最近我参加了面试,面试官在技术面对面的采访中问我以下问题:
我不知道它是如何运作的。尝试谷歌搜索,但我找不到任何有用的信息。
有人可以解释或提供一些信息吗?
答案 0 :(得分:4)
我同意@ Vii的回应。他拥有关于文件存储位置的正确信息。
我在这里找到了一些关于此文件的取证背景: http://www.forensicswiki.org/wiki/Sticky_Notes
似乎SNT文件有3个数据流,0,1和3.流0以RTF格式存储信息,而Steam 3以Unicode格式存储实际文本。
存储流的根条目具有与之关联的时间戳,您可以使用MiTec Storage Viewer,Sticky7List等工具查看与文件关联的创建和修改时间。您可以创建便签并观察它何时创建数据流并修改便签并监视它如何修改文件。
一些有用的参考资料: http://www.pcworld.com/article/191453/sticky_notes.html
http://www.forensicswiki.org/wiki/Sticky_Notes
http://computer-forensics.sans.org/blog/2010/10/19/digital-forensics-stuck-stickies-2
http://windowsir.blogspot.com/2011/08/sticky-notes-analysis.html
答案 1 :(得分:3)
粘滞便笺写入一个文件,您可以在'%appdata%\ Microsoft \ Sticky Notes \ StickyNotes.snt'中找到该文件,因为没有明确的'保存'选项,它应该将内容刷新到该文件当你编写它时,因此在系统崩溃时保留数据。