Daugelis iš mūsų žino, ką šiukšlinė daro ir kaip ja naudotis, o jos vidinė veikla subtiliai pasikeitė, palyginti su skirtingais „Windows“ leidimais. „Windows Vista“ ir naujesnės versijos dabar meta duomenis naudoja saugoti pasirinktus failus ir aplankus perdirbimo aplanke, vadinamame $ Recycle.bin, prieš juos visam laikui ištrinant. „Windows XP“ ir senesnių versijų vartotojai skirtingai pavadins savo diskų perdirbimo aplankus, vadinamus „perdirbtais“ arba „perdirbėjais“. Kuo skiriasi perdirbti ir perdirbti skirti aplankai?
Tiesą sakant, jie neturi realių skirtumų ir turėsite bet kurį aplanką disko šaknyje. Iš tikrųjų dėl to, kokia failų sistema yra jūsų kietajame diske, priklauso nuo to, ar turite perdirbtą, ar perdirbėją. Jei tai yra FAT32 „Windows“ skaidinys, gausite „Recycled“, o jei turite NTFS, turėsite „Recycler“. Kai kurie žmonės gali turėti net abu aplankus, nes jie anksčiau buvo konvertavę savo diską iš FAT32 į NTFS. Taip pat nėra neįprasta, kad „Windows 7“ ar „8“ vartotojai susiduria su „Recycler“ išoriniame standžiajame diske, kuris anksčiau buvo prijungtas prie sistemos, kurioje veikia XP.
Ištrynus failą iš „Windows XP“ naršyklės ar „My Computer“, failas iškart pasirodo šiukšlinėje. Tai jūs matote, bet iš tikrųjų kažkas vyksta fone. Visas kelias ir failo ar aplanko pavadinimas saugomi paslėptame faile pavadinimu INFO2, kuris yra aplanke „Perdirbtas“ arba „Perdirbėjas“. Šis failas yra labai svarbus, nes jei INFO2 sugadinamas ar pašalinamas, paprastai viskas, kas šiuo metu yra šiukšliadėžėje, gali būti prarasta, nebent bandysite panaudoti duomenų atkūrimo programinę įrangą, kad ją susigrąžintumėte.
Padarykime nedidelį testą, kad geriau suprastume, kas atsitiks. Aš ištrinsiu failą iš darbalaukio pavadinimu „DeleteMe.exe“ ir leisiu jam likti šiukšlinėje. Ištrynusi iš šiukšlinės piktogramos galiu pamatyti, kad dabar joje yra šiukšlių. Kadangi sistemos skaidinys yra NTFS failų sistema, C šaknyje bus aplankas „RECYCLER“. Aplanko „Perdirbėjas“ viduje bus dar vienas aplankas, kurio pavadinimas yra „S-1-5-21-1078081533-1957994488- 1343024091-1003 “ar panašiai. Viduje matomas ką tik ištrintas failas (DeleteMe.exe).
Norėdami pamatyti, kas iš tikrųjų vyksta aplanke „Recycler“, negalime naudoti „Windows Explorer“, nes jame nerodomi visi failai. Kai kurios yra paslėptos ir turi savo sistemos atributą, tačiau net įjungus „Rodyti paslėptus failus“ ir išjungus „Slėpti apsaugotus operacinės sistemos failus“ iš „Windows“ aplankų parinkčių, vis tiek nerodomas viskas. Jei norite gauti visą vaizdą apie perdirbėją, galite naudoti „Command Prompt“, o dar geriau - naudoti failų tvarkymo programą. Aš tam tikslui naudosiu puikų „FreeCommander“, nes jis pagal numatytuosius nustatymus rodo visus sistemos, paslėptus ir apsaugotus failus bei aplankus.
Tikrindami, kas yra „Recycler \ S-1-5-21 ...“ kataloge per „FreeCommander“, galime pamatyti INFO2 failą kartu su ištrinamu vykdomuoju failu, nors jis buvo pervadintas Dc7.exe. Jei iš tikrųjų vilkčiau failą į darbalaukį, jis vėl pasikeistų į failą DeleteMe.exe, o tada, jei vilkdavau atgal, vėl į Dc {numerį} .exe failą. Tas pats nutiktų su aplanku, išsiųstu į šiukšliadėžę.
Jei ištrinsiu INFO2 failą, atsitinka kažkas keisto, nes šiukšliadėžėje vis dar yra šiukšlių, tačiau atidarius šiukšliadėžę paaiškėja, kad joje nėra failų. Jei bandau ištuštinti šiukšliadėžę, manęs paklausia: „ Ar tikrai norite ištrinti šiuos 2 elementus? “
Grįžus į aplanką „Recycler“ ir pažiūrėjus, kas jame yra, vis dar yra vykdomasis „Dc“ kompiuteris kartu su nauju „DC“ failu, kuris anksčiau buvo ištrintas „INFO2“. Šį kartą perkėlę „Dc7.exe“ iš šiukšlinės, kuri anksčiau buvo pervadinta, dabar to nepadarys ir liks kaip DC įvardytas failas. Kaip matome iš šio nedidelio eksperimento, „INFO2“ yra svarbus, nes be jo šiukšliadėžėje nėra originalių failų, aplankų ir kelių įrašų, kai reikia juos atkurti iš šiukšliadėžės. Ištuštinus šiukšliadėžę, ištuštėja ir INFO2 esantys duomenys.
Atrodo, kad nėra žinomas būdas tiesiogiai redaguoti INFO2 failą, tačiau yra nemokamas įrankis, vadinamas rifiuti2, kuris naudojamas INFO2 analizei ir kuris iš pradžių buvo skirtas „Windows“ kompiuterinei kriminalistikai. Norėdami išanalizuoti INFO2 naudodami „rifuiti2“, turite nukopijuoti INFO2 iš „Recycler“ į „rifiuti“ aplanką naudodami „FreeCommander“ ir paleisti komandą „ rifiuti INFO2 “ iš „Command Prompt“.
Tada bus parodyta visa ištrintų failų ir aplankų informacija, saugoma „INFO2“. Jei ištrinsite patį aplanką, tai nebus rodomi visi aplanko failai, kaip ir šiukšlinė. Tačiau jis gali parodyti visus failus, kurie liko INFO2, bet buvo ištrinti iš šiukšliadėžės, nors paprastai šie įrašai turėtų būti pašalinti, kai šiukšliadėžė ištuštinta.
Parsisiųsti rifiuti2
Taigi ko mes išmokome? Pirma, originalus INFO2 failas nėra virusas ir vaidina svarbų vaidmenį saugant informaciją apie tai, kas laikoma „Windows“ šiukšliadėžėje, ir kur ji patenka, jei ji bus atkurta. Taip pat galima atkurti failus iš šiukšlinės, jei INFO2 failas yra sugadintas arba jo nėra, o šiukšliadėžėje nematyti jokių failų, net jei piktograma rodo, kad ten kažkas yra.