Куди видалені елементи перебувають на жорсткому диску?

Прочитавши цитату нижче про випробування Кейсі Ентоні (CNN), мені цікаво, де видалені файли дійсно йдуть на жорсткий диск, як їх можна побачити після видалення та в якій мірі можна відновити дані (повністю, частково тощо).

"На початку судового розгляду експерти свідчили, що хтось проводив пошук за ключовими словами на настільному комп’ютері в будинку, Кейсі Ентоні поділився з батьками.

Обшуки були знайдені на частині жорсткого диска комп'ютера, який вказав, що їх видалено. Детектив Сандра Осборн з шерифського бюро округу Оранж показала в середу на судовому процесі вбивства Ентоні щодо капітального вбивства ".

Я знаю деякі питання, що стосуються програмного забезпечення сторонніх розробників Super User, які можуть використовуватися для подібних речей, але мене більше цікавить, як ці дані можна побачити після видалення, де вони знаходяться на жорсткому диску тощо. знайти всю тему інтригуючою, тому будь-яке додаткове розуміння вітається.

Взагалі видалені файли нікуди не йдуть. Вони залишаються на диску точно так, як вони були, доки вони не перезаписалися. Коли вони видаляються, посилання на нього просто видаляється зі структури файлової системи.

Уявіть собі бібліотеку 1970 року. У вас були всі полиці з книгами на них, у вас були ящики з картками, які могли б вам сказати, де знаходилась книга, яку ви шукали.

На жорсткому диску у вас є окрема від файлів (книжок) таблиця (ящики).

Ваша операційна система посилається на цю таблицю, коли їй потрібно знайти дані. Потім він переходить до місця розташування книги з головою для читання або тим, що пристрій використовує, і читає там дані.

Коли користувач вирішує видалити файл, комп'ютер просто видаляє вміст таблиці для цього місця, в основному це ставить порожню карту для цього файлу в таблиці. тому що комп'ютер знадобиться більше часу та сил, щоб перейти до кожного місця та фактично стерти файл, він просто залишає його там.

Потім, оскільки книга все ще знаходиться в бібліотеці, хоча її немає в записах, спеціальне програмне забезпечення може прочитати всі книги та дізнатись, що було видалено недавно (Поки воно не було написано з тих пір потім!)

Це залежить від того, що ви маєте на увазі під видаленим. У більшості ОС файли видаляються, переміщуючись у папку Кошик, зокрема, щоб потім їх можна було відновити користувачем. Після того, як вміст кошика буде "видалено", блоки, що містять дані, позначаються як доступні, але їх вміст є недоторканим. Щоб зробити дані нечитабельними, користувач повинен "Безпечно видалити" файл або папку Кошик, що містять його, якщо ОС пропонує цю опцію. Якщо ні, ці блоки з часом будуть повторно використані та перезаписані новими даними, але це може зайняти багато часу, а тим часом дані в цих блоках можна буде знайти та прочитати.

Аналогія Тайлера Файла чудова.

Дані нікуди не надходять. Адреса його просто позначається як вільний простір, а потім перезаписується, коли потрібні нові дані. Як тільки його перезаписують, він піде назавжди.

Якщо ви хочете щось видалити, щоб воно не підлягало відновленню, ви можете його безпосередньо перезаписати або перезаписати весь вільний простір на вашому жорсткому диску. Ви повинні бути обережними щодо простого перезаписування файлів, оскільки файли переміщуються ОС під час звичайного використання. Якщо це станеться, стара копія не буде надійно перезаписана.

Хороша програма для перезапису файлів та перезапису всього вільного місця - це Eraser. http://eraser.heidi.ie/

Гарною програмою для перезавантаження цілих жорстких дисків (можливо, перед їх продажем) є "Дарік" Boot and Nuke. Будьте дуже обережні з цією програмою. Його назва досить точна. Не використовуйте його, якщо ви впевнені, що не хочете будь-яких даних на комп’ютері.

Часто виникають дебати про те, чи можна відновити дані після одного перезапису. Справа в тому, що цього ніколи публічно не робилося на сучасному диску. Пітер Гутман написав документ про це, і один із методів названий саме для нього. Ви можете прочитати його документ тут: http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html

Ось що він повинен сказати про багаторазове перевищення пропуску:

У той час, коли ця публікація була опублікована, деякі люди розглядали описану в ній техніку перезапису з 35 проходами більше як своєрідний заклик вуду для вигнання злих духів, ніж результат технічного аналізу прийомів кодування приводу. Як результат, вони виступають за застосування вуду до накопичувачів PRML та EPRML, хоча це не матиме більше ефекту, ніж просте скрабінг із випадковими даними. Насправді виконання повного перезапису 35 пропускань є безглуздим для будь-якого диска, оскільки він націлений на поєднання сценаріїв, що містять усі типи (звичайно використовуваної) технології кодування, яка охоплює все назад до 30-річних методів MFM (якщо ви не не розумію цього твердження, перечитайте документ). Якщо ви використовуєте накопичувач, який використовує технологію кодування X, вам потрібно виконати лише проходи, характерні для X, і вам ніколи не потрібно виконувати всі 35 проходів. Для будь-якого сучасного накопичувача PRML / EPRML найкраще зробити кілька пропусків випадкового очищення. Як зазначається у статті, "хороший скраб з випадковими даними зробить так само добре, як можна очікувати". Це було правдою в 1996 році, і досі це справедливо.

Виділений простір для видалених файлів звільняється, щоб інші файли могли їх перезаписати. Але поки цього не станеться, ваші файли залишаються на жорсткому диску.

Зазвичай неможливо отримати доступ до цих файлів, але існують різні інструменти для пошуку таких видалених, але ще не перезаписаних файлів. Проте ви втрачаєте всю мета-інформацію про файл, наприклад шлях та ім'я файлу. Якщо ви відновите такий файл, він отримає криптовалютне ім’я, як FILE004, у певному каталозі.