Куда идут удаленные элементы на жестком диске?

Прочитав приведенную ниже цитату по делу Кейси Энтони (CNN), мне стало интересно, куда на самом деле удаляются удаленные файлы, как их можно увидеть после удаления и в какой степени можно восстановить данные (полностью, частично). , так далее).

«Ранее в ходе судебного разбирательства эксперты показали, что кто-то проводил поиск по ключевым словам на настольном компьютере в доме, которым Кейси Энтони поделилась со своими родителями.

Обыски были обнаружены в части жесткого диска компьютера, которая указала, что они были удалены, детектив Сандра Осборн из офиса шерифа округа Ориндж в среду дала показания по делу об убийстве Энтони в столице ».

Я знаю некоторые вопросы здесь о стороннем программном обеспечении Super User, которое может использоваться для такого рода вещей, но меня больше интересует, как эти данные можно увидеть после удаления, где они находятся на жестком диске и т. Д. Я найти всю тему интригующим, так что любые дополнительные идеи приветствуются.

В общем, удаленные файлы никуда не денутся. Они остаются на диске в точности такими, какими они были до тех пор, пока их не перезаписали. Когда они удаляются, ссылка на него просто удаляется из структуры файловой системы.

Представьте себе библиотеку в 1970 году. У вас были все полки с книгами и у вас были ящики с карточками, которые могли бы сказать вам, где находится книга, которую вы искали.

На жестком диске у вас есть таблица (ящики), которая отделена от файлов (книг).

Ваша операционная система ссылается на эту таблицу, когда ей нужно найти данные. Затем он идет к месту нахождения книги со считывающей головкой или любым другим устройством, которое использует устройство, и читает данные там.

Когда пользователь решает удалить файл, компьютер просто удаляет содержимое таблицы для этого местоположения, это в основном помещает пустую карточку для этого файла в таблицу. поскольку компьютеру потребовалось бы больше времени и энергии, чтобы перейти в каждое местоположение и фактически стереть файл, он просто оставил его там.

Затем, поскольку книга все еще физически находится в библиотеке, хотя ее нет в их записях, специальное программное обеспечение может прочитать все книги и выяснить, что было недавно удалено (если оно не было переписано тогда!)

Это зависит от того, что вы подразумеваете под удаленным. в большинстве операционных систем, файлы «удаляются», будучи перемещен в папку Корзина, в частности , таким образом , они могут быть восстановлены позже пользователем. Как только содержимое корзины «удалено», блоки, содержащие данные, помечаются как доступные, но их содержимое остается неизменным. Чтобы сделать данные нечитаемыми, пользователь должен «Безопасно удалить» файл или папку с корзиной, в которой он находится, если ОС предлагает эту опцию. Если нет, то эти блоки в конечном итоге будут повторно использованы и перезаписаны новыми данными, но это может занять много времени, и между тем данные в этих блоках могут быть найдены и прочитаны.

Аналогия с Тайлером Фэйли великолепна.

Данные никуда не уходят. Его адрес просто помечается как свободное место, а затем перезаписывается, когда новым данным требуется место. Как только он перезаписывается, он исчезает навсегда.

Если вы хотите удалить что-то, чтобы это не удалось восстановить, вы можете либо напрямую перезаписать это, либо перезаписать все свободное место на вашем жестком диске. Вы должны быть осторожны с простой перезаписью файлов, поскольку файлы перемещаются ОС во время обычного использования. Если это произойдет, старая копия не будет надежно перезаписана.

Хорошая программа для перезаписи файлов и перезаписи всего свободного пространства - это Eraser. http://eraser.heidi.ie/

Хорошая программа для перезаписи целых жестких дисков (возможно, перед их продажей) - это Darik's Boot and Nuke. Будьте очень осторожны с этой программой. Его название довольно точное. Не используйте его, если вы не уверены, что не хотите никаких данных на компьютере.

Часто возникают споры о том, можно ли восстановить данные после однократной перезаписи. Дело в том, что это никогда не было публично сделано на современном диске. Питер Гутман написал статью об этом, и один из методов назван в его честь. Вы можете прочитать его статью здесь: http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html.

Вот что он должен сказать по поводу многократного перебора:

За время, прошедшее с момента публикации этой статьи, некоторые люди рассматривали описанную в ней технику 35-проходной перезаписи скорее как своего рода заклинание вуду для изгнания злых духов, чем в результате технического анализа методов кодирования дисков. В результате они выступают за применение voodoo к дискам PRML и EPRML, даже если это будет иметь не больший эффект, чем простая очистка со случайными данными. На самом деле выполнение полной 35-проходной перезаписи бессмысленно для любого диска, так как оно предназначено для сочетания сценариев, включающих все типы (обычно используемых) технологий кодирования, которые охватывают все, начиная с 30-летних методов MFM (если вы не не понимаю этого утверждения, перечитайте статью). Если вы используете диск, который использует технологию кодирования X, вам нужно только выполнить проходы, специфичные для X, и вам никогда не нужно выполнять все 35 проходов. Для любого современного привода PRML / EPRML лучшее, что вы можете сделать, - несколько проходов случайной очистки. Как говорится в документе: «Хорошая очистка со случайными данными подойдет примерно так же, как и следовало ожидать». Это было верно в 1996 году и до сих пор верно.

Выделенное пространство для удаленных файлов освобождается, чтобы другие файлы могли их перезаписать. Но пока это не произойдет, ваши файлы останутся на жестком диске.

Обычно доступ к этим файлам невозможен, но существуют различные инструменты для поиска таких удаленных, но еще не перезаписанных файлов. Тем не менее, вы теряете всю мета-информацию о файле, такую ​​как путь и имя файла. Если вы восстановите такой файл, он получит загадочное имя, например FILE004, в определенном каталоге.