Нужна скорая помощь!!!
Нужна скорая помощь!!!
| Цитата: |
Вообщем такая ситуация:
Слетел у меня винт сегодня, понёс я его к другу, и каким то образом при подключении моего винта его слетел к ебеням - а там очень важная инфа. Вообщем он не отформатировался а просто как то исчезли разделы или логические диски, какой прогой восстановить инфу ???
|
Помогите с виндой ХР
Помогите с виндой ХР
| Цитата: |
Приветики ! Значит так тут одному человеку за денежку переустановил винду, а ставил я сверху старой винды, т.е. затирал новой, а потом оказалось что Общие документы потерялись, лазил искал, так и не нащёл, куда могли деться?
данные: XP HEdition
И какой если ничего не сможете подсказать посоветуете восстановитель файлов? |
•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
Forensic EnCase Edition
Домашняя страница:
http://www.guidancesoftware.com/products/ef_index.asp
Это программное обеспечение сбора и анализа компьютерных данных, работающее в среде Windows, предназначенное для криминалистического исследования компьютерных носителей информации и основанное на международных спецификациях и требованиях, предъявляемых к деятельности правоохранительных органов.
Компьютерная экспертиза обнаруживает все улики, хранящиеся на компьютере. Под ними обычно подразумевают данные на жёстком диске, но сюда также входит содержимое USB-брелоков, дискет и CD/DVD. Многие люди даже и не подозревают, что практически все действия на компьютере, будь то путешествие по web или общение через ICQ, оставляют следы. Вооружившись правильными инструментами и знаниями, эксперты могут отследить преступника.
Самые часто встречающиеся случаи компьютерной экспертизы связаны с детской порнографией, взломом платёжных средств, кражей корпоративных данных и, конечно же, терроризмом. Вовремя обнаруженные улики могут сэкономить немало денег или даже жизней.
Во многих случаях злоумышленники полагают, что они могут полностью удалить информацию из компьютера, просто нажав клавишу "Delete". Утилита EnCase приобрела немалую популярность среди специалистов, поскольку она очень успешно умеет восстанавливать удалённые данные.
Где скрываются данные
Удаление и перезапись файлов не приводят к исчезновению всех уязвимых данных с жесткого диска. Стиранию должны подвергаться все секторы (составляющие кластер 512-байт сегменты), так как данные могут скрываться в самых неожиданных местах. Часто в последнем кластере большого файла находятся случайные данные, называемые заполнителями файлов (file slack). Когда на жестком диске записана последняя часть файла и данные не заполняют сектор целиком, он дополняется случайно выбранными данными, взятыми из памяти и называемыми заполнителями ОЗУ (RAM slack). Это может быть любая информация, сформированная, просматривавшаяся или преобразованная со времени последней загрузки компьютера. Остальные секторы, составляющие кластер, содержат остатки разных данных, ранее сохраненных в этом месте, которые называются заполнителями диска (drive slack). Многие программы безопасного удаления данных не способны должным образом стирать заполнители файлов, которые могут содержать массу конфиденциальной информации.
В файловой системе NTFS (действующей в Windows NT 4.0, 2000 и XP) файлы содержат множественные потоки (streams). В одном потоке заключена информация о правах доступа, а во втором — реальные данные файла. NTFS может также содержать потоки альтернативных данных (Alternative Data Streams — ADS), в которых может храниться все, что угодно. Чаще всего там хранятся миниатюрные изображения из графических файлов. Так как многие программы безопасного удаления не замещают содержимое ADS, миниатюрные изображения могут оставаться доступными для вывода даже после замещения потока, содержащего графический файл. Подробнее о том, как предотвратить сохранение миниатюрных изображений, можно узнать, обратившись к базе знаний Microsoft Knowledge Base Article 319300 (http://support.microsoft.com).
Скрытые угрозы
Известно, что правонарушители пользуются потоками альтернативных данных, чтобы прятать на жестких дисках данные или вирусы. Есть на жестких дисках и другие области, где можно преднамеренно прятать данные. Секторы на жестком диске формируются в процессе низкоуровневого форматирования, обычно выполняемого на заводе. Дефектные секторы помечаются, и поэтому контроллер жесткого диска не пытается производить на них записи. Состоящие из секторов кластеры формируются во время высокоуровневого форматирования. Если при этом выявляется дефектный сектор, то весь кластер помечается как дефектный. Однако в нем содержатся и исправные секторы, в которых правонарушители могут прятать данные.
На устаревших жестких дисках данные можно также прятать в местах, называемых межсекторными промежутками (sector gap). Все дорожки содержат одинаковое число секторов, но длина окружности внешних дорожек намного больше, чем у внутренних. Более широкие промежутки между внешними секторами можно использовать для скрытного хранения данных. На современных жестких дисках эти потери пространства исключаются с помощью метода зонной записи (zoned recording), согласно которому число секторов регулируется в зависимости от положения дорожки.
Для доступа к таким скрытым частям жесткого диска необходима программа, которая, как мы упоминали, действует в обход ОС.
EnCase Forensic
EnCase is the industry leading computer forensic software tool used by most all computer forensic examiners worldwide. Award winning and court tested, EnCase software allows law enforcement and IT professionals to conduct a powerful, yet completely non-invasive computer forensic investigation. EnCase features a graphical user interface that enables examiners to easily manage large volumes of computer evidence and view all relevant files, including "deleted" files, file slack and unallocated data. The integrated functionality of EnCase allows the examiner to perform all functions of the computer forensic investigation process, from the initial "previewing" of a target drive, the acquisition of the evidentiary images, the search and recovery of the data and the final reporting of findings, all within the same application. Further, EnCase methodology allows the examiner to perform these processes in a non-invasive manner, meaning not one byte of data is changed on the original evidence. The final reports and extracts generated by the built-in report feature documents the investigation results and integrity of the original data with a clear and concise chain of custody to ensure the authentication of the examined electronic evidence in a court of law.
Версия Forensic EnCase Edition v3.22 ~ 6,27 Mb
http://rapidshare.de/files/14111267/Forensic.rar.html
Пароль на файл : free for all
•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
Directory Snoop
Программа позволяет восстанавливать удаленные файлы, и удалять файлы без возможности их восстановления. Поддерживается поиск, группировка, сортировка по дате, времени удаления, кластерам и атрибутам, возможность просмотра FAT - таблицы и работа с несжатыми данными на FAT12/FAT16/FAT32. Т.е. она не действует в системе NTFS.
•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
Обстоятельная статья на 8 страниц:
Analysis of hidden data in the NTFS file system
http://www.forensicfocus.com/hidden-data-analysis-ntfs
Оффтопик: стянуто с НоуНэйм
