Perché alcuni strumenti di recupero sono ancora in grado di trovare i file eliminati dopo aver eliminato Cestino, deframmentare il disco e riempire lo spazio libero zero?


10

Per quanto ho capito, quando elimino (senza usare il Cestino) un file, il suo record viene rimosso dal sommario del file system (FAT / MFT / ecc ...) ma i valori dei settori del disco che sono stati occupati da il file rimane intatto fino a quando questi settori non vengono riutilizzati per scrivere qualcos'altro. Quando utilizzo una sorta di strumento di recupero file cancellato, legge direttamente quei settori e cerca di creare il file originale.

In questo caso, ciò che non riesco a capire è il motivo per cui gli strumenti di recupero sono ancora in grado di trovare file cancellati (con una ridotta possibilità di ricostruirli) dopo aver deframmentato l'unità e sovrascrivendo tutto lo spazio libero con zeri. Puoi spiegarlo?

Ho pensato che i file eliminati con sovrascrittura zero possano essere trovati solo tramite uno speciale hardware di scansione magnetica da laboratorio forense e quei complessi algoritmi di pulizia (sovrascrittura dello spazio libero più volte con schemi casuali e non casuali) hanno senso solo per impedire a una tale scansione fisica di riesce, ma praticamente sembra che il semplice riempimento dello zero non sia sufficiente per cancellare tutte le tracce dei file eliminati. Come può essere?

AGGIORNAMENTO, rispondendo alle domande che sono emerse:

  • Ho provato i seguenti strumenti di cancellazione: Sysinternal's SDelete, CCLeaner e una semplice utility il cui nome non ricordo che parte dalla riga di comando e crea un file crescente a zero fino a quando non viene occupato tutto lo spazio libero e quindi viene eliminato esso.
  • Ho provato i seguenti strumenti di recupero: Recuva, GetDataBack, R-Studio, EasyRecovery.
  • Non ricordo esattamente quali strumenti abbiano dato risultati specifici (per quanto ricordo le versioni di prova di alcuni di essi mostrano solo i nomi dei file e non riesco effettivamente a recuperarli).
  • Probabilmente nella maggior parte dei casi (ma non tutti al 100%) hanno visto solo i nomi e non sono stati in grado di recuperare i dati, ma questa è ancora una minaccia alla sicurezza da affrontare poiché i nomi dei file possono essere ancora piuttosto istruttivi (ad esempio ho visto un ragazzo che ha archiviato le password in file di testo che sono stati denominati come nome della risorsa con password più il nome di accesso, mentre anche i nomi di accesso devono essere protetti).

1
La "ridotta possibilità di ricostruzione" è maggiore di 0?
Daniel Beck

1
Quale programma di recupero hai usato per recuperare con successo un file a sovrascrittura zero poiché non ne ho mai trovato uno (non che abbia cercato molto o provato molti)?
Neal,

1
Il software di recupero recupera effettivamente un file utilizzabile? o sta solo trovando una vecchia voce nella tabella dei file master.
Moab,

Risposte:


9

Se si sovrascrivono i file cancellati, non si dovrebbe essere in grado di recuperare nulla da essi.

La mia ipotesi migliore è che o il tuo strumento di cancellazione non ha fatto tutto il necessario o hai qualche problema con la cache.

aggiornamento: se si utilizzano unità a stato solido, è possibile che gli strumenti di eliminazione sicura non funzionino come previsto a causa del modo in cui i dati vengono letti / scritti su SSD.


3

Non è sufficiente eliminare i dati e formattare il disco rigido (che elimina le tabelle degli indirizzi). Questo rimuove solo il collegamento ai dati. Per cancellare i dati, è necessario scrivere nuovi dati sopra di essi.

Basta scrivere sopra i dati una volta non è abbastanza. Questo è il motivo per cui il metodo più sicuro di cancellazione del disco scrive diversi tipi di dati sul disco più volte. Più volte nuovi dati vengono scritti sul disco, più è sicuro. Per maggiori informazioni leggi questo: http://www.headresist.com/how-computer-programs-that-wipe-hard-drive-work.htm

DBAN è un ottimo programma che ti consente di applicare molte salviette sul disco rigido .


3

Ho notato che hai chiesto informazioni sui nomi dei file rimasti, così come i dati; è normale, nessun pulitore del disco sovrascriverà le voci della directory perché l'unico modo per farlo è creare ed eliminare i file nella directory contenente fino a quando la vecchia voce non viene sovrascritta. A seconda della fantasia del filesystem (ext4, ntfs, reiserfs, hfs +, altri con strutture di directory non lineari) questo può richiedere più tentativi.

Un altro possibile suggerimento per il recupero dei dati dei file su alcuni filesystem è che potrebbero essere presenti nel journal. Molte utility di pulizia dello spazio libero su disco hanno scritto direttamente sul dispositivo, evitando il filesystem; e un diario sufficientemente intelligente potrebbe rilevare la scrittura di tutti gli zeri in un file fino a quando non è pieno (più precisamente, scrivendo lo stesso blocco di dati più volte) e salvarlo solo una volta, lasciando ancora altre cose nel diario. E poi alcuni filesystem intelligenti possono inserire file sufficientemente piccoli nei metadati dei file del filesystem (inode nei filesystem Unix) rendendo impossibile a qualsiasi tipo di cancellazione del disco toccare i dati.


Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.