我們有一台具有雙啟動功能的筆記型電腦,主要是Win 7 pro,次要是Win XP,安裝了Win 7硬碟來運行現代程式等。心懷不滿的技術人員格式化了 XP 硬碟,清除了所有內容,在 Windows 中顯示的唯一內容是 100Mb(我認為是用於索引),驅動器只顯示 297 Gig 的可用空間。在屬性下沒有任何建立日期。我們需要找出(如果可能的話)驅動器何時被格式化(建立磁碟區),以證明在特定時間範圍內銷毀資料的意圖。現在它又是一個空白但可安裝的硬碟,上面沒有作業系統。假設它有捲號和序號,可以確定建立日期嗎?我不是程式設計師,所以外行術語會很棒。預先感謝您提供任何可能的幫助。
答案1
如果可能的話,請取得 gpart 或 gdisk(不是 gparted,它是分割工具)或任何 Linux 發行版的副本,並找到有問題的分割區/磁碟機。 (運行 lsblk 對此非常有幫助)一旦已知,運行 gpart -f -d -l (某些文件名){無論它顯示為--示例語法,假設它位於外部外殼中)
$ lsblk
[伺服器@伺服器 ~]$ lsblk
名稱 主要:最小 RM 尺寸 RO 類型 安裝點
sda 8:0 0 232.9G 0盤
├─sda1 8:1 0 2M 0 部分
├─sda2 8:2 0 518M 0 部分
│ └─server.boot-boot 253:0 0 512M 0 lvm /boot
└─sda3 8:3 0 232.4G 0 部分 |
└─luks-11cc71b0-109f-47e0-8951-8a96195755ef
253:1 0 232.4G 0 crypt
{為簡潔起見,進行了刪減}
sdb 8:16 0 7.5G 0盤
(在這種情況下目標磁碟機將是 sdb)
$ gpart -b -f -l 取證日誌 /dev/sdb