Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Востановление удаленных файлов в NTFS 28.07.05 16:28
Автор: Kerk Статус: Незарегистрированный пользователь
|
Насколько я знаю, при удалении первый кластер цепочки помечается как свободный, но сама цепочка остается целой, т.е. можно восстановить.
А что происходит с записью FILE в $MFT при удалении файла? Мне б до нее добраться... потом файл посекторно вытащить без проблем..
|
|
А не лучше ли специализированные программы натравить 28.07.05 16:37
Автор: amirul <Serge> Статус: The Elderman
|
> Насколько я знаю, при удалении первый кластер цепочки > помечается как свободный, но сама цепочка остается целой, > т.е. можно восстановить.
В FAT все кластеры цепочки помечаются как свободные (ты перепутал с orphan цепочками - то бишь теми, кто не принадлежит никакому файлу и которые успешно ищутся scandisc-ом/chkdsk-ом). В NTFS вообще цепочек кластеров нет. Есть нерезидентный аттрибут $DATA, тело которого и есть тело файла. Соответствия виртуальных кластеров логическим записаны так же как и для всех остальных нерезидентных атрибутов.
> А что происходит с записью FILE в $MFT при удалении файла?
Ничего не происходит. Из индекса в родительском каталоге удаляется один ключ, да битмепы настраиваются. С самой записью не происходит ничего
> Мне б до нее добраться... потом файл посекторно вытащить > без проблем..
А может все таки не стоит?
|
| |
Не надо натравливать. Нужен код. 28.07.05 17:06
Автор: Kerk Статус: Незарегистрированный пользователь
|
> В NTFS вообще цепочек кластеров > нет. Есть нерезидентный аттрибут $DATA, тело которого и > есть тело файла. Соответствия виртуальных кластеров > логическим записаны так же как и для всех остальных > нерезидентных атрибутов.
Да да да.. точно! Что-то я проглючил...
> Ничего не происходит. Из индекса в родительском каталоге > удаляется один ключ, да битмепы настраиваются. С самой > записью не происходит ничего
Это радует. А как определить в каком каталоге файл находился?
> > Мне б до нее добраться... потом файл посекторно > вытащить > > без проблем.. > > А может все таки не стоит?
"Надо, Федя... надо" (с) :(
Решение кодить такую штуку не мое. Я тут просто исполнитель.
|
| | |
Сканировать всю $MFT и смотреть какая запись стоит родительской у освобожденных записей 29.07.05 13:50
Автор: amirul <Serge> Статус: The Elderman
|
|
|
|