磁盘碎片整理对证物的”致命”影响

有趣的是,倘若证物曾有进行碎片整理的痕迹,可不代表使用者就必然是心怀不轨,有做”坏事”哦~ 换言之,取证人员不能见猎心喜,”看到影子就开枪”,徒贻笑大方。取证人员要秉持科学办案,不能只以”入人于罪”为出发点,毕竟取证可是良心事业,以下我们就来探讨一下碎片整理对证物的”致命”影响。

用户常跟IT人员或网管抱怨,”工作站跑的很慢怎么工作???”最常见的处理方式除了用优化软件外,就是使用系统自带的碎片整理功能了。

在使用计算机过程,会产生各种类型文件及暂存文件,再加上使用者的增删修改等操作,躺在硬盘中的文件会有离散不连续的状况产生,因此会造成应用程序或文件操作上变的迟缓。此时若进行碎片整理通常可以改善数据不连续的状况,加快访问速度。

但这对取证人员来说,恐怕就会是个不太好的消息了,怎么说呢?因为Windows文件系统的特性,文件被删除后,只是被注记该文件的数据所占据的空间可被释放,但在被新的数据覆盖之前,原有数据仍会存在,这对取证人员来说是非常重要的线索。倘若一旦用户对证物进行过碎片整理,数据便会进行搬移以集中,而那些被删除文件的数据便可能因此遭到覆盖了。

要如何看出证物曾有进行过碎片整理呢?静态方面可透过检视prefetch的方式,动态方面则可以LiveView将证物硬盘”开机”,便可直接在接口中查看是否曾碎片整理及上一次运行是何时等等。

时间: 2024-10-11 02:02:38

磁盘碎片整理对证物的”致命”影响的相关文章

小知识-为什么Linux不需要磁盘碎片整理

转载至:http://beikeit.com/post-495.html 简单译文: 这段linux官方资料主要介绍了外部碎片(external fragmentation).内部碎片(internal fragmentation)的概念及相关情况,说明了linux文件系统在磁盘还有5%空闲空间的情况下是不需要碎片整理的.(Linux native file systems do not need defragmentation under normal use and this include

浅谈磁盘碎片整理的好处与方法

磁盘碎片整理的好处 1.磁盘碎片整理可以让系统运行更顺畅,减少卡顿的现象,提高系统性能.2.需要注意的是,使用固态硬盘的用户千万不要使用"磁盘碎片整理"功能,因为所使用的技术不同,使用Windows自带的磁 盘碎片整理会使固态硬盘的寿命大大减短. 磁盘碎片整理的方法步骤 打开"此电脑",选中任意磁盘盘符,然后点击"管理"-"优化" 选中整理的磁盘,可以使用"Ctrl"+ "鼠标左键"来选

磁盘碎片整理程序的原理是什么?

盘碎片整理,就是通过系统软件或者专业的磁盘碎片整理软件对电脑磁盘在长期使用过程中产生的碎片和凌乱文件重新整理,释放出更多的磁盘空间,可提高电脑的整体性能和运行速度. 磁盘碎片应该称为文件碎片,是因为文件被分散保存到整个磁盘的不同地方,而不是连续地保存在磁盘连续的簇中形成的.硬盘在使用一段时间后,由于反复写入和删除文件,磁盘中的空闲扇区会分散到整个磁盘中不连续的物理位置上,从而使文件不能存在连续的扇区类.这样,再读写文件时就需要到不同的地方去读取,增加了磁头的来回移动,降低了磁盘的访问速度.当应用

Defraggler2.15.742汉化单文件(磁盘碎片整理)

Defraggler2.15.742汉化单文件(磁盘碎片整理工具)由Black Hawk 汉化软件语言,绿色单文件版,去掉菜单在线帮助,软件下方在线帮助.检查更新.Defraggler中文版是一个轻量级的整理工具,但它可以快速高效的整理某个磁盘.文件夹甚至一个文件.也可以对硬盘进行查错,Defraggler对系统资源占用极小.无需添加系统服务,用起来也实在是太简单. 百度下载:http://pan.baidu.com/s/1o6wS8Bo 百度指导:http://dwz.cn/spjIn

Defraggler磁盘碎片整理工具,让你的电脑读写速度更快

相信大家都听说过磁盘碎片整理吧,所谓磁盘碎片,通俗的来说,就是指计算机中的各种文件最开始在磁盘中存储的时候地址都是连在一起的,但是随着文件 的多次读写,或者说多次的移动复制等操作,这些文件在磁盘中的地址已经不连续了,这些不连续的文件就成为磁盘碎片,不连续带来的后果就是让你的电脑读写文 件的速度变慢,所以今天就给大家分享一款磁盘碎片整理的软件——Defraggler,它能他这些碎片重新组合起来,让文件的地址又变成连续的,这样就能 加快文件的读写速度. 软件截图: 百度百科介绍:Piriform 公

Exchange 2010 数据库磁盘碎片整理

第一步 进入Exchange 2010安装目录下的bin目录 可以在Exchange 2010 Powershell中使用命令cd $Exscripts 进入Exchange安装目录的Scripts目录然后输入cd ..和cd .\bin进入bin目录.如图. 第二步 卸载数据库 打开Exchange 2010 EMC控制台,选择数据库,将数据库卸载.如图. 第三步 使用命令整理数据库文件 在Exchange 2010 Powershell中使用命令 eseutil /d "E:\Exchang

win10磁盘碎片整理

如果我们想要加快win10系统运行速度的话,就需要定期整理碎片才可以,减少卡顿,提高性能. 一:注意事项 固态硬盘用户千万不要使用'磁盘碎片整理功能',因为使用的技术不一样,使用window自带的该功能会使固态硬盘的寿命大大减少 二:查看磁盘类型及优化 1.按WIN+R打开"运行"对话框,输入dfrgui,按回车键,打开"优化驱动器". 如果是机械硬盘则,红箭头处显示为硬盘启动器:如果是固态硬盘,则该处为固态. 2.在"优化驱动器中,选中要进行优化的盘符,

Teradata的磁盘碎片整理

1.使用vncciewer登陆SWS并登录节点并查看数据库状态 登陆SMP001-8节点21.*.*.* #psh pdestate -a #psh sar 1 5 检查数据库状态是否为:tpa is running/started,检查系统繁忙程度正常 2.运行ferret #cnsterm 6 >start ferret ctrl+c 退出 3.开始packdisk 开始packdisk #cnsterm 1 >packdisk fsp=10 >y 查看packdisk进度 cnst

磁盘碎片原理分析 (转载)

原文地址:http://www.cnblogs.com/hbwang/archive/2005/07/13/192251.html 一.什么是磁盘碎片? 其实磁盘碎片应该称为文件碎片,是因为文件被分散保存到整个磁盘的不同地方,而不是连续地保存在磁盘连续的簇中形成的.当应用程序所需的物理内存不足时,一般操作系统会在硬盘中产生临时交换文件,用该文件所占用的硬盘空间虚拟成内存.虚拟内存管理程序会对硬盘频繁读写,产生大量的碎片,这是产生硬盘碎片的主要原因.其他如IE浏览器浏览信息时生成的临时文件或临时文