Sono stati effettuati i test e corretti i problemi di individuazione dei file cancellati relativamente a File System NTFS. La versione di TSK 3.0, permetterà di risolvere le due eccezioni (WE=With Exceptions), non risolte anche in Autopsy, che non permettono la visualizzazione dei file definiti Orfani e degli Alternate Data Stream (ADS). Il test ha dato esito positivo come si può notare dall'immagine allegata. Riportiamo per completezza la descrizione dell'immagine e il risultato di PTK.
"This test image is a 6MB NTFS file system with eight deleted files, two deleted directories, and a deleted alternate data stream. The files range from resident files, single cluster files, and multiple fragments. No data structures were modified in this process to thwart recovery. They were created in Windows XP, deleted in XP, and imaged in Linux. "
DFTT test image: http://dftt.sourceforge.net/test7/index.html
Nessun commento:
Posta un commento