Как я могу узнать, какие блоки / секторы были записаны в последний раз на томе NTFS?
Есть ли инструмент, который позволил бы мне определить, какие блоки данных были в последний раз (последние) записаны в том NTFS? Возможно, файл $ Journal тома NTFS может содержать информацию, которую можно извлечь или проанализировать / интерпретировать. Существует ли инструмент, который будет определять, какие кластеры или сектора были в последний раз записаны или изменены на томе NTFS или FAT?
Я спрашиваю, потому что компьютер, который я использовал, умер (быстро, без какого-либо синего экрана - я предполагаю, что дамп памяти не был сделан Windows), когда файл объемом 2-4 МБ сохранялся на внутренний жесткий диск. Интересно, действительно ли какое-либо содержимое этого файла было физически записано на жесткий диск? Возможно, что любое содержимое файла, которое должно было быть записано физически, все еще находилось только в буфере оперативной памяти ввода-вывода. Если это так, я не думаю, что смогу извлечь / найти какие-либо (даже части) данных, принадлежащих этому файлу (если только *). Однако мне интересно, возможно ли, что частичное содержимое этого файла действительно было записано в постоянное хранилище. I was running Windows 7 64 bit and writing to the C: volume (the main, system NTFS volume on that hdd). The motherboard (and/or power supply) have been flaky for some time. It's crashed on me like this before.
I have started to learn about The Sleuth Kit. It's an open-source, free Forensic software suite that can be installed in any GNU/Linux distro (or other UNIX-like systems, as well, I believe). Perhpas one of the apps that are part of that suite of tools could be used for this purpose. one such app in TheSleutKit is blkls. Running it in default mode, without any switches will output the raw (binary?) contents of all unallocated blocks/sectors on the storage device/partition to stdout (1>>) (or |). However, I don't think that will be helpful since this is the NTFS system volume and many of those unallocated blocks contain deleted files that are older than the one file that I am looking for fragments of. If all of those unallocated blocks never before contained any data, perhaps blkls would be helpful for this purpose.
Speaking of the possibility of a RAM dump, I recently read that, when Windows creates a memory dump, the contents of (Some or all) (perhaps only select process(es), if not an entire image of the RAM) RAM are copied to the hibfil.sys and then, upon next boot of Windows, that memory dump is extracted and saved to a seperate.dmp file somewhere in C:\Windows or the user folder. Is it possible that if any of the data that was going to be written to the NTFS volume was first in a RAM I/O buffer, that any of that would be part of a memory dump?