Existe uma ferramenta que me permita identificar quais blocos de dados foram (mais recentemente) gravados em um volume NTFS? Talvez o arquivo "$ Journal" do volume NTFS possa ter informações que possam ser extraídas ou analisadas / interpretadas. Existe uma ferramenta que identificará quais clusters ou setores foram gravados ou alterados pela última vez em um volume NTFS ou FAT?
Eu pergunto porque o computador que eu estava usando morreu (rapidamente, sem nenhuma tela azul - presumo que nenhum despejo de memória foi feito pelo Windows) quando um arquivo MB de aproximadamente 2-4 estava sendo salvo no disco rígido interno. Gostaria de saber se algum conteúdo desse arquivo realmente foi fisicamente gravado no disco rígido. É possível que qualquer conteúdo do arquivo que deveria ser gravado fisicamente ainda esteja apenas no buffer de memória ram de E / S. Se este for o caso, não acho que poderei recuperar / encontrar qualquer (mesmo partes) dos dados pertencentes àquele arquivo (a menos que *). No entanto, estou querendo saber se é possível que o conteúdo parcial desse arquivo tenha realmente sido gravado em um armazenamento permanente. Eu estava executando o Windows 7 de 64 bits e escrevendo para o volume C: (o volume principal do sistema NTFS naquele h.d.d). A placa-mãe (e / ou a fonte de alimentação) ficou escamosa por algum tempo. Ele caiu em mim assim antes.
Eu comecei a aprender sobre o The Sleuth Kit. É uma suíte de software Forense livre e de código aberto que pode ser instalada em qualquer distribuição GNU / Linux (ou em outros sistemas semelhantes ao UNIX, acredito). Perhpas um dos aplicativos que fazem parte desse conjunto de ferramentas poderia ser usado para essa finalidade. Um desses aplicativos no TheSleutKit é blkls. Executá-lo no modo padrão, sem nenhum parâmetro, exibirá o conteúdo bruto (binário?) De todos os blocos / setores não alocados no dispositivo de armazenamento / partição para stdout (1 > >) (ou |). No entanto, não acho que isso seja útil, já que esse é o volume do sistema NTFS e muitos desses blocos não alocados contêm arquivos excluídos que são mais antigos do que o arquivo para o qual estou procurando fragmentos. Se todos esses blocos não alocados nunca contiveram nenhum dado, talvez os blkls sejam úteis para esse propósito.
Falando da possibilidade de um despejo de RAM, Eu li recentemente que, quando o Windows cria um despejo de memória, o conteúdo de (alguns ou todos) (talvez apenas selecione processo (s), se não uma imagem inteira da RAM) RAM são copiados para o hibfil.sys e, na próxima inicialização do Windows, esse despejo de memória é extraído e salvo em um arquivo .dmp separado em algum lugar em C: \ Windows ou na pasta do usuário. É possível que, se algum dos dados que seriam gravados no volume NTFS fosse o primeiro em um buffer de E / S de RAM, algum desses faria parte de um despejo de memória?
Tags ntfs dump forensics sparseimage