Windows删除文件的取证分析

随着计算机犯罪案件成指数增长,基于Windows的取证分析技术日益普遍,而犯罪嫌疑人掩盖证据最通常的做法就是将有用证据删除,因此,对这些删除文件进行取证分析显得更为重要.删除文件中很可能包含和案件相关的重要证据,如用户数据文件、声音文件等,文章结合数据恢复技术和Windows删除机制特点,提出了一种对Windows删除文件的取证分析方法,能够获取更多的用户信息,为重构案情,了解用户行为提供了更有效的依据.     

安全模式九大应用技巧

1、删除顽固文件 我们在Windows下删除一些文件或清除资源回收站内容时。系统有时会提示[某某文件正在使用中,无法删除]的字样,不过这些文件并无使用中,此时可试着重新启动计算机并在启动时进入安全模式。进入安全模式后,Windows会自动释放这些文件的控制权,便可以将它们删除。     

Windows XP回收站高级应用技巧三则

在Windows系统中,回收站是用来临时存放我们平时删除的文件的垃圾箱,存放在回收站的文件并没有真正的删除,这是为了防止误删除文件。被误删除的文件还可以从回收站中找回来,这是回收站最常用的操作。为了用好回收站,我们可对回收站进行一些设置,使其更方便我们操作。下面我们将要介绍回收站的三个高级应用技巧。     

Windows回收站揭密

Windows的回收站不止一个，每一个驱动器的根目录下都有一个回收站，被删除的文件或目录存放到它所在驱动器的回收站中，打开任一个回收站都将显示所有回收站的内容。它是Windows系统中一个比较特殊的组件。     

也谈Windows回收站

我们知道,Windows系统中的回收站是一个文件夹,用来存放用户删除的文件,当用户删除文件。如果没有清空回收站,想恢复时该文件时,打开回收站,找到要恢复的文件,单击鼠标右键,选择"还原"就可以了。相当于系统为你提供的一剂"后悔药"。     

你不一定知道的电脑安全模式

正相信大家都知道如何进入windows系统的安全模式,但是对于安全模式的作用你又知道多少呢?作用1:删除固执文件在Windows正常模式下删除一些文件或许消除回收站时,系统能够会提醒"文件正在被使用,无法删除",出现这样的状况咱们就可以在安全模式下将其删除。因为在安全模式下,Windows会主动开释这些文件的掌握权。     

怎样在Windows95中恢复被删除的文件

在Windows 95操作系统中,由于有回收站的功能,一般删除的文件很容易恢复。方法如下:直接进入回收站中,选取欲恢复的文件,点取鼠标右键,出现“还原,剪切,删除,属性”四个选项,点取“还原”即可恢复。但是在Windows 95中,当切换到MS—DOS方式下时删除的文件,Windows 95的回收站将不予回收。     

软件也有回收站

大家都知道,Windows系统有个回收站,删除文件后,如果没有清空回收站都可以重新找回来。那么,除了Windows以外,其它软件有没有回收站功能呢？答案是肯定的。     

删除需要密码

大家经常使用Windows XP操作系统,删除工作也是件常做的事,选中文件,按Del键,系统弹出提示确认删除,点击即可。在回收站里操作也一样,都会弹出让你确认删除的对话框。但很多时候因为别人的误删除而导致系统不能启动,重要资料也可能被删除。是否能做到在Windows XP系统删除文件时需要密码呢？可以在弹出的对话框上做文章。     

回收站无法清空巧解决

朋友使用的是Windows XP系统,有一次从E盘中删除了一个文件,并把它放入回收站。之后系统出现问题,表现为回收站中的内容无法清空,而且每次打开回收站时它     

计算机无纸化考试系统中有效评分的方法

要实现数据库文件的比较,必须要了解FoxPro for Windows 数据库系统数据库文件的基本结构。为有效读出数据库内容,给出两个结构。分析了数据库 文件的结构之后,便能对不同的数据库命令进行数据库文件的不同比较评分。阐述了计算机 无纸化考试系统中对FoxPro for Windows数据库操作考试进行有效评分的方法。     

Widows 7环境下电子取证特点分析

随着微软新一代操作系统Windows7的普及,计算机取证调查人员将在实际工作中越来越多的遇到Windows7操作系统,本文介绍了Windows7环境下调查人员需要了解的取证特点以及对取证的影响进行简要的介绍和分析。     

Windows系统取证研究

为了有效打击计算机犯罪,解决计算机取证中的技术问题,文章对现有的计算机取证体系结构及Windows系统的取证关键技术进行分析,提出了基于Windows系统的犯罪现场易失性证据的收集和分析方法.     

基于FAT32的数据恢复系统的设计

恶意删除或数据误删现象时常发生,数据恢复的成败关系到信息的安全.根据基于FAT32系统的删除文件的四种情形,设计基于FAT32的数据恢复算法.系统依据被删除文件的创建时间与该分区或该分区下某一目录中现存文件的创建时间的比较结果来定位被删除文件,读取该文件信息,恢复被删除文件.系统具有简单、易用、灵活、高效等特点.     

用Delphi清除Autorun文件的方法

Autorun文件是Windows操作系统中常见的系统文件,很多计算机病毒都利用这种文件来传播、运行。针对此问题,本文讨论了如何编写程序解决的方法,并利用Delphi给出程序设计实例。     

A study on multimedia file carving method

File carving is a method that recovers files at unallocated space without any file information and used to recover data and execute a digital forensic investigation. In general, the file carving recovers files using the inherent header and footer in files or the entire file size determined in the file header. The largely used multimedia files, such as AVI, WAV, and MP3, can be exactly recovered using an internal format in files as they are continuously allocated. In the case of the NTFS, which is one of the most widely used file system, it supports an internal data compression function itself, but the NTFS compression function has not been considered in file carving. Thus, a large part of file carving tools cannot recover NTFS compressed files. Also, for carving the multimedia files compressed by the NTFS, a recovery method for such NTFS compressed files is required. In this study, we propose a carving method for multimedia files and represent a recovery plan for deleted NTFS compressed files. In addition, we propose a way to apply such a recovery method to the carving of multimedia files.     

基于孩子兄弟树的 FAT32 文件删除恢复算法

针对由主观或客观因素造成计算机中数据丢失的情况,提出一种Windows FAT32文件系统下基于孩子兄弟树的数据删除恢复算法。 介绍FAT32文件系统和孩子兄弟树,详细阐述了如何基于孩子兄弟树重建FAT32文件系统的目录树,快速搜索到被删除文件的目录项,并通过分析文件删除前后目录项中属性值的变化来恢复被删除的文件。     

A recovery method of deleted record for SQLite database

SQLite is a small-sized database engine largely used in embedded devices and local application software. The availability of portable devices, such as smartphones, has been extended over the recent years and has contributed to growing adaptation of SQLite. This implies a high likelihood of digital evidences acquired during forensic investigations to include SQLite database files. Where intentional deletion of sensitive data can be made by a suspect, forensic investigators need to recover deleted records in SQLite at the best possible. This study analyzes data management rules used by SQLite and the structure of deleted data in the system and in turn suggests a recovery tool of deleted data. Further, the study examines major SQLite suited software as it validates feasible possibility of deleted data recovery.     

The importance of text searches in digital forensics

Forensic investigations focus on searches of files or portions of files. These portions may come from active or deleted files, slack space, or non-allocated space. Things may be even more complicated with distributed file systems or large hard disks, which can create further and often unjustifiable demands on processing power. Some forensic analysts enhance the effectiveness of their work by using extremely complex and powerful tools such as GREP (Global Regular Expression Print). This tool was developed in the early 1970s to search for words or word fragments anywhere on the disk. The GREP expressions are so effective that even automated tools such as Encase and FTK make broad use of them, although their power depends strongly on the technical expertise of the user.