Question Disséquer les instantanés de la restauration du système


Est-il possible de cartographier le A000????.??? noms de fichiers dans les informations sur le volume du système à leurs noms d'origine, sans pour autant les restaurer?

La raison pour laquelle je pose la question est que plusieurs fichiers dans les informations de volume système d'un utilisateur RP1 ont été infectés par un rootkit. Bien qu'ils aient été supprimés, j'aimerais pouvoir déterminer leur origine. A0001253.sys et A0001211.sys ne sont pas des noms très utiles. :)

C'est arrivé sur deux systèmes, un XP SP2, l'autre XP SP3.


2
2017-11-09 16:18


origine




Réponses:


Voir Rétablir le Point Forensics, qui décrit les points de restauration en profondeur.

En bref, les fichiers renommés sont suivis dans le fichier "change.log". Recherchez le nom de fichier qui vous intéresse (l'extension d'origine reste inchangée) et le chemin d'origine est trouvé avant le nom de fichier renommé:

enter image description here


3
2017-11-09 16:36