우리는 듀얼 부팅이 가능한 노트북을 가지고 있는데, 기본은 Win 7 pro이고 보조는 WAS Win XP입니다. Win 7 하드 드라이브는 최신 프로그램 등을 실행하기 위해 설치되었습니다. 우리는 오래된 건물 관리 시스템을 위해 XP 드라이브를 유지했습니다. 불만을 품은 기술자는 XP 하드 드라이브를 포맷하여 모든 것을 지웠습니다. 탐색된 Windows에 표시되는 유일한 것은 100Mb(인덱싱을 위한 것으로 가정)입니다. 드라이브에는 297Gig의 여유 공간만 표시됩니다. 속성에는 생성 날짜가 없습니다. 특정 기간 내에 데이터를 파괴하려는 의도를 입증하려면 드라이브가 포맷된 시기(볼륨 생성 시기)를 (가능한 경우) 알아내야 합니다. 이번에도 운영 체제가 없는 비어 있지만 탑재 가능한 하드 드라이브입니다. 볼륨 번호와 일련 번호가 있다고 가정하면 생성 날짜를 결정할 수 있습니까? 나는 프로그래머가 아니므로 일반인 용어가 좋을 것입니다. 가능한 도움에 미리 감사드립니다.
답변1
가능하다면 gpart 또는 gdisk(파티션 도구인 gparted가 아님) 또는 Linux 배포판의 복사본을 가져와 문제의 partiton/드라이브를 찾으세요. (lsblk 실행은 이에 매우 유용합니다.) 일단 알려진 실행 gpart -f -d -l (일부 파일 이름) {외부 인클로저에 있다고 가정하여 아래 --sample 구문으로 표시되는 것은 무엇이든)
$ lsblk
[서버@서버 ~]$ lsblk
이름 MAJ:MIN RM 크기 RO 유형 마운트포인트
sda 8:0 0 232.9G 0 디스크
├─sda1 8:1 0 2M 0 부분
├─sda2 8:2 0 518M 0 부분
│ └─server.boot-boot 253:0 0 512M 0 lvm /boot
└─sda3 8:3 0 232.4G 0 부분 |
└─luks-11cc71b0-109f-47e0-8951-8a96195755ef
253:1 0 232.4G 0 crypt
{간단히 설명하기 위해 생략}
sdb 8:16 0 7.5G 0 디스크
(이 경우 대상 드라이브는 sdb가 됩니다)
$ gpart -b -f -l 포렌식 로그 /dev/sdb