Silinen öğeler sabit sürücüde nereye gidiyor?

Aşağıdaki alıntıyı Casey Anthony davasında (CNN) okuduktan sonra, silinen dosyaların gerçekte sabit diskte nereye gittiğini, silindikten sonra nasıl göründüklerini ve verilerin ne ölçüde geri kazanılabileceğini merak ediyorum (kısmen, kısmen , vb).

"Duruşmanın başlarında, uzmanlar birinin anahtar kelime aramalarını Casey Anthony'nin ailesiyle paylaştığı evdeki bir masaüstü bilgisayarda yaptığını belirtti.

Aramalar, bilgisayarın sabit diskinin silindiğini belirten bir bölümünde bulundu, Orange County Şerif Ofisi'nden Dedektif Sandra Osborne Çarşamba günü Anthony'nin başkent cinayeti davasında ifade verdi. "

Buradaki bazı sorular için Süper Kullanıcı adresindeki üçüncü taraf yazılımları biliyorum, ancak bu verilerin silinmeden sonra, sabit sürücüde nerede kaldığını, vb. tüm konuyu ilgi çekici buluyor, bu nedenle herhangi bir ek görüş açıktır.

Genel olarak, silinen dosyalar hiçbir yere gitmez. Üzerine yazılmadan önce tam olarak oldukları gibi diskte kalırlar. Silindiklerinde, bir link basit bir şekilde dosya sistemi yapısından kaldırılır.

1970 yılında bir kütüphane hayal edin. Kitapların üzerinde tüm rafları vardı ve aradığınız kitabın yerini size söyleyebilecek kartlı çekmeceleriniz vardı.

Sabit sürücüde, dosyalardan (kitaplardan) ayrı bir masa (çekmeceler) vardır.

İşletim sisteminiz veri bulması gerektiğinde bu tabloya başvurur. Daha sonra kitabın bulunduğu yere okuma kafası ya da cihaz ne kullanırsa kullanır ve oradaki verileri okur.

Bir kullanıcı bir dosyayı silmeye karar verdiğinde, bilgisayar o konum için tablonun içeriğini siler, bu temelde tablodaki o dosya için boş bir kart koyar. bilgisayarın her yere gitmesi ve dosyayı silmesi daha fazla zaman ve güç gerektirdiğinden, dosyayı orada bırakır.

Daha sonra, kitap hala fiziksel olarak kütüphanede olduğundan, kayıtları tutulmasa da, özel yazılımların tüm kitapları okuması ve son zamanlarda ne silindiğini öğrenmesi mümkündür (o zamandan beri yazılmadığı sürece). sonra!)

Silinen ne demek istediğine bağlı. En OSes, dosyalar özel olarak böyle bir Çöp klasörüne hareket ettirilerek "silinmiş" olan edebilirsiniz sonradan kullanıcı tarafından kurtarılabilir. Çöp Kutusu içeriği "silindiğinde", verileri içeren bloklar uygun olarak işaretlenir, ancak içerikleri bozulmadan işaretlenir. Verileri okunamaz hale getirmek için, işletim sistemi bu seçeneği sunuyorsa, kullanıcının dosyayı veya onu içeren Çöp Kutusu klasörünü "Güvenle Sil" etmesi gerekir. Aksi takdirde, bu bloklar nihayetinde yeni verilerle yeniden kullanılacak ve üzerine yazılacaktır, ancak bu uzun zaman alabilir ve bu arada, bu bloklardaki veriler bulunup okunabilir.

Tyler Faile'nin analojisi harika.

Veri hiçbir yere gitmiyor. Bunun adresi yalnızca boş alan olarak işaretlenir ve yeni veriler gitmek için bir yere ihtiyaç duyduğunda üzerine yazılır. Üzerine yazılır yazılmaz, kalıcı olarak gider.

Bir şeyi kurtarılabilir olmayacak şekilde silmek istiyorsanız doğrudan üzerine yazabilir veya sabit sürücünüzdeki tüm boş alanların üzerine yazabilirsiniz. Normal kullanım sırasında dosyalar işletim sistemi tarafından dolaştığından, sadece dosyaların üzerine yazma konusunda dikkatli olmalısınız. Bu olursa, eski kopya güvenli bir şekilde üzerine yazılmaz.

Silgi, dosyaların üzerine yazmak ve tüm boş alanların üzerine yazmak için iyi bir programdır. http://eraser.heidi.ie/

Tüm sabit disklerin üzerine yazmak için iyi bir program (belki de onları satmadan önce) Darik's Boot ve Nuke. Bu programa çok dikkat edin. Adı oldukça kesin. Bilgisayarda veri istemediğinizden emin olmadığınız sürece kullanmayın.

Tek bir yazma işleminden sonra verilerin hala kurtarılıp kurtarılamayacağı konusunda bazı tartışmalar vardır. Gerçek şu ki, bu hiç bir zaman kamuya açık bir şekilde modern bir diskte yapılmamıştır. Peter Gutmann bunun hakkında bir makale yazdı ve yöntemlerden biri onun için seçildi. Makalesini buradan okuyabilirsiniz: http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html

Bu çoklu geçiş overkill hakkında söyleyecekleri:

Bu makalenin yayınlanmasından bu yana, bazı insanlar, sürücü kodlama tekniklerinin teknik bir analizinin sonucundan ziyade, kötü ruhları kovmak için bir çeşit vudu esintisi olarak tanımlanan 35 geçişli üzerine yazma tekniğini ele aldılar. Sonuç olarak, voodoo'yu PRML ve EPRML sürücülere uygulamayı savunuyorlar, ancak rastgele veri içeren basit bir fırçalamadan daha fazla bir etkisi olmayacak. Aslında, tam 35 geçişin üzerine yazma işlemini gerçekleştirmek, herhangi bir sürücü için anlamsızdır, çünkü her şeyi (normalde kullanılan) kodlama teknolojisini içeren senaryoların bir karışımını hedefler (30 + yıl eski MFM yöntemlerine kadar her şeyi kapsar) bu ifadeyi anlamıyorum, makaleyi tekrar okuyunuz). X kodlama teknolojisini kullanan bir sürücü kullanıyorsanız, yalnızca X'e özgü geçişleri yapmanız gerekir. ve 35 geçişte bir işlem yapmanız gerekmiyor. Herhangi bir modern PRML / EPRML sürücüsü için, birkaç tur rastgele fırçalama işlemi yapabileceğiniz en iyisidir. Makalede dediği gibi, "Rastgele verilerle iyi bir ovma beklendiği gibi yapılabilir." Bu, 1996'da doğruydu ve şimdi hala doğru.

Silinen dosyalar için ayrılan alan, diğer dosyaların üzerine yazabilmesi için serbest bırakılır. Ancak bu gerçekleşene kadar dosyalarınız sabit diskinizde kalır.

Genellikle bu dosyalara erişmek mümkün değildir, ancak silinmiş ancak henüz üzerine yazılmayan dosyaları bulmak için farklı araçlar vardır. Yine de dosya yolu ve dosya adı gibi meta hakkındaki tüm bilgileri kaybedersiniz. Böyle bir dosyayı geri yüklerseniz, belirli bir dizinde FILE004 gibi şifreli bir ad alır.