Для анализа действий пользователя в Windows не всегда требуется дамп памяти. Операционная система оставляет следы активности в различных местах.
Журнал уведомлений и Timeline Windows фиксируют время открытия файлов и веб-страниц, а также системные события. Базы данных SQLite с этой информацией расположены в профиле пользователя. Даже если основной журнал событий поврежден, эти данные могут помочь восстановить картину событий.
Альтернативные потоки данных (ADS) в NTFS позволяют отследить источник загруженных файлов, например, из интернета. Команда
Теневые копии томов создают резервные копии файлов и папок, позволяя просматривать старые версии. Автоматически создаваемые ярлыки в папках Recent хранят информацию о файлах, открытых пользователем, включая данные о съемных носителях. Даже при отсутствии содержимого файлов можно узнать их названия, типы, приложения для открытия и время использования.
Изображение носит иллюстративный характер
Журнал уведомлений и Timeline Windows фиксируют время открытия файлов и веб-страниц, а также системные события. Базы данных SQLite с этой информацией расположены в профиле пользователя. Даже если основной журнал событий поврежден, эти данные могут помочь восстановить картину событий.
Альтернативные потоки данных (ADS) в NTFS позволяют отследить источник загруженных файлов, например, из интернета. Команда
dir /R в командной строке показывает наличие ADS, особенно полезно проверять папку загрузок. Корзина хранит удаленные файлы, и с помощью утилиты Rifiuti можно восстановить оригинальные пути и даты удаления этих файлов. Теневые копии томов создают резервные копии файлов и папок, позволяя просматривать старые версии. Автоматически создаваемые ярлыки в папках Recent хранят информацию о файлах, открытых пользователем, включая данные о съемных носителях. Даже при отсутствии содержимого файлов можно узнать их названия, типы, приложения для открытия и время использования.
