Текущий архив: 2005.09.25;
Скачать: CL | DM;
Вниз
Востановление удаленных файлов в NTFS Найти похожие ветки
← →
Kerk © (2005-07-28 11:27) [0]Насколько я знаю, при удалении первый кластер цепочки помечается как свободный, но сама цепочка остается целой, т.е. можно восстановить.
А что происходит с записью FILE в $MFT при удалении файла? Мне б до нее добраться... потом файл посекторно вытащить без проблем..
← →
Kerk © (2005-07-28 16:02) [1]Есть на Волге город мооой
В нем за Крылья все горрооой!
P.S. up :)
← →
Floppy © (2005-07-28 16:30) [2]Где ж ты собираешься искать этот "первый" кластер, и сколько таковых у тебя на диске (удаление файла надеюсь не первое). Возможно следует поискать на диске имя файла без первого символа (diskedit и подобные тулзы). Обычно эти программы выдают физический адрес на диске, а дальше Мне б до нее добраться... потом файл посекторно вытащить без проблем..
Успеха
← →
Kerk © (2005-07-28 17:13) [3]
> Насколько я знаю, при удалении первый кластер цепочки
> помечается как свободный, но сама цепочка остается
> целой, т.е. можно восстановить.
Это я проглючил.. сорри... не обращаем внимания на эту чепуху.
В NTFS нету цепочек кластеров. Там нерезидентный атрибут $DATA. Вот его я и могу вытащить посекторно, если буду иметь соответствующую $MFT FILE Record.
При удалении файла $MFT FILE Record остается на месте. Просто удаляется элемент из индекса родительского каталога, да битмапы настраиваются.
Теперь вопрос только в том, как узнать к какой директории принадлежал файл до удаления?
← →
alpet © (2005-07-28 18:54) [4]Подобная тема озвучивалась здесь:
http://www.wasm.ru/forum/index.php?action=vthread&forum=7&topic=6959
← →
Kerk © (2005-07-29 14:39) [5]alpet © (28.07.05 18:54) [4]
О! Спасибо!
Все еще проще оказалось :)
Блин... как-то боязно в $BITMAP лезть :))))
← →
Джо © (2005-07-29 18:29) [6]
> [5] Kerk © (29.07.05 14:39)
Рисковый ты человек, Керк :^)
Страницы: 1 вся ветка
Текущий архив: 2005.09.25;
Скачать: CL | DM;
Память: 0.48 MB
Время: 0.05 c
