我们有一台具有双启动功能的笔记本电脑,主系统是 Win 7 pro,辅系统是 Win XP,安装 Win 7 硬盘是为了运行现代程序等。我们保留了 XP 硬盘用于较旧的楼宇管理系统。不满的技术人员格式化了 XP 硬盘,清除了所有内容,在探索的 Windows 中唯一显示的是 100Mb(我假设是用于索引),硬盘上只显示 297 Gig 的可用空间。属性下没有任何创建日期。我们需要(如果可能)找出硬盘的格式化时间(创建卷),以证明有意在一定时间范围内销毁数据。现在它又是一个空白但可安装的硬盘,上面没有操作系统。假设它有卷号和序列号,可以确定创建日期吗?我不是程序员,所以最好能用外行术语来讲。在此先感谢任何可能的帮助。
答案1
如果可能的话,获取 gpart 或 gdisk(不是分区工具 gparted)或任何 Linux 发行版的副本并找到有问题的分区/驱动器。(运行 lsblk 对此非常有帮助)一旦知道运行 gpart -f -d -l(某些文件名){无论它显示为什么 --下面的示例语法假设它在外部机箱中)
$ lsblk
[服务器@服务器 ~]$ lsblk
名称 MAJ:MIN RM 大小 RO 类型 安装点
sda 8:0 0 232.9G 0 磁盘
─sda1 8:1 0 2M 0部分
│ └─server.boot-boot 253 :
0 0 512M 0 lvm /boot
└─sda3 8:3 0 232.4G 0部分|
└─luks-11cc71b0-109f-47e0-8951-8a96195755ef
253:1 0 232.4G 0 crypt
{为简洁起见,摘录如下}
sdb 8:16 0 7.5G 0 磁盘
(在这种情况下,目标驱动器将是 sdb)
$ gpart -b -f -l 取证日志 /dev/sdb