Forensic Mode

Top  Previous  Next

Note: This feature is available for the Technician version of R-Studio only!

When this mode is enabled, R-Studio will generate a forensic data collection audit log that can be presented at court hearings. This log includes information about a hardware configuration on which the forensic data collection takes place and MD5 for recovered files.

Note: A new log will be generated each time the hardware configuration is changed (a hard drive is connected/disconnected, an external USB device is connected/disconnected, etc)

To enable this feature,

*Select Enable Forensic Mode on the Main tab of the Settings dialog box.

Each time you start file recovery, the Forensic Log Settings dialog box will appear.

Click to enlarge

Forensic Log Settings dialog box

Enter the required information and click the OK button to go to the Recovery dialog box.

While recovering the files, R-Studio will create forensic data collection audit log in the specified folder. Below is an example of such log.

******************************** Forensic Data Collection Audit Log ********************************

 

R-STUDIO Network Technician 1.0.106/11/9/10

 

Case Name: Steven v.Christofer

Case Number: 28-S-0205-CR-85763

Operator / Investigator Name: J.F.Lewson

 

**************************************** Drives Information ****************************************

 

- Drive Number 0 ---------------------------------

* Drive Type [256 bytes]: Computer,Local Computer

* Name [30 bytes]: Local Computer

* OS [144 bytes]: Linux 2.6.32-25-generic-pae #45-Ubuntu SMP Sat Oct 16 21:01:33 UTC 2010

* System [10 bytes]: i686

 

- Drive Number 1 ---------------------------------

* Drive Type [256 bytes]: Physical Drive,Disk

* Name [34 bytes]: ST3120811AS3.AAE

* OS Object [18 bytes]: /dev/sda

* R-Studio Driver [18 bytes]: ata_piix

* Size [8 bytes]: 111 Gb (234441648 sec)

* Sector Size [4 bytes]: 512 b

# I/O Tries [4 bytes]: Default

+ Drive Control [4 bytes]: 

  # Maximum Transfer [4 bytes]: 32768

  # I/O Unit [4 bytes]: 512

  # Buffer Alignment [4 bytes]: 4096

+ Physical Drive Geometry [4 bytes]: 

  * Cylinders [8 bytes]: 14593

  * Tracks Per Cylinder [4 bytes]: 255

  * Sectors Per Track [4 bytes]: 63

  * Sector Size [4 bytes]: 512 b

* Partition Layout Sector Size [4 bytes]: 512 b

+ Device Identification [4 bytes]: 

  * Product [64 bytes]: ST3120811AS

  * Firmware [16 bytes]: 3.AAE

  * Serial Number [32 bytes]: 6PT0J1FH

* Bus Type [4 bytes]: SerialATA

+ IDE Properties [4 bytes]: 

  * Buffer [10 bytes]: 8 MB

  * ECC Bytes [2 bytes]: 4

  * PIO Modes [16 bytes]: 1,2,3,4

  * DMA Modes [12 bytes]: 0,1,2

  * UltraDMA Modes [28 bytes]: 0,1,2,3,4,5,6

  * Current Mode [22 bytes]: UltraDMA 6

 

- Drive Number 2 ---------------------------------

* Drive Type [256 bytes]: Physical Drive,Disk

* Name [30 bytes]: ST380817AS3.42

* OS Object [18 bytes]: /dev/sdb

* R-Studio Driver [18 bytes]: ata_piix

* Size [8 bytes]: 74 Gb (156301488 sec)

* Sector Size [4 bytes]: 512 b

# I/O Tries [4 bytes]: Default

+ Drive Control [4 bytes]: 

  # Maximum Transfer [4 bytes]: 32768

  # I/O Unit [4 bytes]: 512

  # Buffer Alignment [4 bytes]: 4096

+ Physical Drive Geometry [4 bytes]: 

  * Cylinders [8 bytes]: 9729

  * Tracks Per Cylinder [4 bytes]: 255

  * Sectors Per Track [4 bytes]: 63

  * Sector Size [4 bytes]: 512 b

* Partition Layout Sector Size [4 bytes]: 512 b

+ Device Identification [4 bytes]: 

  * Product [64 bytes]: ST380817AS

  * Firmware [16 bytes]: 3.42

  * Serial Number [32 bytes]: 4MR29A6X

* Bus Type [4 bytes]: SerialATA

+ IDE Properties [4 bytes]: 

  * Buffer [10 bytes]: 8 MB

  * ECC Bytes [2 bytes]: 4

  * PIO Modes [16 bytes]: 1,2,3,4

  * DMA Modes [12 bytes]: 0,1,2

  * UltraDMA Modes [28 bytes]: 0,1,2,3,4,5,6

  * Current Mode [22 bytes]: UltraDMA 6

 

- Drive Number 3 ---------------------------------

* Drive Type [256 bytes]: Physical Drive,Disk

* Name [48 bytes]: SAMSUNG HD642JJ1AA01110

* OS Object [18 bytes]: /dev/sdc

* R-Studio Driver [18 bytes]: ata_piix

* Size [8 bytes]: 596 Gb (1250263728 sec)

* Sector Size [4 bytes]: 512 b

# I/O Tries [4 bytes]: Default

+ Drive Control [4 bytes]: 

  # Maximum Transfer [4 bytes]: 32768

  # I/O Unit [4 bytes]: 512

  # Buffer Alignment [4 bytes]: 4096

+ Physical Drive Geometry [4 bytes]: 

  * Cylinders [8 bytes]: 77825

  * Tracks Per Cylinder [4 bytes]: 255

  * Sectors Per Track [4 bytes]: 63

  * Sector Size [4 bytes]: 512 b

* Partition Layout Sector Size [4 bytes]: 512 b

+ Device Identification [4 bytes]: 

  * Product [64 bytes]: SAMSUNG HD642JJ

  * Firmware [16 bytes]: 1AA01110

  * Serial Number [32 bytes]: S1AFJ1MQ400283

* Bus Type [4 bytes]: SerialATA-II

+ IDE Properties [4 bytes]: 

  * Buffer [118 bytes]: 16 MB, Dual ported multi-sector buffer with a read caching

  * ECC Bytes [2 bytes]: 4

  * PIO Modes [16 bytes]: 1,2,3,4

  * DMA Modes [12 bytes]: 0,1,2

  * UltraDMA Modes [32 bytes]: 0,1,2,3,4,5,6,7

  * Current Mode [22 bytes]: UltraDMA 6

 

- Drive Number 4 ---------------------------------

* Drive Type [256 bytes]: Physical Drive,CDROM

* Name [60 bytes]: TSSTcorp CDW/DVD SH-M522CTS07

* OS Object [20 bytes]: /dev/scd0

* R-Studio Driver [18 bytes]: ata_piix

* Size [8 bytes]: 1023 Mb (2097151 sec)

* Sector Size [4 bytes]: 2048 b

# I/O Tries [4 bytes]: Default

+ Drive Control [4 bytes]: 

  # Maximum Transfer [4 bytes]: 32768

  # I/O Unit [4 bytes]: 2048

  # Buffer Alignment [4 bytes]: 4096

+ Device Identification [4 bytes]: 

  * Product [64 bytes]: TSSTcorp CDW/DVD SH-M522C

  * Firmware [16 bytes]: TS07

* Bus Type [4 bytes]: IDE/ATAPI

+ IDE Properties [4 bytes]: 

  * PIO Modes [16 bytes]: 1,2,3,4

  * DMA Modes [12 bytes]: 0,1,2

  * UltraDMA Modes [12 bytes]: 0,1,2

  * Current Mode [22 bytes]: UltraDMA 2

 

- Drive Number 5 ---------------------------------

* Drive Type [256 bytes]: Volume,Disk

* Name [4 bytes]: /

* Mount Points [4 bytes]: /

* OS Object [20 bytes]: /dev/sdc5

* Size [8 bytes]: 190 Gb (400005120 sec)

* Sector Size [4 bytes]: 512 b

* Partition Offset [8 bytes]: 402 Gb (844298240 sec)

* Partition Size [8 bytes]: 190 Gb (400005120 sec)

+ Ext2/Ext3/Ext4 Information [4 bytes]: 

  # FS Character Set [4 bytes]: OEM

  * Block Size [4 bytes]: 4096 b (8 sec)

  * First SuperBlock Offset [4 bytes]: 1024 b (2 sec)

  * Blocks Per Volume [4 bytes]: 50000640

  * INodes Per Volume [4 bytes]: 12500992

  * Creator OS [4 bytes]: Linux

  * Major Version [4 bytes]: 1

  * Minor Version [2 bytes]: 0

  * Last Mount Time [8 bytes]: 11.11.2010 12:43:33

  * Last Write Time [8 bytes]: 29.9.2010 11:18:58

  * Last Check Time [8 bytes]: 29.9.2010 11:18:58

  * Volume Size [8 bytes]: 190 Gb (400005120 sec)

# I/O Tries [4 bytes]: Default

+ Drive Control [4 bytes]: 

  # Maximum Transfer [4 bytes]: 32768

  # I/O Unit [4 bytes]: 512

  # Buffer Alignment [4 bytes]: 4096

+ Physical Drive Geometry [4 bytes]: 

  * Cylinders [8 bytes]: 24899

  * Tracks Per Cylinder [4 bytes]: 255

  * Sectors Per Track [4 bytes]: 63

  * Sector Size [4 bytes]: 512 b

 

- Drive Number 6 ---------------------------------

* Drive Type [256 bytes]: Partition,Active

* Name [22 bytes]: Partition1

* Size [8 bytes]: 29996 Mb (61432497 sec)

* Partition Offset [8 bytes]: 32256 b (63 sec)

* Partition Size [8 bytes]: 29996 Mb (61432497 sec)

* Partition Type [256 bytes]: NTFS/HPFS

+ NTFS Information [4 bytes]: 

  * Cluster Size [4 bytes]: 4096 b (8 sec)

  * MFT Record Size [4 bytes]: 1024 b

  * MFT Position [8 bytes]: 3072 Mb (6291456 sec)

  * MFT Mirror Position [8 bytes]: 14998 Mb (30716248 sec)

  * Index Block Size [4 bytes]: 4096 b

  * Sector Size [4 bytes]: 512 b

  * Volume Size [8 bytes]: 29996 Mb (61432496 sec)

 

- Drive Number 7 ---------------------------------

* Drive Type [256 bytes]: Partition,Primary

* Name [22 bytes]: Partition2

* Size [8 bytes]: 29996 Mb (61432560 sec)

* Partition Offset [8 bytes]: 29996 Mb (61432560 sec)

* Partition Size [8 bytes]: 29996 Mb (61432560 sec)

* Partition Type [256 bytes]: Mac OS X HFS+

+ HFS/HFS+ Information [4 bytes]: 

  * HFS Type [32 bytes]: HFS+, Journaled

  * Block Size [4 bytes]: 4096 b (8 sec)

  * HFS Version [4 bytes]: 4

  * Create Time [8 bytes]: 1.5.2007 19:16:12

  * Last Write Time [8 bytes]: 27.10.2010 18:56:14

  * Last Check Time [8 bytes]: 2.5.2007 2:16:12

  * Volume Size [8 bytes]: 29996 Mb (61432560 sec)

 

- Drive Number 8 ---------------------------------

* Drive Type [256 bytes]: Partition,Primary

* Name [22 bytes]: Partition3

* Size [8 bytes]: 24003 Mb (49158900 sec)

* Partition Offset [8 bytes]: 58 Gb (122865120 sec)

* Partition Size [8 bytes]: 24003 Mb (49158900 sec)

* Partition Type [256 bytes]: Ext2FS/XIAFS

+ Ext2/Ext3/Ext4 Information [4 bytes]: 

  # FS Character Set [4 bytes]: OEM

  * Block Size [4 bytes]: 4096 b (8 sec)

  * First SuperBlock Offset [4 bytes]: 1024 b (2 sec)

  * Blocks Per Volume [4 bytes]: 6144862

  * INodes Per Volume [4 bytes]: 3074176

  * Creator OS [4 bytes]: Linux

  * Major Version [4 bytes]: 1

  * Minor Version [2 bytes]: 0

  * Last Mount Time [8 bytes]: 9.11.2010 14:37:44

  * Last Write Time [8 bytes]: 9.11.2010 15:42:35

  * Last Check Time [8 bytes]: 22.7.2010 17:30:1

  * Volume Size [8 bytes]: 24003 Mb (49158896 sec)

 

- Drive Number 9 ---------------------------------

* Drive Type [256 bytes]: Partition,Logical

* Name [22 bytes]: Partition4

* Size [8 bytes]: 1953 Mb (4000122 sec)

* Partition Offset [8 bytes]: 82 Gb (172024083 sec)

* Partition Size [8 bytes]: 1953 Mb (4000122 sec)

* Partition Type [256 bytes]: Linux (swap)

 

- Drive Number 10 --------------------------------

* Drive Type [256 bytes]: Partition,Logical

* Name [22 bytes]: Partition5

* Size [8 bytes]: 28521 Mb (58412277 sec)

* Partition Offset [8 bytes]: 83 Gb (176024268 sec)

* Partition Size [8 bytes]: 28521 Mb (58412277 sec)

* Partition Type [256 bytes]: FAT32

+ FAT Information [4 bytes]: 

  * FAT Bits (12,16,32) [4 bytes]: 32

  * Cluster Size [4 bytes]: 16384 b (32 sec)

  * First Cluster Offset [8 bytes]: 14240 Kb (28480 sec)

  * Root Directory Cluster [4 bytes]: 2

  * First FAT Offset [8 bytes]: 18432 b (36 sec)

  * Size of One FAT Table [8 bytes]: 7127 Kb (14254 sec)

  * Number of FAT Copies [4 bytes]: 2

  # Active FAT copy [4 bytes]: Auto

  * Sector Size [4 bytes]: 512 b

  * Major Version [1 bytes]: 0

  * Minor Version [1 bytes]: 0

  * Volume Size [8 bytes]: 28521 Mb (58412277 sec)

 

- Drive Number 11 --------------------------------

* Drive Type [256 bytes]: Partition,Logical

* Name [22 bytes]: Partition1

* Size [8 bytes]: 1780 Mb (3646628 sec)

* Partition Offset [8 bytes]: 63 Kb (126 sec)

* Partition Size [8 bytes]: 1780 Mb (3646628 sec)

* Partition Type [256 bytes]: NTFS/HPFS

+ NTFS Information [4 bytes]: 

  * Cluster Size [4 bytes]: 2048 b (4 sec)

  * MFT Record Size [4 bytes]: 1024 b

  * MFT Position [8 bytes]: 12288 b (24 sec)

  * MFT Mirror Position [8 bytes]: 302 Kb (604 sec)

  * Index Block Size [4 bytes]: 4096 b

  * Sector Size [4 bytes]: 512 b

  * Volume Size [8 bytes]: 1780 Mb (3646624 sec)

 

- Drive Number 12 --------------------------------

* Drive Type [256 bytes]: Partition,Logical

* Name [22 bytes]: Partition2

* Size [8 bytes]: 1270 Mb (2602466 sec)

* Partition Offset [8 bytes]: 1780 Mb (3646818 sec)

* Partition Size [8 bytes]: 1270 Mb (2602466 sec)

* Partition Type [256 bytes]: FAT32

+ FAT Information [4 bytes]: 

  * FAT Bits (12,16,32) [4 bytes]: 32

  * Cluster Size [4 bytes]: 4096 b (8 sec)

  * First Cluster Offset [8 bytes]: 2548 Kb (5096 sec)

  * Root Directory Cluster [4 bytes]: 2

  * First FAT Offset [8 bytes]: 19456 b (38 sec)

  * Size of One FAT Table [8 bytes]: 1268 Kb (2537 sec)

  * Number of FAT Copies [4 bytes]: 2

  # Active FAT copy [4 bytes]: Auto

  * Sector Size [4 bytes]: 512 b

  * Major Version [1 bytes]: 0

  * Minor Version [1 bytes]: 0

  * Volume Size [8 bytes]: 1270 Mb (2602466 sec)

 

- Drive Number 13 --------------------------------

* Drive Type [256 bytes]: Partition,Logical

* Name [22 bytes]: Partition3

* Size [8 bytes]: 1796 Mb (3678821 sec)

* Partition Offset [8 bytes]: 3051 Mb (6249348 sec)

* Partition Size [8 bytes]: 1796 Mb (3678821 sec)

* Partition Type [256 bytes]: FAT16 (big)

+ FAT Information [4 bytes]: 

  * FAT Bits (12,16,32) [4 bytes]: 16

  * Cluster Size [4 bytes]: 32 Kb (64 sec)

  * First Cluster Offset [8 bytes]: 178 Kb (356 sec)

  * Root Directory Offset [8 bytes]: 231424

  * Root Directory Length [4 bytes]: 16384 b

  * First FAT Offset [8 bytes]: 1024 b (2 sec)

  * Size of One FAT Table [8 bytes]: 112 Kb (225 sec)

  * Number of FAT Copies [4 bytes]: 2

  # Active FAT copy [4 bytes]: Auto

  * Sector Size [4 bytes]: 512 b

  * Major Version [1 bytes]: 0

  * Minor Version [1 bytes]: 0

  * Volume Size [8 bytes]: 1796 Mb (3678821 sec)

 

- Drive Number 14 --------------------------------

* Drive Type [256 bytes]: Partition,Primary

* Name [22 bytes]: Partition4

* Size [8 bytes]: 65 Gb (136440046 sec)

* Partition Offset [8 bytes]: 9695 Mb (19856339 sec)

* Partition Size [8 bytes]: 65 Gb (136440046 sec)

* Partition Type [256 bytes]: NTFS/HPFS

+ NTFS Information [4 bytes]: 

  * Cluster Size [4 bytes]: 4096 b (8 sec)

  * MFT Record Size [4 bytes]: 1024 b

  * MFT Position [8 bytes]: 3072 Mb (6291456 sec)

  * MFT Mirror Position [8 bytes]: 32 Gb (68220016 sec)

  * Index Block Size [4 bytes]: 4096 b

  * Sector Size [4 bytes]: 512 b

  * Volume Size [8 bytes]: 65 Gb (136440045 sec)

 

- Drive Number 15 --------------------------------

* Drive Type [256 bytes]: Empty Space

* Name [28 bytes]: Empty Space15

* Size [8 bytes]: 4847 Mb (9928170 sec)

* Partition Offset [8 bytes]: 4847 Mb (9928169 sec)

* Partition Size [8 bytes]: 4847 Mb (9928170 sec)

 

- Drive Number 16 --------------------------------

* Drive Type [256 bytes]: Partition,Primary

* Name [22 bytes]: Partition1

* Size [8 bytes]: 402 Gb (844298009 sec)

* Partition Offset [8 bytes]: 32256 b (63 sec)

* Partition Size [8 bytes]: 402 Gb (844298009 sec)

* Partition Type [256 bytes]: NTFS/HPFS

+ NTFS Information [4 bytes]: 

  * Cluster Size [4 bytes]: 4096 b (8 sec)

  * MFT Record Size [4 bytes]: 1024 b

  * MFT Position [8 bytes]: 3072 Mb (6291456 sec)

  * MFT Mirror Position [8 bytes]: 298 Gb (625129280 sec)

  * Index Block Size [4 bytes]: 4096 b

  * Sector Size [4 bytes]: 512 b

  * Volume Size [8 bytes]: 402 Gb (844298000 sec)

 

- Drive Number 17 --------------------------------

* Drive Type [256 bytes]: Partition,Logical

* Name [22 bytes]: Partition2

* Mount Points [4 bytes]: /

* Size [8 bytes]: 190 Gb (400005120 sec)

* Partition Offset [8 bytes]: 402 Gb (844298240 sec)

* Partition Size [8 bytes]: 190 Gb (400005120 sec)

* Partition Type [256 bytes]: Ext2FS/XIAFS

+ Ext2/Ext3/Ext4 Information [4 bytes]: 

  # FS Character Set [4 bytes]: OEM

  * Block Size [4 bytes]: 4096 b (8 sec)

  * First SuperBlock Offset [4 bytes]: 1024 b (2 sec)

  * Blocks Per Volume [4 bytes]: 50000640

  * INodes Per Volume [4 bytes]: 12500992

  * Creator OS [4 bytes]: Linux

  * Major Version [4 bytes]: 1

  * Minor Version [2 bytes]: 0

  * Last Mount Time [8 bytes]: 11.11.2010 12:43:33

  * Last Write Time [8 bytes]: 29.9.2010 11:18:58

  * Last Check Time [8 bytes]: 29.9.2010 11:18:58

  * Volume Size [8 bytes]: 190 Gb (400005120 sec)

 

- Drive Number 18 --------------------------------

* Drive Type [256 bytes]: Partition,Logical

* Name [22 bytes]: Partition3

* Size [8 bytes]: 2909 Mb (5957632 sec)

* Partition Offset [8 bytes]: 593 Gb (1244305408 sec)

* Partition Size [8 bytes]: 2909 Mb (5957632 sec)

* Partition Type [256 bytes]: Linux (swap)

 

- Drive Number 19 --------------------------------

* Drive Type [256 bytes]: Empty Space

* Name [28 bytes]: Empty Space19

* Size [8 bytes]: 992 Kb (1985 sec)

* Partition Offset [8 bytes]: 593 Gb (1244303360 sec)

* Partition Size [8 bytes]: 992 Kb (1985 sec)

 

****************************************************************************************************

 

-------------------------------------------- Session 1 ---------------------------------------------

START Date / Time of Collection: 2010-11-11 16:14:10

 

Source drive:Sector         Modification Date            MD5                                         File Name

 12:      216176            2003-11-17 02:13:14          3743dc1fef09606b97f2f8af77f0c2fa            Files to Recover/Wipe Test 1.doc

 12:      216320            2003-11-17 02:13:34          70d5bf4c1630cc2d65ffa7f171842c2b            Files to Recover/Wipe Test 4.doc

 12:      216368            2003-11-17 02:14:04          929fcf3b344b8fd1fee4af24388b622e            Files to Recover/Wipe Test 5.doc

 12:       83080            2005-07-07 01:24:18          e9f5ca4cad1cea3d5202a74fc69224c0            Files to Recover/~$pe Test 2.doc

 12:       83168            2006-05-13 23:39:16          9c6338caa791315f2aadf9a55aab07bb            Files to Recover/Outlook_recovered_by_R_Mail.pst

 12:       83608            2006-05-14 21:15:32          85af76d9f2e3d5ca4028a8872a0ff12a            Files to Recover/Outlook.pst

 12:     1059648            2007-04-23 17:15:22          4ef0427f18de06755aeb1cc0a9c65e84            Files to Recover/Picture 149.jpg

 12:     1062928            2007-04-23 17:20:16          ffd0944df55bc375bda69def5f1d1f5e            Files to Recover/Picture 237.jpg

 

END Date / Time of Collection: 2010-11-11 16:14:10

----------------------------------------------------------------------------------------------------