139端口博客上的FORENSIC ANALYSIS Hideaki Ihara删除了一个包含$I30文件和硬链接图片的文件夹。他表示索引中有一个引用，FTK Imager没有显示图片文件，但Autopsy显示了。4n6IR的尸检和Realloc James Habben有几篇关于识别目标的帖子[…]

139端口博客上的FORENSIC ANALYSIS Hideaki Ihara显示，可以使用esentutl应用程序复制文件，这会记录在安全事件日志中。Esentutl和4n6IR的文件副本James Habben展示了如何在Encase中定位ObjectID。EnCase中的NTFS对象ID有几个[…]

在Port 139博客上的FORENSIC ANALYSIS Hideaki Ihara查看了$ObjectID文件，并显示可能存在已删除文件的引用。从一些测试中可以看出，具有该名称的文件是否已被访问，这一点可能很有用。NTFS$ObjID和ObjectID Andrew Odendal位于[…]

DFIR X的FORENSIC ANALYSIS@0x00A已经创建了一个博客，展示了如何将vmem图像转换为raw以供使用Volatility进行检查如何准备VMWare内存图像以进行Volatility-ANALYSIS Elcomsoft的Oleg Afonin解释了“如何使用和不使用取证工具访问存储在Apple iCloud中的信息”云取证：[…]

FORENSIC ANALYSIS Hideaki Ihara在Port 139博客上发布了对$LogFile的几项测试。他本周使用“$LogFile检查集群的覆盖情况”进行了测试。NTFS$LogFile和DataRun设置ObjectID时，他还查看了$LogFile。Elcomsoft的NTFS$LogFile和ObjectID Oleg Afonin具有[…]