Win 10, folder Pobrane
Mam tam jeden plik, który nie do końca wiem skąd został pobrany, a potrzebuję "wydobyć" tę informację. Nie przenosiłem go nigdzie do tej pory.
Czy jest to możliwe?
To znaczy chodzi mi o sytuację taką, że np. nie wiem pobieram coś z jakiejś strony i ten plik zapisuje się w folderze "Pobrane", czy mogę dojść do tego, że ten plik został pobrany z tej właśnie strony, czy jest to niemożliwe raczej lub bardzo trudne do osiągnięcia?
Niemożliwe. No chyba, że ten plik udostępnia jedna strona na świecie, ale wtedy i tak nie ma pewności, że nic nie zmieni się w czasie.
Windows nie trzyma tego typu logów.
Możesz to sprawdzić w przeglądarce np. w chromie klikasz 3 kropeczki u góry z prawej następnie Pobrane pliki i tam masz co i kiedy pobierałeś
NTFS wspiera ADS, do których niektóre przeglądarki zrzucają URL pobranego pliku:
Informatyka śledcza, jasne że się da ustalić pytanie tylko ile czasu chcesz na to poświęcić.
Niektóre systemy np. macOS zapisuje sobie w metadanych że plik został pobrany z sieci web. Na Win powinno być podobnie, zaczął bym od tego żeby sprawdzić strumienie NTFS na pliku (wystarczy pogooglać).
Poza tym warto sprawdzić datę utworzenia pliku, oraz metadane zawarte w pliku np. EXIF w JPEG.
W pakiecie SysInternals są narzędzie pokazujące które aplikacje otwierają dane pliki. Dowolny skaner sieciowy typu WireShark pokaże jakie aplikacje łączą się z siecią i coś pobierają.
Jak już nic nie pomoże to Kali Linux bootujesz z pendrive i wchodzi w Forensics Mode.
Jeżeli chcesz się przekonać że dana strona coś pushuje jako "download" to zawsze możesz zrobić test na maszynie wirtualnej.
Temat rzeka ale nie każdy chce spędzać 3 miechy robiąc tutoriale po to żeby sprawdzić czy jakiś plik powstał.
BTW Co to za plik? Jeżeli to plik wykonywalny to warto zrzucić z niego String'i i metadane.
EDIT: Plik można jeszcze wrzucić w google np. jego nazwę lub info z metadanych i w ten sposób dojść co to za byt. Polecam również VirusTotal do sprawdzenia czy to nie maleware.
Sprawdziłem u mnie i jest jak pamiętałem, przeglądarka zapisała źródło. Czyli jeśli byłem na stronie X a plik serwowany był poprzez link do Y, to zapisane zostało, że pobranie było z Y. Niby ok, ale de facto nie wiesz gdzie byłeś. Szczególnie dla sytuacji gdzie linki do plików są z jakichś hostingów typu FileShare.
Zarejestruj się i dołącz do największej społeczności programistów w Polsce.
Otrzymaj wsparcie, dziel się wiedzą i rozwijaj swoje umiejętności z najlepszymi.