Gdzie są usuwane elementy na dysku twardym?

23

Po przeczytaniu poniższego cytatu na temat procesu Casey Anthony (CNN) jestem ciekawy, gdzie usunięte pliki faktycznie trafiają na dysk twardy, jak można je zobaczyć po usunięciu oraz w jakim stopniu dane można odzyskać (całkowicie, częściowo itp.).

„Na początku procesu eksperci zeznali, że ktoś przeprowadził wyszukiwanie słów kluczowych na komputerze stacjonarnym w domu, w którym Casey Anthony udostępniła swoim rodzicom.

Wyszukiwania znaleziono na części dysku twardego komputera, która wskazywała, że ​​zostały usunięte, detektyw Sandra Osborne z biura szeryfa hrabstwa Orange zeznała w środę w procesie o zabójstwo kapitału Anthony'ego.

Znam niektóre pytania tutaj dotyczące oprogramowania innych użytkowników Super User, które można wykorzystać do tego rodzaju rzeczy, ale jestem bardziej zainteresowany tym, jak te dane można zobaczyć po usunięciu, gdzie znajdują się na dysku twardym itp. I uważaj cały temat za intrygujący, więc mile widziane są wszelkie dodatkowe informacje.

nocnik
źródło
Niedawno pobierałem niektóre torrenty i kiedy próbowałem je wyświetlić, odtworzyłem filmy, które usunąłem kilka dni wcześniej, ponieważ przypisało to miejsce pamięci torrentowi, ale niczego jeszcze nie pobrałem. Pomysł może pomóc :)
Skeith,

Odpowiedzi:

33

Ogólnie rzecz biorąc, usunięte pliki nigdzie nie trafiają. Pozostają na dysku dokładnie tak, jak były, dopóki nie zostaną zastąpione. Po ich usunięciu łącze do niego jest po prostu usuwane ze struktury systemu plików.

jncraton
źródło
39

Wyobraź sobie bibliotekę z 1970 roku. Miałeś wszystkie półki z książkami i szuflady z kartami, które wskazywałyby, gdzie znajduje się książka, której szukasz.

Na dysku twardym masz stolik (szuflady), który jest oddzielony od plików (książek).

Twój system operacyjny odwołuje się do tej tabeli, gdy musi znaleźć dane. Następnie trafia do miejsca, w którym znajduje się książka, z głowicą czytającą lub czymkolwiek innym, z czego korzysta urządzenie, i odczytuje tam dane.

Gdy użytkownik decyduje się usunąć plik, komputer po prostu usuwa zawartość tabeli dla tej lokalizacji, co w zasadzie powoduje umieszczenie pustej karty dla tego pliku w tabeli. ponieważ przejście do każdego miejsca i usunięcie pliku zajęłoby więcej czasu i energii, po prostu tam je zostawia.

Ponieważ książka jest nadal fizycznie w bibliotece, mimo że nie ma jej w rejestrze, specjalne oprogramowanie może odczytać wszystkie książki i dowiedzieć się, co zostało niedawno usunięte (o ile nie zostało jeszcze napisane następnie!)

Tyler Faile
źródło
1
+ 2 Bardzo dobra analogia.
jerry
5

To zależy od tego, co rozumiesz przez usunięte. w większości systemów operacyjnych, pliki są „skasowany” przez przenoszone do folderu Kosz, szczególnie dlatego mogą być odzyskane później przez użytkownika. Po usunięciu zawartości Kosza bloki zawierające dane są oznaczane jako dostępne, ale ich zawartość pozostaje nienaruszona. Aby dane były nieczytelne, użytkownik musi „Bezpiecznie usunąć” plik lub zawierający go folder Kosz, jeśli system operacyjny oferuje tę opcję. Jeśli nie, bloki te zostaną ostatecznie ponownie wykorzystane i nadpisane przez nowe dane, ale może to zająć dużo czasu, a tymczasem dane w tych blokach można znaleźć i odczytać.

JRobert
źródło
1
Należy zauważyć, że „usuwanie” i „przenoszenie” pliku z jednego folderu do drugiego lub nawet do kosza wpływa tylko na informacje o pliku (tj. Nazwę), a nie na zawartość pliku na dysku.
Chris Nava,
@Chris dlatego właśnie o wiele szybciej jest wyciąć większy plik niż go skopiować?
Skeith
1
Tak - przenoszenie małego łącza jest znacznie szybsze niż kopiowanie zawartości pliku.
JRobert
5

Analogia Tylera Faile'a jest świetna.

Dane nigdzie nie idą. Jego adres jest po prostu oznaczany jako wolne miejsce, a następnie nadpisywany, gdy nowe dane wymagają miejsca. Gdy tylko zostanie nadpisany, zniknie na stałe.

Jeśli chcesz coś usunąć, aby nie można go było odzyskać, możesz albo bezpośrednio nadpisać, albo nadpisać całe wolne miejsce na dysku twardym. Musisz jednak uważać na zwykłe nadpisywanie plików, ponieważ pliki są przenoszone przez system operacyjny podczas normalnego użytkowania. Jeśli tak się stanie, stara kopia nie zostanie bezpiecznie nadpisana.

Dobrym programem do nadpisywania plików i nadpisywania całej wolnej przestrzeni jest Gumka. http://eraser.heidi.ie/

Dobry program do nadpisywania całych dysków twardych (być może przed ich sprzedażą) to Boot and Nuke firmy Darik. Bądź bardzo ostrożny z tym programem. Jego nazwa jest dość dokładna. Nie używaj go, chyba że masz pewność, że nie chcesz żadnych danych na komputerze.

Często dyskutuje się, czy dane można odzyskać po pojedynczym nadpisaniu. Faktem jest, że nigdy nie zostało to zrobione publicznie na nowoczesnym dysku. Peter Gutmann napisał o tym artykuł, a jedna z jego metod została nazwana na jego cześć. Możesz przeczytać jego artykuł tutaj: http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html

Oto, co ma do powiedzenia na temat przekroczenia liczby przejazdów:

W czasie, gdy ten artykuł został opublikowany, niektórzy ludzie traktowali opisaną w nim technikę nadpisywania 35-pasmowego bardziej jako rodzaj zaklęcia voodoo, aby wyrzucić złe duchy, niż wynik technicznej analizy technik kodowania dysku. W związku z tym zalecają stosowanie voodoo na dyskach PRML i EPRML, nawet jeśli nie przyniesie to więcej efektu niż zwykłe czyszczenie losowych danych. W rzeczywistości wykonanie pełnego zastąpienia 35-przebiegowego jest bezcelowe dla każdego napędu, ponieważ jest ukierunkowane na kombinację scenariuszy obejmujących wszystkie rodzaje (zwykle używanych) technologii kodowania, która obejmuje wszystko od ponad 30-letnich metod MFM (jeśli nie nie rozumiem tego stwierdzenia, ponownie przeczytaj artykuł). Jeśli używasz dysku, który korzysta z technologii kodowania X, musisz wykonać tylko przejścia specyficzne dla X, i nigdy nie musisz wykonywać wszystkich 35 przejść. W przypadku każdego nowoczesnego napędu PRML / EPRML najlepiej jest wykonać kilka przejść losowego czyszczenia. Jak mówi gazeta: „Dobre szorowanie z przypadkowymi danymi zrobi tak dobrze, jak można się spodziewać”. Było to prawdą w 1996 r. I nadal jest prawdą.

DaleSwanson
źródło
1
Należy jednak zauważyć, że wielokrotne nadpisywanie może nie być bezpieczne na dyskach SSD. Porównaj superuser.com/q/22238/33973
sum1stolemyname
Należy również zauważyć, że nadpisywanie pojedynczych plików (w przeciwieństwie do całej partycji / dysku) często nie wystarcza: superuser.com/questions/157931/foss-wipe-free-space-7-35-passes
sleske
To dobra odpowiedź, ale OP nie był zainteresowany faktycznym oprogramowaniem, które usuwa, ale gdzie się znajduje, o którym nie dajesz żadnych nowych informacji. Nie przegłosowałem, ale tak naprawdę nie mogę usprawiedliwić przegłosowania.
James Mertz,
3

Przydzielone miejsce dla usuniętych plików jest zwalniane, aby inne pliki mogły je zastąpić. Ale dopóki tak się nie stanie, twoje pliki pozostaną na dysku twardym.

Zwykle nie jest możliwy dostęp do tych plików, ale istnieją różne narzędzia do wyszukiwania takich usuniętych, ale jeszcze nie nadpisanych plików. Nadal tracisz całą meta informacje o pliku, takie jak ścieżka i nazwa pliku. Jeśli przywrócisz taki plik, otrzyma on tajemniczą nazwę jak FILE004 w określonym katalogu.

ayckoster
źródło