Das Journal des ext3-Dateisystems

In seiner Arbeit Taking advantage of Ext3 journaling file system in a forensic investigation beschreibt Gregorio Narváez ausführlich das Journal des ext3-Dateisystems.

Informationen aus dem Journal sind nützlich, um gelöschte Dateien zu rekonstruieren. Auch helfen die Daten, um ein genaueres Bild zeitlicher Abläufe erstellen zu können. Aus den Zeitstempeln einer Datei ist bekanntlich nur der Zeitpunkt der jeweils letzten Veränderung und des letzten Zugriffs ersichtlich. Das Journal des Dateisystems kann jedoch für eine einzelne Datei mehrere dieser Ereignisse aufzeichnen.

13.12.2007: Link geändert, der neue ist hoffentlich stabiler. Dank an Sebastien für den Hinweis!

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12