هل تبحث عن شيئ معين في المدونة ؟ اكتب الجملة أو الكلمة التي تريد البحث عنها، واضغط Enter
اضف تعليق

اكتب عن أمن المعلومات والتحقيق الجنائي الرقمي | مدونة شخصية

Windows Recycle Bin Forensics

معلومات Recycle Bin تعتبر من اسهل windows artifact في التحقيق الجنائي الرقمي. عندما يتم حذف ملف في نظام وندوز، يتم نقله الى سلة المهملات قبل حذفه لكي يتمكن المستخدم من استرجاع الملف لاحقا اذا اراد ذلك او اذا كانت عملية المسح بالخطا. بكل سهولة يمكن معرفة الملفات المحذوفه سابقا بمجرد فتح سلة المهملات ولكن لا يمكن معرفة تاريخ ووقت حذف الملف الا عن طريق قراءة ملف الـ metadata.

اذا قمنا بفتح ملف Recycle.Bin$ ثم اخترنا اليوزر الذي نريد سوف تجد اسماء الملفات

الملفات تبدأ بـ $ ثم حرف r او i . ملفات التي تبدا بـ r هي الملفات نفسها بكامل حجمها والملفات التي تبدا بـ i هي ملفات metadata تحمل معلومات مسار الملف، حجم الملف، تاريخ  ووقت الحذف.

الصوره السابقة توضح structure الخاص بملفات الـ metadata وتم توضيح رقم الـ byte لكل معلومه في حالة اردت ان تقوم بعمل تحليل يدوي عن طريق محرر الـ hex.

 

تعليق واحد
  1. ابو اميريناير 24, 2018

    جميل , شكرا جزيلا على مشاركة المعلومة.

اضف تعليق