Sleep Modus tidur ini dimaksudkan untuk menghemat energi , tetapi juga dimaksudkan untuk mendapatkan komputer kembali ke operasi secepat mungkin.
Hibernation
Hibernasi adalah juga modus hemat daya tetapi dimaksudkan untuk laptop dari desktop . Hal ini di sini bahwa kita mulai melihat beberapa potensi manfaat investigasi .
Hybris Sleep
Seperti namanya , tidur hibrida merupakan perpaduan dari dua mode sebelumnya dan dimaksudkan terutama untuk desktop . Ini membuat jumlah minimal daya yang digunakan untuk RAM ( melestarikan data dan aplikasi ) dan menulis data ke disk .
Windows Registry memainkan peran penting dalam pengoperasian PC.Microsoft TechNet mendefinisikan registri sebagai " hanya sebuah database untuk file konfigurasi. " Anda juga bisa menggambarkannya sebagai sistem saraf pusat komputer . Dalam konteks itu , Anda dapat melihat betapa pentingnya registri ke komputer Windows.
Jika pemeriksa mencurigai bahwa sistem telah ditetapkan untuk memotong recycle bin , pertama hal mereka akan memeriksa akan registri . The " NukeOnDelete " Nilai akan diatur ke" 1 " menunjukkan bahwa fungsi ini telah diaktifkan
Metadata yang paling sering didefinisikan sebagai data tentang data . Odds yang Anda telah dating di metadata di beberapa titik . Anda mungkin tidak tahu bahwa apa yang Anda melihat . Ada dua rasa metadata jika Anda akan: aplikasi dan file yang sistem . Ingat , sistem file melacak file dan folder kita juga karena beberapa informasi tentang mereka .
Gambar 5.2
Banyak alat yang ada hanya untuk tujuan itu . Sebagai contoh , firma hukum rutin menggosok metadata dari semua dokumen outbound , seperti yang ditransmisikan melalui e -mail . Bagi individu yang berpikiran privasi , versi yang lebih baru Microsoft Word memiliki kemampuan untuk mendeteksi dan menghapus metadata .
Untuk membuatnya lebih mudah untuk melihat gambar-gambar di komputer Anda , Windows menciptakan versi lebih kecil dari foto Anda disebut thumbnail . Thumbnail hanya miniature versi rekan-rekan mereka yang lebih besar . Ini miniatur diciptakan secara otomatis oleh Windows ketika pengguna memilih " Thumbnail " saat menggunakan Windows Explorer . Windows menciptakan beberapa jenis thumbnail file , tergantung pada versi yang digunakan . Windows XP menciptakan sebuah file bernama thumbs.db . Microsoft Vista dan Windows 7 membuat file yang sama disebut thumbcache . db .
MRU adalah link yang berfungsi sebagai shortcut ke aplikasi atau file yang baru saja digunakan . Anda dapat melihat ini dalam tindakan dengan mengklik tombol Start Windows melalui menu file di banyak aplikasi .
Link file memiliki stempel tanggal dan waktu mereka sendiri menunjukkan ketika mereka diciptakan dan terakhir digunakan . Keberadaan link file bisa menjadi penting . Hal ini dapat digunakan untuk menunjukkan bahwa seseorang benar-benar membuka file tersebut .
Komputer mencatat sejumlah besar informasi tanpa sepengetahuan sebagian besar pengguna . Artefak ini datang dalam berbagai bentuk dan dapat ditemukan seluruh sistem . Sebagai contoh, mungkin untuk mengidentifikasi penyimpanan eksternal perangkat , seperti thumb drive , yang telah terpasang pada sistem . Produk pindah untuk Windows Recycle Bin dapat memberitahu kami ketika mereka dihapus dan dimana akun .
Bahkan jika file telah dihapus atau ditimpa , salinan file bisa tetap eksis pada drive dalam berbagai bentuk . Salinan ini sering diabaikan dihasilkan oleh pekerjaan cetak dan fungsi hibernasi serta restore point . File-file ini dapat juga dapat ditemukan di ruang swap , bagian tertentu dari hard drive yang digunakan ketika sistem dari RAM . Satu takeaway besar dari bab ini adalah bahwa bukti yang berharga dari file tertentu , tindakan , atau peristiwa dapat direkam di berbagai lokasi .