У нас есть ноутбук с двойной загрузкой, основная — Win 7 Pro, а дополнительная — WAS Win XP, жесткий диск Win 7 был установлен для запуска современных программ и т. д. Мы сохранили диск XP для старых систем управления зданием. Недовольный техник отформатировал жесткий диск XP, стерев все, единственное, что отображается в проводнике Windows, — это 100 Мб (которые, как я предполагаю, предназначены для индексации), на диске не отображается ничего, кроме 297 ГБ свободного места. В свойствах нет даты создания. Нам нужно выяснить (если возможно), когда диск был отформатирован (создан том), чтобы доказать намерение уничтожить данные в течение определенного периода времени. Опять же, теперь это пустой, но монтируемый жесткий диск без операционной системы на нем. Если предположить, что у него есть номер тома и серийный номер, можно ли определить дату создания? Я не программист, поэтому было бы здорово использовать термины неспециалистов. Заранее спасибо за любую возможную помощь.
решение1
Если возможно, возьмите копию gpart или gdisk (не gparted, который является инструментом для разбиения на разделы) или любого дистрибутива Linux и найдите нужный раздел/диск (для этого очень полезно запустить lsblk). Как только вы узнаете, запустите gpart -f -d -l (какое-то имя файла) {то, что показано ниже как --sample syntax, предполагая, что это во внешнем приложении)
$ lsblk
[сервер@сервер ~]$ lsblk
ИМЯ МАЖ:МИН RM РАЗМЕР RO ТИП ТОЧКА КРЕПЛЕНИЯ
сда 8:0 0 232.9G 0 диск
├─sda1 8:1 0 2M 0 часть
├─sda2 8:2 0 518M 0 часть
│ └─server.boot-boot 253:0 0 512M 0 lvm /boot
└─sda3 8:3 0 232.4G 0 часть |
└─luks-11cc71b0-109f-47e0-8951-8a96195755ef
253:1 0 232.4G 0 crypt
{ВЫРЕЗАНО ДЛЯ КРАТКОСТИ}
sdb 8:16 0 7.5G 0 диск
(в данном случае целевым диском будет sdb)
$ gpart -b -f -l forensics-log /dev/sdb