Dove vengono posizionati gli elementi eliminati sul disco rigido?

23

Dopo aver letto la citazione seguente sul processo Casey Anthony (CNN), sono curioso di sapere dove i file eliminati vengono effettivamente archiviati su un disco rigido, come possono essere visti dopo essere stati eliminati e in che misura i dati possono essere recuperati (completamente, parzialmente , eccetera).

"All'inizio del processo, gli esperti hanno testimoniato che qualcuno ha condotto le ricerche per parola chiave su un computer desktop nella casa condivisa da Casey Anthony con i suoi genitori.

Le ricerche sono state trovate in una parte del disco rigido del computer che indicava che erano state cancellate, il detective Sandra Osborne dell'ufficio dello sceriffo della Contea di Orange ha testimoniato mercoledì nel processo per omicidio di Anthony. "

Conosco alcune delle domande qui sul Super User che riguardano software di terze parti che possono essere utilizzate per questo tipo di cose, ma sono più interessato a come questi dati possono essere visualizzati dopo la cancellazione, dove risiedono sul disco rigido, ecc. I trova intrigante l'intero argomento, quindi qualsiasi approfondimento aggiuntivo è il benvenuto.

windows  mac  hard-drive  data-recovery 
jerry
fonte
Recentemente stavo scaricando alcuni torrent e quando ho provato a visualizzarli in anteprima, ha riprodotto video che avevo eliminato diversi giorni prima poiché aveva assegnato la posizione di memoria al torrent ma non avevo ancora scaricato nulla.
Ho

Risposte:

33

In generale, i file eliminati non vanno da nessuna parte. Rimangono sul disco esattamente com'erano fino a quando non vengono sovrascritti. Quando vengono eliminati, un collegamento ad esso viene semplicemente rimosso dalla struttura del file system.

jncraton
fonte
39

Immagina una biblioteca nel 1970. Avevi tutti gli scaffali con i libri sopra e avevi cassetti con le carte che potevano dirti dove si trovava il libro che stavi cercando.

Su un disco rigido, hai un tavolo (i cassetti) separato dai file (i libri).

Il sistema operativo fa riferimento a questa tabella quando è necessario trovare dati. Quindi va nella posizione del libro con la testina di lettura o qualunque cosa il dispositivo usi e legge i dati lì.

Quando un utente decide di eliminare un file, il computer cancella solo il contenuto della tabella per quella posizione, questo in pratica mette una scheda vuota per quel file nella tabella. perché ci vorrebbe più tempo e più energia per il computer per andare in ogni posizione e in realtà cancellare il file, lo lascia lì.

Quindi, poiché il libro è ancora fisicamente in biblioteca, anche se non è nei loro registri, è possibile che software speciali leggano tutti i libri e scoprano cosa è stato eliminato di recente (purché non sia stato riscritto da allora poi!)

Tyler Faile
fonte
1
+ 2 Ottima analogia.
jerry,
5

Dipende da cosa intendi per cancellato. nella maggior parte dei sistemi operativi, i file vengono "eliminati" quando vengono spostati in una cartella Cestino, in particolare in modo che possano essere recuperati in seguito dall'utente. Una volta che il contenuto del Cestino è "cancellato", i blocchi contenenti i dati sono contrassegnati come disponibili, ma con il loro contenuto intatto. Per rendere illeggibili i dati, l'utente deve "Eliminare in modo sicuro" il file o la cartella Cestino che lo contiene, se il sistema operativo offre tale opzione. In caso contrario, quei blocchi verranno riutilizzati e sovrascritti da nuovi dati, ma ciò potrebbe richiedere molto tempo e, nel frattempo, i dati in tali blocchi potrebbero essere trovati e letti.

JRobert
fonte
1
Va notato che "l'eliminazione" e / o "lo spostamento" di un file da una cartella all'altra o addirittura nel cestino influiscono solo sulle informazioni di collegamento del file (ovvero il nome) e non sul contenuto del file sul disco.
Chris Nava,
@Chris è per questo che è molto più veloce tagliare un file più grande che copiarlo?
Skeith,
1
Sì, lo spostamento di un minuscolo collegamento è molto più rapido rispetto alla copia del contenuto del file.
JRobert,
5

L'analogia di Tyler Faile è eccezionale.

I dati non vanno da nessuna parte. L'indirizzo viene semplicemente contrassegnato come spazio libero e viene quindi sovrascritto quando i nuovi dati hanno bisogno di un posto dove andare. Non appena viene sovrascritto, viene eliminato definitivamente.

Se si desidera eliminare qualcosa in modo che non sia recuperabile, è possibile sovrascriverlo direttamente o sovrascrivere tutto lo spazio libero sul disco rigido. È necessario fare attenzione a sovrascrivere semplicemente i file, poiché i file vengono spostati dal sistema operativo durante il normale utilizzo. In tal caso, la vecchia copia non verrà sovrascritta in modo sicuro.

Un buon programma per sovrascrivere i file e sovrascrivere tutto lo spazio libero è Eraser. http://eraser.heidi.ie/

Un buon programma per sovrascrivere interi dischi rigidi (forse prima di venderli) è Darik's Boot e Nuke. Stai molto attento con questo programma. Il suo nome è abbastanza preciso. Non utilizzarlo a meno che non si sia certi di non volere dati su un computer.

Ci sono spesso dibattiti sul fatto che i dati possano ancora essere recuperati dopo una singola sovrascrittura. Il fatto è che questo non è mai stato fatto pubblicamente su un disco moderno. Peter Gutmann ha scritto un articolo su questo e uno dei metodi è chiamato per lui. Puoi leggere il suo articolo qui: http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html

Questo è ciò che ha da dire sull'overkill di passaggi multipli:

Nel tempo da quando questo articolo è stato pubblicato, alcune persone hanno trattato la tecnica di sovrascrittura a 35 passaggi descritta in esso più come una sorta di incantesimo voodoo per bandire gli spiriti malvagi che il risultato di un'analisi tecnica delle tecniche di codifica del drive. Di conseguenza, raccomandano di applicare il voodoo alle unità PRML ed EPRML anche se non avrà più effetto di una semplice pulizia con dati casuali. Infatti, eseguire la sovrascrittura completa a 35 passaggi è inutile per qualsiasi unità poiché si rivolge a una miscela di scenari che coinvolgono tutti i tipi di tecnologia di codifica (normalmente utilizzata), che copre tutto con oltre 30 anni di metodi MFM (se si capire questa affermazione, rileggere il documento). Se stai utilizzando un'unità che utilizza la tecnologia di codifica X, devi solo eseguire i passaggi specifici di X, e non hai mai bisogno di eseguire tutti e 35 i passaggi. Per qualsiasi unità PRML / EPRML moderna, alcuni passaggi di lavaggio casuale sono i migliori che puoi fare. Come dice il documento, "Una buona pulizia con dati casuali farà circa quanto ci si può aspettare". Questo era vero nel 1996 ed è ancora vero ora.

DaleSwanson
fonte
1
Va notato, tuttavia, che la sovrascrittura multipla potrebbe non essere sicura su unità SSD. Confronta superuser.com/q/22238/33973
sum1stolemyname
Va anche notato che la sovrascrittura dei singoli file (anziché un'intera partizione / disco) spesso non è sufficiente: superuser.com/questions/157931/foss-wipe-free-space-7-35-passes
sleske
Questa è una buona risposta, ma l'OP non era interessato al software effettivo che si cancella ma a dove risiede, di cui non si forniscono nuove informazioni. Non ho votato a fondo, ma non posso davvero giustificare un voto.
James Mertz,
3

Lo spazio allocato per i file eliminati viene liberato in modo che altri file possano sovrascriverli. Ma fino a quando ciò non accadrà i tuoi file rimarranno sul tuo disco rigido.

Di solito non è possibile accedere a questi file ma esistono diversi strumenti per trovare file cancellati ma non ancora sovrascritti. Tuttavia perdi tutte le meta informazioni sul file come percorso e nome file. Se ripristini un tale file, ottiene un nome criptico come FILE004 in una directory specifica.

ayckoster
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.