介质取证-删不掉的文件也能恢复数据

admin 2024年10月29日00:33:44评论18 views字数 1229阅读4分5秒阅读模式

介质取证-删不掉的文件也能恢复数据

电子数据取证过程中,删除数据恢复当属让办案人员头疼的一大难点,包括恢复涉案聊天记录、文件、音视频、图片/照片等等。

根据数据类型的不同,想要直接恢复数据,其难度也不同。因而间接挖掘删除数据线索的方法,也成为了另一种有效的“恢复手段”。

此前,航哥与大家分享过微信取证过程中的数据恢复关键技巧,本文航哥就再以电脑中的图片文件为例,与大家分享:利用电脑中一些“删不掉”的文件,“恢复”图片文件。

许多小伙伴应该都遇到过这种情况:电脑里面有一些文件想删却删不掉,而且还会一直提示“文件正在使用”的弹窗。就算好不容易删除了,不就后它又会“重生”,让人误以为电脑是不是中了什么病毒。

而其中有一种典型文件类型就是Windows系统中的thumbs.db文件

介质取证-删不掉的文件也能恢复数据

01

Windows系统中的Thumbs.db文件

简单来说,thumbs.db就是Windows电脑中的缩略图数据库文件,当机主通过“缩略图查看”方式查看图片文件时,系统就会自动生成一个thumbs.db的文件,这样能够有效提升图片的显示刷新效率。

一般情况下,thumbs.db文件都是隐藏的,不容易被发现。

介质取证-删不掉的文件也能恢复数据

而从Windows Vista开始,整个文件系统的预览缩略图均集中存储在一个位置:

%user%AppDataLocalMicrosoftWindowsExplorer

系统可以不用进入文件的文件夹位置以访问该文件的缩略图缓存

介质取证-删不掉的文件也能恢复数据

02

macOS中的.DS_Store文件

与thumbs.db文件相似,macOS系统中也有一类“被隐藏”、“删除可重生”的特殊文件,它就是.DS_Store文件

介质取证-删不掉的文件也能恢复数据

它是macOS操作系统中用于存储文件夹的自定义属性的隐藏文件,如图标位置、视图设置、背景图像等。使用“访达”查看文件夹,它就会自动创建。

03

thumbs.db与.DS_Store的取证应用

像thumbs.db和.DS_Store这两个在普通人眼中“删不掉”的无用文件,在取证人眼里却是“喜闻乐见”的,在一些特定场景下,它们也可以给案件侦查带来重要突破。

通过解析thumbs.db,办案人员能够深度挖掘被删除的图片文件线索,实现“删除图片数据的恢复”需求。

而通过解析.DS_Store文件也可以辅助办案人员了解目标电脑中被删除的文件信息,辅助案件深挖拓线。

基于对上述两种文件类型的实战解析需要,平航介质取证分析软件CS6100也实现了自动解析和专用解析项直观展示。

介质取证-删不掉的文件也能恢复数据

CS6100 解析缩略图文件

CS6100可对目标计算机镜像或磁盘进行分析,自动探查其中thumbs.db以及.DS_Store文件痕迹,并实现快速解析。

对于目标计算机中已被删除的图片以及文件信息的提取挖掘,起到间接恢复效果,辅助挖掘案件隐藏线索。

同时对于获取到的图片缩略图数据,CS6100也支持导出另存为图片文件

介质取证-删不掉的文件也能恢复数据

CS6100 导出缩略图文件

相关功能已上线

产品试用、技术支持等需求

可请联系区域销售

介质取证-删不掉的文件也能恢复数据
介质取证-删不掉的文件也能恢复数据
介质取证-删不掉的文件也能恢复数据

原文始发于微信公众号(平航科技):介质取证-“删不掉”的文件也能恢复数据

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月29日00:33:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   介质取证-删不掉的文件也能恢复数据https://cn-sec.com/archives/3314236.html

发表评论

匿名网友 填写信息