Khơi phục tệp xóa c tệp xóa p xóa phân vùng xóa Module 10 Được thiết kế Các nhà phân tích tội phạm Do chuyên gia trình bày Người hướng dẫn: Thầy Nguyễn Mạnh Thắng Nhân viên bị sa thải bị buộc tội phá hoại mạng Nhân viên bị sa thải bị buộc tội phá hoại mạng Một cựu nhân viên công ty Northboro, bị cáo buộc xâm nhập vào hệ thống máy tính cơng ty xóa tệp sau bị sa thải hiệu suất cơng việc Kamlesh H Patel, 34 tuổi, 24 St Lowei, bị buộc tội Tịa án Quận Westboro ngày hơm Anh ta bị buộc tội truy cập trái phép vào hệ thống máy tính Theo báo cáo cảnh sát Ơng Patel cho vào ngày 18 tháng 10 Cảnh sát nhận thư đòi hầu tòa từ văn phòng luật sư quận Worcester để lấy thông tin thuê bao máy tính từ Comcast Thơng tin cho thấy sử dụng địa IP ông Pateis truy cập thiết bị đầu cuối vào máy tính cơng ty trước nửa đêm Cơng ty, Baesis, có trụ sở 107 Otis St., khơi phục tệp xóa sau vài ngày, với chi phí khoảng 4.000 đô la Mỹ Mục tiêu Module Khôi phục tệp Windows Công cụ khôi phục tệp Windows Khôi phục tệp MAC Công cụ khôi phục tệp Windows Khôi phục tệp Linux Công cụ khôi phục tệp Windows Khôi phục phân vùng bị xóa Cơng cụ khơi phục phân vùng Khơi phục tệp bị xóa Cơng cụ khơi phục tệp Windows Công cụ khôi phục tệp MAC Công cụ khôi phục phân vùng Khôi phục phân vùng bị xóa Cơng cụ khơi phục tệp Linux Xóa tệp Xóa tệp cách xóa tệp khỏi hệ thống tệp máy tính Lý xóa tệp là: • Giải phóng dung lượng ổ đĩa • Loại bỏ liệu trùng lặp không cần thiết để tránh nhầm lẫn • Làm cho thơng tin nhạy cảm khơng có sẵn cho người khác xem Người dùng xóa tệp theo nhiều cách khác Các tệp chuyển vào Thùng rác theo cách sau: • Bằng cách nhấp chuột phải vào tệp chọn xóa từ menu • Chọn tệp nhấn phím xóa • Chọn xóa từ menu Bên Windows XP • Từ lệnh menu ngữ cảnh số chức khác ứng dụng phần mềm (thường định cấu hình) • Do vi-rút máy tính • Bằng cách kéo thả tệp vào biểu tượng Thùng rác Điều xảy tệp bị xóa Windows? Tệp bị xóa khơi phục lại khơng gian khơng phân bổ cho tệp khác Máy tính xem cụm bị chiếm giữ tệp trống tận dụng khơng gian để lưu trữ tệp Trường mục MFT đánh dấu mã đặc biệt NTFS Khi tệp bị xóa, hệ điều hành đánh dấu tên tệp MFT ký tự đặc biệt cho biết tệp bị xóa Chữ tên tệp thay mã byte hex E5h Các cụm tương ứng FAT đánh dấu khơng sử dụng Thùng rác Windows Bạn truy xuất cáp tệp từ thùng rác bị xóa Khi tệp bị xóa n chuyển đến thùng rác, thùng rác làm trống Tùy chọn khôi phục tất tệp thùng rác cho phép khôi phục liệu vị trí ban đầu Sau thùng rác làm trống liệu vị trí ban đầu ổ đĩa cứng khoảng thời gian Dữ liệu biến hệ điều hành ghi vị trí ban đầu tệp Dữ liệu bị xóa khỏi thiết bị di động đĩa mềm không lưu thùng rác Thùng rác Windows Vị trí lưu trữ Recycle Bin Hệ thống FAT NTFS Mỗi ổ chứa thư mục để lưu trữ tệp xóa; mục chọn lưu trữ thư mục Drive:\$Recycle.Bin Windows Vista phiên Windows Các tệp xóa hệ thống tệp FAT cũ (Windows 98 trở trước) lưu trữ Drive:\RECYCLE có hệ thống tệp NTFS (windows 2000, XP, NT), tệp lưu trữ thư mục Drive:\RECYCLE Tất tệp tái chế có hệ thống FAF đưa vào thư mục C:\ RECYCLED nhất, trong hệ thống NTFS, chúng phân loại thành thư mục có tên C:\RECYCLER\S - (trước Windows Vista) C:\$Recycle.Bin\S - dựa SID người dùng Khơng có giới hạn kích thước cho Thùng rác Vista phiên Windows hơn, phiên cũ hơn, bị giới hạn mức tối đa 3,99 GB; mục lớn dung lượng lưu trữ Thùng rác lưu trữ Thùng rác Cách thức hoạt động Thùng rác Trong vista phiên Windows hơn, tệp lưu trữ Thùng rác đổi tên thành $ Ry.ext trong phiên Windows cũ hơn, chúng đổi tên thành Dxy.ext số "x" nhìn vào ".ext" phần mở rộng tệp gốc Khi tệp thư mục bị xóa, đường dẫn hồn chỉnh, bao gồm tên tệp gốc, lưu trữ tệp ẩn đặc biệt có tên “Info" “Info2" thư mục Thùng rác Thư mục Recycle ẩn chứa tệp phân loại từ Máy tính tơi, Windows Explorer số ứng dụng Windows ... tính cơng ty trước nửa đêm Cơng ty, Baesis, có trụ sở 107 Otis St., khơi phục tệp xóa sau vài ngày, với chi phí khoảng 4.000 la Mỹ Mục tiêu Module Khôi phục tệp Windows Công cụ khôi phục tệp Windows... truy cập trái phép vào hệ thống máy tính Theo báo cáo cảnh sát Ông Patel cho vào ngày 18 tháng 10 Cảnh sát nhận thư đòi hầu tòa từ văn phòng luật sư quận Worcester để lấy thơng tin th bao máy... lại cách thêm thông tin sau vào tệp Desktop.ini trống: [.ShellClassInfo] CLSID = {645FF040-5081 -101 B-9F08-00AA002F954E} Thư mục Recycle bị hỏng Chính thư mục Thùng rác bị hỏng Các tệp chuyển đến