temp9285
BANNED | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
avtandil33
Цитата:| если 5 - метка файла в руте, то и все файлы/папки с этой меткой тоже находились в руте |
Вообще, неплохо изучать это дело на рабочих томах. 
5-я запись - корневой каталог. И всё, что было в нём (папки и файлы) имеют в своей записи номер родительской папки 5.
Цитата:| Прошелся поиском Gruz2016 по всему диску - ничего не нашел, наверное это и не удивительно, раз чекдиск все упоминания о ней удалил. |
Обычно, у обьекта имеется запись в MFT и имя фигурирует в индексах "родителя". Соответственно, если записи нет, то из индексов удаляется инфа об обьекте - ну и что тогда искать? Не, если действие произошло недавно, то можно найти упоминание о действе в журнале файловой системы тома, но он не безразмерный и, по мере заполнения новых событий, старые записи удаляются.
Цитата:| То есть место где был Gruz2016 находится в MFT 566842, а не в MFT 559761, я правильно понял ? |
Да.
Цитата:| А MFT 559761 и MFT 559749 уже относятся к файлу 25 ? |
Насколько знаю - нет, но мог в нём фигурировать (если у записи был соответствующий идентификатор) - это тебе лучше почитать про $ObjID
Цитата:| 566842 - не нашел, 559761 и 559749 на скриншоте 02... Куда дальше рыть ? |
Можно посмотреть что сейчас в этих секторах, но там наверняка будут пустышки.
Так что, скорей всего, в сторону бэкапа или машины времени. 
Но, на основе написанного выше про корневой, понятно что если есть записи у которых родителем прописана какая то запись, то в DMDE после поиска они собираются в одну папку с именем $Fxxxx
Добавлено:
yaleshka1984
Не могу порадовать тебе чем либо.
Учитывая результаты RAW-поиска, я практически уверен что был вирус-шифровщик.
Добавлено:
speno112
Так ты определился с размерами томов?
Я ещё раньше писал про "сборку", но тогда ещё не было подтверждений о наличии реального 1,67тб раздела. И при его нынешнем положении 1200гб можно собрать лишь из 800-гигового и участком до 1,67 - на котором сейчас 300-ка. Возможно так дела диск анлокер, возможно ты использовал что то типа хардинков. Технически, такое можно реализовать и с помощью динамических разделов, но по букварю это предполагает что весь диск должен быть таким. Или он таковым - хотя упоминание ХР как бы исключает это.
Если же говорить только о 801 гиговом, то я уже писал про него - кратко, стандартно его можно прописать лишь лишь при использовании GPT разметки.
Добавлено:
Goryna
Хочешь сказать что диск подключен как и ранее?
Есть необходимость пользоваться пиратскими версиями программы? |
Всего записей: 1369 | Зарегистр. 07-11-2015 | Отправлено: 21:43 20-02-2016 | Исправлено: temp9285, 21:52 20-02-2016 |
|
