Почему некоторые инструменты для восстановления по-прежнему могут находить удаленные файлы после очистки корзины, дефрагментации диска и заполнения свободного места нулем?

10

Насколько я понимаю, когда я удаляю (без использования корзины) файл, его запись удаляется из оглавления файловой системы (FAT / MFT / и т.д ...), но значения секторов диска, которые были заняты файл остается неизменным до тех пор, пока эти сектора не будут повторно использованы для записи чего-либо еще. Когда я использую какой-то инструмент восстановления стертых файлов, он читает эти сектора напрямую и пытается создать оригинальный файл.

В этом случае я не могу понять, почему инструменты восстановления по-прежнему способны находить удаленные файлы (хотя и с меньшей вероятностью их восстановления) после того, как я дефрагментирую диск и перезаписываю все свободное пространство нулями. Вы можете это объяснить?

Я думал, что удаленные файлы, перезаписанные с нуля, могут быть найдены только с помощью некоторого специального оборудования магнитного сканирования для лаборатории судебной экспертизы, и эти сложные алгоритмы очистки (многократная перезапись свободного пространства случайными и неслучайными образцами) имеют смысл только для предотвращения такого физического сканирования, успешно, но практически кажется, что простого нулевого заполнения недостаточно, чтобы стереть все дорожки удаленных файлов. Как это может быть?

ОБНОВЛЕНИЕ, обращаясь к вопросам, которые возникли:

  • Я попробовал следующие инструменты очистки: SDelete Sysinternal, CCLeaner и простую утилиту, имя которой я не помню, которая начинается с командной строки и создает растущий заполненный нулями файл, пока не будет занято все свободное пространство, а затем удалено Это.
  • Я пробовал следующие инструменты восстановления: Recuva, GetDataBack, R-Studio, EasyRecovery.
  • Я не могу точно вспомнить, какие инструменты дали конкретный результат (насколько я помню, пробные версии некоторых из них показывают только имена файлов и не могут на самом деле восстановить).
  • Вероятно, в большинстве (но не во всех 100) случаях они видели только имена и не могли восстановить данные, но это все еще угроза безопасности, с которой нужно бороться, поскольку имена файлов могут быть довольно информативными (например, я видел парень, который хранил пароли в текстовых файлах, которые были названы парольным именем ресурса плюс имя для входа, в то время как имена для входа также должны быть защищены).
Иван
источник
1
«Уменьшен ли шанс восстановления» больше 0?
Даниэль Бек
1
Какую программу восстановления вы использовали для успешного восстановления файла с нулевой перезаписью, поскольку я никогда не сталкивался с ним (не то, что я выглядел очень усердно или много пробовал)?
Нил
1
Программное обеспечение восстановления фактически восстанавливает пригодный для использования файл? или это просто поиск старой записи в таблице основных файлов.
Моав

Ответы:

9

Если вы перезаписали стертые файлы, вы не сможете извлечь из них что-либо.

Мое лучшее предположение, что либо ваш инструмент очистки не сделал все, что должен, либо у вас есть какая-то проблема с кешем.

обновление - если вы используете твердотельные накопители, вы можете обнаружить, что инструменты безопасного удаления не работают должным образом из-за способа чтения / записи данных на твердотельных накопителях.

Рори Олсоп
источник
3

Недостаточно удалить данные и отформатировать жесткий диск (который удаляет таблицы адресов). Это только удаляет ссылку на данные. Чтобы данные были стерты, поверх них должны быть записаны новые данные.

Одной записи поверх данных недостаточно. Вот почему более безопасный метод очистки диска записывает различные типы данных на диск несколько раз. Чем больше раз новые данные записываются на диск, тем более он защищен. Для получения дополнительной информации читайте это: http://www.headresist.com/how-computer-programs-that-wipe-hard-drive-work.htm

Действительно хорошая программа, которая позволяет вам применять множество различных вайпов жесткого диска, - это DBAN .

Leebeloola
источник
3

Я заметил, что вы спросили об именах файлов, оставшихся позади, а также о данных; это нормально, никакой очиститель диска не будет перезаписывать записи каталога, потому что единственный способ сделать это - создавать и удалять файлы в содержащем каталоге, пока старая запись не будет перезаписана. В зависимости от того, насколько хороша файловая система (ext4, ntfs, reiserfs, hfs +, другие с нелинейными структурами каталогов), это может занять несколько попыток.

Другое возможное предложение для восстановления файловых данных на некоторых файловых системах - это то, что они могут быть в журнале. Многие утилиты очистки свободного места на диске записывают данные прямо на устройство, избегая файловой системы; и достаточно умный журнал может обнаружить запись всех нулей в файл до тех пор, пока он не заполнится (точнее, записать один и тот же блок данных несколько раз) и сохранить его только один раз, оставив другие записи в журнале. И затем некоторые интеллектуальные файловые системы могут вставлять достаточно маленькие файлы в метаданные файловой системы (inode в файловых системах Unix), что делает невозможным касание данных любым видом очистки диска.

geekosaur
источник
3

потому что, как сказал geekosaur, эти инструменты только стирают данные файла и не реорганизуют индекс файловой таблицы. если вы хотите полностью удалить следы файлов из индекса, найдите инструмент, который тоже это удалит, или создайте резервную копию файловой системы, очистите диск и восстановите его из резервной копии. Я нашел некоторые разъяснения здесь: http://www.broadbandreports.com/forum/r19572516-Removing-names-of-deleted-files-from-MFT~start=40


источник