Recentemente, um erro ao mover um arquivo grande pela rede resultou na exclusão do original antes da conclusão da movimentação.
A unidade NTFS com o arquivo original não foi alterada desde então, mas, por algum motivo, a meia dúzia de utilitários undelete de melhor classificação não pode recuperar o arquivo, eles o veem como comprimento 0 e falham ao tentar recuperá-lo. Eu sinceramente não consigo lembrar seus nomes. Eu acabei de descer na lista tentando todos eles em ordem, até que muitos deles me deram exatamente os mesmos resultados que eu estava convencido de que eles são basicamente equivalentes uns aos outros e todos correndo para o mesmo problema.
Em seguida, usei um utilitário que escreveu todo o conteúdo da unidade em um arquivo de imagem, que examinei e localizei partes do arquivo ausente intercaladas com partes de outros arquivos no disco.
Existe uma maneira de ler ou atribuir apenas os setores que NÃO fazem parte de um arquivo existente?
Ainda mais complexo do que isso, provavelmente levando semanas para ser concluído:
O Linux pré-construiu bibliotecas para o ntfs. Eu nunca fiz isso, então não sei quão fácil / difícil seria.
Você poderia na memória decodificar as entradas do sistema de arquivos NTFS para criar uma lista de todos os setores usados. Em seguida, digitalize essa lista para ver as lacunas.
Escrever esse programa pode levar semanas.
Primeiro, isso não será rápido nem fácil.
Faça um backup da imagem caso algo dê errado ou, mais provavelmente, você cometer um erro inadvertidamente.
Aqui está o processo de subtração.
Se você imaginasse tudo, ele deveria ser montável.
Monte, se você não puder fazer isso no windows, o Linux fará isso. montar -o loop /image.img / mountpoint
Obter ou gravar um programa sobrescreve cada arquivo com um 0 para o número exato de bytes do tamanho do arquivo. O programa provavelmente poderia ser escrito em C em 30 a 60 minutos com alguns testes incluídos. Exclua o arquivo que você acabou de escrever.
Agora repita para cada arquivo na imagem.
Exceto pelos dados excluídos, e um pouco de infraestrutura, o resto do setor seria 0.
Eu esqueci dos zumbis. Claro que vai apagar todos os arquivos alocados, mas há chances de haver gigabytes de arquivos remanescentes de arquivos excluídos anteriormente. Arquivos que foram excluídos e parcialmente gravados e excluídos e assim por diante para lidar.