Dissecar instantâneos de restauração do sistema

2

Existe alguma maneira de mapear os nomes de arquivos A000????.??? nas Informações de Volume do Sistema para seus nomes originais, sem sem restaurá-los?

A razão pela qual eu pergunto é que vários arquivos na Informação de Volume do Sistema de um usuário RP1 foram infectados por um rootkit. Embora tenham sido removidos, gostaria de poder descobrir o que eles eram originalmente. A0001253.sys e A0001211.sys não são nomes muito úteis. :)

Aconteceu em dois sistemas, um XP SP2, o outro XP SP3.

    
por Unsigned 09.11.2011 / 17:18

1 resposta

3

Veja Restore Point Forensics , que descreve os pontos de restauração em profundidade.

Em resumo, os arquivos renomeados são rastreados no arquivo "change.log". Procure o nome do arquivo de interesse (a extensão original permanece inalterada) e o caminho original é encontrado antes do nome de arquivo renomeado:

    
por 09.11.2011 / 17:36