Дисковая криминалистика
Что такое Дисковая криминалистика?
Дисковая криминалистикаАнализ энергонезависимых носителей (HDD, SSD, USB) для извлечения и интерпретации артефактов файловых систем, приложений и ОС.
Дисковая криминалистика — исторически ключевая область цифровой криминалистики: работает на побитовых образах и восстанавливает активность по файловым системам (NTFS, APFS, ext4, FAT), журналам, метаданным, slack и неразмеченным областям. Исследователи изучают записи MFT, журнал USN, $LogFile, Prefetch, Jump Lists, ярлыки, профили браузеров, журналы событий Windows и shellbags, чтобы построить временные шкалы. Autopsy/Sleuth Kit, EnCase, X-Ways, FTK, Plaso/log2timeline автоматизируют разбор и таймлайны. Современные сложности — полнодисковое шифрование (BitLocker, FileVault, LUKS), TRIM/garbage collection SSD, синхронизация с облаком; они учитываются в практиках NIST SP 800-86 и ISO/IEC 27037.
● Примеры
- 01
Восстановление удалённых документов из неразмеченной области NTFS в Autopsy.
- 02
Разбор Prefetch и ShimCache для подтверждения запуска вредоносного бинарника.
● Частые вопросы
Что такое Дисковая криминалистика?
Анализ энергонезависимых носителей (HDD, SSD, USB) для извлечения и интерпретации артефактов файловых систем, приложений и ОС. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает Дисковая криминалистика?
Анализ энергонезависимых носителей (HDD, SSD, USB) для извлечения и интерпретации артефактов файловых систем, приложений и ОС.
Как защититься от Дисковая криминалистика?
Защита от Дисковая криминалистика обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Дисковая криминалистика?
Распространённые альтернативные названия: Криминалистика накопителей, Криминалистика жёстких дисков.