360文件粉碎机在哪(360文件粉碎机还能恢复吗)

测试360粉碎工具文件系统：NTFS测试文件：1.zip 2.zip 3.zip360粉碎工具试一下到底

 

测试360粉碎工具文件系统：NTFS测试文件：1.zip  2.zip  3.zip360粉碎工具试一下到底删除了些啥？一、首先我们新建一个VHD格式化成NTFS，然后往里面保存1.zip、2.zip、3.zip

，先看一下三个文件的MFT的位置和数据截图，对比查看粉碎后与粉碎前的MFT修改

二、确定一个文件内容的位置，用于粉碎后查看是否对数据清0x00

三、确认文件簇号，对比$BITMAP是否回收

四、查看目录INDX索引记录，INDX中Item记录了同样的文件属性数据

五、确认$BITMAP，粉碎后是否回收空间

六、我们现在开始使用360工具粉碎，首先把1.rar文件拖进去，但不勾选下面的“防止恢复”和“防止文件再生”，然后粉碎文件

1、删除后，看一下MFT，可以看到只是属性标志位由原来的0x01(正常文件)标记为0x00(删除文件)，也就是和你delete正常文件删除一样

2、看一下文件内容，发现文件内容还在，也就是只是delete删除，并没有对数据做任何的擦除操作，完全可以恢复

3、看一下目录INDX索引，发现原来便宜148912处为1.zip，现在变成2.zip，把2把1的位置给覆盖了( 这个后面细说，通过volume新生成的卷标目录 )

4、看一下bitmap，通过跳转计算，发现原1.zip空间已经被回收释放

五、我们现在粉碎第二个文件2.zip，这次我们勾上“防止恢复”，开始粉碎

1、发现原来的2.zip文件名已经改变成31418

2、看一下MFT，对比没有删除前得出如下，MFT项中0x08偏移处日志序列号改变，文件属性由原来正常0x01改成0x00和正常删除一样，由于文件名改变，ox10和0x30属性都发生了改变

3、看一下文件内容，发现文件内容都已经被清0，数据无法恢复

4、bitmap就不用看了，肯定释放了5、看一下INDX索引，处理情况和删除一样

六、我们现在粉碎第三个文件3.zip，这次我们勾上“防止文件再生”，开始粉碎

1、看一下MFT，和文件1一样，更改属性为0x00

2、查看文件内容，发现文件内容还真实存在

3、查看INDX索引目录，发现和文件1、2一样

总结时间：第一：如果只是把文件添加到360粉碎机粉碎，这个过程基本和你在电脑上点击删除是一样的，只是它帮你删除而已，所有删除过程应该也只是调用系统API进行删除操作第二：勾选【防止恢复】，这个过程还是可以了，首先360粉碎机会修改MFT中的10和30属性，将文件名修改，然后将文件数据块全部填入0x00，这样的话，文件内容将无法恢复，通过MFT恢复文件属性也将无法恢复，也就是通过对MFT即恢复不了文件内容，也无法知道曾经有这样一个文件存在

第三：勾选【防止文件再生】文件内容还在，MFT也还在，如果我们只是关注文件是否还能恢复，就这两个就够了，和第一的效果一样最后：通过分析可以确认，360粉碎机在粉碎文件的时候，一样一样是调用了系统API的删除行为，因为所有删除操作后，INDX和Item项都是系统的改变方式(下次分析)，然后再对数据块和MFT进行更改，那么虽然【防止恢复】可以清除数据、更改文件名等，但整个删除的行为在应该会在NTFS$日志中记录，这个后面再分析......

免责声明：本站所有信息均搜集自互联网，并不代表本站观点，本站不对其真实合法性负责。如有信息侵犯了您的权益，请告知，本站将立刻处理。联系QQ：1640731186