휴지통 삭제 외에도 누군가가 우리 서버(Microsoft Windows Server 2003 R2)의 파일을 삭제했는지 확인하고 싶습니다. 제가 볼 수 있는 방법이 있나요?추적하다삭제된 파일은?
그만큼파일 분쇄기Windows가 다음을 남긴다고 주장합니다.추적하다파일이 삭제된 경우:
실제로 Windows의 "삭제" 작업은 파일에서 일부 정보만 제거하므로삭제된 것 같아OS에서. 앞서 언급한 전문 파일 복구 소프트웨어를 사용하면 해당 파일을 쉽게 검색할 수 있습니다.
또한 있었다게시물삭제된 파일은 약간의 흔적을 남깁니다.추적하다하드 디스크 자체에서:
이론적으로는 (당신이 CIA라면) 비광학 현미경을 하드 드라이브에 가져가서 덮어썼더라도 그 안에 있던 내용을 상당 부분 복구할 수 있다고 들었습니다. 하드디스크의 모든 것은 0과 1이다.하지만 자기적으로 보면 1 중 일부가 0이었던 것을 알 수 있습니다.등등. 이러한 기술이 어디까지 확장되는지는 모르겠지만, 그러한 능력이 존재한다고 믿습니다.
삭제된 파일의 파일명과 삭제 날짜를 보고 싶은데 가능한가요?
도와주세요. 미리 감사드립니다.
답변1
삭제한 파일이 하드디스크 자체에 흔적이 다소 남는다는 글도 있었습니다.
삭제된 파일은 흔적 이상의 것을 남깁니다.
이 질문에 태그가 지정되었으므로Windows-서버-2003이 답변에서는 NTFS 파일 시스템을 사용한다고 가정합니다.
Windows 운영 체제에서 파일을 "영구적으로"(즉, 휴지통에서) 삭제하면 Windows는 전체 파일을 삭제하지 않습니다. 대신 파일의 실제 데이터를 찾기 위해 파일 시스템에서 사용하는 "인덱스" 역할을 하는 MFT(마스터 파일 테이블)에서 파일에 대한 참조를 제거합니다.MSDN에서:
MFT 자체를 포함하여 NTFS 파일 시스템 볼륨의 모든 파일에 대해 MFT에는 최소한 하나의 항목이 있습니다.... NTFS 파일 시스템 볼륨에서 파일이 삭제되면 해당 MFT 항목은 무료로 표시되어 재사용될 수 있습니다.
그게 일어나는 전부입니다. 실제데이터디스크에 남습니다. 다른 파일에 삭제된 데이터 위에 해당 데이터가 저장되어 있지 않은 한 적절한 도구를 사용하면 이러한 파일을 쉽게 복구할 수 있습니다.
답변2
삭제된 파일의 파일명과 삭제 날짜를 보고 싶은데 가능한가요?
참조된 복구 기술은 (디스크 클러스터를 재사용하지 않은 경우) 원래 디렉터리를 복구할 수 있습니다. 그러나 나는 디렉토리가 일반적으로 그 자리에서 업데이트될 것으로 기대하므로 그럴 가능성은 거의 없습니다.
Windows 내: 아니요, 파일 시스템에서 파일 감사를 활성화하지 않은 경우(즉, 소급적으로 활성화하지 않은 경우).