デュアルブートのラップトップがあり、プライマリはWin 7 Pro、セカンダリはWin XPで、Win 7ハードドライブは最新のプログラムなどを実行するためにインストールされていました。XPドライブは古いビル管理システム用に残していました。不満を持った技術者がXPハードドライブをフォーマットしてすべてを消去したため、Windowsで表示されるのは100MB(インデックス用だと思います)だけで、ドライブには297GBの空き容量しかありません。プロパティには作成日がありません。特定の期間内にデータを破壊する意図があることを証明するために、ドライブがフォーマットされた(ボリュームが作成された)日付を(可能であれば)確認する必要があります。もう一度言いますが、今は空ですがマウント可能なハードドライブで、オペレーティングシステムは入っていません。ボリューム番号とシリアル番号があると仮定すると、作成日を特定できますか?私はプログラマーではないので、素人にもわかる言葉で説明していただけるとありがたいです。ご協力いただければ幸いです。
答え1
可能であれば、gpart または gdisk (パーティション ツールの gparted ではありません) または任意の Linux ディストリビューションのコピーを入手し、問題のパーティション / ドライブを見つけます (lsblk を実行すると、この作業に非常に役立ちます)。見つかったら、gpart -f -d -l (ファイル名) を実行します (外部エンクロージャ内にあると仮定して、以下の --sample 構文で示されているもの)。
$ lsblk
[サーバー@サーバー ~]$ lsblk
名前 MAJ:MIN RM サイズ RO タイプ マウントポイント
sda 8:0 0 232.9G 0 ディスク
├─sda1 8:1 0 2M 0 部分
├─sda2 8:2 0 518M 0 部分
│ └─server.boot-boot 253:0 0 512M 0 lvm /boot
└─sda3 8:3 0 232.4G 0 パート |
└─luks-11cc71b0-109f-47e0-8951-8a96195755ef
253:1 0 232.4G 0 crypt
{簡潔にするため省略}
sdb 8:16 0 7.5G 0 ディスク
(この場合、ターゲット ドライブは sdb になります)
$ gpart -b -f -l フォレンジックログ /dev/sdb