#forensic #data #recovery R-Studio (www.r-studio.com) Знаменитый продукт для восстановления данных от команды к-tools technology. Прекрасный, мощный и легкий в обращение кроссплатформенный инструмент для восстановления разнотипных данных. Один из лучших на рынке. Стоит правда 80$, но это тот момент, когда ты понимаешь ценность каждого вложенного доллара. Если не вдаваться в подробности и глубину функционала (который прям весьма пристойны) все взаимодействие с программой сводится к трем шага: выбрать носитель- просканировать его- восстановить все то что нашлось при сканирование. По типу восстанавливаемых файлов- понимает практически все что найдет. Есть бесплатные версии, ограниченные определенным типом файлов или размером (в качестве демо) Ну и вообще из продуктов у этих ребят есть чему по-удивляться.
dfir_ntfs
[https://github.com/msuhanov/dfir_ntfs]
парсер файловой системы NTFS, написанный на Python и предназначенный для мероприятий цифровой криминалистики и реагирования на инциденты
- парсит файлы $MFT, $UsnJrnl:$J, извлекает как можно больше данных.
- производит разбор томов, образов томов и теневых копий томов.
- извлечение строк имен файлов из частичных атрибутов $FILE_NAME в файловой записи, а также дополнительная проверка атрибутов $FILE_NAME в индексных записях.
- печать информации из индексных записей, найденных в журнале $LogFile.
- способен анализировать tracking.log (который содержит перемещаемую таблицу — список идентификаторов объектов и идентификаторов машин для файлов, перемещенных на другие тома). Для тома с общим сетевым ресурсом это может дать список клиентских компьютеров.
#windows #dfir #forensic #recovery #ntfs #python
[https://github.com/msuhanov/dfir_ntfs]
парсер файловой системы NTFS, написанный на Python и предназначенный для мероприятий цифровой криминалистики и реагирования на инциденты
- парсит файлы $MFT, $UsnJrnl:$J, извлекает как можно больше данных.
- производит разбор томов, образов томов и теневых копий томов.
- извлечение строк имен файлов из частичных атрибутов $FILE_NAME в файловой записи, а также дополнительная проверка атрибутов $FILE_NAME в индексных записях.
- печать информации из индексных записей, найденных в журнале $LogFile.
- способен анализировать tracking.log (который содержит перемещаемую таблицу — список идентификаторов объектов и идентификаторов машин для файлов, перемещенных на другие тома). Для тома с общим сетевым ресурсом это может дать список клиентских компьютеров.
#windows #dfir #forensic #recovery #ntfs #python
GitHub
GitHub - msuhanov/dfir_ntfs: An NTFS/FAT parser for digital forensics & incident response
An NTFS/FAT parser for digital forensics & incident response - msuhanov/dfir_ntfs
👍1
Analyze MFT
[https://github.com/dkovar/analyzeMFT]
ставший уже классическим Python-скрипт, предназначенный для парсинга файла MFT из файловой системы NTFS и представления результатов в нескольких форматах.
• вывод в файл, csv, а также информации о MAC в bodyfile
• обнаружение аномалий
• сохранение копии декодированного MFT в памяти.
• построение путей к файлам
#forensic #recovery #ntfs #python
[https://github.com/dkovar/analyzeMFT]
ставший уже классическим Python-скрипт, предназначенный для парсинга файла MFT из файловой системы NTFS и представления результатов в нескольких форматах.
• вывод в файл, csv, а также информации о MAC в bodyfile
• обнаружение аномалий
• сохранение копии декодированного MFT в памяти.
• построение путей к файлам
#forensic #recovery #ntfs #python
GitHub
GitHub - rowingdude/analyzeMFT: analyzeMFT.py is designed to fully parse the MFT file from an NTFS filesystem and present the results…
analyzeMFT.py is designed to fully parse the MFT file from an NTFS filesystem and present the results as accurately as possible in multiple formats. - rowingdude/analyzeMFT