トレース: restorepoint

復元ポイントに保存されているファイルの確認 (MANDIANT Restore Point Analyzer)

  • Windows XPの復元ポイントに保存されているファイル名を確認する方法。

はじめに

  • 復元ポイントは通常以下に作成される。
    • C:\System Volume Information\_restore{SYSTEM GUID}\RPxxx\
  • しかし、ファイル名については「A0000001.exe」等のオリジナルとは異なるファイル名で保存されている。
  • 復元ポイント内に存在する「change.log」を確認することによって、オリジナルのファイル名と、復元ポイントで管理されているファイル名を紐付けることが可能となる。

MANDIANT Restore Point Analyzer

  • 復元ポイント作成時に作成される「change.log」を解析するツール
  • 使い方は簡単で、解析したいchange.logを開くだけ

forensics/restorepoint.txt · 最終更新: 2012/02/16 01:12 by kikuzou
 
特に明示されていない限り、本Wikiの内容は次のライセンスに従います: CC Attribution-Share Alike 4.0 International
Recent changes RSS feed Donate Powered by PHP Valid XHTML 1.0 Valid CSS Driven by DokuWiki