É sabido que as três ferramentas são utilizadas como geradoras de fonte de informação para o mactime. No entanto, elas trazem informações diferentes e é preciso saber identificar tais diferenças para enriquecer o trabalho pericial.
mac-robber: Localiza apenas arquivos existentes/ativos na imagem analisada, fornecendo a estrutura de diretórios.
ils: Procura por cabeçalhos e fragmentos de arquivos, fornecendo como saída arquivos deletados ou não. Não se preocupa em encontrar estrutura de diretórios, por isso exibe quaisquer arquivos que ainda contenham fragmentos no disco, mesmo que sua localização na árvore seja impossível de determinar. É a ferramenta que retorna o maior número de resultados.
fls: Assim como o ils, busca arquivos ativos ou apagados. A diferença consiste na procura pela localização de cada arquivo na árvore de diretórios e, por este motivo, retorna menos resultados que o ils, apenas os que têm sua localização determinada.
mac-robber: Localiza apenas arquivos existentes/ativos na imagem analisada, fornecendo a estrutura de diretórios.
ils: Procura por cabeçalhos e fragmentos de arquivos, fornecendo como saída arquivos deletados ou não. Não se preocupa em encontrar estrutura de diretórios, por isso exibe quaisquer arquivos que ainda contenham fragmentos no disco, mesmo que sua localização na árvore seja impossível de determinar. É a ferramenta que retorna o maior número de resultados.
fls: Assim como o ils, busca arquivos ativos ou apagados. A diferença consiste na procura pela localização de cada arquivo na árvore de diretórios e, por este motivo, retorna menos resultados que o ils, apenas os que têm sua localização determinada.
Nenhum comentário:
Postar um comentário