間違えて5GBくらいのファイルを Shift + Delete してしまった Pandora Recoveryなどの復元ソフトを使えば簡単に元に戻せるだろう なぜかサイズが0KBになってしまう どうせ32bit変数を使っているとかで、自分でNTFSを読めば復元できるだろう ということで、NTFSの読み方を調べた。 結論を先に書くと、消したファイルのサイズが4GB以上の場合、4GB未満のファイルのように簡単に元に戻すことはできない(詳細は後述)。4GB以上のファイルは慎重に扱おう。 参考にしたサイト http://www.writeblocked.org/resources/ntfs_cheat_sheets.pdf https://flatcap.org/linux-ntfs/ntfs/ http://www.kes.talktalk.net/ntfs/ http://blogs.tech
Yet Another Registry Utility (yaru) yaru is a platform independent Windows registry viewer. Inspired by the desire to look into the Windows registry metadata, so as to better forensically analyze the registry hives, yaru was designed with a portable and extensible architecture in mind so that it could be compiled to run on various operating systems. The registry parsing engine is written in standa
これは何? 指定したディレクトリ内のファイルについて、サイズや属性、ファイル作成日時/変更日時/最終アクセス日時、 プロパティ(説明、バージョン、コピーライト/トレードマーク等)をタブ区切りで出力する コマンドラインツールです。サブディレクトリ以下を再帰的に探索することも可能です。 リダイレクトしてファイルに出力し、Excelなどで加工してください。 Usage: fileprop [オプション] [ディレクトリ名] /S サブディレクトリを探索する /F ファイル名を絶対パスで表示する /I 属性を表示する /Tc ファイル作成日時を表示する /Tm ファイル変更日時を表示する /Ta ファイル最終アクセス日時を表示する /Z ファイルサイズを表示する /Pc プロパティのコピーライトを表示する /Pt プロパティのトレードマークを表示する /Pm プロパティのコメントを表示する /Pk
Here is a set of free YouTube videos showing how to use my tools: Malicious PDF Analysis Workshop. pdf-parser.py This tool will parse a PDF document to identify the fundamental elements used in the analyzed file. It will not render a PDF document. The code of the parser is quick-and-dirty, I’m not recommending this as text book case for PDF parsers, but it gets the job done. You can see the parser
Back in July I gave a talk at OMFW about extracting timeline data from a memory sample using the Volatility framework. Now has come the time to release the plugins that came along with that talk. In addition to the plugins I have included a whitepaper on how these plugins were created and used. It is released more in hopes that people will see how to use the framework and be able to write their ow
An Examination of the Windows™ 7, 8/8.1 or 10 MBR ( Master Boot Record ) [Also embedded in vdsutil.dll, winsetup.dll and various other System files ] Web Presentation and Text are Copyright©2011, 2015 by Daniel B. Sedory NOT to be reproduced in any form without Permission of the Author ! This page examines the Windows 7, 8/8.1 or 10 MBR code; it's the same exact bytes for all of these OS versions.
License CAINE and WinTaylor and the Windows Side tools are free software; you can redistribute CAINE and/or modify it under the terms of the GNU Lesser General Public License as published by the Free Software Foundation; either version 2.1 of the License, or (at your option) any later version. CAINE and WinTaylor and the other Windows Side tools are distributed in the hope that they will be useful
Volume Shadow Copy(VSS/VSC)には以前のデータが格納されているため、重要な調査箇所です。 しかし、マルウェアによっては意図的にShadow Copy(SC)を削除することが報告されています。例えば以下の事例では、重要なファイルをSDeleteで削除した後にwmicコマンドを活用してSCを削除しています。 CRYPVAULT: New Crypto-ransomware Encrypts and “Quarantines” Files http://blog.trendmicro.com/trendlabs-security-intelligence/crypvault-new-crypto-ransomware-encrypts-and-quarantines-files/ また、以下ではvssadminコマンドを実行してSCを削除することが報告されています。 情報
Overview OSFMount allows you to mount local disk image files (bit-for-bit copies of an entire disk or disk partition) in Windows as a physical disk or a logical drive letter. You can then analyze the disk image file with PassMark OSForensics™ by using the physical disk name (eg. \\.\PhysicalDrive1) or logical drive letter (eg. Z:). By default, the image files are mounted as read only so that the o
About extundelete extundelete is a utility that can recover deleted files from an ext3 or ext4 partition. The ext3 and ext4 file systems are the most common default file systems in Linux distributions like Mint, Mageia, or Ubuntu. extundelete uses information stored in the partition's journal to attempt to recover a file that has been deleted from the partition. There is no guarantee that any part
Easy and free fix for damaged zip filesRepair zip files for free! The zip file format is the most popular form of data storage. It is widely used for backup and transfer of information over the internet. As any format with a well-defined structure, it is highly sensitive to corruptions. In case of even a minor corruption of the file structure, standard zip tools will no be able to extract its cont
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く