I miei file sono stati cancellati da qualsiasi Dipendente. Come trovare che ora è successo e se fatto da un altro computer in rete? I file erano in unità condivisa nel computer. Sto usando Windows 8. Quali sono i migliori strumenti per recuperare i file.
Prima di tutto, in questi casi smetti di usare l'unità di rete . I file eliminati non sono immediatamente smarriti ma appena contrassegnati come "questo spazio può essere riutilizzato". Se non si presenta la necessità di spazio aggiuntivo, un file può essere completamente recuperabile anni dopo. D'altra parte, se è necessario creare un nuovo file e richiede spazio, l'area del file cancellata potrebbe essere sovrascritta dopo alcuni secondi .
Quindi, meno scrivi sul disco, meglio è.
La prima linea di difesa avrebbe dovuto essere un backup completo, adeguato e aggiornato . Un file viene cancellato: ti basta ridi e recupera il file dal repository.
Seconda linea di difesa, prima di incolpare la malizia di qualcuno, assicurati di escludere inesperienza e goffaggine. Il file potrebbe essere stato involontariamente trascinato e rilasciato in una cartella vicina da qualcuno che cercava di aprirlo con un doppio clic. Strano, ma l'ho visto succedere. Quindi, prima di tutto, se non ci hai già provato, prova a eseguire una ricerca del nome del file nell'intera unità.
Come ultimo supporto, se il file è stato effettivamente cancellato, il ripristino dipende dal file system sull'unità di rete, mentre la capacità di registrazione dipende dal suo sistema operativo.
Ad esempio: se l'unità di rete si trova su un sistema Windows, NTFS, se eri condividendo una cartella sul tuo computer , potresti essere in grado di recuperare facilmente il file utilizzando Recuva o qualsiasi diverse utility" undelete ". Se sei fortunato, la funzione Shadow Copy è attivata e sarai in grado di accedere direttamente alle "versioni precedenti di questa directory" dall'interfaccia di Explorer sul server (non puoi farlo dalla rete, AFAIK).
Su questi sistemi, tuttavia, è improbabile che le strutture di registrazione siano in esecuzione, specialmente con il livello di dettaglio di cui avresti bisogno per avere un colpevole.
Se si tratta di un sistema Linux, il recupero di solito è più difficile (avrai bisogno di un ext* strumento di recupero - assumendo che il filesystem è EXT3 / EXT4; il supporto per il recupero di EXT3 / 4 è più complicato che in NTFS), ma è probabile che il sistema di condivisione file è Samba e nei registri di Samba sono disponibili sia i tempi di accesso che le operazioni anche su disco (registrate su base per stazione di lavoro). Qui per esempio c'è una connessione dal mio PC al mio server di casa qualche tempo fa:
zotac (::ffff:192.168.4.24) connect to service public initially as user
lserni (uid=1000, gid=100) (pid 11642) [2012/05/03 17:20:07.499617, 1]
Il nome della workstation (zotac), il suo indirizzo IP e il nome utente sono tutti registrati. È possibile, ma non l'impostazione predefinita poiché i file di registro tendono a diventare enormi, per registrare le operazioni a livello di file (creare, rinominare, eliminare).
Altre possibilità stanno cercando di individuare le vecchie versioni del file e verificare che il dipendente - se ha fatto l'atto con malizia e accortezza - abbia avuto accesso o copiato il file sulla propria stazione di lavoro (basta controllare File e documenti recenti). Ho assistito a un caso in cui un dipendente aveva copiato l'intero archivio clienti su una chiave USB prima di tentare di sovrascrivere il database master sul server. Non è mai stato chiaro se intendesse detenere il database per il riscatto, o forse ha pianificato di venderlo ad un concorrente (alla fine il PTB ha concordato un "errore di buona fede" e "lascia" le dimissioni del dipendente per motivi di salute) .
Leggi altre domande sui tag windows-8 forensics file-system