我想檢查某人/某物是否刪除了我們伺服器(Microsoft Windows Server 2003 R2)中的文件,甚至超出了回收站中的刪除範圍。有什麼辦法可以讓我查看痕跡已刪除的檔案?
這檔案粉碎機聲稱Windows留下了痕跡當文件被刪除時:
實際上,Windows 中的「刪除」操作只是從檔案中刪除一些訊息,因此他們似乎已被刪除在作業系統中。使用上述專用文件復原軟體可以輕鬆檢索這些文件。
還有一個貼文刪除的檔案有點留下痕跡在硬碟本身:
從理論上講,我聽說你(如果你是中央情報局)可以用非光學顯微鏡觀察硬碟並恢復其中的大部分內容,即使它已被覆蓋。硬碟上的一切都是0和1,但如果他們用磁性的方式觀察,就會發現其中一些 1 曾經是 0等等。我不知道這些技能能延伸到什麼程度,但我相信這種能力是存在的。
我想查看已刪除檔案的檔案名稱和刪除日期,可行嗎?
請幫忙。提前致謝。
答案1
還有一個帖子說刪除的檔案在硬碟本身上留下了痕跡
刪除的檔案留下的不僅僅是痕跡。
由於這個問題被標記為Windows 伺服器 2003這個答案假設使用 NTFS 檔案系統。
當您「永久」(即從回收站)刪除 Windows 作業系統中的檔案時,Windows 不會刪除整個檔案。相反,它只是從主文件表 (MFT) 中刪除對文件的引用,主文件表充當文件系統用來定位文件實際數據的「索引」。來自MSDN:
NTFS 檔案系統磁碟區上的每個檔案(包括 MFT 本身)在 MFT 中至少有一個條目。
這就是所發生的一切。實際上數據留在磁碟上。使用適當的工具,只要其他文件的資料沒有保存在已刪除的資料之上,就可以輕鬆恢復這些文件。
答案2
我想查看已刪除檔案的檔案名稱和刪除日期,可行嗎?
所引用的復原技術可能(如果磁碟區尚未被重複使用)能夠復原原始目錄。但我希望目錄通常會就地更新,因此這似乎不太可能。
在 Windows 中:否,除非您在檔案系統上啟用了檔案審核(即不追溯)。