De fleste af os ved, hvad papirkurven gør, og hvordan man bruger den, og dens interne funktion er ændret subtilt i forhold til forskellige Windows-udgivelser. Windows Vista og nyere bruger nu metadatainformation til at gemme de valgte filer og mapper i en genbrugsmappe kaldet $ Recycle.bin, før de slettes permanent. Windows XP og under brugerne har forskelligt navngivne genbrugsmapper på deres drev kaldet enten Recycled eller Recycler. Hvad er forskellen mellem mapperne Genbrug og Genbrug?
Faktisk har de ingen reelle forskelle, og du vil have en af mapperne i roden af dit drev. Hvad der bestemmer, om du har Genbrug eller Genbrug, skyldes faktisk hvilket filsystem der findes på din harddisk. Hvis det er en FAT32 Windows-partition, får du Genbrug, og hvis du har NTFS, har du Recycler. Nogle mennesker har måske endda begge mapperne, fordi de tidligere har konverteret deres drev fra FAT32 til NTFS. Ligeledes er det ikke ualmindeligt, at brugere af Windows 7 eller 8 støder på Recycler på en ekstern harddisk, som tidligere er tilsluttet et system, der kører XP.
Når du sletter en fil i Windows XPs Explorer eller My Computer, vises filen straks i papirkurven. Dette er, hvad du ser, men faktisk er der noget, der sker i baggrunden. Den komplette sti og fil- eller mappenavn gemmes i en skjult fil kaldet INFO2, der er inde i mappen Recycled eller Recycler. Denne fil er meget vigtig, fordi hvis INFO2 bliver beskadiget eller fjernet, normalt kan alt, der i øjeblikket findes i papirkurven, gå tabt, medmindre du prøver at bruge et stykke datagendannelsessoftware for at få den tilbage.
Lad os lave en lille test for at forstå bedre, hvad der sker. Jeg vil slette en fil fra skrivebordet kaldet “DeleteMe.exe” og lade den blive i papirkurven. Når den er slettet, kan jeg fra papirkurv-ikonet se, at den nu har skrald. Da systempartitionen er NTFS-filsystemet, vil der være en RECYCLER-mappe ved roden til C. Inde i Recycler-mappen findes der en anden mappe med et navn som “S-1-5-21-1078081533-1957994488- 1343024091-1003 ”eller lignende. Inde der er filen, der netop blev slettet (DeleteMe.exe), synlig.
For at se, hvad der virkelig sker i mappen Recycler, kan vi ikke bruge Windows Stifinder, da det ikke viser alle filerne. Nogle er skjulte og har også deres Systemattribut indstillet, men endda at aktivere "Vis skjulte filer" og deaktivere "Skjul beskyttede operativsystemfiler" fra Windows Folder Options viser stadig ikke alt. Du kan enten bruge Kommandoprompt for at få et fuldt overblik over Recycler, eller endnu bedre, bruge et File Management-program. Jeg vil bruge den fremragende FreeCommander til dette formål, fordi den som standard viser alle system, skjulte og beskyttede filer og mapper.
Når du kontrollerer, hvad der er i biblioteket "Recycler \ S-1-5-21 ..." gennem FreeCommander, kan vi se INFO2-filen sammen med den eksekverbare fil, der blev slettet, selvom den er omdøbt til Dc7.exe. Hvis jeg faktisk drager filen til skrivebordet, ville den skifte tilbage til DeleteMe.exe og derefter tilbage til en Dc {nummer} .exe-fil igen, hvis jeg trækkede den tilbage. Det samme ville ske med en mappe sendt til papirkurven.
Hvis jeg sletter INFO2-filen, sker der noget underligt, fordi papirkurven stadig viser, at den har papirkurven, men ved åbning af papirkurven afsløres der ikke er nogen filer derinde. Hvis jeg prøver at tømme papirkurven, spørger den mig “ Er du sikker på, at du vil slette disse 2 emner? ”
Når vi går tilbage til mappen Recycler og ser på hvad der er der, er Dc-eksekverbare stadig der sammen med en ny Dc-fil, der er den tidligere slettede INFO2. At flytte Dc7.exe ud af papirkurven denne gang, som omdøbte sig selv før, gør det nu ikke og forbliver som en Dc-navngivet fil. Som vi kan se fra dette lille eksperiment, er INFO2 vigtig, fordi uden det har papirkurven ikke en registrering af de originale filer, mapper og stier, når det kommer til at gendanne dem fra papirkurven. Når du tømmer papirkurven, tømmes dataene i INFO2 også.
Der synes ikke at være nogen kendt måde at reelt redigere INFO2-filen direkte, men der er et gratis værktøj omkring kaldet rifiuti2, der bruges til at analysere INFO2 og blev oprindeligt designet til Windows-computerforensics. For at analysere INFO2 med rifuiti2 skal du kopiere INFO2 fra Recycler til rifiuti-mappen ved hjælp af FreeCommander og køre kommandoen “ rifiuti INFO2 ” fra Command Prompt.
Det viser dig derefter alle slettede oplysninger om fil og mappe, der er indeholdt i INFO2. Det viser ikke alle filerne i en mappe, hvis du sletter selve mappen, ligesom papirkurven ikke gør det. Det kan dog vise alle filer, der er tilbage i INFO2, men er blevet slettet fra papirkurven, skønt disse poster normalt skal fjernes, når skraldespanden tømmes.
Download rifiuti2
Så hvad har vi lært? For det første er en original INFO2-fil ikke en virus og spiller en vigtig rolle i lagring af oplysninger om, hvad der opbevares i Windows papirkurven, og hvor den går, hvis den gendannes. Det er også muligt at gendanne filer fra papirkurven, hvis INFO2-filen er korrupt eller mangler, og ingen filer er synlige i papirkurven, selvom ikonet viser, at der er noget derinde.
