Dlaczego niektóre narzędzia do odzyskiwania są w stanie znaleźć usunięte pliki po wyczyszczeniu Kosza, defragmentacji dysku i zerowaniu wolnego miejsca?

10

O ile rozumiem, kiedy usuwam (bez użycia Kosza) plik, jego rekord jest usuwany ze spisu treści systemu plików (FAT / MFT / etc ...), ale wartości sektorów dyskowych, które były zajęte przez plik pozostaje nienaruszony, dopóki te sektory nie zostaną ponownie użyte do napisania czegoś innego. Kiedy używam jakiegoś narzędzia do odzyskiwania skasowanych plików, odczytuje te sektory bezpośrednio i próbuje zbudować oryginalny plik.

W tym przypadku nie rozumiem, dlaczego narzędzia do odzyskiwania są w stanie znaleźć usunięte pliki (ze zmniejszoną szansą na ich odbudowanie) po defragmentacji dysku i zastąpieniu całego wolnego miejsca zerami. Czy możesz to wyjaśnić?

Pomyślałem, że usunięte pliki z zerowym nadpisaniem można znaleźć tylko za pomocą specjalnego sprzętu do magnetycznego laboratorium kryminalistycznego, a te złożone algorytmy czyszczenia (wielokrotne zastępowanie wolnego miejsca wzorami losowymi i nieprzypadkowymi) mają sens, aby zapobiec takiemu fizycznemu skanowaniu udane, ale praktycznie wydaje się, że zwykłe zerowanie nie wystarczy, aby wyczyścić wszystkie ścieżki usuniętych plików. Jak to może być?

AKTUALIZACJA, odpowiadając na pojawiające się pytania:

  • Wypróbowałem następujące narzędzia do czyszczenia: SDelete Sysinternal, CCLeaner i proste narzędzie, którego nazwy nie pamiętam, które zaczyna się od wiersza poleceń i tworzy rosnący plik wypełniony zerami, dopóki cała wolna przestrzeń nie zostanie zajęta, a następnie usunięta to.
  • Wypróbowałem następujące narzędzia do odzyskiwania: Recuva, GetDataBack, R-Studio, EasyRecovery.
  • Nie pamiętam dokładnie, które narzędzia dały określony wynik (o ile pamiętam wersje próbne niektórych z nich pokazują tylko nazwy plików i nie mogę ich odzyskać).
  • Prawdopodobnie w większości (ale nie w 100%) przypadków widzieli tylko nazwy i nie mogli odzyskać danych, ale nadal jest to zagrożenie bezpieczeństwa, którym należy się zająć, ponieważ nazwy plików nadal mogą być bardzo pouczające (na przykład widziałem facet, który przechowywał hasła w plikach tekstowych, które zostały nazwane jako nazwa zasobu chronionego hasłem plus nazwa logowania, a nazwy logowania również powinny być zabezpieczone).
Ivan
źródło
1
Czy „zmniejszona szansa na odbudowę” jest większa niż 0?
Daniel Beck
1
Jakiego programu do odzyskiwania użyłeś do pomyślnego odzyskania pliku z nadpisaniem zerowym, ponieważ nigdy go nie spotkałem (nie dlatego, że szukałem bardzo ciężko lub próbowałem wielu)?
Neal
1
Czy oprogramowanie do odzyskiwania faktycznie odzyskuje przydatny plik? czy po prostu znajduje stary wpis w głównej tabeli plików.
Moab

Odpowiedzi:

9

Jeśli zastąpisz usunięte pliki, nie będziesz w stanie ich odzyskać.

Myślę, że albo twoje narzędzie do czyszczenia nie zrobiło wszystkiego, co powinno, albo masz jakiś problem z pamięcią podręczną.

aktualizacja - jeśli używasz dysków SSD, może się okazać, że narzędzia do bezpiecznego usuwania nie działają zgodnie z oczekiwaniami ze względu na sposób odczytu / zapisu danych na dyskach SSD.

Rory Alsop
źródło
3

Nie wystarczy usunąć dane i sformatować dysk twardy (który usuwa tabele adresów). To tylko usuwa link do danych. Aby dane zostały usunięte, nowe dane muszą zostać zapisane na nich.

Jednorazowe zapisanie danych nie wystarczy. Dlatego bardziej bezpieczna metoda wymazywania dysku wielokrotnie zapisuje różne typy danych na dysku. Im więcej razy nowe dane są zapisywane na dysku, tym bardziej jest ono bezpieczne. Aby uzyskać więcej informacji, przeczytaj to: http://www.headresist.com/how-computer-programs-that-wipe-hard-drive-work.htm

Naprawdę dobrym programem, który pozwala na stosowanie wielu różnych czyszczenia dysków twardych, jest DBAN .

Leebeloola
źródło
3

Zauważyłem, że zapytałeś o pozostawienie nazw plików, a także o dane; to normalne, żadna wycieraczka nie zastąpi pozycji katalogu, ponieważ jedynym sposobem na to jest tworzenie i usuwanie plików w katalogu zawierającym, dopóki stary wpis nie zostanie zastąpiony. W zależności od tego, jak fantazyjny jest system plików (ext4, ntfs, reiserfs, hfs +, inne z nieliniowymi strukturami katalogów), może to wymagać wielu prób.

Inną możliwą sugestią dotyczącą możliwości odzyskania danych plików w niektórych systemach plików jest to, że mogą one znajdować się w dzienniku. Wiele narzędzi do czyszczenia wolnego miejsca na dysku zapisywało bezpośrednio na urządzeniu, unikając systemu plików; wystarczająco inteligentny dziennik może wykryć zapisywanie wszystkich zer do pliku, aż do zapełnienia (a dokładniej wielokrotnego zapisu tego samego bloku danych) i zapisanie go tylko raz, pozostawiając inne rzeczy w dzienniku. A następnie niektóre inteligentne systemy plików mogą wpychać wystarczająco małe pliki do metadanych plików systemu plików (i-węzeł w systemach plików Unix), co uniemożliwia jakiemukolwiek wyczyszczeniu dysku dotknięcie danych.

geekozaur
źródło
3

ponieważ, jak powiedział geekozaur, narzędzia te usuwają tylko dane z plików i nie reorganizują indeksu tabeli plików. jeśli chcesz całkowicie usunąć ślady pliku z indeksu, znajdź narzędzie, które również to wyczyści, lub wykonaj kopię zapasową systemu plików, wyczyść dysk i przywróć z kopii zapasowej. znalazłem tu wyjaśnienie: http://www.broadbandreports.com/forum/r19572516-Removing-names-of-deleted-files-from-MFT~start=40


źródło