Наскільки я розумію, коли я видаляю (без використання кошика) файл, його запис видаляється із вмісту файлової системи (FAT / MFT / тощо), але значення секторів дисків, якими займав файл залишається недоторканим, поки ці сектори не будуть використані повторно для запису чогось іншого. Коли я використовую якийсь інструмент відновлення стертих файлів, він читає ці сектори безпосередньо та намагається створити вихідний файл.
У цьому випадку я не можу зрозуміти, чому інструменти відновлення все ще здатні знаходити видалені файли (з обмеженою ймовірністю відновлення їх, хоча) після того, як я дефрагментацію накопичувача і перезаписування всього вільного місця нулями. Чи можете ви пояснити це?
Я вважав, що видалені файли з нульовим переписуванням можна знайти лише за допомогою спеціальних апаратних засобів криміналістичного магнітного сканування, а ті складні алгоритми витирання (перезаписування вільного простору кілька разів випадковими та невипадковими шаблонами) мають сенс запобігти такому фізичному скануванню. успіху, але практично здається, що простого заповнення нуля недостатньо для того, щоб стерти всі доріжки видалених файлів. Як це може бути?
ОНОВЛЕННЯ, вирішуючи питання, які виникли:
- Я спробував такі інструменти очищення: SDelete, CCLeaner Sysinternal і проста утиліта, назва якої не можу згадати, яка починається з командного рядка і створює зростаючий файл, заповнений нулем, поки не буде взято весь вільний простір, а потім видалено це.
- Я спробував такі інструменти відновлення: Recuva, GetDataBack, R-Studio, EasyRecovery.
- Я не можу точно згадати, які інструменти дали конкретний результат (наскільки я пам'ятаю пробні версії деяких з них показують лише імена файлів і фактично не можуть відновитись).
- Можливо, у більшості (але не на 100% усіх) випадків вони бачили лише імена та не могли відновити дані, але це все-таки загроза безпеці, яку потрібно вирішити, оскільки імена файлів все ще можуть бути досить інформативними (наприклад, я бачив хлопець, який зберігав паролі в текстових файлах, які були названі як ім'я парольного ресурсу плюс ім'я для входу, а імена для входу також повинні бути захищені).