Autopsia que descubre el espacio de holgura de un archivo

1

Estoy usando Autopsia y necesito recuperar una contraseña oculta dentro de un espacio de holgura en otro archivo.

La autopsia muestra que cada sector para mi disco tiene 512 bytes. El archivo comienza en 4365 del sector y el archivo tiene un tamaño de 677 bytes. Cálculo con 4365 sectores * 512 bytes / sector + 677 bytes = 2,235,557, que debería estar donde está mi espacio libre.

Mi archivo que necesito revisar no tiene un desplazamiento tan grande, y el archivo $ Unalloc no muestra nada cuando voy a compensar 2,235,557.

No estoy seguro de dónde debo buscar, el archivo existente real o el archivo $ Unalloc que ha eliminado el contenido que tiene el desplazamiento que estoy buscando, pero no tiene nada más que 0 en ese desplazamiento.

    
pregunta hicu0 13.10.2017 - 08:44
fuente

1 respuesta

1

No estoy seguro, pero ¿sabe que la holgura del archivo es la diferencia entre el tamaño físico del archivo y el tamaño lógico del archivo?

Suponiendo que está investigando una PC con Windows estándar con un disco duro estándar, y que tiene el tamaño de sector que dio, el tamaño del clúster debe ser de 8 sectores, que es 4Kb.

Su archivo tiene 677 bytes, lo que significa que tiene un espacio de 4096 bytes (que es 1 grupo o la unidad más pequeña que puede manejar su sistema de archivos), esto significa que la diferencia entre el final de su archivo lógico (677 bytes) y el final del tamaño físico dado (4096 bytes) es su holgura.

Compruebe este enlace para ver si puede ayudar: Análisis de datos ocultos en el sistema de archivos NTFS

    
respondido por el Soufiane Tahiri 13.10.2017 - 10:38
fuente

Lea otras preguntas en las etiquetas