Чому деякі інструменти відновлення все ще в змозі знайти видалені файли після того, як я очищую кошик, дефрагментуйте диск і не заповнюйте вільний простір?

10

Наскільки я розумію, коли я видаляю (без використання кошика) файл, його запис видаляється із вмісту файлової системи (FAT / MFT / тощо), але значення секторів дисків, якими займав файл залишається недоторканим, поки ці сектори не будуть використані повторно для запису чогось іншого. Коли я використовую якийсь інструмент відновлення стертих файлів, він читає ці сектори безпосередньо та намагається створити вихідний файл.

У цьому випадку я не можу зрозуміти, чому інструменти відновлення все ще здатні знаходити видалені файли (з обмеженою ймовірністю відновлення їх, хоча) після того, як я дефрагментацію накопичувача і перезаписування всього вільного місця нулями. Чи можете ви пояснити це?

Я вважав, що видалені файли з нульовим переписуванням можна знайти лише за допомогою спеціальних апаратних засобів криміналістичного магнітного сканування, а ті складні алгоритми витирання (перезаписування вільного простору кілька разів випадковими та невипадковими шаблонами) мають сенс запобігти такому фізичному скануванню. успіху, але практично здається, що простого заповнення нуля недостатньо для того, щоб стерти всі доріжки видалених файлів. Як це може бути?

ОНОВЛЕННЯ, вирішуючи питання, які виникли:

  • Я спробував такі інструменти очищення: SDelete, CCLeaner Sysinternal і проста утиліта, назва якої не можу згадати, яка починається з командного рядка і створює зростаючий файл, заповнений нулем, поки не буде взято весь вільний простір, а потім видалено це.
  • Я спробував такі інструменти відновлення: Recuva, GetDataBack, R-Studio, EasyRecovery.
  • Я не можу точно згадати, які інструменти дали конкретний результат (наскільки я пам'ятаю пробні версії деяких з них показують лише імена файлів і фактично не можуть відновитись).
  • Можливо, у більшості (але не на 100% усіх) випадків вони бачили лише імена та не могли відновити дані, але це все-таки загроза безпеці, яку потрібно вирішити, оскільки імена файлів все ще можуть бути досить інформативними (наприклад, я бачив хлопець, який зберігав паролі в текстових файлах, які були названі як ім'я парольного ресурсу плюс ім'я для входу, а імена для входу також повинні бути захищені).
hard-drive  security  data-recovery  file-recovery  wipe 
Іван
джерело
1
Чи "знижений шанс відновлення" більший за 0?
Даніель Бек
1
Яку програму відновлення ви використовували для успішного відновлення перезаписаного нуля файлу, оскільки я жодного разу не стикався (не те, що я виглядав дуже важко або намагався багато)?
Ніл
1
Чи реально відновлення програмного забезпечення для відновлення корисного файлу? або це просто пошук старого запису в таблиці головного файлу.
Моаб

Відповіді:

9

Якщо ви перезаписуєте стирані файли, ви не зможете отримати з них нічого.

Я найкраще здогадуюсь, що або ваш інструмент очищення не зробив усе, що належить, або у вас є якась проблема кешу.

оновлення - якщо ви використовуєте твердотілі накопичувачі, ви можете виявити, що захищені інструменти видалення не працюють, як очікувалося, через спосіб зчитування / запису даних на SSD.

Рорі також
джерело
3

Видалити дані недостатньо і відформатувати жорсткий диск (який видаляє адреси адрес). Це видаляє лише посилання на дані. Щоб дані були стерті, нові дані повинні бути записані поверх них.

Достатньо лише написати один раз поверх даних. Ось чому більш безпечний метод витирання дисків записує різні типи даних на диск кілька разів. Чим більше разів нові дані записуються на диск, тим безпечніше вони. Для отримання додаткової інформації читайте це: http://www.headresist.com/how-computer-programs-that-wipe-hard-drive-work.htm

Дійсно хорошою програмою, яка дозволяє застосовувати багато різних серветки жорсткого диска, є DBAN .

Лібелула
джерело
3

Я помічаю, що ви запитували про залишки файлів, а також про дані; це нормально, жоден склоочисник не замінить записи каталогів, оскільки єдиний спосіб зробити це - створити та видалити файли, що містять каталог, поки не буде перезаписаний старий запис. Залежно від того, наскільки фантазійною є файлова система (ext4, ntfs, reiserfs, hfs + та інші з нелінійною структурою каталогу), це може зайняти кілька спроб.

Інша можлива пропозиція щодо відновлення даних файлів у деяких файлових системах - це те, що вони можуть бути в журналі. Багато утиліти очищення вільного місця на диску, записані безпосередньо на пристрій, уникаючи файлової системи; і досить розумний журнал може виявити запис усіх нулів у файл, поки він не заповниться (точніше, записати один і той же блок даних кілька разів) і зберегти його лише один раз, залишаючи інші речі в журналі. І тоді деякі розумні файлові системи можуть вміщувати достатньо невеликі файли у метадані файлової системи (inode в файлових системах Unix), що робить їх неможливим для будь-якого виду диска для торкання даних.

гекозавр
джерело
3

тому що, як сказав geekosaur, ці інструменти лише стирають дані файлів і не реорганізують індекс файлової таблиці. якщо ви хочете повністю видалити сліди файлу з індексу, знайдіть інструмент, який також видалить або створить резервну копію файлової системи, протріть диск і відновіть його з резервної копії. Тут я знайшов уточнення: http://www.broadbandreports.com/forum/r19572516-Removing-names-of-deleted-files-from-MFT~start=40

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.