Дисковая криминалистика

Дисковая криминалистика — исторически ключевая область цифровой криминалистики: работает на побитовых образах и восстанавливает активность по файловым системам (NTFS, APFS, ext4, FAT), журналам, метаданным, slack и неразмеченным областям. Исследователи изучают записи MFT, журнал USN, $LogFile, Prefetch, Jump Lists, ярлыки, профили браузеров, журналы событий Windows и shellbags, чтобы построить временные шкалы. Autopsy/Sleuth Kit, EnCase, X-Ways, FTK, Plaso/log2timeline автоматизируют разбор и таймлайны. Современные сложности — полнодисковое шифрование (BitLocker, FileVault, LUKS), TRIM/garbage collection SSD, синхронизация с облаком; они учитываются в практиках NIST SP 800-86 и ISO/IEC 27037.