Tenemos una computadora portátil que tenía arranque dual, la principal es Win 7 pro y la secundaria WAS Win XP, el disco duro Win 7 se instaló para ejecutar programas modernos, etc. Mantuvimos la unidad XP para sistemas de administración de edificios más antiguos. El técnico descontento formateó el disco duro XP borrando todo, lo único que se muestra en Windows explorado son 100 Mb (que supongo que son para indexación), el disco no muestra nada más que 297 Gigas de espacio libre. En propiedades no hay ninguna fecha de creación. Necesitamos averiguar (si es posible) cuándo se formateó la unidad (se creó el volumen) para demostrar la intención de destruir datos dentro de un período de tiempo determinado. Nuevamente, ahora es un disco duro en blanco pero montable sin sistema operativo. Suponiendo que tenga un número de volumen y un número de serie, ¿se puede determinar la fecha de creación? No soy programador, por lo que los términos simples serían geniales. Gracias de antemano por cualquier posible ayuda.
Respuesta1
Si es posible, tome una copia de gpart o gdisk (no gparted, que es una herramienta de partición) o cualquier distribución de Linux y ubique la partición/unidad en cuestión. (ejecutar lsblk es muy útil para esto) Una vez conocido, ejecute gpart -f -d -l (algún nombre de archivo) {lo que sea que se muestre como --sintaxis de muestra a continuación, asumiendo que está en un gabinete externo)
$ lsblk
[servidor@servidor ~]$ lsblk
NOMBRE MAJ:MIN RM TAMAÑO RO TIPO PUNTO DE MONTAJE
sda 8:0 0 232.9G 0 disco
├─sda1 8:1 0 2M 0 parte
├─sda2 8:2 0 518M 0 parte
│ └─server.boot-boot 253:0 0 512M 0 lvm /boot
└─sda3 8:3 0 232.4G 0 parte |
└─luks-11cc71b0-109f-47e0-8951-8a96195755ef
253:1 0 232.4G 0 crypt
{RECORTADO POR BREVIDAD}
sdb 8:16 0 7.5G 0 disco
(la unidad de destino sería sdb en este caso)
$ gpart -b -f -l registro-forense /dev/sdb