Ich möchte überprüfen, ob jemand/etwas Dateien auf unserem Server (Microsoft Windows Server 2003 R2) gelöscht hat, auch über das Löschen im Papierkorb hinaus. Gibt es eine Möglichkeit, dieverfolgender gelöschten Dateien?
DerAktenvernichterbehauptet, dass Windows hinterlässt eineverfolgenwenn Dateien gelöscht werden:
Tatsächlich entfernt die Löschoperation in Windows nur Informationsteile aus Dateien, sosie erscheinen gelöschtim Betriebssystem. Mit der oben genannten speziellen Dateiwiederherstellungssoftware können diese Dateien problemlos wiederhergestellt werden.
Da waren außerdemEin Eintragdass gelöschte Dateien ein gewissesverfolgenauf der Festplatte selbst:
Theoretisch, so höre ich, können Sie (wenn Sie die CIA sind) mit einem nicht-optischen Mikroskop eine Festplatte untersuchen und ziemlich viel von dem wiederherstellen, was darauf war, selbst wenn es inzwischen überschrieben wurde. Alles auf der Festplatte besteht aus 0en und 1en,aber wenn sie es magnetisch betrachten, können sie sehen, dass einige der Einsen vorher Nullen warenund so weiter. Ich weiß nicht, wie weit diese Fähigkeiten reichen, aber ich glaube, dass die Fähigkeit dazu vorhanden ist.
Ich möchte den Dateinamen und das Löschdatum der gelöschten Datei sehen. Ist das möglich?
Bitte helfen Sie. Vielen Dank im Voraus.
Antwort1
Es gab auch einen Beitrag, dass gelöschte Dateien gewissermaßen Spuren auf der Festplatte hinterlassen
Gelöschte Dateien hinterlassen viel mehr als nur eine Spur.
Da diese Frage markiert istWindows Server 2003Diese Antwort setzt die Verwendung des NTFS-Dateisystems voraus.
Wenn Sie im Windows-Betriebssystem eine Datei „endgültig“ (also aus dem Papierkorb) löschen, löscht Windows nicht die gesamte Datei. Stattdessen werden lediglich Verweise auf die Datei aus der Master File Table (MFT) entfernt, die als „Index“ dient, der vom Dateisystem zum Auffinden der eigentlichen Daten der Datei verwendet wird.Von MSDN:
Für jede Datei auf einem NTFS-Dateisystemvolume gibt es mindestens einen Eintrag in der MFT, einschließlich der MFT selbst.... Wenn Dateien von einem NTFS-Dateisystemvolume gelöscht werden, werden ihre MFT-Einträge als frei markiert und können wiederverwendet werden.
Das ist alles, was passiert. Die eigentlicheDatenbleibt auf der Festplatte. Mit den richtigen Tools können diese Dateien problemlos wiederhergestellt werden, sofern die Daten einer anderen Datei nicht über den gelöschten Daten gespeichert wurden.
Antwort2
Ich möchte den Dateinamen und das Löschdatum der gelöschten Datei sehen. Ist das möglich?
Die genannten Wiederherstellungstechniken könnten (wenn die Datenträgercluster nicht wiederverwendet wurden) in der Lage sein, das ursprüngliche Verzeichnis wiederherzustellen. Ich würde jedoch erwarten, dass ein Verzeichnis normalerweise an Ort und Stelle aktualisiert wird, daher erscheint dies höchst unwahrscheinlich.
Unter Windows: Nein, es sei denn, Sie haben die Dateiüberwachung für das Dateisystem aktiviert (d. h. nicht nachträglich).