Récupérer des fichiers supprimés à partir de fichiers Microsoft Volume Shadow Copy

Depuis l'introduction de Windows Vista et maintenant Windows 7, il ya eu beaucoup de discussions sur la fonction Volume Shadow Copy dans la communauté informatique judiciaire. Un grand nombre de fournisseurs d'outils médico-légales ont tenté de trouver une bonne solution pour extraire les informations de ce trésor de la preuve, mais dans mon expérience, aucun n'a vraiment réussi.

Le cliché instantané de volume est le back-end de la fonction Restauration du système, qui permet à l'utilisateur de restaurer les fichiers système à un état antérieur en cas de défaillance du système. Pour créer ces sauvegarde de Windows utilise une quantité importante d'espace disque dur. (Vista utilise 15% de l'entraînement et Windows 7 utilise 5%). Alors qu'est-ce que cela signifie pour ordinateur médecins légistes? Cela signifie simplement qu'il ya un trésor d'informations assis là, attendant d'être extrait. Mais comment arriver à cela?

Certains fournisseurs de logiciels légiste fourre-tout qu'ils peuvent examiner ces dossiers et dans un certain sens ils le peuvent. Cela se fait simplement par la recherche de documents texte, des images et autres médias à travers ces progiciels. Il ya une manière plus facile et plus propre.

Un programme appelé Ombre Explorer fonctionne très bien à cet effet. Ce programme peut être téléchargé gratuitement. Tout ce qui est nécessaire est un ordinateur de travail avec Windows Vista ou Windows 7 installé comme système d'exploitation et des privilèges d'administration, la nouvelle version de Shadow Explorer installé et un disque dur cible. S'il s'agit d'un examen médico-légal ensuite une copie de l'entraînement étant examinés (afin de ne pas travailler sur votre preuve originale). Si ce n'est une reprise à partir d'un disque dur personnel, où le système d'exploitation a échoué alors son possible pour accrocher la place originale à un ordinateur de travail. Le disque dur cible peut être connecté à un ordinateur de travail par tous les moyens disponibles.

Une fois la copie ou le disque dur est l'objectif initial fixé à l'ordinateur de travail et l'ordinateur a reconnu (prendre note de la lettre de lecteur lui est attribué), Shadow Explorer peut maintenant être lancé. Une fois qu'il a commencé il y aura deux listes déroulantes en haut à gauche de la fenêtre de l'Explorateur Ombre. On est pour les lettres de lecteur spécifique disponible sur l'ordinateur de travail et l'autre est pour l'heure et la date créée pour les fichiers de Shadow Copy. Si une de ces dates est cliqué, l'arborescence des répertoires entier pour le disque dur cible sera affiché dans la douleur à gauche. Tout ce qui doit être fait manuellement est de naviguer dans l'arborescence à ce qui est recherché. Pour exporter des informations une fois qu'il est situé, juste un clic droit sur elle et l'exporter vers l'ordinateur de travail. Cela peut être fait soit avec un seul fichier ou un répertoire entier.

Cette méthode ne donne pas toutes les fois belle et les dates que vous auriez normalement obtenir avec un fichier existant, mais il ne vous donner une bonne idée de ce qui était sur une machine donnée à cette date de l'instantané du cliché.

Rob a travaillé dans Digital Forensics pour les six dernières années et possède une vaste formation et d'expérience dans ce domaine. Il a examiné à peu près tous OS il ya utilisant Encase, FTK et beaucoup d'outils tiers. Il a également une formation et une expérience dans les examens de téléphone portable et Sat Nav Forensics. Il a été la fixation et la réparation des ordinateurs pour plus d'une décennie.

Source de l'article: http://EzineArticles.com/4686617