Quiero verificar si alguien/algo eliminó archivos en nuestro servidor (Microsoft Windows Server 2003 R2) incluso más allá de la eliminación en la papelera de reciclaje. ¿Hay alguna manera de que pueda ver elrastrode los archivos eliminados?
ElTrituradora de papelesafirma que Windows deja unrastrocuando se eliminan archivos:
En realidad, la operación "eliminar" en Windows sólo elimina fragmentos de información de los archivos, por lo queaparecen eliminadosen el sistema operativo. Es fácil recuperar esos archivos utilizando el software de recuperación de archivos especializado antes mencionado.
También hubouna publicaciónque los archivos eliminados dejan algo derastroen el propio disco duro:
Teóricamente, escuché que (si eres de la CIA) puedes llevar un microscopio no óptico a un disco duro y recuperar bastante de lo que había en él, incluso si se ha sobrescrito desde entonces. Todo lo que hay en el disco duro son 0 y 1,pero si lo miran magnéticamente pueden ver que algunos de los 1 solían ser 0etcétera. No sé hasta dónde llegan estas habilidades, pero creo que la capacidad existe.
Quiero ver el nombre del archivo y la fecha de eliminación del archivo eliminado, ¿es factible?
Por favor ayuda. Gracias de antemano.
Respuesta1
También hubo una publicación que decía que los archivos eliminados dejan un rastro en el disco duro.
Los archivos eliminados dejan mucho más que un rastro.
Dado que esta pregunta está etiquetadaservidor-windows-2003esta respuesta supone el uso del sistema de archivos NTFS.
Cuando elimina "permanentemente" (es decir, desde la Papelera de reciclaje) un archivo en el sistema operativo Windows, Windows no elimina el archivo completo. En cambio, simplemente elimina las referencias al archivo de la Tabla maestra de archivos (MFT), que actúa como un "índice" utilizado por el sistema de archivos para localizar los datos reales del archivo.Desde MSDN:
Hay al menos una entrada en el MFT para cada archivo en un volumen del sistema de archivos NTFS, incluido el propio MFT.... Cuando los archivos se eliminan de un volumen del sistema de archivos NTFS, sus entradas MFT se marcan como libres y pueden reutilizarse.
Eso es todo lo que sucede. El actualdatosqueda en el disco. Con las herramientas adecuadas, estos archivos se pueden recuperar fácilmente, siempre y cuando no se hayan guardado datos de ningún otro archivo encima de los datos eliminados.
Respuesta2
Quiero ver el nombre del archivo y la fecha de eliminación del archivo eliminado, ¿es factible?
Las técnicas de recuperación a las que se hace referencia podrían (si los clústeres de discos no se han reutilizado) recuperar el directorio original. Pero esperaría que normalmente se actualice un directorio, por lo que esto parece muy poco probable.
Dentro de Windows: no, a menos que haya habilitado la auditoría de archivos en el sistema de archivos (es decir, no de forma retrospectiva).