รายการที่ถูกลบไปอยู่ในฮาร์ดไดรฟ์ที่ไหน

23

หลังจากอ่านข้อความอ้างอิงด้านล่างในการพิจารณาคดีของ Casey Anthony (CNN) ฉันอยากรู้ว่าไฟล์ที่ถูกลบไปบนฮาร์ดไดรฟ์อย่างไรพวกเขาสามารถเห็นได้หลังจากถูกลบและขนาดที่สามารถกู้คืนข้อมูลได้ ฯลฯ )

"ก่อนหน้านี้ในการทดลองผู้เชี่ยวชาญยืนยันว่ามีคนทำการค้นหาคำหลักบนคอมพิวเตอร์เดสก์ท็อปในบ้าน Casey Anthony แบ่งปันกับพ่อแม่ของเธอ

การค้นหาพบในส่วนของฮาร์ดไดรฟ์ของคอมพิวเตอร์ที่ระบุว่าพวกเขาถูกลบนักสืบ Sandra Osborne จากสำนักงานนายอำเภอออเรนจ์เคาน์ตี้เบิกความวันพุธในการพิจารณาคดีฆาตกรรมเมืองหลวงของแอนโทนี่ "

ฉันรู้คำถามบางข้อเกี่ยวกับซอฟต์แวร์ของผู้ใช้ที่อยู่ Super User ซึ่งสามารถใช้สำหรับสิ่งประเภทนี้ได้ แต่ฉันสนใจที่จะเห็นข้อมูลนี้หลังจากการลบซึ่งเป็นที่อยู่ในฮาร์ดไดรฟ์ ฯลฯ ค้นหาหัวข้อที่น่าสนใจทั้งหมด

windows  mac  hard-drive  data-recovery 
jerry
แหล่งที่มา
ฉันเพิ่งดาวน์โหลดเพลงบางเพลงและเมื่อฉันพยายามดูตัวอย่างมันเล่นวิดีโอฉันได้ลบไปหลายวันก่อนหน้านี้เนื่องจากได้กำหนดตำแหน่งหน่วยความจำนั้นให้กับฝนตกหนัก แต่ยังไม่ได้ดาวน์โหลดอะไรเลย คิดว่าเป็นตัวอย่างที่อาจช่วยให้ :)
Skeith

คำตอบ:

33

โดยทั่วไปแล้วไฟล์ที่ถูกลบจะไม่ไปไหน พวกเขายังคงอยู่บนดิสก์เหมือนเดิมจนกว่าพวกเขาจะได้รับการเขียนทับ เมื่อถูกลบลิงก์ไปยังลิงก์นั้นจะถูกลบออกจากโครงสร้างระบบไฟล์

jncraton
แหล่งที่มา
39

ลองนึกภาพห้องสมุดในปี 1970 คุณมีชั้นวางของทั้งหมดที่มีหนังสืออยู่ในนั้นและคุณมีลิ้นชักพร้อมการ์ดที่สามารถบอกคุณได้ว่าหนังสือที่คุณกำลังค้นหาตั้งอยู่ที่ไหน

บนฮาร์ดไดรฟ์คุณมีโต๊ะ (ลิ้นชัก) ที่แยกจากไฟล์ (หนังสือ)

ระบบปฏิบัติการของคุณอ้างอิงตารางนี้เมื่อต้องการค้นหาข้อมูล จากนั้นจะไปที่ตำแหน่งของหนังสือด้วยหัวอ่านหรืออุปกรณ์ที่ใช้และอ่านข้อมูลที่นั่น

เมื่อผู้ใช้ตัดสินใจที่จะลบไฟล์คอมพิวเตอร์เพียงแค่ลบเนื้อหาของตารางสำหรับตำแหน่งนั้นโดยทั่วไปแล้วจะวางบัตรเปล่าสำหรับไฟล์นั้นไว้ในตาราง เพราะมันจะใช้เวลาและกำลังไฟมากขึ้นสำหรับคอมพิวเตอร์ที่จะไปยังสถานที่แต่ละแห่งและลบไฟล์จริงๆมันแค่ทิ้งไว้ที่นั่น

จากนั้นเนื่องจากหนังสือเล่มนี้ยังคงอยู่ในห้องสมุดแม้ว่าจะไม่ได้อยู่ในบันทึกของพวกเขาก็เป็นไปได้ที่ซอฟต์แวร์พิเศษสามารถอ่านหนังสือทั้งหมดและค้นหาสิ่งที่ถูกลบไปเมื่อเร็ว ๆ นี้ (ตราบใดที่ยังไม่ได้เขียนทับ แล้ว!)

Tyler Faile
แหล่งที่มา
1
+ 2 การเปรียบเทียบที่ดีมาก
jerry
5

ขึ้นอยู่กับความหมายของการลบ ในระบบปฏิบัติการส่วนใหญ่ไฟล์จะถูก "ลบ" โดยการย้ายไปยังโฟลเดอร์ถังขยะโดยเฉพาะเพื่อให้ผู้ใช้สามารถกู้คืนได้ในภายหลัง เมื่อเนื้อหาถังขยะ "ถูกลบ" บล็อกที่มีข้อมูลจะถูกทำเครื่องหมายว่าพร้อมใช้งาน แต่มีเนื้อหาเหมือนเดิม ในการทำให้ข้อมูลไม่สามารถอ่านได้ผู้ใช้จะต้อง "ลบอย่างปลอดภัย" ไฟล์หรือโฟลเดอร์ถังขยะที่มีข้อมูลหากระบบปฏิบัติการมีตัวเลือกนั้น หากไม่ได้บล็อกเหล่านั้นในที่สุดจะถูกนำมาใช้ซ้ำและเขียนทับโดยข้อมูลใหม่ แต่อาจใช้เวลานานและในขณะเดียวกันข้อมูลในบล็อกเหล่านั้นสามารถพบและอ่านได้

JRobert
แหล่งที่มา
1
ควรสังเกตว่า "การลบ" และหรือ "ย้าย" ไฟล์จากโฟลเดอร์หนึ่งไปยังอีกโฟลเดอร์หนึ่งหรือแม้กระทั่งในถังขยะจะมีผลต่อข้อมูลลิงก์ของไฟล์ (เช่นชื่อ) ไม่ใช่เนื้อหาของไฟล์บนดิสก์
Chris Nava
@Chris เป็นเพราะเหตุใดจึงเร็วกว่าการตัดไฟล์ขนาดใหญ่กว่าการคัดลอก?
Skeith
1
ใช่ - การย้ายลิงค์เล็ก ๆ นั้นเร็วกว่าการคัดลอกเนื้อหาของไฟล์
JRobert
5

การเปรียบเทียบของ Tyler Faile นั้นยอดเยี่ยมมาก

ข้อมูลไม่ได้ไปทุกที่ ที่อยู่ของมันถูกทำเครื่องหมายว่าเป็นพื้นที่ว่างแล้วถูกเขียนทับเมื่อข้อมูลใหม่ต้องการสถานที่ที่จะไป ทันทีที่มีการเขียนทับมันจะหายไปอย่างถาวร

หากคุณต้องการลบบางสิ่งเพื่อไม่ให้กู้คืนได้คุณสามารถเขียนทับได้โดยตรงหรือเขียนทับพื้นที่ว่างทั้งหมดบนฮาร์ดไดรฟ์ของคุณ คุณต้องระมัดระวังเกี่ยวกับการเขียนทับไฟล์อย่างง่าย ๆ เนื่องจากระบบจะย้ายไฟล์ไปรอบ ๆ ระหว่างการใช้งานปกติ หากสิ่งนี้เกิดขึ้นสำเนาเก่าจะไม่ถูกเขียนทับอย่างปลอดภัย

โปรแกรมที่ดีสำหรับการเขียนทับไฟล์และการเขียนทับพื้นที่ว่างทั้งหมดคือยางลบ http://eraser.heidi.ie/

โปรแกรมที่ดีสำหรับการเขียนทับฮาร์ดไดรฟ์ทั้งหมด (บางทีก่อนที่จะจำหน่าย) คือ Darik's Boot และ Nuke ระมัดระวังโปรแกรมนี้ ชื่อของมันค่อนข้างแม่นยำ อย่าใช้มันจนกว่าคุณจะแน่ใจว่าคุณไม่ต้องการข้อมูลใด ๆ ในคอมพิวเตอร์

มักจะมีการอภิปรายเกี่ยวกับว่าข้อมูลยังคงสามารถกู้คืนได้หลังจากการเขียนทับเดียว ความจริงก็คือสิ่งนี้ไม่เคยทำต่อสาธารณะในดิสก์ที่ทันสมัย Peter Gutmann เขียนบทความเกี่ยวกับเรื่องนี้และหนึ่งในวิธีการที่มีชื่อสำหรับเขา คุณสามารถอ่านรายงานของเขาได้ที่นี่: http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html

นี่คือสิ่งที่เขาพูดเกี่ยวกับ overkill หลายครั้ง:

ในช่วงเวลาตั้งแต่มีการตีพิมพ์บทความนี้บางคนได้ปฏิบัติต่อเทคนิคการเขียนทับ 35-pass ที่อธิบายไว้ในนั้นเป็นคาถาวูดูเพื่อขับไล่วิญญาณชั่วร้ายกว่าผลของการวิเคราะห์ทางเทคนิคของเทคนิคการเข้ารหัสไดรฟ์ ดังนั้นพวกเขาจึงแนะนำให้ใช้ voodoo กับไดรฟ์ PRML และ EPRML แม้ว่าจะไม่มีผลกระทบใด ๆ มากกว่าการขัดถูแบบง่ายๆกับข้อมูลแบบสุ่ม อันที่จริงแล้วการเขียนทับแบบ 35-pass แบบเต็มนั้นไม่มีจุดหมายสำหรับไดรฟ์ใด ๆ เนื่องจากเป็นการผสมผสานระหว่างสถานการณ์ที่เกี่ยวข้องกับเทคโนโลยีการเข้ารหัส (ใช้งานตามปกติ) ทุกประเภทซึ่งครอบคลุมทุกอย่างกลับไปเป็นวิธีการ MFM แบบเก่าอายุ 30 ปีขึ้นไป ไม่เข้าใจข้อความนั้นอ่านกระดาษอีกครั้ง) หากคุณใช้ไดรฟ์ที่ใช้เทคโนโลยีการเข้ารหัส X คุณจะต้องทำการส่งผ่านเฉพาะกับ X เท่านั้น และคุณไม่จำเป็นต้องทำการแสดงทั้งหมด 35 ครั้ง สำหรับไดรฟ์ PRML / EPRML สมัยใหม่การขัดถูแบบสุ่มสองสามครั้งนั้นดีที่สุดที่คุณสามารถทำได้ ดังที่กระดาษกล่าวว่า "การขัดถูที่ดีกับข้อมูลแบบสุ่มจะทำเช่นเดียวกับที่คาดไว้" สิ่งนี้เป็นจริงในปี 1996 และยังคงเป็นจริงในขณะนี้

DaleSwanson
แหล่งที่มา
1
ควรสังเกตว่าการเขียนทับหลายครั้งอาจไม่ปลอดภัยบนไดรฟ์ SSD เปรียบเทียบsuperuser.com/q/22238/33973
sum1stolemyname
ควรสังเกตว่าการเขียนทับไฟล์แต่ละไฟล์ (เมื่อเทียบกับพาร์ทิชัน / ดิสก์ทั้งหมด) มักจะไม่เพียงพอ: superuser.com/questions/157931/foss-wipe-free-space-7-35-passes
sleske
นี่เป็นคำตอบที่ดี แต่ OP ไม่สนใจซอฟต์แวร์จริงที่ลบ แต่อยู่ที่ซึ่งคุณไม่ได้ให้ข้อมูลเชิงลึกใหม่ ฉันไม่ได้ลงคะแนน แต่ไม่สามารถพิสูจน์ความเป็นจริงได้
James Mertz
3

พื้นที่ที่จัดสรรสำหรับไฟล์ที่ถูกลบนั้นถูกปล่อยให้ว่างเพื่อให้ไฟล์อื่นสามารถเขียนทับได้ แต่จนกระทั่งเกิดสิ่งที่ไฟล์ของคุณยังคงอยู่ในฮาร์ดไดรฟ์ของคุณ

โดยทั่วไปแล้วจะไม่สามารถเข้าถึงไฟล์เหล่านี้ได้ แต่มีเครื่องมือต่าง ๆ ในการค้นหาไฟล์ที่ถูกลบ แต่ยังไม่ได้เขียนทับ คุณยังคงหลวมข้อมูลเมตาทั้งหมดเกี่ยวกับไฟล์เช่นพา ธ และชื่อไฟล์ หากคุณกู้คืนไฟล์ดังกล่าวจะได้รับชื่อที่เป็นความลับเช่น FILE004 ในไดเรกทอรีที่ระบุ

ayckoster
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.