Открывать файлы в корзине Windows
Я провел много исследований, пытаясь восстановить файлы из корзины другого пользователя (Windows 10). Они могут просто войти в систему сами, но я хотел поработать над их билетом, пока их нет в офисе.
Пока что я вычислил их SID пользователя и получил их каталог корзины из C: \ $ Recycle.Bin. Файлы больше не являются скрытыми системными файлами и выглядят нормально, но имена файлов перемешиваются и повреждаются, когда я пытаюсь открыть их в Microsoft Word (Word docs) или любых других типах.
Кто-нибудь знает, как я их «расшифрую»? Стоит ли тратить время по сравнению с ожиданием, когда они вернутся и войдут в систему?
Спасибо!
В C:\$RECYCLE.BIN\S-1-5-21-xxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxx\ файлы не являются копиями удаленных файлов. Вместо этого это файлы, содержащие достаточно информации для восстановления файла.
Удаленный файл
В этом примере файл C:\Users\Public\Documents\test.txt содержащий короткий простой текст удаляется. Сейчас в $RECYCLE.BIN\<SID> у нас есть файл $IWRIFSD.txt содержащий:
Имя файла - это хэш, основанный на метаданных, и содержимое этого файла:
- двоичное представление размера файла и разрешений
- указатель на файл данных на жестком диске
- исходный путь к файлу, хранящийся в широких байтовых символах (таким образом,
00пробелы).
Поэтому вам, вероятно, потребуется либо войти в систему как пользователь, либо использовать сторонний инструмент восстановления.
Удаленная папка
С удаленными папками восстановление не так уж и сложно. С аналогичным тестовым файлом внутри папки, test\test.txt:
C:\$RECYCLE.BIN\S-1-5-21-xxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxx\$RVW70HC>type test.txt
Content to be manually recovered.
Только имя папки "перемешивается", то есть заменяется хешем метаданных, но имена и содержимое файлов кажутся нетронутыми.