VM, qualsiasi danno fatto all'unità danneggerà solo la VM, e non il tuo computer. È possibile reinstallarlo tutte le volte che è necessario, e fino a quando è stato eseguito il backup di quell'immagine del disco rigido, è possibile "riformattare" nuovamente l'immagine tutte le volte che si desidera. A quel punto, potresti sperimentare incautamente l'eliminazione di quei punti di congiunzione, assegnare una nuova lettera all'unità di avvio, ecc.

    
risposta data 17.06.2014 - 06:57
fonte

Leggi altre domande sui tag

Scelta del percorso nella sicurezza IT [chiuso] La memorizzazione di password associate ai processi di sistema e ai binari in un formato codificato è accettabile?