İncelediğim bir bilgisayarda Program Files altında deep freeze programının kurulu olduğunu gördüm. İncelemeleri devam ettirdiğimde açılışta Registy ve Start-up’tan çalışmadığını, servis olarak çalıştığını fark ettim. Yani program bilgisayar her açıldığında çalışıyor.
Hemen elimde bulunan WinXP ile çalışan, NTFS dosya sistemli, sanal makinaya deep freeze i kurdum. Masaüstüne içerisinde “semih dokurer” yazılı deneme.txt text dosyası oluşturdum. Sanal bilgisayarı kapatıp açtığımda dosyanın yerinde bulunmadığını gördüm.
Sanal makina üzerinde Encase kullanarak yaptığım ilk incelemelerde, anahtar araması sonucunda unallocated clusters içerisinde dosyanın MFT kaydını buldum. Veri çok küçük olduğu için resident data olarak MFT kaydında bulunuyordu. Fakat aynı dosya içeriğini unallocated içerisinde başka bir yerde buldum. Ancak ne bir cluster başında idi ne de, içeriğin önünde veya devamında anlamlı bir şeylere rastladım.
Gerçek olayda ise; dosya sistemi FAT olduğu için durum biraz daha farklı olabilir. İnceleme devam ediyor. Bulduklarımı yorum olarak bu sayfaya ekleyeceğim. Eğer Deep Freeze incelemesi ile ilgili tecrübeleriniz var ise, yardımlarınızı bekliyorum.
Iconic One Theme | Powered by Wordpress
Türkçe 
English (UK)