Показать сообщение отдельно
Непрочитано 12.08.2019, 08:45   #42290
9285
Мужской Опытный
 
Регистрация: 08.02.2019
Для любителей паранойи по поводу слежки и шантажа.

На хоботе у человека возникли вопросы по поводу заполнения нового тома в винде (7-ке). Именно по поводу его "наполнения" пока не выяснено, но попутно выявился интересный момент.
Имеется работающая система и чистый диск, на котором создаётся NTFS-совский том. Через небольшой промежуток времени (система создаст папку System Volume Information) можно запустить chkdsk для этого пустого тома и увидеть что обьём файлов существенно превышает обьём, фигурирующий в свойствах тома.
Дальнейший разбор выявил что "виновником" этого явления является удалённый файл в вышеозначенной служебной папке. И даже если учитывать что защита системы на этом томе отключена, можно было бы понять что всё таки какие то записи были нужны.
НО ... при RAW просмотре (при простом только 00) содержимого секторов этого файла выясняется что структура данных соответствует журналу файловой системы. Опять же, таковой на томе имеется и логично предположить что теневое копирование зафиксировала его состояние на момент создания тома.
НО... просмотр содержимого явно указывает на то, что записи соответствуют таковому от системного диска - например, там фигурируют имена файлов реестра). Ну ладно, пусть даже сохранилось содержимое системного на момент создания тома
НО... оказывается что туда записываются и уже новые данные.
отакот

PS. Сразу не стал писать, потому как решил проверить.
Если сразу после форматирования раздела удалить папку System Volume Information и записать файл с таким именем (я сразу задавал ему атрибуты скрытого и системного) то описанного эффекта нет - видно на последнем скриншоте. При этом, насколько понимаю, на томе не будет работать функционал защиты системы.
И ещё уточнение. Наличие всего этого не обязательно - описанное актуально в случае если чекдиск показывает в занятом существенно большее значение.
Миниатюры
Нажмите на изображение для увеличения
Название: sled.PNG
Просмотров: 87
Размер:	65.3 Кб
ID:	55398   Нажмите на изображение для увеличения
Название: rstr.PNG
Просмотров: 90
Размер:	14.3 Кб
ID:	55399   Нажмите на изображение для увеличения
Название: rcrd.PNG
Просмотров: 87
Размер:	15.9 Кб
ID:	55400   Нажмите на изображение для увеличения
Название: reg_f.PNG
Просмотров: 81
Размер:	15.4 Кб
ID:	55401   Нажмите на изображение для увеличения
Название: fix.PNG
Просмотров: 79
Размер:	45.4 Кб
ID:	55407  


Последний раз редактировалось 9285; 13.08.2019 в 09:06. Причина: Добавил PS.
9285 вне форума  
Ответить с цитированием