Các mục bị xóa đi đâu trên ổ cứng?

Sau khi đọc đoạn trích dưới đây về bản dùng thử Casey Anthony (CNN), tôi tò mò về nơi các tệp bị xóa thực sự nằm trên ổ cứng, làm thế nào chúng có thể được nhìn thấy sau khi bị xóa và mức độ nào có thể được phục hồi (một phần, toàn bộ , v.v.)

"Trước đó trong thử nghiệm, các chuyên gia đã làm chứng rằng ai đó đã tiến hành tìm kiếm từ khóa trên máy tính để bàn trong nhà Casey Anthony đã chia sẻ với cha mẹ cô.

Các tìm kiếm được tìm thấy trong một phần ổ cứng của máy tính cho thấy chúng đã bị xóa, Thám tử Sandra Osborne thuộc Văn phòng Cảnh sát trưởng Quận Cam đã làm chứng hôm thứ Tư trong phiên tòa xét xử vụ án giết người của Anthony. "

Tôi biết một số câu hỏi ở đây trên phần mềm Siêu người dùng địa chỉ của bên thứ ba có thể sử dụng cho loại điều này, nhưng tôi quan tâm hơn đến cách dữ liệu này có thể được nhìn thấy sau khi xóa, nơi nó nằm trên ổ cứng, v.v. tìm thấy toàn bộ chủ đề hấp dẫn, vì vậy bất kỳ cái nhìn sâu sắc bổ sung đều được chào đón.

Nói chung, các tập tin bị xóa không đi đâu cả. Chúng vẫn còn trên đĩa chính xác như trước khi chúng bị ghi đè. Khi chúng bị xóa, một liên kết đến nó sẽ bị xóa khỏi cấu trúc hệ thống tệp.

Hãy tưởng tượng một thư viện vào năm 1970. Bạn có tất cả các kệ có sách trên đó và bạn có các ngăn kéo với các thẻ có thể cho bạn biết cuốn sách bạn đang tìm nằm ở đâu.

Trên ổ cứng, bạn có một bảng (ngăn kéo) tách biệt với các tệp (sách).

Hệ điều hành của bạn tham chiếu bảng này khi cần tìm dữ liệu. Sau đó, nó đi đến vị trí của cuốn sách với đầu đọc hoặc bất cứ thứ gì thiết bị sử dụng và đọc dữ liệu ở đó.

Khi người dùng quyết định xóa một tệp, máy tính sẽ xóa nội dung của bảng cho vị trí đó, về cơ bản, nó sẽ đặt một thẻ trống cho tệp đó trong bảng. bởi vì sẽ mất nhiều thời gian và sức lực hơn để máy tính đi đến từng vị trí và thực sự xóa tệp, nó chỉ để nó ở đó.

Sau đó, vì cuốn sách vẫn còn trong thư viện, mặc dù nó không có trong hồ sơ của họ, phần mềm đặc biệt có thể đọc tất cả các cuốn sách và tìm hiểu những gì gần đây đã bị xóa (Miễn là nó đã được viết từ đó sau đó!)

Nó phụ thuộc vào những gì bạn có nghĩa là bị xóa. trong hầu hết các hệ điều hành, các tệp bị "xóa" bằng cách được chuyển đến thư mục Thùng rác, cụ thể để người dùng có thể khôi phục chúng sau này. Khi nội dung Thùng rác được "xóa", các khối chứa dữ liệu được đánh dấu là có sẵn, nhưng nội dung của chúng vẫn còn nguyên vẹn. Để làm cho dữ liệu không thể đọc được, người dùng phải "Xóa an toàn" tệp hoặc thư mục Thùng rác chứa nó, nếu HĐH cung cấp tùy chọn đó. Nếu không, các khối đó cuối cùng sẽ được sử dụng lại và ghi đè lên bởi dữ liệu mới, nhưng điều đó có thể mất nhiều thời gian và trong khi đó, dữ liệu trong các khối đó có thể được tìm thấy và đọc.

Sự tương tự của Tyler Faile là tuyệt vời.

Dữ liệu không đi đâu cả. Địa chỉ của nó được đánh dấu đơn giản là không gian trống, và sau đó được ghi đè khi dữ liệu mới cần một nơi để đi. Ngay khi nó bị ghi đè thì nó sẽ biến mất vĩnh viễn.

Nếu bạn muốn xóa một cái gì đó để nó không thể phục hồi, bạn có thể ghi đè trực tiếp hoặc ghi đè lên tất cả không gian trống trên ổ cứng. Tuy nhiên, bạn phải cẩn thận về việc ghi đè các tệp, vì các tệp được HĐH di chuyển xung quanh trong quá trình sử dụng bình thường. Nếu điều này xảy ra, bản sao cũ sẽ không được ghi đè một cách an toàn.

Một chương trình tốt để ghi đè các tệp và ghi đè tất cả không gian trống là Eraser. http://eraser.heidi.ie/

Một chương trình tốt để ghi đè toàn bộ ổ đĩa cứng (có lẽ trước khi bán chúng) là Darik's Boot và Nuke. Hãy thật cẩn thận với chương trình này. Tên của nó khá chính xác. Đừng sử dụng nó trừ khi bạn chắc chắn rằng bạn không muốn có bất kỳ dữ liệu nào trên máy tính.

Thường có những cuộc tranh luận về việc liệu dữ liệu vẫn có thể được phục hồi sau một lần ghi đè. Thực tế là điều này chưa bao giờ được thực hiện công khai trên một đĩa hiện đại. Peter Gutmann đã viết một bài báo về điều này, và một trong những phương pháp được đặt tên cho ông. Bạn có thể đọc bài viết của anh ấy tại đây: http://www.cs.aogi.ac.nz/~pgut001/pub/secure_del.html

Đây là những gì anh ấy đã nói về nhiều vượt qua quá mức cần thiết:

Trong thời gian kể từ khi bài báo này được xuất bản, một số người đã coi kỹ thuật ghi đè 35 vượt qua được mô tả trong đó giống như một câu thần chú tà thuật để xua đuổi tà ma hơn là kết quả phân tích kỹ thuật về kỹ thuật mã hóa ổ đĩa. Kết quả là, họ ủng hộ việc áp dụng voodoo vào các ổ đĩa PRML và EPRML mặc dù nó sẽ không có tác dụng gì hơn so với việc chà đơn giản với dữ liệu ngẫu nhiên. Trong thực tế, việc thực hiện ghi đè toàn bộ 35 lần là vô nghĩa đối với bất kỳ ổ đĩa nào vì nó nhắm vào một tập hợp các kịch bản liên quan đến tất cả các loại công nghệ mã hóa (thường được sử dụng), bao gồm mọi thứ trở lại các phương pháp MFM 30 tuổi (nếu bạn không Tôi không hiểu câu nói đó, đọc lại bài báo). Nếu bạn đang sử dụng ổ đĩa sử dụng công nghệ mã hóa X, bạn chỉ cần thực hiện các đường chuyền cụ thể cho X, và bạn không bao giờ cần phải thực hiện tất cả 35 đường chuyền. Đối với bất kỳ ổ đĩa PRML / EPRML hiện đại nào, một vài lần chà ngẫu nhiên là cách tốt nhất bạn có thể làm. Như bài báo viết, "Một sự cọ sát tốt với dữ liệu ngẫu nhiên sẽ làm được cũng như có thể được mong đợi". Điều này đúng vào năm 1996, và đến giờ vẫn đúng.

Không gian được phân bổ cho các tệp đã xóa được giải phóng để các tệp khác có thể ghi đè lên chúng. Nhưng cho đến khi điều đó xảy ra các tập tin của bạn vẫn còn trên ổ cứng của bạn.

Thông thường không thể truy cập các tệp này nhưng các công cụ khác nhau tồn tại để tìm các tệp bị xóa nhưng chưa được ghi đè. Tuy nhiên, bạn vẫn mất toàn bộ thông tin meta về tệp như đường dẫn và tên tệp. Nếu bạn khôi phục một tệp như vậy, nó sẽ có một tên khó hiểu như FILE004 trong một thư mục cụ thể.