¿Cómo funciona la papelera de reciclaje?

29

¿Qué hace realmente la Papelera de reciclaje en Windows? ¿Es solo una carpeta glorificada y un lugar de almacenamiento para los archivos que pronto se eliminarán, o hace algo específico? Específicamente, ¿los archivos que se "mueven" a la Papelera de reciclaje se mueven realmente en el disco duro, o simplemente se mueven los punteros a los archivos? Soy un usuario bastante experimentado, solo quería una explicación más profunda de la Papelera de reciclaje.

windows recycle-bin Jonathon
fuente
3
Esta es realmente una pregunta interesante. Si la papelera de reciclaje fuera simple, no tomaría una eternidad agregar una carpeta con unos pocos miles de archivos.
Daniel Beck
3
Comience con el artículo de Wikipedia .
William Jackson
tomshardware.com/forum/95622-45-recycle-work
OG Chuck Low
1
La mejor información es siempre de las personas que realmente escriben software de recuperación: pandorarecovery.com/knowledge_base/general/recycler.php . Y también ver dereknewton.com/2010/06/... y linuxsleuthing.blogspot.sg/2009/10/... y cybersecurityinstitute.biz/INFO2.htm
Pacerier

Respuestas:

32

Se elimina la referencia, se guarda un archivo de metadatos en la Papelera de reciclaje para conocer la ubicación original.

En los primeros días, en Windows 95 y 98 esto se encontraba en \RECYCLED. En Windows 2000 y posterior se le cambió el nombre a \RECYCLER. Desde Windows Vista ahora es una carpeta especial llamada \$Recycle.Bin.

Use Process Monitor para ver las E / S debajo del capó, coloque un filtro Recycle.Biny visítelo. :)

Por ejemplo, cuando hago esto:

notepad \$RECYCLE.BIN\S-1-5-21-0192837465-987654321-0123456789-1000\$EXAMPL5

Nota: El nombre largo de la carpeta es un SID de usuario . El último nombre de la carpeta es un hash basado en los metadatos.

Me sale un archivo que contiene información de metadatos como esta:

                Ö¸ÌC : \ P a t h \ T o \ S o m e \ E x a m p l e . t x t

La razón por la que la ruta del archivo tiene espacios intermedios es porque está almacenada en caracteres de byte ancho, para admitir caracteres especiales para ciertos idiomas, así como unicode y qué más. Los símbolos anteriores son binarios y contienen información como el tamaño del archivo y los permisos, así como un puntero a los datos del archivo. En esencia, contiene suficiente información para reconstruir la referencia original ...

Es triste que el libro de Windows Internals no cubra esto, de lo contrario habría tenido más referencias. No he encontrado ningún artículo que entre en detalles sobre esto, ni por Microsoft ni por terceros. Probablemente existan, pero me resultó más fácil ir e invertir el concepto principal ...

Tamara Wijsman
fuente
Agradable, acabo de descubrir de la manera difícil exactamente lo que has publicado. ¿Tienes alguna idea de cómo encontrar tu Example.txtdesde el símbolo del sistema? Mi caso de uso es buscar en todo el disco un archivo fuera de lugar usando, dir c:\*.doc* /a/spero no encuentra ningún documento en la papelera de reciclaje debido al cambio de nombre y al nombre real que se mantiene en este archivo de metadatos.
Lieven Keersmaekers
Eso probablemente involucrará a findtr para manipular el contenido de la papelera de reciclaje. No sé cómo.
Tamara Wijsman
Probablemente sea más fácil actualizar mis expectativas de dir /a/s:). tx Tom.
Lieven Keersmaekers
@TomWijsman, extraño, ¡puedo cambiar el nombre C:\$Recycle.Bin(probado en win8)! ¿Es seguro hacerlo?
Pacerier