Saturday, May 28, 2011

Ressuscitando os mortos: recuperando arquivos wiped

A pouco tempo atrás, lí um interessante artigo que sugeria montar arquivos wiped a partir do index do Windows. É uma solução muito interessante, já que o serviço de indexação do Windows cataloga praticamente todos os arquivos e dados dos usuários.


O Windows Search Indexer, serviço do Windows que indexa os arquivos para otimizar a busca de informações no disco, cataloga estes dados em um arquivo chamado Windows.EDB. Este arquivo utiliza o padrão Esent database, o mesmo padrão utilizado nas últimas versões do Windows Live Messenger (e também no Exchange server). Maiores informações sobre este formato Esent aqui.

Tentei acessar o conteúdo dese arquivo Windows.EDB pelo EnCase e pelo FTK, mas sem sucessm em ambos. Encontrei na internet algumas ferramentas, mas a que mais me chamou a atenção foi o EseDbViewer, que possui módulos específicos para arquivos no formato Windows Search Indexer e Windows Live Messenger, e também um generico para acessar qualquer arquivo neste formato Esent:


Ferramenta muito simples e objetiva, consegui visualizar muita informação interessante. Claro que não será fácil remontar um documento do Word por exemplo, mas dependendo da situação, pode ser extremamente útil...


 


Wipe nos arquivos? ha-ha para você =D

No comments:

Post a Comment