sysinternals.com - нам потребуется Process Monitor (procmon.exe).
Это чрезвычайно удобная и полезная тулза. Мониторит активность,
связанную с файловой системой, реестром, взаимодействием между
процессами и по сети
Показаны сообщения с ярлыком данные. Показать все сообщения
Показаны сообщения с ярлыком данные. Показать все сообщения
пятница, 12 июля 2013 г.
foremost - ищем скрытые данные
Программа foremost сканирует и распознаёт файловую структуру известных ему типов файлов,
распознав начало знакомого типа файла утилита пытается найти конец
файла, собрать всё это воедино и записать на диск.
Тип искомого файла, который нужно восстановить, задаётся опцией “-t”, например:
Извлечение файлов из файла подкачки:
Возможности:
-Восстановление удаленных и поврежденных файлов.
-Поиск файлов, замаскированных под другой формат.
- Многое другое...
Три важных момента:
-Восстанавливаемые файлы должны записываться на раздел отличный от того, с которого они восстанавливаются.
-foremost должен быть запущен НЕ с того раздела диска, с которого собрались восстанавливать файлы. Можно запустить foremost с Live-CD.
-При восстановлении имена файлов не сохраняются.
Аналоги: DiskDigger, Photorec.
Ссылки
Есть очень хороший каталог с описаниями таких программ здесь. Вот тут неплохое описание доступных утилит по анализу данных, ссылки есть и здесь, а ещё лучше погуглить со словом forensic.
http://mydebianblog.blogspot.ru/2007/01/1-foremost.html
http://acerfans.ru/faq/1256-vosstanovlenie-udaljonnykh-fajjlov-v-os-linux.html
Тип искомого файла, который нужно восстановить, задаётся опцией “-t”, например:
#foremost -t zip Извлечение файлов из файла подкачки:
#foremost -i /mnt/hda1/pagefile.sys -o /root/Desktop/page_file -v -qВозможности:
-Восстановление удаленных и поврежденных файлов.
-Поиск файлов, замаскированных под другой формат.
- Многое другое...
Три важных момента:
-Восстанавливаемые файлы должны записываться на раздел отличный от того, с которого они восстанавливаются.
-foremost должен быть запущен НЕ с того раздела диска, с которого собрались восстанавливать файлы. Можно запустить foremost с Live-CD.
-При восстановлении имена файлов не сохраняются.
Аналоги: DiskDigger, Photorec.
Ссылки
Есть очень хороший каталог с описаниями таких программ здесь. Вот тут неплохое описание доступных утилит по анализу данных, ссылки есть и здесь, а ещё лучше погуглить со словом forensic.
http://mydebianblog.blogspot.ru/2007/01/1-foremost.html
http://acerfans.ru/faq/1256-vosstanovlenie-udaljonnykh-fajjlov-v-os-linux.html
Подписаться на:
Сообщения (Atom)