))

❯ Да , подорожало ) но, в любом случае , демо в функционале полностью равна оплаченной

Я лишь констатировала факт того, что она платная, а не бесплатная 🕵️‍♀️

Когда я ей только начинал пользоваться была ещё бесплатная

❯ Энтропия равна 0

Вы делаете суждения не получив скрин из других программ? Я ещё не успела сделать скрины

вопрос №1 - файл тот же?

❯ вопрос №1 - файл тот же?

Да

открыт, как выше делали?

Я про первый скрин ) ждём следующих

Но если разговор о том же файле , то можно уже заканчивать )

если открыт так же через меню Open virtual file - то всё закономерно, виртуальный файл разобрался и разложен по местам

с энтропией возникает вопрос: в каком режиме открыт файл, ибо вполне возможно наблюдение спарса...

и смещения в виртуальном диске не равны смещениям в исходном файле

❯ с энтропией возникает вопрос: в каком режиме открыт файл, ибо вполне возможно наблюдение спарса...

и не только спарса, но и виртуальная трансляция явно вносит свои коррективы

ну, это как вариант

❯ если открыт так же через меню Open virtual file - то всё закономерно, виртуальный файл разобрался и разложен по местам

Верно! И Вы сейчас мне будете всё это рассказывать и я это знаю! 🤷🏻‍♀️

❯ Верно! И Вы сейчас мне будете всё это рассказывать и я это знаю! 🤷🏻‍♀️

тогда можно дальше не продолжать, ответ ровно тот же..

Идея спарс файлов в экономии пространства , точнее выделении его по мере заполнения , а нолики не являются экономией , и прекрасно жмуться , поэтому в исходной спарс файле их будет ооочень мало )

❯ Идея спарс файлов в экономии пространства , точнее выделении его по мере заполнения , а нолики не являются экономией , и прекрасно жмуться , поэтому в исходной спарс файле их будет ооочень мало )

а если быть точнее, только там, где во всём блоке есть что-нибудь, кроме нулей

Ага

Я впервые встретила такой HEX 👀 И нигде и никогда подобного не встречала, поэтому и начала приводить примеры, предметно вести диалог с Вами, а то, как работает в тех или иных случаях UFS, увы, мне не всегда известно, особенно в последних версиях 🤷🏻‍♀️ Если есть анотация, как, к примеру, к R-Studio, X-Ways, Data Extractor и т.д. на англ. или русс. языках, то я буду только благодарна Вам, чтобы лишний раз не задавать глупые вопросы 💁🏻‍♀️

❯ Я впервые встретила такой HEX 👀 И нигде и никогда подобного не встречала, поэтому и начала приводить примеры, предметно вести диалог с Вами, а то, как работает в тех или иных случаях UFS, увы, мне не всегда известно, особенно в последних версиях 🤷🏻‍♀️ Если есть анотация, как, к примеру, к R-Studio, X-Ways, Data Extractor и т.д. на англ. или русс. языках, то я буду только благодарна Вам, чтобы лишний раз не задавать глупые вопросы 💁🏻‍♀️

потому и даем ответы, что это нормальное поведение 😊

Кстате вопрос , какую ценную Форенсик информацию вы планировали найти в нераспарсенной виртуалке qcow2 в winhex и р-студии ?

Если уже и исследовать то именно распарсенный файл в уфс

Или сделать распарсенный имидж из уфс и потом сканировать студией и искать то что вы ищете , в частности исследовать реестр файлы и прочие логи

По мне - это ожидать, что какой-нибудь Paint при открытии файла JPG должен показать бинарное представление файла, а не кисточки и краски...

❯ Кстате вопрос , какую ценную Форенсик информацию вы планировали найти в нераспарсенной виртуалке qcow2 в winhex и р-студии ?

Битовая карта, уровень энтропии, который начинается с определённого смещения, наличие метаданных файловых систем и их распределение в адресном пространстве исследуемого файла, анализ метаданных, карвинг, визуализация обрабатываемых данных, etc. 🕵️‍♀️

❯ Если уже и исследовать то именно распарсенный файл в уфс

Частенько приходиться искать строки (strings), которые остаются после шифровальщиков, или самоудаляемой малвари 🕵️‍♀️

Все адрессное распределение в исходном qcow будет логически изменено относительно реальной адресации , поэтому таки вам нужно в уфс изучать как вы и делали а не в winhex / r-studio / de

❯ Все адрессное распределение в исходном qcow будет логически изменено относительно реальной адресации , поэтому таки вам нужно в уфс изучать как вы и делали а не в winhex / r-studio / de

Да, это очевидно, так как и у qcow2, и у других виртуальных дисков, имеется своя таблица трансляции адресного пространства, однако мой интерес несколько отличается от Вашего и в некоторых случаях мне необходимо видеть именно "сырые" данные 🕵️‍♀️

Сами «сырые» данные(файлы) , не изменяются , ну и вирусы работают в распарсенной среде и оперируют соответствующими адресными смещениями

❯ Сами «сырые» данные(файлы) , не изменяются , ну и вирусы работают в распарсенной среде и оперируют соответствующими адресными смещениями

Я рада, что у Вас богатый опыт с шифровальщиками👍🏻 Однако то, что Вы сказали, не противоречит сказанному мною, если не придираться к формальностям 🕵️‍♀️

о чем спор то?

Мы тут помогаем , даём советы / идеи , а не критикуем

❯ о чем спор то?

+1

хочется запретить уфсу разбирать файл и показывать исходный ?

❯ о чем спор то?

Я тоже не понимаю 🤷🏻‍♀️ Вроде бы всё обсудили и я получила весьма конкретные советы 🤝

Даём добавочные советы . Следы вирусов , их удаленные «нечто» правильней искать в той же среде в которой они работали , а не в видоизмененной среде сыром «qcow” , vhd ...

❯ Даём добавочные советы . Следы вирусов , их удаленные «нечто» правильней искать в той же среде в которой они работали , а не в видоизмененной среде сыром «qcow” , vhd ...

Абсолютно верно 👍

Однако совет не имеет отношения в тех случаях, когда речь идёт, к примеру, об инсайде или шифровальщике не на уровне файловой системы виртуальной машины, а на уровне файловой системы, где они хранятся или управляются, но не мне Вам рассказывать эти очевидные вещи 😉

Ну это тоже файловая среда только выше уровня . ;)