法医工具包2.0_Forensic Toolkit 2.0下载地址

工具，帮助检查NTFS未经授权的活动

法医工具包程序包提供了一些Win32命令行工具，可以帮助你检查文件在NTFS磁盘分区未经授权的活动。我们建立了这些工具来帮助我们做我们的工作，我们希望他们能帮助你。

以下是“法医工具包”的神器出山:www.shenqi73.com一些主要特点：

·AFind是唯一的工具，篡改数据的方式，右击文件属性在资源管理器中，没有列出文件的上次访问的时间。 AFind允许你搜索访问次数之间有一定的时间框架，协调与ntlast提供的登录信息，就可以开始确定文件记录用户的活动即使尚未启用。

·H找到隐藏的文件扫描磁盘。它会发现文件具有隐藏属性集，或NT的独特的和痛苦的方式使用目录/系统属性组合的藏东西的。这是IE浏览器使用的方法来隐藏数据。 H找到列出的最后访问时间。

·SFind扫描磁盘隐藏的数据流，并列出了最后的访问时间。

·FILESTAT是一个快速转储的所有文件和文件安全属性。它的工作原理上的时间，但只有一个文件，这通常是足够的。

·亨特是一个快速的方法，如果一台服务器通过NULL会话透露太多的信息。

要求：

·16MB的记忆体
·系统管理员权限
·启用审计日志可搜索的记录
·设置NT命令行缓冲到500或更多的线路。 1200或更多的行运作良好