Existe alguma maneira de mapear os nomes de arquivos A000????.??? nas Informações de Volume do Sistema para seus nomes originais, sem sem restaurá-los?
A razão pela qual eu pergunto é que vários arquivos na Informação de Volume do Sistema de um usuário RP1 foram infectados por um rootkit. Embora tenham sido removidos, gostaria de poder descobrir o que eles eram originalmente. A0001253.sys e A0001211.sys não são nomes muito úteis. :)
Aconteceu em dois sistemas, um XP SP2, o outro XP SP3.
Veja Restore Point Forensics , que descreve os pontos de restauração em profundidade.
Em resumo, os arquivos renomeados são rastreados no arquivo "change.log". Procure o nome do arquivo de interesse (a extensão original permanece inalterada) e o caminho original é encontrado antes do nome de arquivo renomeado:
Tags system-restore