Existe uma maneira de ver o arquivo excluído “trace”?

Navegue suas respostas
0

Eu quero verificar se alguém / alguma coisa excluiu arquivos em nosso servidor (Microsoft Windows Server 2003 R2) mesmo além da exclusão na lixeira. Existe alguma maneira de ver o rastreio dos arquivos excluídos?

O File Shredder afirma que o Windows deixa um rastreio quando os arquivos são excluídos:

Actually, the "delete" operation in Windows only removes bits of information from files so they appear deleted in OS. It is easy to retrieve those files using aforementioned specialized file recovery software.

Havia também uma postagem de que os arquivos excluídos deixavam um pouco trace no próprio disco rígido:

Theoretically, I hear you (if you're the CIA) can take an a non-optical microscope to a hard drive and recover quite a bit of what was on it even if it's been overwritten since. Everything on hard disk is 0s and 1s, but if they look at it magnetically they can see that some of the 1s used to be 0s and so on. I don't know how far these skills extend, but I believe the capability exists.

Eu quero ver o nome do arquivo e a data de exclusão do arquivo excluído, é viável?

Por favor ajude. Agradecemos antecipadamente.

    
por John Isaiah Carmona 17.04.2012 / 08:14

2 respostas

1

There were also a post that deleted files somewhat leave a trace in the hard disk itself

Os arquivos excluídos deixam muito mais do que um rastreio.

Como esta questão está marcada com windows -server-2003 esta resposta pressupõe o uso do sistema de arquivos NTFS.

Quando você "permanentemente" (ou seja, da Lixeira) excluir um arquivo no sistema operacional Windows, o Windows não exclui o arquivo inteiro. Em vez disso, ele simplesmente remove referências ao arquivo da tabela de arquivos mestre (MFT), que atua como um "índice" usado pelo sistema de arquivos para localizar os dados reais do arquivo. da MSDN :

There is at least one entry in the MFT for every file on an NTFS file system volume, including the MFT itself.... When files are deleted from an NTFS file system volume, their MFT entries are marked as free and may be reused.

Isso é tudo o que acontece. Os dados reais são deixados no disco. Com as ferramentas adequadas, esses arquivos podem ser facilmente recuperados, contanto que algum outro arquivo não tenha seus dados salvos no topo dos dados excluídos.

    
por 03.05.2017 / 04:56
0

I want to see the file name and the date of deletion of the deleted file, is it feasible?

As técnicas de recuperação referenciadas podem (se os clusters de disco não tiverem sido reutilizados) conseguir recuperar o diretório original. Mas eu esperaria que um diretório normalmente fosse atualizado no lugar, então isso parece altamente improvável.

Dentro do Windows: não, a menos que você tenha habilitado a auditoria de arquivos no sistema de arquivos (ou seja, não retrospectivamente).

    
por 17.04.2012 / 08:20

Tags

Windows 7, TrueCrypt e Sleep - montagem automática ao retomar a máquina Como acessar o aplicativo do app floder