Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | |
Сканировать всю $MFT и смотреть какая запись стоит родительской у освобожденных записей 29.07.05 13:50 Число просмотров: 2375
Автор: amirul <Serge> Статус: The Elderman
|
|
|
|
<programming>
|
Востановление удаленных файлов в NTFS 28.07.05 16:28
Автор: Kerk Статус: Незарегистрированный пользователь
|
Насколько я знаю, при удалении первый кластер цепочки помечается как свободный, но сама цепочка остается целой, т.е. можно восстановить.
А что происходит с записью FILE в $MFT при удалении файла? Мне б до нее добраться... потом файл посекторно вытащить без проблем..
|
|
А не лучше ли специализированные программы натравить 28.07.05 16:37
Автор: amirul <Serge> Статус: The Elderman
|
> Насколько я знаю, при удалении первый кластер цепочки
> помечается как свободный, но сама цепочка остается целой,
> т.е. можно восстановить.
В FAT все кластеры цепочки помечаются как свободные (ты перепутал с orphan цепочками - то бишь теми, кто не принадлежит никакому файлу и которые успешно ищутся scandisc-ом/chkdsk-ом). В NTFS вообще цепочек кластеров нет. Есть нерезидентный аттрибут $DATA, тело которого и есть тело файла. Соответствия виртуальных кластеров логическим записаны так же как и для всех остальных нерезидентных атрибутов.
> А что происходит с записью FILE в $MFT при удалении файла?
Ничего не происходит. Из индекса в родительском каталоге удаляется один ключ, да битмепы настраиваются. С самой записью не происходит ничего
> Мне б до нее добраться... потом файл посекторно вытащить
> без проблем..
А может все таки не стоит?
|
| |
Не надо натравливать. Нужен код. 28.07.05 17:06
Автор: Kerk Статус: Незарегистрированный пользователь
|
> В NTFS вообще цепочек кластеров
> нет. Есть нерезидентный аттрибут $DATA, тело которого и
> есть тело файла. Соответствия виртуальных кластеров
> логическим записаны так же как и для всех остальных
> нерезидентных атрибутов.
Да да да.. точно! Что-то я проглючил...
> Ничего не происходит. Из индекса в родительском каталоге
> удаляется один ключ, да битмепы настраиваются. С самой
> записью не происходит ничего
Это радует. А как определить в каком каталоге файл находился?
> > Мне б до нее добраться... потом файл посекторно
> вытащить
> > без проблем..
>
> А может все таки не стоит?
"Надо, Федя... надо" (с) :(
Решение кодить такую штуку не мое. Я тут просто исполнитель.
|
| | |
Сканировать всю $MFT и смотреть какая запись стоит родительской у освобожденных записей 29.07.05 13:50
Автор: amirul <Serge> Статус: The Elderman
|
|
|
|
|
подробно о проекте
Анализ криптографических сетевых...
