最近我参加了一次面试,面试官在技术面试中问了我以下问题:
- 粘滞便笺如何工作?
- 即使没有明确保存数据,Windows 是如何保存数据的?
- 即使系统崩溃,数据如何保存?
我不知道它是如何工作的。尝试谷歌搜索,但我找不到任何有用的信息。
任何人都可以解释或提供一些信息吗?
问问题
1010 次
2 回答
4
我同意@Vii 的回复。他拥有有关文件存储位置的正确信息。
我在这里找到了有关此文件的一些取证背景:http: //www.forensicswiki.org/wiki/Sticky_Notes
SNT 文件似乎有 3 个数据流,0,1 和 3。Stream 0 以 RTF 格式存储信息,Steam 3 以 Unicode 格式存储实际文本。
存储流的根条目有一个与之关联的时间戳,您可以使用 MiTec Storage Viewer、Sticky7List 等工具来查看与文件关联的创建和修改时间。您可以创建便笺并观察它何时创建数据流并修改便笺并监视它如何修改文件。
一些有用的参考资料: http ://www.pcworld.com/article/191453/sticky_notes.html
http://www.forensicswiki.org/wiki/Sticky_Notes
http://computer-forensics.sans.org/blog/2010/10/19/digital-forensics-stuck-stickies-2
http://windowsir.blogspot.com/2011/08/sticky-notes-analysis.html
于 2013-11-08T16:58:28.150 回答
3
便笺被写入您可以在 '%appdata%\Microsoft\Sticky Notes\StickyNotes.snt' 找到的文件中,并且由于没有明确的“保存”选项,它应该在您写入时将内容刷新到该文件它并因此在系统崩溃的情况下保留数据。
于 2013-11-07T16:07:56.860 回答