Почему некоторые средства восстановления все еще могут найти удаленные файлы после того, как я буду производить чистку Корзины, буду дефрагментировать диск и заполнять нулями свободное пространство?
Насколько я понимаю, когда я удаляю (не используя Корзину) файл, его запись удалена из оглавления файловой системы (FAT/MFT/etc...), но значения секторов диска, которые были заняты файлом, остаются неповрежденными, пока эти секторы не снова используются для записи чего-то еще. Когда я использую своего рода стертое средство восстановления файлов, оно читает те секторы непосредственно и пытается создать исходный файл.
В этом случае то, что я не могу понять, - то, почему средства восстановления все еще могут найти удаленные файлы (с уменьшенным шансом восстановления их, хотя) после того, как я дефрагментирую диск и перезаписываю все свободное пространство с нулями. Можно ли объяснить это?
Я думал, что перезаписанные нулем удаленные файлы могут быть только найдены посредством некоторой специальной судебной лаборатории, за которой магнитные аппаратные средства сканирования и те сложные алгоритмы стирания (перезаписывающий свободное пространство многократно со случайными и неслучайными шаблонами) только имеют смысл предотвращать такое физическое сканирование для следования, но практически кажется, что плоскость заполняет нулями, недостаточно для стирания всех дорожек удаленных файлов. Как это может быть?
ОБНОВЛЕНИЕ, рассматривая вопросы, которые подошли:
- Я попробовал следующие инструменты очистки: SDelete Sysinternal, CCLeaner и простая утилита, имя которой я не могу помнить, который начинает с командной строки и создает рост, заполнили нулями файл, пока целое свободное место не занято и затем удаляет его.
- Я попробовал следующие средства восстановления: Recuva, GetDataBack, R-Studio, EasyRecovery.
- Я не могу точно помнить, какие инструменты дали определенный результат (насколько я могу помнить, что пробные версии некоторых из них только показывают имена файлов и не могут на самом деле восстановиться).
- Вероятно, в большинстве (но не 100% все) случаи они только видели имена и не могли восстановить данные, но это - все еще угроза нарушения безопасности, которая будет обращена, поскольку имена файлов могут все еще быть довольно информативными (например, я видел парня, что сохраненные пароли в текстовых файлах, которые назвали как имя ресурса пароля плюс имя для входа в систему, в то время как имена для входа в систему должны быть защищены также).
3 ответа
При перезаписи стертых файлов Вы не должны мочь получить что-либо от них.
Мое лучшее предположение - то, что или Ваш инструмент очистки не сделал всего, что он, как предполагается, или у Вас есть своего рода проблема кэша.
обновление - при использовании твердотельных накопителей можно найти, что это безопасное удаляет инструменты, не работают как ожидалось из-за способа, которым данные читаются/пишутся на SSD.
Недостаточно удалить данные и отформатировать жесткий диск (который удаляет таблицы адреса). Это только удаляет ссылку на данные. Чтобы данные были стерты, новые данные должны быть записаны сверху их.
Просто запись сверху данных однажды недостаточно. Это то, почему больше безопасного метода диска, вытирающего различные типы записей данных к диску многократно. Чем больше раз новые данные записаны на диск, тем больше безопасное это. Для получения дополнительной информации читать это: http://www.headresist.com/how-computer-programs-that-wipe-hard-drive-work.htm
Действительно хорошая программа, которая позволяет Вам применить много различных очисток жесткого диска, является DBAN.
Я замечаю, что Вы спросили об остающихся именах файлов, а также данные; это нормально, никакой дисковый дворник не перезапишет записи каталога, потому что единственный способ сделать так, создают и удаляют файлы в содержании каталога, пока старая запись не перезаписывается. В зависимости от того, насколько необычный файловая система (ext4, ntfs, reiserfs, hfs +, другие с нелинейными структурами каталогов), это может взять несколько попыток.
Другое возможное предложение для данных файла, являющихся восстанавливаемым в некоторых файловых системах, - то, что это могло быть в журнале. Много дисковых утилит очистки свободного пространства записали непосредственно в устройство, избежав файловой системы; и достаточно умный журнал мог бы обнаружить запись, что все обнуляет в файл, пока это не полно (более точно, пишущий тот же блок данных многократно), и только сохраните его однажды, оставив другие вещи в журнале все еще. И затем некоторые умные файловые системы могут наполнить достаточно маленькие файлы в метаданные файла файловой системы (inode в файловых системах Unix) создание их невозможный для любого вида дисковой очистки коснуться данных.
потому что, поскольку geekosaur сказал, эти инструменты только вытирают данные файла и не реорганизовывают индекс таблицы файлов. если Вы хотите полностью удалить трассировки файла от индекса, найдите инструмент, который вытрет это также или скопирует файловую систему, вытрет диск и восстановление от резервного копирования. я нашел некоторое разъяснение здесь: http://www.broadbandreports.com/forum/r19572516-Removing-names-of-deleted-files-from-MFT~start=40