Mis archivos fueron eliminados por cualquier empleado. ¿Cómo saber a qué hora sucedió y si se hizo desde otra computadora en la red? Los archivos estaban en disco compartido en la computadora. Estoy usando Windows 8. ¿Cuáles son las mejores herramientas para recuperar los archivos.
En primer lugar, en tales casos, deje de usar la unidad de red . Los archivos eliminados no se pierden inmediatamente , solo se marcan como "este espacio se puede reutilizar". Si no se presenta ninguna necesidad de espacio adicional, un archivo puede recuperarse completamente años más tarde. Por otro lado, si se necesita crear un nuevo archivo y requiere espacio, el área del archivo eliminado puede sobrescribirse después de unos pocos segundos .
Por lo tanto, cuanto menos escriba en el disco, mejor.
La primera línea de defensa debería haber sido una copia de seguridad completa, adecuada y actualizada . Se elimina un archivo: simplemente ríete y recupera el archivo del repositorio.
La segunda línea de defensa, antes de culpar a la malicia de alguien, asegúrese de descartar la inexperiencia y la torpeza. El archivo podría haber sido involuntariamente arrastrado y soltado en una carpeta cercana por alguien que intenta abrirlo con un doble clic. Raro, pero he visto que eso suceda. En primer lugar, a menos que ya lo haya intentado, intente realizar una búsqueda del nombre del archivo en toda la unidad.
Como última versión, si el archivo se eliminó, la recuperación depende del sistema de archivos en la unidad de red, mientras que la capacidad de registro depende de su sistema operativo.
Por ejemplo: si la unidad de red está en un sistema Windows, NTFS, si compartía una carpeta en su propia computadora , entonces podría recuperar fácilmente el archivo usando Recuva o cualquiera de varias utilidades" recuperar ". Si está de suerte, la función de Copia de sombra está activada y podrá acceder directamente a "Versiones anteriores de este directorio" desde la interfaz del Explorador en el servidor (no puede hacerlo desde la red, AFAIK).
En estos sistemas, sin embargo, es poco probable que las instalaciones de registro se estén ejecutando, especialmente con el nivel de detalle que necesitarías para tener un culpable.
Si se trata de un sistema Linux, la recuperación suele ser más difícil (necesitará una herramienta ext* Recuperar : asumir la el sistema de archivos es EXT3 / EXT4; la compatibilidad para eliminar EXT3 / 4 es más complicada que en NTFS), pero es probable que el sistema de intercambio de archivos es Samba y tanto los tiempos de acceso como incluso las operaciones (registradas en cada estación de trabajo) están disponibles en los registros de Samba. Aquí, por ejemplo, hay una conexión de mi PC a mi servidor doméstico hace algún tiempo:
zotac (::ffff:192.168.4.24) connect to service public initially as user
lserni (uid=1000, gid=100) (pid 11642) [2012/05/03 17:20:07.499617, 1]
El nombre de la estación de trabajo (zotac), su dirección IP y el nombre de usuario están registrados. Es posible, pero no el predeterminado, ya que los archivos de registro tienden a crecer mucho, para registrar operaciones a nivel de archivo (crear, renombrar, eliminar).
Otras posibilidades son tratar de localizar versiones antiguas del archivo y verificar que el empleado, si lo hizo con malicia y previsión, haya accedido o copiado el archivo en su propia estación de trabajo (solo marque Archivos y documentos recientes). Fui testigo de un caso en el que un empleado había copiado el archivo completo de los clientes en una llave USB antes de intentar sobrescribir la base de datos maestra en el servidor. Nunca estuvo claro si tenía la intención de mantener la base de datos para obtener un rescate, o tal vez planeaba venderla a algún competidor (al final, el PTB acordó un "error de buena fe" y "dejó que" el empleado renuncie por razones de salud) .
Lea otras preguntas en las etiquetas forensics file-system windows-8