Wie kann ich wissen, in welche Blöcke / Sektoren zuletzt auf einem NTFS-Volume geschrieben wurde?

Gibt es ein Tool, mit dem ich feststellen kann, welche Datenblöcke zuletzt auf ein NTFS-Volume geschrieben wurden? Möglicherweise enthält die "$ Journal" -Datei des NTFS-Volumes Informationen, die extrahiert oder analysiert / interpretiert werden können. Gibt es ein Tool, mit dem ermittelt wird, welche Cluster oder Sektoren zuletzt auf ein NTFS- oder FAT-Volume geschrieben oder geändert wurden?

Ich frage, weil der Computer, den ich benutzte, gestorben ist (schnell, ohne blauen Bildschirm - ich gehe davon aus, dass kein Speicherauszug von Windows erstellt wurde), als eine 2-4 MB-Datei auf der internen Festplatte gespeichert wurde. Ich frage mich, ob der Inhalt dieser Datei tatsächlich auf die Festplatte geschrieben wurde. Möglicherweise befanden sich alle Inhalte der Datei, die physisch geschrieben werden sollten, nur im RAM-E / A-Puffer. Wenn dies der Fall ist, glaube ich nicht, dass ich irgendwelche (auch nur Teile) der zu dieser Datei gehörenden Daten abrufen / finden kann (es sei denn, *). Ich frage mich jedoch, ob es möglich ist, dass der Teilinhalt dieser Datei tatsächlich in den permanenten Speicher geschrieben wurde. Ich habe Windows 7 64-Bit ausgeführt und auf das Volume C: geschrieben (das Haupt-System-NTFS-Volume auf dieser Festplatte). Das Motherboard (und / oder die Stromversorgung) ist seit einiger Zeit unzuverlässig.

Ich habe angefangen, etwas über The Sleuth Kit zu erfahren. Es handelt sich um eine kostenlose forensische Open-Source-Softwaresuite, die in jeder GNU / Linux-Distribution (oder auch anderen UNIX-ähnlichen Systemen, glaube ich) installiert werden kann. Zu diesem Zweck könnte eine der Apps, die Teil dieser Toolsuite sind, verwendet werden. Eine solche App in TheSleutKit ist Blkls. Wenn Sie es im Standardmodus ausführen, ohne Schalter, werden die unformatierten (binären?) Inhalte aller nicht zugewiesenen Blöcke / Sektoren auf dem Speichergerät / der Partition in stdout (1 >>) (oder |) ausgegeben. Ich denke jedoch nicht, dass dies hilfreich sein wird, da dies das NTFS-Systemvolume ist und viele dieser nicht zugewiesenen Blöcke gelöschte Dateien enthalten, die älter sind als die eine Datei, nach der ich nach Fragmenten suche. Wenn all diese nicht zugewiesenen Blöcke niemals zuvor Daten enthielten, wären blkls möglicherweise für diesen Zweck hilfreich.

Was die Möglichkeit eines RAM-Dumps anbelangt, habe ich kürzlich gelesen, dass, wenn Windows einen Speicherabzug erstellt, der Inhalt von (Einige oder alle) (möglicherweise nur Prozess (e) auswählen), wenn nicht ein gesamtes Abbild des RAMs (RAM) kopiert wird Nach dem nächsten Start von Windows wird der Speicherabzug extrahiert und in einer separaten .dmp-Datei irgendwo in C: \ Windows oder im Benutzerordner gespeichert. Ist es möglich, dass Daten, die auf den NTFS-Datenträger geschrieben werden sollten, zuerst in einem RAM-E / A-Puffer waren, dass diese Daten Teil eines Speicherabbilds wären?