Здравствуйте !
Если кому интересно.
Оказывается запись может быть "ленивой" не только для "физических" данных файла.
Под "ленивой" подразумевается возможность несоответствия реальных данных файла на
диске и данных полученных его чтением при помощи API. Т.е. системе лень скидывать данные на диск :)
Причем такая ситуация может сохраняться довольно длительное время, даже после закрытия файла.
С удивлением обнаружила, что подобно может распостраняться и на MFT.
Т.е. наблюдается следующий эффект (XP SP2 NTFS 3.1):
Создаем файл среднего размера (Handle закрываем) и тут же сканируем MFT.
При первом (а иногда и при повторном) проходе этого файла в ней нет.
Это к вопросу о существовании файла :)

> Под "ленивой" подразумевается возможность несоответствия
> реальных данных файла на
> диске и данных полученных его чтением при помощи API. Т.
> е. системе лень скидывать данные на диск :)


собственно, Rootkit Revealer имени Руссиновича это очень подробно и с картинками показывает, если во время его работы полазить, скажем, по интернету.

> [1] Игорь Шевченко ©   (27.08.08 14:49)
> собственно, Rootkit Revealer имени Руссиновича это очень подробно и с картинками показывает,
> если во время его работы полазить, скажем, по интернету.

Ух ты как я отстала от жизни. У меня Rootkit Revealer без картинок.
Побежала к Руссиновичу за последней версией :)

> диске и данных полученных его чтением при помощи API. Т.
> е. системе лень скидывать данные на диск :)


Есть ещё "ленивее" - в данных кэша например RAID - контроллера - данные полученные считыванием напрямую с блинов будет отличаться от данных полученных через API.  

Можно усложнитьс задачу - поставить напримиер SuperCache и поиметь полную загадок систему, в виду того что и по сети винда научиться дисковым кэшем пользоваться.

<offtop>
а ходили слухи, что Рипли выкинула винчестер и сделала новую прическу... :)

>  выкинула винчестер и сделала новую прическу

так то на старом она прическу сделала, а потом выкинула