我正在分析磁盘映像以进行取证调查,我发现已删除文件的最后修改日期晚于上次系统登录日期。这是否意味着有人创建了原始映像文件并从取证映像中删除了这些文件,然后再次将其刻录到磁盘。有人可以使用 Linux Live CD 执行此操作吗?
磁盘映像中已删除文件的修改日期晚于上次系统登录日期
我正在分析磁盘映像以进行取证调查,我发现已删除文件的最后修改日期晚于上次系统登录日期。这是否意味着有人创建了原始映像文件并从取证映像中删除了这些文件,然后再次将其刻录到磁盘。有人可以使用 Linux Live CD 执行此操作吗?