Tại sao một số công cụ khôi phục vẫn có thể tìm thấy các tệp đã bị xóa sau khi tôi lọc Thùng rác, chống phân mảnh đĩa và không gian trống không lấp đầy?

10

Theo như tôi hiểu, khi tôi xóa (không sử dụng Thùng rác) một tệp, bản ghi của nó sẽ bị xóa khỏi bảng nội dung của hệ thống tệp (FAT / MFT / etc ...) nhưng các giá trị của các thành phần đĩa bị chiếm bởi các tập tin vẫn còn nguyên cho đến khi các lĩnh vực này được sử dụng lại để viết một cái gì đó khác. Khi tôi sử dụng một số loại công cụ khôi phục tập tin bị xóa, nó sẽ đọc các thành phần đó trực tiếp và cố gắng xây dựng tập tin gốc.

Trong trường hợp này, điều tôi không thể hiểu là tại sao các công cụ khôi phục vẫn có thể tìm thấy các tệp đã bị xóa (giảm khả năng xây dựng lại chúng) sau khi tôi chống phân mảnh ổ đĩa và ghi đè lên tất cả không gian trống bằng số không. Bạn có thể giải thích điều này?

Tôi nghĩ rằng các tệp bị xóa không ghi đè chỉ có thể được tìm thấy bằng một số phần cứng quét từ phòng thí nghiệm đặc biệt và các thuật toán xóa phức tạp (ghi đè lên không gian trống nhiều lần với các mẫu ngẫu nhiên và không ngẫu nhiên) chỉ có ý nghĩa để ngăn chặn việc quét vật lý như vậy thành công, nhưng thực tế có vẻ như zero-fill đơn giản là không đủ để xóa tất cả các dấu vết của các tệp bị xóa. Làm sao có thể?

CẬP NHẬT, giải quyết các câu hỏi đưa ra:

  • Tôi đã thử các công cụ xóa sau: Sysiternal's SDelete, CCLeaner và một tiện ích đơn giản mà tôi không thể nhớ bắt đầu từ dòng lệnh và tạo một tệp không chứa đầy cho đến khi lấy toàn bộ không gian trống và sau đó xóa nó
  • Tôi đã thử các công cụ khôi phục sau: Recuva, GetDataBack, R-Studio, EasyRecovery.
  • Tôi không thể nhớ chính xác công cụ nào đã cho kết quả cụ thể (theo như tôi có thể nhớ các phiên bản dùng thử của một số trong số chúng chỉ hiển thị tên tệp và thực sự không thể phục hồi).
  • Có lẽ trong hầu hết (nhưng không phải 100% tất cả) các trường hợp họ chỉ nhìn thấy tên và không thể khôi phục dữ liệu, nhưng đây vẫn là một mối đe dọa bảo mật được xử lý vì tên tệp vẫn có thể có nhiều thông tin (ví dụ tôi đã thấy một anh chàng lưu trữ mật khẩu trong các tệp văn bản được đặt tên là tên tài nguyên được mật khẩu cộng với tên đăng nhập, trong khi tên đăng nhập cũng phải được bảo mật).
hard-drive  security  data-recovery  file-recovery  wipe 
Ivan
nguồn
1
Là "giảm cơ hội xây dựng lại" lớn hơn 0?
Daniel Beck
1
Chương trình khôi phục nào bạn đã sử dụng để khôi phục thành công tệp không bị ghi đè vì tôi chưa bao giờ gặp một tệp nào (không phải là tôi đã rất khó khăn hoặc đã thử nhiều)?
Neal
1
Phần mềm khôi phục có thực sự phục hồi một tập tin có thể sử dụng không? hoặc chỉ là tìm một mục cũ trong bảng tập tin chính.
Moab

Câu trả lời:

9

Nếu bạn ghi đè lên các tệp đã bị xóa, bạn không thể truy xuất bất cứ thứ gì từ chúng.

Tôi đoán tốt nhất là hoặc công cụ xóa của bạn đã không thực hiện mọi thứ mà nó được cho là hoặc bạn có một số vấn đề về bộ đệm.

cập nhật - nếu bạn đang sử dụng ổ đĩa trạng thái rắn, bạn có thể thấy rằng các công cụ xóa an toàn không hoạt động như mong đợi do cách đọc / ghi dữ liệu trên SSD.

Rory Alsop
nguồn
3

Nó không đủ để xóa dữ liệu và định dạng ổ cứng (xóa bảng địa chỉ). Điều này chỉ loại bỏ các liên kết đến dữ liệu. Để dữ liệu bị xóa, dữ liệu mới phải được ghi lên trên nó.

Chỉ viết lên trên cùng của dữ liệu một lần là không đủ. Đây là lý do tại sao phương pháp xóa đĩa an toàn hơn ghi các loại dữ liệu khác nhau vào đĩa nhiều lần. Dữ liệu mới được ghi vào đĩa càng nhiều lần thì càng an toàn. Để biết thêm thông tin hãy đọc điều này: http://www.headresist.com/how-computer-programs-that-wipe-hard-drive-work.htmlm

Một chương trình thực sự tốt cho phép bạn áp dụng nhiều cách lau ổ cứng khác nhau là DBAN .

Leebeloola
nguồn
3

Tôi nhận thấy bạn hỏi về tên tập tin ở phía sau, cũng như dữ liệu; Điều đó là bình thường, không có trình quét đĩa nào sẽ ghi đè lên các mục trong thư mục vì cách duy nhất để làm như vậy là tạo và xóa các tệp trong thư mục chứa cho đến khi mục cũ bị ghi đè. Tùy thuộc vào mức độ ưa thích của hệ thống tập tin (ext4, ntfs, reiserfs, hfs +, những cái khác có cấu trúc thư mục phi tuyến tính), điều này có thể mất nhiều lần thử.

Một đề xuất khả thi khác cho dữ liệu tệp có thể được phục hồi trên một số hệ thống tệp là nó có thể nằm trong tạp chí. Nhiều tiện ích xóa sạch không gian đĩa được ghi trực tiếp vào thiết bị, tránh hệ thống tập tin; và một tạp chí đủ thông minh có thể phát hiện việc ghi tất cả các số 0 vào một tệp cho đến khi đầy đủ (chính xác hơn là viết cùng một khối dữ liệu nhiều lần) và chỉ lưu nó một lần, để lại những thứ khác trong tạp chí. Và sau đó, một số hệ thống tệp thông minh có thể nhét đủ các tệp nhỏ vào siêu dữ liệu tệp của hệ thống tệp (inode trong hệ thống tệp Unix) khiến chúng không thể xóa bất kỳ loại đĩa nào để chạm vào dữ liệu.

geekizard
nguồn
3

bởi vì như geekizard đã nói, các công cụ này chỉ xóa sạch dữ liệu tệp và không sắp xếp lại chỉ mục bảng tệp. nếu bạn muốn xóa hoàn toàn dấu vết của tệp khỏi chỉ mục, hãy tìm một công cụ cũng sẽ xóa nó hoặc sao lưu hệ thống tệp, xóa đĩa và khôi phục từ bản sao lưu. tôi đã tìm thấy một số làm rõ ở đây: http://www.broadbandreports.com/forum/r19572516-Removing-names-of-delatted-files-from-MFT~start=40

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.