Востановление удаленных файлов в NTFS

← →
Kerk © (2005-07-28 11:27) [0]

Насколько я знаю, при удалении первый кластер цепочки помечается как свободный, но сама цепочка остается целой, т.е. можно восстановить.

А что происходит с записью FILE в $MFT при удалении файла? Мне б до нее добраться... потом файл посекторно вытащить без проблем..

← →
Kerk © (2005-07-28 16:02) [1]

Есть на Волге город мооой
В нем за Крылья все горрооой!

P.S. up :)

← →
Floppy © (2005-07-28 16:30) [2]

Где ж ты собираешься искать этот "первый" кластер, и сколько таковых у тебя на диске (удаление файла надеюсь не первое). Возможно следует поискать на диске имя файла без первого символа (diskedit и подобные тулзы). Обычно эти программы выдают физический адрес на диске, а дальше Мне б до нее добраться... потом файл посекторно вытащить без проблем..
Успеха

← →
Kerk © (2005-07-28 17:13) [3]

> Насколько я знаю, при удалении первый кластер цепочки
> помечается как свободный, но сама цепочка остается
> целой, т.е. можно восстановить.

Это я проглючил.. сорри... не обращаем внимания на эту чепуху.

В NTFS нету цепочек кластеров. Там нерезидентный атрибут $DATA. Вот его я и могу вытащить посекторно, если буду иметь соответствующую $MFT FILE Record.

При удалении файла $MFT FILE Record остается на месте. Просто удаляется элемент из индекса родительского каталога, да битмапы настраиваются.

Теперь вопрос только в том, как узнать к какой директории принадлежал файл до удаления?

← →
alpet © (2005-07-28 18:54) [4]

Подобная тема озвучивалась здесь:
http://www.wasm.ru/forum/index.php?action=vthread&forum=7&topic=6959

Востановление удаленных файлов в NTFS Найти похожие ветки