как показывала практика , тут нужно восстанавливать структуру базы по остаточным данным и журналу , программы восстановления файлов тут не помогут, ну разве что частично. Поэтому ищите или специализированную программу (мне не попадались, хотя может плохо смотрел) или специалиста который возьмется это сделать но в отличие от готовой проги это не быстро. У меня похожая задача заняла 3 недели. В принципе если у вас есть бакапный дамп любого возраста но с нужной структурой это очень поможет специалисту.

постарайтесь еще не потерять ib_log

❯ ну рстудио не супер программа, тут надо нормально файл искать. Если вы из Узбекистана, то снимите образ и пришлите в лабу, источник какого размера?

там надо восстановить структуру таблицы, файл все равно не восстановите, так как уже 1000 раз был перезапись.

Уважаемое сообщество! Подскажите пожалуйста, не приходилось ли кому-нибудь сталкиваться с анализом (восстановлением) временных файлов ~WRS.tmp на предмет установления их свойств (в т.ч каким программным обеспечением он создан, его метаданные и если возможно установления его содержимого). Может есть каие-то криминалистические инструменты исследования? В форумах есть инфо, что это якобы временные файлы Outlook, которые остаются после аварийного прекращения его работы). Заранее благодарочка за внимание к моему вопросу.

Самый лучший инструмент это WinHex)))

Точнее X-Ways Forensics, составным модулем которого является WinHEX 💁🏻‍♀️

Ок, непременно воспользуюсь.

немного уточню вопрос, нужна софтина которая анализирует файл и говорит что это за файл? Просто винхекс - это открыл и увидел что за файл, потому что сам знаешь внутренности, то есть ручной режим с учётом знаний

❯ Уважаемое сообщество! Подскажите пожалуйста, не приходилось ли кому-нибудь сталкиваться с анализом (восстановлением) временных файлов ~WRS.tmp на предмет установления их свойств (в т.ч каким программным обеспечением он создан, его метаданные и если возможно установления его содержимого). Может есть каие-то криминалистические инструменты исследования? В форумах есть инфо, что это якобы временные файлы Outlook, которые остаются после аварийного прекращения его работы). Заранее благодарочка за внимание к моему вопросу.

Создайте временную шкалу (timeline): На вход подаётся побитовая копия носителя информации, или побитовая копия раздела, или только образ занятого дискового пространства. 0️⃣ при помощи Plaso (https://github.com/log2timeline/plaso) следующей программой, входящей в состав бандл: $ log2timeline.exe --parsers "Win7_slow" -z "Europe/Moscow" --hashers none --logfile "B:\plaso.log" --status_view B:\img.plaso B:\img.dd 1️⃣ выберите все необходимые VSC, если таковые будут иметься в наличии 2️⃣потом, как отработает программа log2timeline, отсортируйте выходные данные при помощи программы psort $ psort.exe -z "Europe/Moscow" -o l2tcsv -w "B:\plaso.csv" B:\img.plaso "date > '2020-05-30' AND date < '2020-06-16'" 3️⃣ экспортируйте csv в Excel (желательно 64-битный) 4️⃣ анализируйте полученный результат p.s. для этих целей желательно иметь достаточно производительный ПК и во время парсинга за ним не работать.

❯ немного уточню вопрос, нужна софтина которая анализирует файл и говорит что это за файл? Просто винхекс - это открыл и увидел что за файл, потому что сам знаешь внутренности, то есть ручной режим с учётом знаний

trid https://mark0.net/soft-trid-e.html ну если хочешь в хвай то прикрути ее как X-Tensions , ну или если не можешь уговори меня или кого то другого это сделать , тк я в настоящие время не считаю это фичей. но по моему вьювер и так большинство поддерживает. И то что кто то угадал что это за файл , еще не делает этот файл целостным

❯ trid https://mark0.net/soft-trid-e.html ну если хочешь в хвай то прикрути ее как X-Tensions , ну или если не можешь уговори меня или кого то другого это сделать , тк я в настоящие время не считаю это фичей. но по моему вьювер и так большинство поддерживает. И то что кто то угадал что это за файл , еще не делает этот файл целостным

это Юрий спрашивал, у меня свой софт, я же не могу ему посоветовать то что не выкладываю в паблик

❯ немного уточню вопрос, нужна софтина которая анализирует файл и говорит что это за файл? Просто винхекс - это открыл и увидел что за файл, потому что сам знаешь внутренности, то есть ручной режим с учётом знаний

Именно так.

❯ Создайте временную шкалу (timeline): На вход подаётся побитовая копия носителя информации, или побитовая копия раздела, или только образ занятого дискового пространства. 0️⃣ при помощи Plaso (https://github.com/log2timeline/plaso) следующей программой, входящей в состав бандл: $ log2timeline.exe --parsers "Win7_slow" -z "Europe/Moscow" --hashers none --logfile "B:\plaso.log" --status_view B:\img.plaso B:\img.dd 1️⃣ выберите все необходимые VSC, если таковые будут иметься в наличии 2️⃣потом, как отработает программа log2timeline, отсортируйте выходные данные при помощи программы psort $ psort.exe -z "Europe/Moscow" -o l2tcsv -w "B:\plaso.csv" B:\img.plaso "date > '2020-05-30' AND date < '2020-06-16'" 3️⃣ экспортируйте csv в Excel (желательно 64-битный) 4️⃣ анализируйте полученный результат p.s. для этих целей желательно иметь достаточно производительный ПК и во время парсинга за ним не работать.

Вопрос: а зачем анализировать весь раздел, если нужно только 1 файл и он уже есть в наличии?

Так речь всё-таки про один файл? Я думал есть куча tmp файлов, на них можно натравить unCHK. А если один файл, и у вас есть предположение что это оутлук, то откройте любой живой pst винхексом и сравните с испытуемым. Если это оутлук, то переименуйте его в pst и натравите scanpst.exe

❯ Вопрос: а зачем анализировать весь раздел, если нужно только 1 файл и он уже есть в наличии?

Я вам предложила оптимальный на текущий момент времени способ установления источника возникновения того или иного файла в файловой системе 💁🏻‍♀️ Так как из практики в директорию временных файлов ОС часто сыпятся файлы со схожей маской формирования их имени, а бессмысленно тратить время на выбор той или иной софтины с догадками это просто непрофессионально. Если Вы наверняка уверены, что это связано именно с почтой, то работайте по почте, как посоветовал @DATALABS У меня другой подход в случаях, когда на вход предоставляют столь мало входных данных без предоставления самих файлов или мета файлов файловой системы, где тот или иной файл выявлен 💁🏻‍♀️ Выбор всё равно только за вами.

Ок, спасибо!

Тем же хексом, выложили бы начало в пару тысяч байт, чтобы не светить всё тело.

❯ это Юрий спрашивал, у меня свой софт, я же не могу ему посоветовать то что не выкладываю в паблик

дык мне тоже приходиться всегда вспоминать что есть из паблик решениях , а еслт часть софта не такая уж и секретная то иногда полезно выложить и в паблик тогда такие лентяи как я не будут делать аналогичное и ц вас будет меньше конкурентов , а есои мильно подсядут то и деньги понесут (как пример СисДев). а по поводу поиска определенного файла решений воз и маленькая тележка , можете создать свой греп для трактора в тракторе есть анализ структур с помощью него можно это сделать более изощренно. Если вы любитель творчества Богдана Шульги то можете сделать в любой его проге intelliraw патерн и искть по нему , можно просто по хекс строке в любом редакторе , поэтому этот вопрос нужен с уточнением пользуюсь этим хочу чтобы получилось вот это.

Это тот файлик, о котором я спрашивал. Пока ничегго у меня не вышло.

Это часть вордового файла, только фрагмент

🇺🇦

❯ Это часть вордового файла, только фрагмент

+

Фактически это сессионный файл Microsoft Word в контексте открытого средствами Microsoft Word документа

30.03.2020 05.04.2020 Пока единственные полезные стринги

Там есть текст, но я напишу товарищу в личку

Да, текст есть 😅

Как весело пишется подозреваемый на мове)))

Total Commander позволяет просмотреть куски текста по F3.

Только там надо поставить UTF-16

Угу

Юрию непременно нужно купить enCASE или что то подобное, иначе какая тут криминалистика)))

Мих ты юзал Архивариус? http://www.likasoft.com/ru/document-search/ там и укр есть, и уникод тока у меня не качается

❯ Юрию непременно нужно купить enCASE или что то подобное, иначе какая тут криминалистика)))

Нафиг такой шлак без серьёзной необходимости.

в принципе этот файл это история изменений и меня заинтересовала мысль может стоит попробовать сделать к нему парсер чтобы убирать лишнее а оставить только набрано удалено, или уже такое есть и не стоит напрягаться ;)

Виктория я же древний мамонт, что помню то и ляпнул))

Боги консоли и питона ниспошлют название софтинки готовой

❯ в принципе этот файл это история изменений и меня заинтересовала мысль может стоит попробовать сделать к нему парсер чтобы убирать лишнее а оставить только набрано удалено, или уже такое есть и не стоит напрягаться ;)

Смотря какая задача у топикастера

Я торчал в пробке и смотрел этот файл хексом для андроид, тот ещё треш😁

да мне просто мысль понравилась , базы по историям транзакций востанвливать приходилось , а офисные файлы нет , вот и задумался

наверное это получится: