我想检查是否有人/某物删除了我们服务器(Microsoft Windows Server 2003 R2)中的文件,甚至删除了回收站中的文件。有什么方法可以查看痕迹删除的文件?
这文件粉碎机声称 Windows 留下了痕迹当文件被删除时:
实际上,Windows 中的“删除”操作只会从文件中删除一些信息,因此它们似乎被删除了在操作系统中。使用上述专门的文件恢复软件可以轻松恢复这些文件。
还有一个帖子删除的文件在某种程度上留下痕迹在硬盘本身中:
理论上,我听说你(如果你是 CIA)可以用非光学显微镜检查硬盘,即使硬盘已经被覆盖,也能恢复硬盘上的大量内容。硬盘上的所有内容都是 0 和 1,但如果用磁性观察,他们就会发现其中一些 1 曾经是 0等等。我不知道这些技能能延伸到多远,但我相信这种能力是存在的。
我想查看已删除文件的文件名和删除日期,可以吗?
请帮忙。提前致谢。
答案1
还有一篇帖子说删除的文件会在硬盘上留下痕迹
已删除的文件留下的不仅仅是痕迹。
由于这个问题被标记为Windows 服务器 - 2003该答案假设使用 NTFS 文件系统。
当您“永久”(即从回收站)删除 Windows 操作系统中的文件时,Windows 不会删除整个文件。相反,它只是从主文件表 (MFT) 中删除对该文件的引用,该表充当文件系统用于定位文件实际数据的“索引”。来自MSDN:
NTFS 文件系统卷上的每个文件的 MFT 中至少有一个条目,包括 MFT 本身......当文件从 NTFS 文件系统卷中删除时,它们的 MFT 条目被标记为可用,可以重复使用。
这就是所发生的一切。实际数据留在磁盘上。使用适当的工具,这些文件可以轻松恢复,只要其他文件的数据没有保存在已删除的数据之上。
答案2
我想查看已删除文件的文件名和删除日期,可以吗?
所引用的恢复技术可能(如果磁盘簇未被重用)能够恢复原始目录。但我希望目录通常会在原地更新,因此这似乎不太可能。
在 Windows 中:否,除非您在文件系统上启用了文件审核(即不是追溯性的)。