Mode investigation

Top  Previous  Next

Note : Cette fonction n'est disponible que dans la version de R-Studio pour les techniciens !

Lorsque ce mode est activé, R-Studio génèrera un journal d'audit pour la collecte de données qui peut être présentées devant un tribunal. Ce journal inclut des informations concernant la configuration du matériel sur lequel est faite la collection de données d'investigation, ainsi que le MD5 des fichiers trouvés.

Note : Un nouveau journal sera généré chaque fois que la configuration matérielle sera modifiée (un disque dur est connecté/déconnecté, un périphérique externe USB est connecté/déconnecté, etc.)

Pour activer cette fonctionnalité,

*

Sélectionnez Activer le mode investigation dans l'onglet Général de la boîte de dialogue Paramètres.

Chaque fois que vous démarrerez la récupération de fichier, la boîte de dialogue Paramètres du journal d'investigation apparaîtra.

Chaque fois que vous démarrerez la récupération de fichier, la boîte de dialogue Paramètres du journal d'investigation apparaîtra.

Cliquez pour agrandir
Boîte de dialogue Paramètres du journal d'investigation

Entrez les informations requises et cliquez sur le bouton OK pour aller dans la boîte de dialogue Récupérer.

Pendant la récupération de fichier, R-Studio créera un journal d'audit pour la collecte de données d'investigation dans le dossier spécifié. Vous trouverez ci-dessous un exemple d'un tel journal.

******************************** Forensic Data Collection Audit Log ********************************

 

R-STUDIO Network Technician 6.2.153589/2/3/2013

 

Case Name: Steven v. Christofer

Case Number: 28-S-0205-CR-85763

Operator / Investigator Name: J.F. Lewson

 

**************************************** Drives Information ****************************************

 

- Drive Number 0 ---------------------------------

* Drive Type [256 bytes]: Computer,Local Computer

* Name [30 bytes]: Local Computer

* OS [74 bytes]: Windows 7 Build 7601, Service Pack 1

* System [150 bytes]: 4 x Intel(R) Core(TM) i3 CPU 530@2.93GHz, 2933 MHz, 3919 MB RAM

 

- Drive Number 3 ---------------------------------

* Drive Type [256 bytes]: CDROM

* Name [54 bytes]: PIONEERDVD-RW DVR-219L1.00

+ Device Identification [8 bytes]: 

  * Vendor [32 bytes]: PIONEER

  * Product [64 bytes]: DVD-RW DVR-219L

  * Firmware [16 bytes]: 1.00

+ SCSI Address [8 bytes]: 

  * Port Number [1 bytes]: 3

  * Path Id [1 bytes]: 1

  * Target Id [1 bytes]: 0

  * Lun [1 bytes]: 0

 

- Drive Number 4 ---------------------------------

* Drive Type [256 bytes]: Physical Drive,Disk

* Name [52 bytes]: WDC WD75AA-00BAA010.09K11

* OS Object [38 bytes]: \\.\PhysicalDrive0

* R-Studio Driver [44 bytes]: WinNT\Handle\Physical

* Size [8 bytes]: 7.02GB (14726880 sec)

* Sector Size [4 bytes]: 512B

* Partition Size [8 bytes]: 7.02GB (14726880 sec)

# I/O Tries [4 bytes]: Default

+ Drive Control [8 bytes]: 

  # Maximum Transfer [4 bytes]: 131072

  # I/O Unit [4 bytes]: 512

  # Buffer Alignment [4 bytes]: 2

+ Physical Drive Geometry [8 bytes]: 

  * Cylinders [8 bytes]: 916

  * Tracks Per Cylinder [4 bytes]: 255

  * Sectors Per Track [4 bytes]: 63

  * Sector Size [4 bytes]: 512B

# Partition Layout Sector Size [4 bytes]: 512B

+ Device Identification [8 bytes]: 

  * Product [64 bytes]: WDC WD75AA-00BAA0

  * Firmware [16 bytes]: 10.09K11

  * Serial Number [32 bytes]: WD-WMA2L2883101

+ SCSI Address [8 bytes]: 

  * Port Number [1 bytes]: 0

  * Path Id [1 bytes]: 0

  * Target Id [1 bytes]: 0

  * Lun [1 bytes]: 0

* Bus Type [4 bytes]: IDE/ATA

+ IDE Properties [8 bytes]: 

  * Buffer [116 bytes]: 2 MB, Dual ported multi-sector buffer with a read caching

  * ECC Bytes [2 bytes]: 40

  * PIO Modes [16 bytes]: 1,2,3,4

  * DMA Modes [12 bytes]: 0,1,2

  * UltraDMA Modes [20 bytes]: 0,1,2,3,4

  * Current Mode [22 bytes]: UltraDMA 4

* Int13 Drive Number [4 bytes]: 0x81

 

- Drive Number 5 ---------------------------------

* Drive Type [256 bytes]: Physical Drive,Disk

* Name [32 bytes]: ST3320418ASCC44

* OS Object [38 bytes]: \\.\PhysicalDrive1

* R-Studio Driver [44 bytes]: WinNT\Handle\Physical

* Size [8 bytes]: 298GB (625142448 sec)

* Sector Size [4 bytes]: 512B

* Partition Size [8 bytes]: 298GB (625142448 sec)

# I/O Tries [4 bytes]: Default

+ Drive Control [8 bytes]: 

  # Maximum Transfer [4 bytes]: 131072

  # I/O Unit [4 bytes]: 512

  # Buffer Alignment [4 bytes]: 2

+ Physical Drive Geometry [8 bytes]: 

  * Cylinders [8 bytes]: 38913

  * Tracks Per Cylinder [4 bytes]: 255

  * Sectors Per Track [4 bytes]: 63

  * Sector Size [4 bytes]: 512B

# Partition Layout Sector Size [4 bytes]: 512B

+ Device Identification [8 bytes]: 

  * Product [64 bytes]: ST3320418AS

  * Firmware [16 bytes]: CC44

  * Serial Number [32 bytes]: 9VMMRZKW

+ SCSI Address [8 bytes]: 

  * Port Number [1 bytes]: 2

  * Path Id [1 bytes]: 0

  * Target Id [1 bytes]: 0

  * Lun [1 bytes]: 0

* Bus Type [4 bytes]: SerialATA-II

+ IDE Properties [8 bytes]: 

  * Buffer [12 bytes]: 16 MB

  * ECC Bytes [2 bytes]: 4

  * PIO Modes [16 bytes]: 1,2,3,4

  * DMA Modes [12 bytes]: 0,1,2

  * UltraDMA Modes [28 bytes]: 0,1,2,3,4,5,6

  * Current Mode [22 bytes]: UltraDMA 5

* Int13 Drive Number [4 bytes]: 0x80

 

- Drive Number 6 ---------------------------------

* Drive Type [256 bytes]: Volume

* Name [90 bytes]: Volume{445abf3b-13ef-11e0-b147-806e6f6e6963}

* OS Object [98 bytes]: \\?\Volume{445abf3b-13ef-11e0-b147-806e6f6e6963}

* R-Studio Driver [42 bytes]: WinNT\Handle\Logical

* Size [8 bytes]: 100MB (204800 sec)

* Sector Size [4 bytes]: 512B

* Partition Offset [8 bytes]: 1.00MB (2048 sec)

* Partition Size [8 bytes]: 100MB (204800 sec)

* Partition Number [4 bytes]: 1

* Partition Type [256 bytes]: NTFS/HPFS

+ NTFS Information [8 bytes]: 

  * Cluster Size [4 bytes]: 4.00KB (8 sec)

  * MFT Record Size [4 bytes]: 1.00KB

  * MFT Position [8 bytes]: 33.3MB (68264 sec)

  * MFT Mirror Position [8 bytes]: 8.00KB (16 sec)

  * Index Block Size [4 bytes]: 4.00KB

  * Sector Size [4 bytes]: 512B

  * Volume Size [8 bytes]: 99.9MB (204799 sec)

# I/O Tries [4 bytes]: Default

+ Drive Control [8 bytes]: 

  # Maximum Transfer [4 bytes]: 131072

  # I/O Unit [4 bytes]: 512

  # Buffer Alignment [4 bytes]: 2

+ Physical Drive Geometry [8 bytes]: 

  * Cylinders [8 bytes]: 38913

  * Tracks Per Cylinder [4 bytes]: 255

  * Sectors Per Track [4 bytes]: 63

  * Sector Size [4 bytes]: 512B

+ SCSI Address [8 bytes]: 

  * Port Number [1 bytes]: 2

  * Path Id [1 bytes]: 0

  * Target Id [1 bytes]: 0

  * Lun [1 bytes]: 0

* Bus Type [4 bytes]: IDE/ATA

 

- Drive Number 7 ---------------------------------

* Drive Type [256 bytes]: Volume,Disk

* Name [6 bytes]: F:

* Mount Points [8 bytes]: F:\

* OS Object [98 bytes]: \\?\Volume{ccb23f8c-1302-11e2-8330-20cf30be3944}

* R-Studio Driver [42 bytes]: WinNT\Handle\Logical

* Size [8 bytes]: 2.92GB (6136766 sec)

* Sector Size [4 bytes]: 512B

* Partition Offset [8 bytes]: 32.0KB (64 sec)

* Partition Size [8 bytes]: 2.92GB (6136766 sec)

* Partition Number [4 bytes]: 1

* Partition Type [256 bytes]: NTFS/HPFS

+ NTFS Information [8 bytes]: 

  * Cluster Size [4 bytes]: 2.00KB (4 sec)

  * MFT Record Size [4 bytes]: 1.00KB

  * MFT Position [8 bytes]: 12.0KB (24 sec)

  * MFT Mirror Position [8 bytes]: 302KB (604 sec)

  * Index Block Size [4 bytes]: 4.00KB

  * Sector Size [4 bytes]: 512B

  * Volume Size [8 bytes]: 2.92GB (6136700 sec)

# I/O Tries [4 bytes]: Default

+ Drive Control [8 bytes]: 

  # Maximum Transfer [4 bytes]: 131072

  # I/O Unit [4 bytes]: 512

  # Buffer Alignment [4 bytes]: 2

+ Physical Drive Geometry [8 bytes]: 

  * Cylinders [8 bytes]: 916

  * Tracks Per Cylinder [4 bytes]: 255

  * Sectors Per Track [4 bytes]: 63

  * Sector Size [4 bytes]: 512B

+ SCSI Address [8 bytes]: 

  * Port Number [1 bytes]: 0

  * Path Id [1 bytes]: 0

  * Target Id [1 bytes]: 0

  * Lun [1 bytes]: 0

* Bus Type [4 bytes]: IDE/ATA

 

- Drive Number 8 ---------------------------------

* Drive Type [256 bytes]: Volume,Disk

* Name [6 bytes]: G:

* Mount Points [8 bytes]: G:\

* OS Object [98 bytes]: \\?\Volume{e0651538-ace3-11e1-8eff-20cf30be3944}

* R-Studio Driver [42 bytes]: WinNT\Handle\Logical

* Size [8 bytes]: 2.02GB (4257161 sec)

* Sector Size [4 bytes]: 512B

* Partition Offset [8 bytes]: 2.92GB (6136893 sec)

* Partition Size [8 bytes]: 2.02GB (4257161 sec)

* Partition Number [4 bytes]: 2

* Partition Type [256 bytes]: FAT32

+ FAT Information [8 bytes]: 

  * FAT Bits (12,16,32) [4 bytes]: 32

  * Cluster Size [4 bytes]: 4.00KB (8 sec)

  * First Cluster Offset [8 bytes]: 4.06MB (8322 sec)

  * Root Directory Cluster [4 bytes]: 2

  * First FAT Offset [8 bytes]: 19.0KB (38 sec)

  * Size of One FAT Table [8 bytes]: 2.02MB (4150 sec)

  * Number of FAT Copies [4 bytes]: 2

  # Active FAT copy [4 bytes]: Auto

  * Sector Size [4 bytes]: 512B

  * Major Version [1 bytes]: 0

  * Minor Version [1 bytes]: 0

  * Volume Size [8 bytes]: 2.02GB (4257161 sec)

# I/O Tries [4 bytes]: Default

+ Drive Control [8 bytes]: 

  # Maximum Transfer [4 bytes]: 131072

  # I/O Unit [4 bytes]: 512

  # Buffer Alignment [4 bytes]: 2

+ Physical Drive Geometry [8 bytes]: 

  * Cylinders [8 bytes]: 916

  * Tracks Per Cylinder [4 bytes]: 255

  * Sectors Per Track [4 bytes]: 63

  * Sector Size [4 bytes]: 512B

+ SCSI Address [8 bytes]: 

  * Port Number [1 bytes]: 0

  * Path Id [1 bytes]: 0

  * Target Id [1 bytes]: 0

  * Lun [1 bytes]: 0

* Bus Type [4 bytes]: IDE/ATA

 

- Drive Number 9 ---------------------------------

* Drive Type [256 bytes]: Volume,Disk

* Name [6 bytes]: H:

* Mount Points [8 bytes]: H:\

* OS Object [98 bytes]: \\?\Volume{e0651537-ace3-11e1-8eff-20cf30be3944}

* R-Studio Driver [42 bytes]: WinNT\Handle\Logical

* Size [8 bytes]: 2.00GB (4208966 sec)

* Sector Size [4 bytes]: 512B

* Partition Offset [8 bytes]: 4.95GB (10394118 sec)

* Partition Size [8 bytes]: 2.00GB (4208966 sec)

* Partition Number [4 bytes]: 3

* Partition Type [256 bytes]: FAT16 (big)

+ FAT Information [8 bytes]: 

  * FAT Bits (12,16,32) [4 bytes]: 16

  * Cluster Size [4 bytes]: 32.0KB (64 sec)

  * First Cluster Offset [8 bytes]: 209KB (418 sec)

  * Root Directory Offset [8 bytes]: 263168

  * Root Directory Length [4 bytes]: 16.0KB

  * First FAT Offset [8 bytes]: 1.00KB (2 sec)

  * Size of One FAT Table [8 bytes]: 128KB (256 sec)

  * Number of FAT Copies [4 bytes]: 2

  # Active FAT copy [4 bytes]: Auto

  * Sector Size [4 bytes]: 512B

  * Major Version [1 bytes]: 0

  * Minor Version [1 bytes]: 0

  * Volume Size [8 bytes]: 1.99GB (4193698 sec)

# I/O Tries [4 bytes]: Default

+ Drive Control [8 bytes]: 

  # Maximum Transfer [4 bytes]: 131072

  # I/O Unit [4 bytes]: 512

  # Buffer Alignment [4 bytes]: 2

+ Physical Drive Geometry [8 bytes]: 

  * Cylinders [8 bytes]: 916

  * Tracks Per Cylinder [4 bytes]: 255

  * Sectors Per Track [4 bytes]: 63

  * Sector Size [4 bytes]: 512B

+ SCSI Address [8 bytes]: 

  * Port Number [1 bytes]: 0

  * Path Id [1 bytes]: 0

  * Target Id [1 bytes]: 0

  * Lun [1 bytes]: 0

* Bus Type [4 bytes]: IDE/ATA

 

- Drive Number 10 --------------------------------

* Drive Type [256 bytes]: Volume,Disk

* Name [6 bytes]: C:

* Mount Points [8 bytes]: C:\

* OS Object [98 bytes]: \\?\Volume{445abf3c-13ef-11e0-b147-806e6f6e6963}

* R-Studio Driver [42 bytes]: WinNT\Handle\Logical

* Size [8 bytes]: 121GB (255793152 sec)

* Sector Size [4 bytes]: 512B

* Partition Offset [8 bytes]: 101MB (206848 sec)

* Partition Size [8 bytes]: 121GB (255793152 sec)

* Partition Number [4 bytes]: 2

* Partition Type [256 bytes]: NTFS/HPFS

+ NTFS Information [8 bytes]: 

  * Cluster Size [4 bytes]: 4.00KB (8 sec)

  * MFT Record Size [4 bytes]: 1.00KB

  * MFT Position [8 bytes]: 3.00GB (6291456 sec)

  * MFT Mirror Position [8 bytes]: 8.00KB (16 sec)

  * Index Block Size [4 bytes]: 4.00KB

  * Sector Size [4 bytes]: 512B

  * Volume Size [8 bytes]: 121GB (255793151 sec)

# I/O Tries [4 bytes]: Default

+ Drive Control [8 bytes]: 

  # Maximum Transfer [4 bytes]: 131072

  # I/O Unit [4 bytes]: 512

  # Buffer Alignment [4 bytes]: 2

+ Physical Drive Geometry [8 bytes]: 

  * Cylinders [8 bytes]: 38913

  * Tracks Per Cylinder [4 bytes]: 255

  * Sectors Per Track [4 bytes]: 63

  * Sector Size [4 bytes]: 512B

+ SCSI Address [8 bytes]: 

  * Port Number [1 bytes]: 2

  * Path Id [1 bytes]: 0

  * Target Id [1 bytes]: 0

  * Lun [1 bytes]: 0

* Bus Type [4 bytes]: IDE/ATA

 

- Drive Number 11 --------------------------------

* Drive Type [256 bytes]: Volume,Disk

* Name [6 bytes]: D:

* Mount Points [8 bytes]: D:\

* OS Object [98 bytes]: \\?\Volume{605e4bfe-13f3-11e0-be0a-20cf30be3944}

* R-Studio Driver [42 bytes]: WinNT\Handle\Logical

* Size [8 bytes]: 176GB (369137664 sec)

* Sector Size [4 bytes]: 512B

* Partition Offset [8 bytes]: 122GB (256000000 sec)

* Partition Size [8 bytes]: 176GB (369137664 sec)

* Partition Number [4 bytes]: 3

* Partition Type [256 bytes]: NTFS/HPFS

+ NTFS Information [8 bytes]: 

  * Cluster Size [4 bytes]: 4.00KB (8 sec)

  * MFT Record Size [4 bytes]: 1.00KB

  * MFT Position [8 bytes]: 3.00GB (6291456 sec)

  * MFT Mirror Position [8 bytes]: 8.00KB (16 sec)

  * Index Block Size [4 bytes]: 4.00KB

  * Sector Size [4 bytes]: 512B

  * Volume Size [8 bytes]: 176GB (369137663 sec)

# I/O Tries [4 bytes]: Default

+ Drive Control [8 bytes]: 

  # Maximum Transfer [4 bytes]: 131072

  # I/O Unit [4 bytes]: 512

  # Buffer Alignment [4 bytes]: 2

+ Physical Drive Geometry [8 bytes]: 

  * Cylinders [8 bytes]: 38913

  * Tracks Per Cylinder [4 bytes]: 255

  * Sectors Per Track [4 bytes]: 63

  * Sector Size [4 bytes]: 512B

+ SCSI Address [8 bytes]: 

  * Port Number [1 bytes]: 2

  * Path Id [1 bytes]: 0

  * Target Id [1 bytes]: 0

  * Lun [1 bytes]: 0

* Bus Type [4 bytes]: IDE/ATA

 

- Drive Number 12 --------------------------------

* Drive Type [256 bytes]: Volume,CDROM

* Name [6 bytes]: E:

* Mount Points [8 bytes]: E:\

* OS Object [98 bytes]: \\?\Volume{445abf3f-13ef-11e0-b147-806e6f6e6963}

* R-Studio Driver [42 bytes]: WinNT\Handle\Logical

# I/O Tries [4 bytes]: Default

+ Drive Control [8 bytes]: 

  # Maximum Transfer [4 bytes]: 131072

  # I/O Unit [4 bytes]: 2048

  # Buffer Alignment [4 bytes]: 2

+ SCSI Address [8 bytes]: 

  * Port Number [1 bytes]: 3

  * Path Id [1 bytes]: 1

  * Target Id [1 bytes]: 0

  * Lun [1 bytes]: 0

* Bus Type [4 bytes]: IDE/ATAPI

 

- Drive Number 13 --------------------------------

* Drive Type [256 bytes]: Partition,Logical

* Name [22 bytes]: Partition1

* Mount Points [8 bytes]: F:\

* Size [8 bytes]: 2.92GB (6136766 sec)

* Partition Offset [8 bytes]: 32.0KB (64 sec)

* Partition Size [8 bytes]: 2.92GB (6136766 sec)

* Partition Number [4 bytes]: 1

* Partition Type [256 bytes]: NTFS/HPFS

+ NTFS Information [8 bytes]: 

  * Cluster Size [4 bytes]: 2.00KB (4 sec)

  * MFT Record Size [4 bytes]: 1.00KB

  * MFT Position [8 bytes]: 12.0KB (24 sec)

  * MFT Mirror Position [8 bytes]: 302KB (604 sec)

  * Index Block Size [4 bytes]: 4.00KB

  * Sector Size [4 bytes]: 512B

  * Volume Size [8 bytes]: 2.92GB (6136700 sec)

 

- Drive Number 14 --------------------------------

* Drive Type [256 bytes]: Partition,Logical

* Name [22 bytes]: Partition2

* Mount Points [8 bytes]: G:\

* Size [8 bytes]: 2.02GB (4257161 sec)

* Partition Offset [8 bytes]: 2.92GB (6136893 sec)

* Partition Size [8 bytes]: 2.02GB (4257161 sec)

* Partition Number [4 bytes]: 2

* Partition Type [256 bytes]: FAT32

+ FAT Information [8 bytes]: 

  * FAT Bits (12,16,32) [4 bytes]: 32

  * Cluster Size [4 bytes]: 4.00KB (8 sec)

  * First Cluster Offset [8 bytes]: 4.06MB (8322 sec)

  * Root Directory Cluster [4 bytes]: 2

  * First FAT Offset [8 bytes]: 19.0KB (38 sec)

  * Size of One FAT Table [8 bytes]: 2.02MB (4150 sec)

  * Number of FAT Copies [4 bytes]: 2

  # Active FAT copy [4 bytes]: Auto

  * Sector Size [4 bytes]: 512B

  * Major Version [1 bytes]: 0

  * Minor Version [1 bytes]: 0

  * Volume Size [8 bytes]: 2.02GB (4257161 sec)

 

- Drive Number 15 --------------------------------

* Drive Type [256 bytes]: Partition,Logical

* Name [22 bytes]: Partition3

* Mount Points [8 bytes]: H:\

* Size [8 bytes]: 2.00GB (4208966 sec)

* Partition Offset [8 bytes]: 4.95GB (10394118 sec)

* Partition Size [8 bytes]: 2.00GB (4208966 sec)

* Partition Number [4 bytes]: 3

* Partition Type [256 bytes]: FAT16 (big)

+ FAT Information [8 bytes]: 

  * FAT Bits (12,16,32) [4 bytes]: 16

  * Cluster Size [4 bytes]: 32.0KB (64 sec)

  * First Cluster Offset [8 bytes]: 209KB (418 sec)

  * Root Directory Offset [8 bytes]: 263168

  * Root Directory Length [4 bytes]: 16.0KB

  * First FAT Offset [8 bytes]: 1.00KB (2 sec)

  * Size of One FAT Table [8 bytes]: 128KB (256 sec)

  * Number of FAT Copies [4 bytes]: 2

  # Active FAT copy [4 bytes]: Auto

  * Sector Size [4 bytes]: 512B

  * Major Version [1 bytes]: 0

  * Minor Version [1 bytes]: 0

  * Volume Size [8 bytes]: 1.99GB (4193698 sec)

 

- Drive Number 16 --------------------------------

* Drive Type [256 bytes]: Empty Space

* Name [28 bytes]: Empty Space16

* Size [8 bytes]: 60.4MB (123796 sec)

* Partition Offset [8 bytes]: 6.96GB (14603084 sec)

* Partition Size [8 bytes]: 60.4MB (123796 sec)

 

- Drive Number 17 --------------------------------

* Drive Type [256 bytes]: Partition,Active

* Name [22 bytes]: Partition1

* Size [8 bytes]: 100MB (204800 sec)

* Partition Offset [8 bytes]: 1.00MB (2048 sec)

* Partition Size [8 bytes]: 100MB (204800 sec)

* Partition Number [4 bytes]: 1

* Partition Type [256 bytes]: NTFS/HPFS

+ NTFS Information [8 bytes]: 

  * Cluster Size [4 bytes]: 4.00KB (8 sec)

  * MFT Record Size [4 bytes]: 1.00KB

  * MFT Position [8 bytes]: 33.3MB (68264 sec)

  * MFT Mirror Position [8 bytes]: 8.00KB (16 sec)

  * Index Block Size [4 bytes]: 4.00KB

  * Sector Size [4 bytes]: 512B

  * Volume Size [8 bytes]: 99.9MB (204799 sec)

 

- Drive Number 18 --------------------------------

* Drive Type [256 bytes]: Partition,Primary

* Name [22 bytes]: Partition2

* Mount Points [8 bytes]: C:\

* Size [8 bytes]: 121GB (255793152 sec)

* Partition Offset [8 bytes]: 101MB (206848 sec)

* Partition Size [8 bytes]: 121GB (255793152 sec)

* Partition Number [4 bytes]: 2

* Partition Type [256 bytes]: NTFS/HPFS

+ NTFS Information [8 bytes]: 

  * Cluster Size [4 bytes]: 4.00KB (8 sec)

  * MFT Record Size [4 bytes]: 1.00KB

  * MFT Position [8 bytes]: 3.00GB (6291456 sec)

  * MFT Mirror Position [8 bytes]: 8.00KB (16 sec)

  * Index Block Size [4 bytes]: 4.00KB

  * Sector Size [4 bytes]: 512B

  * Volume Size [8 bytes]: 121GB (255793151 sec)

 

- Drive Number 19 --------------------------------

* Drive Type [256 bytes]: Partition,Primary

* Name [22 bytes]: Partition3

* Mount Points [8 bytes]: D:\

* Size [8 bytes]: 176GB (369137664 sec)

* Partition Offset [8 bytes]: 122GB (256000000 sec)

* Partition Size [8 bytes]: 176GB (369137664 sec)

* Partition Number [4 bytes]: 3

* Partition Type [256 bytes]: NTFS/HPFS

+ NTFS Information [8 bytes]: 

  * Cluster Size [4 bytes]: 4.00KB (8 sec)

  * MFT Record Size [4 bytes]: 1.00KB

  * MFT Position [8 bytes]: 3.00GB (6291456 sec)

  * MFT Mirror Position [8 bytes]: 8.00KB (16 sec)

  * Index Block Size [4 bytes]: 4.00KB

  * Sector Size [4 bytes]: 512B

  * Volume Size [8 bytes]: 176GB (369137663 sec)

 

****************************************************************************************************

 

-------------------------------------------- Session 1 ---------------------------------------------

START Date / Time of Collection: 2013-02-06 22:09:29

 

Source drive:Sector         Modification Date            MD5                                         File Name

  8                         2012-12-04 19:53:00                                                      Music

    File Data

         3966106-3966113

  8                         2012-12-04 19:53:50                                                      Music\Carl Orff CarminaBurana

    File Data

         3966114-3966121

  8                         2008-05-10 12:31:54          e3ed08b18d2dfe4fffa90fc7e5b7f1ac            Music\Carl Orff CarminaBurana\a_young_girl.mp3

    File Data

         3966122-3974289

  8                         2008-05-10 12:28:44          96a828f7d852871c2a8707a918b2a26a            Music\Carl Orff CarminaBurana\boiling_rage.mp3

    File Data

         3974290-3983473

  8                         2008-05-10 12:32:50          aeabe7bdc208dd47a1bc6fb6810c7455            Music\Carl Orff CarminaBurana\come_my_beauty.mp3

    File Data

         3983474-3990817

  8                         2008-05-10 12:27:38          f6d9d74f36ccf747c947da697a88e8a8            Music\Carl Orff CarminaBurana\if_the_whole_world_was_mine.mp3

    File Data

         3990818-3993353

  8                         2008-05-10 12:30:38          855047c9885454adff15d8343f9f4792            Music\Carl Orff CarminaBurana\in_the_tavern.mp3

    File Data

         3993354-4000649

  8                         2008-05-10 12:30:58          1b8588242e838d32b6477657ad2d410a            Music\Carl Orff CarminaBurana\love_flies_everywhere.mp3

    File Data

         4000650-4006017, 4006018-4006697

  8                         2008-05-10 12:22:30          2f5d751b174e6e6c575dfb5980351011            Music\Carl Orff CarminaBurana\sunrise.mp3

    File Data

         4006698-4013025

  8                         2008-05-10 12:26:32          64eb19ac44e2bfcd0481c9c8b11d80a1            Music\Carl Orff CarminaBurana\sweetest_boy.mp3

    File Data

         4013026-4014601

  8                         2008-05-10 12:26:02          7cf363567fc0a7d3945dd7fe43c2022b            Music\Carl Orff CarminaBurana\the_dance.mp3

    File Data

         4014602-4021481

  8                         2008-05-10 12:19:52          47b8aadf4db862f4f6ab7ab0ea98eb53            Music\Carl Orff CarminaBurana\the_face_of_spring.mp3

    File Data

         4021482-4033465

  8                         2008-05-10 12:36:36          222faa73045887b591fd69c0131b1c8a            Music\Carl Orff CarminaBurana\the_lovers.mp3

    File Data

         4033466-4037073

  8                         2008-05-10 12:29:40          8c0935c960b42c4c4b3b034efb1a301a            Music\Carl Orff CarminaBurana\the_roasted_swan.mp3

    File Data

         4037074-4043233

  8                         2008-05-10 12:38:38          c9fcfaf50a336c6619f42afefa2d9525            Music\Carl Orff CarminaBurana\the_wheel_of_fortune.mp3

    File Data

         4043234-4052081

  8                         2008-05-10 12:14:46          8292a5f076dd419499234f554eeb890f            Music\Carl Orff CarminaBurana\the_wounds_of_fate.mp3

    File Data

         4052082-4062641

  8                         2008-05-10 12:23:20          7743d3e148f833f524bf99c0e58a60fc            Music\Carl Orff CarminaBurana\welcome.mp3

    File Data

         4062642-4070417

  8                         2012-12-04 19:55:40                                                      Music\Elton_John

    File Data

         4070418-4070425

  8                         2008-04-27 18:09:38          700c87da7656c365d7a066caecccc48b            Music\Elton_John\02-A Word in Spanish.mp3

    File Data

         4070426-4071553, 4071554-4083369

  8                         2001-10-04 16:41:16          8ff86aa42faaa1169fd14635126945e4            Music\Elton_John\04-Club At The End Of The Street.mp3

    File Data

         4083370-4096873

  8                         2008-04-27 18:10:40          ee22ed32d77106baf6ba0adaf9384d7c            Music\Elton_John\05-Sorry Seems to Be the Hardest Word.mp3

    File Data

         4096874-4107633

  8                         2001-10-04 16:41:24          dd11b71234d0f11926878da8f156bdab            Music\Elton_John\07-Sacrifice.mp3

    File Data

         4107634-4121921

  8                         2001-10-04 16:41:24          43efe3779b6bd5d9a3d7692ada485302            Music\Elton_John\08-I Newer Knew Her Name.mp3

    File Data

         4121922-4131777

  8                         2008-04-27 18:11:32          a201b3be4ecb6dd3b4ca6558954824c4            Music\Elton_John\09-Candy By The Pound.mp3

    File Data

         4131778-4137089, 4137090-4142793

  8                         2001-10-04 16:41:30          c27400f5d678252ea2a2b9a9dd2603d4            Music\Elton_John\10-Blue avenue.mp3

    File Data

         4142794-4155081

  8                         2008-04-27 18:12:02          d5892763c3becea6afec39210e71a917            Music\Elton_John\12-I'm Your Puppet.mp3

    File Data

         4155082-4165097

  8                         2008-04-27 18:09:22          326c5af71d036f97c1adfd210b574995            Music\Elton_John\AlbumArtSmall.jpg

    File Data

         4165098-4165105

  8                         2008-04-27 18:05:46          317359a14280c519ce8d1f3e4fe607a2            Music\Elton_John\AlbumArt_{00FEB343-A4EF-48C0-A58B-0321C72AFB82}_Large.jpg

    File Data

         4165106-4165113, 4165114-4165137

  8                         2008-04-27 18:04:58          0aecba6783c8d3dc9331acadd3394203            Music\Elton_John\AlbumArt_{00FEB343-A4EF-48C0-A58B-0321C72AFB82}_Small.jpg

    File Data

         4165138-4165145

  8                         2008-04-27 18:10:04          d75dd97722a8cb3b5d645d280e81b93b            Music\Elton_John\AlbumArt_{6609CAD8-CCF6-4FE7-BB50-D79D8DA92302}_Large.jpg

    File Data

         4165146-4165153, 4165154-4165161

  8                         2008-04-27 18:08:22          5235095d98e89f6d03847668788cc00a            Music\Elton_John\AlbumArt_{6609CAD8-CCF6-4FE7-BB50-D79D8DA92302}_Small.jpg

    File Data

         4165162-4165169

  8                         2008-04-27 18:10:32          0854eac43624b3ff0a3735ca1463d841            Music\Elton_John\AlbumArt_{758956AA-1FD8-41D1-BEC1-BAF69BCF80DC}_Large.jpg

    File Data

         4165170-4165177, 4165178-4165185

  8                         2008-04-27 18:09:22          326c5af71d036f97c1adfd210b574995            Music\Elton_John\AlbumArt_{758956AA-1FD8-41D1-BEC1-BAF69BCF80DC}_Small.jpg

    File Data

         4165186-4165193

  8                         2008-04-27 18:08:08          1c1f55cfa551c80ae01494470d5a0ad6            Music\Elton_John\AlbumArt_{AD88489E-F38C-4942-B531-7BE274FACDB2}_Large.jpg

    File Data

         4165194-4165201, 4165202-4165217

  8                         2008-04-27 18:07:06          d0ecfea1f078c4457e90412a15ff558c            Music\Elton_John\AlbumArt_{AD88489E-F38C-4942-B531-7BE274FACDB2}_Small.jpg

    File Data

         4165218-4165225

  8                         2008-04-27 18:11:12          1252d6a3aef8f3efa58fce8391182166            Music\Elton_John\?esktop.ini

    File Data

         4165226-4165233

  8                         2007-06-07 05:07:38          ecb10bc7c33aefb1f30949cc737070e9            Music\Elton_John\Elton_John-02.MP3

    File Data

         4165234-4176001

  8                         2007-06-07 05:08:06          d2dbfb298bb2638c3b57d7c679dfe94a            Music\Elton_John\Elton_John-03.MP3

    File Data

         4176002-4191169

  8                         2007-06-07 05:08:24          09753362b96e24585b4a5915ae3250de            Music\Elton_John\Elton_John-04.MP3

    File Data

         4191170-4200257

  8                         2007-06-07 05:09:46          ab933d4eba7f0f36888d7ef44c73f415            Music\Elton_John\Elton_John-08.MP3

    File Data

         4200258-4202625, 4202626-4217089

  8                         2007-06-07 05:12:12          9312b2e9a7496b02ba1d6547ca109367            Music\Elton_John\Elton_John-15.MP3

    File Data

         4217090-4228729

  8                         2007-06-07 05:12:44          724c5db8a39b7ea61e0ca196c06c96e5            Music\Elton_John\Elton_John-17.MP3

    File Data

         4228730-4236537

  8                         2008-04-27 18:10:32          0854eac43624b3ff0a3735ca1463d841            Music\Elton_John\Folder.jpg

    File Data

         4236538-4236545, 4236546-4236553

  8                         2012-12-04 19:55:38          6ca1829fb46c96917e6e61a54d75d0f4            Music\Elton_John\AlbumArtSmall.jpg

    File Data

         1066442-1066449

  8                         2012-12-04 19:55:38          6ca1829fb46c96917e6e61a54d75d0f4            Music\Elton_John\AlbumArt_{00FEB343-A4EF-48C0-A58B-0321C72AFB82}_Small.jpg

    File Data

         1066450-1066457

  8                         2012-12-04 19:55:40          61ee818e8e3041c22d1d64f4aea053f3            Music\Elton_John\?esktop.ini

    File Data

         1066522-1066529

  8                         2012-12-04 19:53:58                                                      Music\Manu_Chao

    File Data

         4236554-4236561

  8                         2002-05-21 16:04:52          cb7c1b923d38e16087ba8a90a5b2c9fa            Music\Manu_Chao\01-Clandestino.mp3

    File Data

         4236562-4243529

  8                         2002-05-21 16:05:36          9b7e1c8711230d72b487a8f26967657d            Music\Manu_Chao\02-Desaparecido.mp3

    File Data

         4243530-4254193

  8                         2002-06-24 22:35:42          c67a50c2b40ca8d68cf51a825c65dd1f            Music\Manu_Chao\03-Bongo Bong.mp3

    File Data

         4254194-4257153, 344370-348833

  8                         2002-06-24 22:36:50          e1be88d37a71ba4d8f95a1b8ebeb135d            Music\Manu_Chao\04-Je Ne T'Aime Plus.mp3

    File Data

         348834-354593

  8                         2002-06-24 22:37:22          ba2e9970e88c4060c4a286f596cb4975            Music\Manu_Chao\05-Mentira....mp3

    File Data

         354594-367585

  8                         2002-05-21 16:05:36          ebdb3355e7cc9a35237d1fe6d9ee7d6e            Music\Manu_Chao\06-Lagrimas De Oro.mp3

    File Data

         367586-375921

  8                         2002-05-21 16:05:36          b934faff976af01937157d4c7bdd4ce1            Music\Manu_Chao\10-Welcome To Tijuana.mp3

    File Data

         375922-387377

  8                         2002-05-21 16:05:36          0367c0565f6ef3da3d97d668c0b25695            Music\Manu_Chao\15-La Despedida.mp3

    File Data

         387378-396281

  8                         2008-04-27 19:03:06          df78baa97be4093cae95909a6f94d5fe            Music\Manu_Chao\AlbumArtSmall.jpg

    File Data

         396282-396289

  8                         2008-04-27 19:03:20          38e457ed886866f93335968a8638ad08            Music\Manu_Chao\AlbumArt_{A0F31A58-545E-4020-9120-DB47553C0B48}_Large.jpg

    File Data

         396290-396313

  8                         2008-04-27 19:03:06          df78baa97be4093cae95909a6f94d5fe            Music\Manu_Chao\AlbumArt_{A0F31A58-545E-4020-9120-DB47553C0B48}_Small.jpg

    File Data

         396314-396321

  8                         2008-04-27 19:03:40          afcc0d798665335141014707f4f4ae33            Music\Manu_Chao\?esktop.ini

    File Data

         396322-396329

  8                         2008-04-27 19:03:20          38e457ed886866f93335968a8638ad08            Music\Manu_Chao\Folder.jpg

    File Data

         396330-396353

  8                         2012-12-04 19:44:14                                                      Video

    File Data

         1056914-1056921

  8                         2011-01-22 13:19:16          7b1c1214777f91c71dfbfec0b79e2e3d            Video\Cirque.Du.Soleil.Kooza.2008.avi

    File Data

         1109602-1122433, 1122434-1187969, 1187970-1253505, 1253506-1319041, 1319042-1384577, 1384578-1450113, 1450114-1515649, 1515650-1581185, 1581186-1646721, 1646722-1712257, 1712258-1777793, 1777794-1843329, 1843330-1908865, 1908866-1974401, 1974402-2039937, 2039938-2105473, 2105474-2171009, 2171010-2236545, 2236546-2302081, 2302082-2367617, 2367618-2433153, 2433154-2498689, 2498690-2564225, 2564226-2629761, 2629762-2695297, 2695298-2760833, 2760834-2826369, 2826370-2891905, 2891906-2957441, 2957442-3022977, 3022978-3088513, 3088514-3154049, 3154050-3219585, 3219586-3285121, 3285122-3350657, 3350658-3416193, 3416194-3481729, 3481730-3547265, 3547266-3612801, 3612802-3678337, 3678338-3743873, 3743874-3809409, 3809410-3874945, 3874946-3940481, 3940482-3966097

 

END Date / Time of Collection: 2013-02-06 22:11:30

----------------------------------------------------------------------------------------------------