Я хочу проверить, удалял ли кто-нибудь / что-то файлы на нашем сервере (Microsoft Windows Server 2003 R2) даже после удаления из корзины. Можно ли как-нибудь просмотреть трассировку удаленных файлов?

File Shredder утверждает, что Windows оставляет след при удалении файлов:

На самом деле, операция "удалить" в Windows удаляет только биты информации из файлов, поэтому они кажутся удаленными в ОС. Эти файлы легко получить с помощью вышеупомянутого специализированного программного обеспечения для восстановления файлов.

Был также пост, в котором удаленные файлы несколько оставляли след на самом жестком диске:

Теоретически, я слышал, вы (если вы из ЦРУ) можете взять неоптический микроскоп на жесткий диск и восстановить немало того, что было на нем, даже если он был перезаписан с тех пор. Все на жестком диске - 0 и 1, но если они смотрят на это магнитно, они могут видеть, что некоторые из 1 были 0 и так далее. Я не знаю, насколько далеко распространяются эти навыки, но я верю, что такая возможность существует.

Я хочу увидеть имя файла и дату удаления удаленного файла, возможно ли это?

Пожалуйста помоги. Заранее спасибо.

|источник

2 ответа2

1

Был также пост, в котором удаленные файлы несколько оставляли след на самом жестком диске

Удаленные файлы оставляют намного больше, чем след.

Поскольку этот вопрос помечен как этот ответ предполагает использование файловой системы NTFS.

Когда вы "навсегда" (то есть из корзины) удаляете файл в операционной системе Windows, Windows не удаляет весь файл. Вместо этого он просто удаляет ссылки на файл из главной таблицы файлов (MFT), которая действует как "индекс", используемый файловой системой для определения местоположения фактических данных файла. Из MSDN:

Существует по крайней мере одна запись в MFT для каждого файла на томе файловой системы NTFS, включая сам MFT .... Когда файлы удаляются с тома файловой системы NTFS, их записи MFT помечаются как свободные и могут быть использованы повторно.

Это все, что происходит. Фактические данные остаются на диске. С помощью соответствующих инструментов эти файлы могут быть легко восстановлены, если в каком-то другом файле данные не сохранены поверх удаленных данных.

|источник
0

Я хочу увидеть имя файла и дату удаления удаленного файла, возможно ли это?

Указанные методы восстановления могут (если кластеры дисков не были повторно использованы) иметь возможность восстановить исходный каталог. Но я ожидаю, что каталог будет обновляться на месте, так что это маловероятно.

В Windows: нет, если вы не включили аудит файлов в файловой системе (т.е. не ретроспективно).

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .