যদিও এর উদ্দেশ্য কী তা আমি ঠিক নিশ্চিত নই, তবে মনে হচ্ছে এটি বর্তমানে ব্যবহৃত সামগ্রীতে সংরক্ষণ / ক্যাশে ব্যবহার করা হয়েছে।
আপনি ভিতরে কি দেখতে জানতে আগ্রহী থাকে, তাহলে আপনি পারবেন না বন্ধ ফাইল অর্জন মত swapfile.sys বা pagefile.sys একটি চলমান উইন্ডোজ সিস্টেম থেকে ব্যবহার FGET
(HBGary দ্বারা ফরেনসিক পান)।
নিম্নলিখিত কমান্ডটি চালান (প্রশাসক হিসাবে):
FGET -Extract% সিস্টেমড্রাইভ% \ swapfile.sys OUTPUT_PATH
যার পরে আপনি ব্যবহার করে একটি স্ট্রিং বিশ্লেষণ করতে পারেন Strings
। মধ্যে swapfile.sys আমার সিস্টেম উপর, অন্যান্য বিষয়ের মধ্যে আমি খুঁজে পেয়েছি:
আমার ইমেল ঠিকানা, বেশ কয়েকটি ইমেল এবং ইমেল ঠিকানা, পরিবেশের ভেরিয়েবল, আমি পরিদর্শন করা ওয়েব পৃষ্ঠাগুলির আংশিক সামগ্রী, মাইমটাইপ স্ট্রিংস, ব্যবহারকারীর এজেন্ট স্ট্রিং, এক্সএমএল ফাইল, ইউআরএল, আইপি ঠিকানা, ব্যবহারকারীর নাম, গ্রন্থাগারের ফাংশন নাম, অ্যাপ্লিকেশন পছন্দসমূহ, পাথ স্ট্রিং ইত্যাদি
আমি সাধারণ চিত্রের ফর্ম্যাটগুলি অনুসন্ধান করার জন্য ফাইলটি খোদাই করার চেষ্টাও করেছি এবং অ্যাপ্লিকেশন আইকন, ওয়েবপৃষ্ঠা সংস্থানসমূহ, বেশ কয়েকটি প্রোফাইল ছবি, মেট্রো অ্যাপ্লিকেশন থেকে চিত্র সংস্থান ইত্যাদি সমন্বিত বেশ কয়েকটি জেপিইজি এবং পিএনজি পেয়েছি found
তাহলে
FGET
আপনার জন্য কাজ না করে, ব্যবহার করার চেষ্টা করুন
ifind
এবং
icat
থেকে
অনুসন্ধানকারী কিট । নীচে নীচে ব্যবহার করে
swapfile.sys এর জন্য এমএফটি এন্ট্রি নম্বর পেতে পারেন
ifind
:
ifind -n /swapfile.sys \\। system% সিস্টেমড্রাইভ%
আপনার একবার ইনোড নম্বর পরে, আপনি icat
নিম্নলিখিতটি ব্যবহার করে ফাইলটি পুনরুদ্ধার করতে পারেন :
আইক্যাট \\। system% সিস্টেমড্রাইভ% INODE_NUMBER> OUTPUT_PATH
উদাহরণ স্বরূপ:
সি: \> ifind -n /swapfile.sys \\। \% সিস্টেমড্রাইভ%
1988
সি: \> আইক্যাট \\। \% সিস্টেমড্রাইভ% 1988>% সিস্টেমড্রাইভ% \ swapfile.dmp
দ্রষ্টব্য: আপনাকে উভয় কমান্ড একটি উন্নত কমান্ড প্রম্পট ( cmd
যেমন প্রশাসক হিসাবে চালানো ) থেকে চালানো দরকার