【干货】使用EnCase来分析windows 7文件系统------认识元数据记录$MFT，数据恢复

【【干货】使用EnCase来分析windows 7文件系统------认识元数据记录$MFT，数据恢复】的更多相关文章

【干货】使用EnCase来分析windows 7文件系统------认识元数据记录$MFT，数据恢复

来源:Unit 6: Windows File Systems and Registry 6.1 Windows File Systems and Registry Windows NTFS File System 现在预览的是Windows 7图像带美元符号的文件都是系统文件这里C盘高亮是自己设置的,只想看看C盘中的情况,屏蔽了其他盘的信息往后托是时间戳,有趣的地方在于时间都是一样的.这些是在格式化NTFS文件系统时生成的. 永远不会发送改变.这个地方可以明确的用来当成一种法医学证据,…

用LogParser分析Windows日志

用LogParser分析Windows日志实战案例分享假设你已具有上面的基础知识,那么以下为你准备了更加深入的应用操作视频(从安装到使用的全程记录): http://www.tudou.com/programs/view/SWoIeUkUWWQ/…

鸿蒙内核源码分析(VFS篇) | 文件系统和谐共处的基础 | 百篇博客分析OpenHarmony源码 | v68.01

干货！分享一款windows下的磁盘分析神器。

作为开发人员的你,肯定遇到过这样的情况,120G SSD系统盘居然满载了,到底是被哪些程序占用了,包含哪些大文件,这个时候脑袋里就开始回忆了.....这对平时没有养成规范化记录安装软件好习惯的同学而言,就只能使用猜测穷举法了,把怀疑的文件夹都检查一遍,如果最终没能找出和清理掉大文件,可能就开始重装系统了. 但有的同学就比较固执,比如说作者,嘿嘿,我120 G的固态硬盘啊,今天一定要找出真凶,最终,功夫不负有心人,找到了这款神器==>SpaceSniffer(磁盘空间嗅探器): 下载地址:http…

分析Windows的死亡蓝屏（BSOD）机制

这篇文章本来是投Freebuf的,结果没过.就贴到博客里吧,图懒得发上来了对于Windows系统来说,被人们视为洪水猛兽的蓝屏也是一种有利于系统稳定的机制.蓝屏其实是Windows系统的一种自查机制,一但系统发现自己哪里有些不对劲后就立即抛出蓝屏,来阻止错误蔓延.倘若没有蓝屏机制,那么可能很小的一个错误最后会不断的酝酿导致系统数据损坏的严重后果.而事实上因为Windows系统自身导致的蓝屏其实是少之又少的,更多的蓝屏诱因是各种驱动程序,因为作者个人对Rootkit类程序感兴趣,因此在平时…

log parser分析windows日志

首先将windows安全日志导出,步骤如下: 运行eventvwr.msc命令,打开windows日志,如下图,将所有事件另存为: 保存完之后是一个.evtx格式的文件,将使用log parser分析这个导出的日志: 分析命令如下: LogParser.exe -i:EVT "SELECT TimeGenerated,EXTRACT_TOKEN(Strings,0,'|') AS USERNAME,EXTRACT_TOKEN(Strings,2,'|') AS SERVICE\_NAME,EXT…

ELK 集中日志分析 windows部署实战

一步步来 1.下载软件 Elasticsearch: https://download.elasticsearch.org/...p/elasticsearch/2.0.0/elasticsearch-2.0.0.zipLogstash: https://download.elastic.co/logstash/logstash/logstash-2.0.0.zipKibana: https://download.elastic.co/kibana/kibana/kibana-4.2.0-win…