Quero verificar se alguém/alguma coisa excluiu arquivos em nosso servidor (Microsoft Windows Server 2003 R2) mesmo além da exclusão na lixeira. Existe alguma maneira de eu ver ovestígiodos arquivos excluídos?
OTriturador de arquivosafirma que o Windows deixa umvestígioquando os arquivos são excluídos:
Na verdade, a operação “excluir” no Windows remove apenas pedaços de informação dos arquivos, entãoeles aparecem excluídosno sistema operacional. É fácil recuperar esses arquivos usando o software especializado de recuperação de arquivos mencionado acima.
Havia tambémuma postagemque os arquivos excluídos deixam um poucovestígiono próprio disco rígido:
Teoricamente, ouvi dizer que você (se você for da CIA) pode levar um microscópio não óptico para um disco rígido e recuperar uma boa parte do que estava nele, mesmo que tenha sido sobrescrito desde então. Tudo no disco rígido é 0s e 1s,mas se olharem magneticamente, poderão ver que alguns dos 1s costumavam ser 0se assim por diante. Não sei até onde vão essas habilidades, mas acredito que a capacidade existe.
Quero ver o nome do arquivo e a data de exclusão do arquivo excluído, é viável?
Por favor ajude. Desde já, obrigado.
Responder1
Houve também uma postagem que dizia que arquivos excluídos deixavam rastros no próprio disco rígido
Arquivos excluídos deixam muito mais do que rastros.
Como esta pergunta está marcadawindows-server-2003esta resposta pressupõe o uso do sistema de arquivos NTFS.
Quando você exclui "permanentemente" (ou seja, da Lixeira) um arquivo no sistema operacional Windows, o Windows não exclui o arquivo inteiro. Em vez disso, ele simplesmente remove as referências ao arquivo da Master File Table (MFT), que atua como um “índice” usado pelo sistema de arquivos para localizar os dados reais do arquivo.Do MSDN:
Há pelo menos uma entrada no MFT para cada arquivo em um volume do sistema de arquivos NTFS, incluindo o próprio MFT.... Quando os arquivos são excluídos de um volume do sistema de arquivos NTFS, suas entradas MFT são marcadas como livres e podem ser reutilizadas.
Isso é tudo o que acontece. O realdadosé deixado no disco. Com as ferramentas adequadas esses arquivos podem ser facilmente recuperados, desde que algum outro arquivo não tenha seus dados salvos sobre os dados excluídos.
Responder2
Quero ver o nome do arquivo e a data de exclusão do arquivo excluído, é viável?
As técnicas de recuperação referenciadas poderão (se os clusters de disco não tiverem sido reutilizados) conseguirem recuperar o diretório original. Mas eu esperaria que um diretório fosse atualizado normalmente, então isso parece altamente improvável.
No Windows: não, a menos que você tenha habilitado a auditoria de arquivos no sistema de arquivos (ou seja, não retrospectivamente).