Для любителей паранойи по поводу слежки и шантажа.
На хоботе у человека возникли вопросы по поводу заполнения нового тома в винде (7-ке). Именно по поводу его "наполнения" пока не выяснено, но попутно выявился интересный момент.
Имеется работающая система и чистый диск, на котором создаётся NTFS-совский том. Через небольшой промежуток времени (система создаст папку System Volume Information) можно запустить chkdsk для этого пустого тома и увидеть что обьём файлов существенно превышает обьём, фигурирующий в свойствах тома.
Дальнейший разбор выявил что "виновником" этого явления является удалённый файл в вышеозначенной служебной папке. И даже если учитывать что защита системы на этом томе отключена, можно было бы понять что всё таки какие то записи были нужны.
НО ... при RAW просмотре (при простом только 00) содержимого секторов этого файла выясняется что структура данных соответствует журналу файловой системы. Опять же, таковой на томе имеется и логично предположить что теневое копирование зафиксировала его состояние на момент создания тома.
НО... просмотр содержимого явно указывает на то, что записи соответствуют таковому от системного диска - например, там фигурируют имена файлов реестра). Ну ладно, пусть даже сохранилось содержимое системного на момент создания тома
НО... оказывается что туда записываются и уже новые данные.
отакот
PS. Сразу не стал писать, потому как решил проверить.
Если сразу после форматирования раздела удалить папку System Volume Information и записать файл с таким именем (я сразу задавал ему атрибуты скрытого и системного) то описанного эффекта нет - видно на последнем скриншоте. При этом, насколько понимаю, на томе не будет работать функционал защиты системы.
И ещё уточнение. Наличие всего этого не обязательно - описанное актуально в случае если чекдиск показывает в занятом существенно большее значение.