最近我参加了面试,面试官在技术面对面的采访中问我以下问题:
> Sticky Notes如何工作?
>即使没有明确保存,Windows如何能够保存数据?
>即使系统崩溃,数据如何保留?
我不知道它是如何运作的.尝试谷歌搜索,但我找不到任何有用的信息.
谁能解释或提供一些信息?
解决方法
我同意@ Vii的回应.他拥有关于文件存储位置的正确信息.
我在这里找到了这个文件的一些取证背景:
http://www.forensicswiki.org/wiki/Sticky_Notes
看起来SNT文件有3个数据流,1和3.流0以RTF格式存储信息,而Steam 3以Unicode格式存储实际文本.
存储流的根条目具有与之关联的时间戳,您可以使用MiTec Storage Viewer,Sticky7List等工具查看与文件关联的创建和修改时间.您可以创建便签并观察它何时创建数据流并修改便签并监视它如何修改文件.
一些有用的参考:
http://www.pcworld.com/article/191453/sticky_notes.html
http://www.forensicswiki.org/wiki/Sticky_Notes
http://computer-forensics.sans.org/blog/2010/10/19/digital-forensics-stuck-stickies-2
http://windowsir.blogspot.com/2011/08/sticky-notes-analysis.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
