Что такое точное значение "Восстановленные папки", когда после запуска выполняется условие isDeleted?

Question

Что такое точное значение "Восстановленные папки", когда после запуска выполняется условие isDeleted?

Сейчас я анализирую какое-то устройство с использованием корпуса 7. Во время этой работы я установил [условие] на [Удалено -> Истина]. После завершения работы некоторые файлы отображались в окнах оболочки, и для каждого пути элемента было задано значение {Имя дела}{Свидетельство}{Метка тома}\ Восстановленные папки {имена файлов}.

Очевидно, я знаю, что эта работа отличается от "обработки корпуса".

Информация о каждом результате не имеет точного пути к файлу, так каково точное значение ВОССТАНОВЛЕННЫХ ПАПОВ?

0

computer-forensics encase

Источник

user6360452 19 фев '18 в 09:11

1 ответ

Другие вопросы по тегам computer-forensics encase

user9572517 30 мар '18 в 02:34 2018-03-30 02:34 · Answer 1 · 2018-03-30 02:34

В EnCase "Восстановленные папки" - это виртуальная папка, созданная для хранения ссылок на удаленные файлы / папки, расположенные при обработке источника. Эта виртуальная папка обычно находится в корне тома, что вы и видите в вашем случае.

Другими словами, вы видите удаленные файлы / папки, которые EnCase обнаружил во время обработки.