Friday, December 28, 2007

Deleted Apps

Anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r question I've received, as well as seen in online forums, has to do with locating deleted applications.

As Windows performs some modicum of tracking of user activities, you may find references to applications that were launched in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist keys in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user's NTUSER.DAT file. Not only would you find references to launching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application or program itself, but I've seen where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user has clicked on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Uninstall" shortcut that gets added to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Program menu of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Start Menu. I've also seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UserAssist keys where a user has launched an installation program, run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 installed application, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n clicked on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Uninstall shortcut for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application.

You may also find references to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user launching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Add/Remove Programs" Control Panel applet.

If you're dealing with an XP system you may find that if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application was originally installed via an MSI package, a Restore Point was created when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application was installed...and one may have been created when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application was removed, as well. So, be sure to parse those rp.log files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Restore Points.

An MFT entry that has been marked as deleted is great for showing that a file, or even several files, had been deleted. Analysis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Recycle Bin/INFO2 file may show you something useful. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ways to find more data, to include showing that at one time, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application had been used...such as by parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .pf files in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 XP Prefetch directory, and performing Registry analysis.

Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Resources:
Intentional Erasure