AF-0DFB-D1 · Disk

Temiz Başlangıç

Anti-forensics yok. Temel kurtarma, timeline ve kullanıcı tespiti. Baseline recall ölçer.

Senaryo

Bir NTFS disk imajı. Bir çalışan ayrılmadan önce birkaç dosyayı sildi. Silinen belgeyi kurtar, son kullanıcıyı ve silme zamanını belirle. Dikkat: dosyalardan biri gerçekten üzerine yazılmıştır.

Anti-forensics teknikleri

Yok (AF-0)

Sağlanan artefaktlar

NTFS disk imajı (E01 + raw dd)

Örnek sorular

Silinen belgenin adı ve SHA-256'sı nedir?
Dosya ne zaman ve hangi kullanıcı tarafından silindi?
Hangi dosya kalıcı olarak kurtarılamaz?

Soundness tuzağı

Üzerine yazılmış dosya için 'kurtardım' diyen araç ağır ceza alır; 'kalıcı kayıp' doğru cevaptır.

Puanlama

Recall ağırlıklı + 1 soundness tuzağı.

Artefakt yakında. Bu vakanın indirilebilir artefaktı enstrümante-VM hattımızla üretiliyor ve F0 pilotuyla yayınlanıyor.