Jump to content

Foto

Quem excluiu os Arquivos ?

w2k server


1 resposta(s) nesse tópico

#1 Ezequias_2002    

Ezequias_2002
  • Participante
  • 12 mensagens

Publicado 15 August 2006 - 05:42 PM

Pessoal, tenho uma pasta compartilhada com direitos totais para todos usuários, o sistema operacional é o Windows 2000 Server, NTFS.


O conteudo desta pasta foi excluido, tem alguma forma de saber qual usuário excluiu os arquivos ? Ou alguém conhece alguma ferramenta de terceiros que recupera essa informação ?


Grato


Ezequias




#2 Fernando_Nishimura    

Fernando_Nishimura
  • Participante
  • 4326 mensagens

Publicado 18 August 2006 - 09:22 AM

Precisaria ativar, antes da exclusão, a auditoria de pastas e arquivos. Assim, no visualizador de eventos, apareceria o que tivesse acontecido nas pastas monitoradas. Isto comprometeria um pouco a performance, mas seria a solução para fazer a identificação do usuário que deletou, mesmo sendo uma pasta pública.

Quanto as arquivos removidos...

O Windows 2000 Server ou Professional, XP e 9x, não possuem um recurso presente na versão Server 2003, que é a Lixeira da Rede.
Antes, o Novell dispunha desta facilidade. A Lixeira da Rede nada mais é que uma pasta para onde os arquivos apagados remotamente da pasta compartilhada serão encaminhados.
Quando um arquivo é deletado, ele não é removido definitivamente. A sua entrada no índice do disco é modificada, e para todos os comandos do computador, ele não existirá. Antes, quando era DOS 5 e 6.22, podíamos ver isto facilmente com o comando UNDELETE, onde o arquivo tem a primeira letra trocada pelo $. Então o DOC1.DOC fica $OC1.DOC, e o Windows Explorer, os programas do Windows simplesmente ignoram ele na entrada do índice.
Existem programas que fazem a deleção por completo, como medida de segurança, onde os dados são apagados, e o local onde o arquivo estava é sobreescrito com zeros, impossibilitando a recuperação posterior.
A recuperação de dados só é possível se as entradas do arquivo ainda existirem no disco. Um arquivo, quando está gravado no disco, é dividido em clusters e setores. Se apagamos um arquivo, e a seguir gravamos algo no disco, a possibilidade de alguns destes setores serem escritos é grande, tornando a recuperação impossível.
Na Internet existem diversos programas que fazem a recuperação de dados. Dentre os que usei, o GetDataBack for NTFS e o seu similar para FAT32, o GetDataBack for FAT foram os melhores. Estes programas são pagos, e a versão demo apenas recupera um arquivo ou só mostra os que poderiam ser recuperados pela versão completa (paga).
Uma opção gratuita é o PC Inspector File Recovery (freeware) http://www.pcinspector.de/file_recovery/uk/welcome.htm
Outra opção gratuita é o FreeUndelete, da empresa OfficeRecovery, disponível em http://www.officerecovery.com/freeundelete/download.htm
Outro aplicativo sugerido é o Restoration - http://www.snapfiles.com/get/restoration.html
O aplicativo ImageRescue é específico para recuperação de imagens de cartões de memória das máquinas fotográficas - http://www.lexar.com/software/image_rescue.html







 




Tópicos com palavra-chave: w2k server