Perguntas sobre 'forensics'

Tags
2
respostas

Lê (repara) dados de um disquete quebrado em um sistema linux

Como posso ler um disquete antigo no Linux que possui alguns setores problemáticos? Em tempos de DOS , as pessoas usavam ferramentas mágicas como Norton Disk Doctor e outras. Algumas dessas ferramentas lêem a parte quebrada muitas vezes...
06.11.2012 / 00:03
2
respostas

Recuperação de arquivos sem assinaturas (números mágicos)

É possível recuperar um arquivo de uma imagem de disco (imagem dd) se o Cabeçalho / Rodapé do Arquivo, Assinatura foi alterado / modificado ou removido? Por exemplo, se a assinatura da imagem de bitmap (0x42 0x4d) ou até mesmo os primeiros 30...
19.04.2015 / 00:25
1
resposta

Localizar chave de registro do Windows Modificar data

Para que eu possa encontrar o "Último tempo de gravação" de uma chave de registro do Windows clicando com o botão direito do mouse nele no regedit e exportando-o para um arquivo .txt. Existe alguma maneira de extrair essas informações de um d...
14.11.2013 / 22:11
0
respostas

Como despejar memória da máquina virtual rodando no linux?

Eu tenho uma máquina virtual do windows instalada usando o qemu. Eu quero saber como eu posso despejar toda a memória RAM do sistema convidado do sistema host como bin2dmp fazer no windows. Li aqui que é possível, mas não é possível localiza...
03.06.2018 / 20:25
0
respostas

hdparm: o que --dco-restore realmente faz?

Estou seguindo as instruções em: Harddrive - apagar "escondido áreas "como HPA e DCO também após a infecção por malware Nos últimos dias, venho pesquisando áreas ocultas de um HDD e tenho experimentado com elas no Linux. Dois tópicos que ma...
30.12.2016 / 01:14
0
respostas

Como os logs do UAC não estão sendo armazenados no Visualizador de Eventos?

No Visualizador de Eventos, em Logs de Aplicativos e Serviços, os logs do UAC não estão sendo armazenados. Como posso ativá-los? Poderia a política do grupo de domínio / UO tê-los desativados? Se sim, onde posso ver que está desativado pela polí...
24.04.2015 / 20:13
0
respostas

Como posso ver um “Registro EA” (presumivelmente parte da MFT em NTFS)?

Recentemente, me deparei com uma situação em que um hub USB com falha fazia com que um disco rígido externo não "desconectasse com segurança". No processo de reparar a unidade para evitar que o Windows a veja como um sistema de arquivos RAW, not...
30.04.2015 / 00:44
0
respostas

Extraindo blocos de um instantâneo de VDI corrompido em ordem lógica

Eu tenho uma VM do Virtualbox em um disco rígido que falhou. A única coisa que consegui recuperar do disco foi um instantâneo do disco VDI dinâmico usado pela VM, e só consegui recuperar a primeira metade do arquivo. Ele ainda contém o cabeçalho...
29.01.2014 / 17:58
0
respostas

Como posso saber quais blocos / setores foram gravados pela última vez em um volume NTFS?

Existe uma ferramenta que me permita identificar quais blocos de dados foram (mais recentemente) gravados em um volume NTFS? Talvez o arquivo "$ Journal" do volume NTFS possa ter informações que possam ser extraídas ou analisadas / interpretadas...
10.03.2012 / 15:14
2
respostas

Como encontrar a extensão de um arquivo depois de ter sido removido ou alterado? [duplicado]

Digamos que você receba um arquivo cuja extensão foi removida ou alterada (file.tar.gz - > file.blah). Este arquivo é descompactado e seu conteúdo é usado por um aplicativo. Mas você não tem acesso a esse aplicativo para saber como. Então,...
10.03.2013 / 13:32