Я хочу проверить, удалил ли кто-то/что-то файлы на нашем сервере (Microsoft Windows Server 2003 R2) даже после удаления в корзине. Есть ли способ просмотретьследудаленных файлов?
TheФайловый шредерутверждает, что Windows оставляетследпри удалении файлов:
На самом деле операция «удаления» в Windows удаляет только фрагменты информации из файлов, поэтомуони кажутся удаленнымив ОС. Эти файлы легко восстановить с помощью вышеупомянутого специализированного программного обеспечения для восстановления файлов.
Там также былиПочтачто удаленные файлы в некоторой степени оставляютследна самом жестком диске:
Теоретически, я слышал, вы (если вы из ЦРУ) можете взять неоптический микроскоп и восстановить довольно много того, что было на нем, даже если с тех пор все было перезаписано. Все на жестком диске — это нули и единицы,Но если они посмотрят на это с помощью магнита, то увидят, что некоторые единицы раньше были нулями.и т. д. Я не знаю, насколько далеко простираются эти навыки, но я верю, что такая возможность существует.
Я хочу увидеть имя файла и дату удаления удаленного файла. Возможно ли это?
Помогите пожалуйста. Спасибо заранее.
решение1
Также был пост о том, что удаленные файлы оставляют следы на самом жестком диске.
Удаленные файлы оставляют после себя гораздо больше, чем просто след.
Поскольку этот вопрос помеченwindows-сервер-2003этот ответ предполагает использование файловой системы NTFS.
Когда вы "навсегда" (т. е. из корзины) удаляете файл в операционной системе Windows, Windows не удаляет весь файл. Вместо этого она просто удаляет ссылки на файл из главной таблицы файлов (MFT), которая действует как "индекс", используемый файловой системой для поиска фактических данных файла.Из MSDN:
Для каждого файла на томе файловой системы NTFS, включая сам MFT, существует как минимум одна запись в MFT.... Когда файлы удаляются из тома файловой системы NTFS, их записи MFT помечаются как свободные и могут быть использованы повторно.
Вот и все, что происходит.данныеостается на диске. С помощью соответствующих инструментов эти файлы можно легко восстановить, если только какой-то другой файл не сохранил свои данные поверх удаленных данных.
решение2
Я хочу увидеть имя файла и дату удаления удаленного файла. Возможно ли это?
Упомянутые методы восстановления могут (если кластеры диска не были повторно использованы) восстановить исходный каталог. Но я бы ожидал, что каталог обычно обновляется на месте, так что это кажется крайне маловероятным.
В Windows: нет, если только вы не включили аудит файлов в файловой системе (т.е. не ретроспективно).