Куда идут удаленные элементы на жестком диске?

Question

Прочитав приведенную ниже цитату по делу Кейси Энтони (CNN), мне стало любопытно, куда на самом деле удаляются удаленные файлы, как их можно увидеть после удаления и в какой степени можно восстановить данные (полностью, частично). , так далее).

«Ранее в ходе судебного разбирательства эксперты свидетельствовали, что кто-то проводил поиск по ключевым словам на настольном компьютере в доме, которым Кейси Энтони поделилась со своими родителями.

Обыски были обнаружены в части жесткого диска компьютера, которая указала, что они были удалены, детектив Сандра Осборн из офиса шерифа округа Ориндж в среду дала показания по делу об убийстве Энтони в столице ».

Я знаю некоторые вопросы здесь о стороннем программном обеспечении Super User, которое может использоваться для такого рода вещей, но меня больше интересует, как эти данные можно увидеть после удаления, где они находятся на жестком диске и т.д. Я найти всю тему интригующим, так что любые дополнительные идеи приветствуются.

Answer 1

Представьте себе библиотеку в 1970 году. У вас были все полки с книгами на них, и у вас были ящики с карточками, которые могли бы сказать вам, где находилась книга, которую вы искали.

На жестком диске у вас есть таблица (ящики), которая отделена от файлов (книг).

Ваша операционная система ссылается на эту таблицу, когда ей нужно найти данные. Затем он идет к месту нахождения книги со считывающей головкой или любым другим устройством и читает там данные.

Когда пользователь решает удалить файл, компьютер просто удаляет содержимое таблицы для этого местоположения, это в основном помещает пустую карточку для этого файла в таблицу. поскольку компьютеру потребовалось бы больше времени и энергии, чтобы перейти в каждое местоположение и фактически стереть файл, он просто оставил его там.

Затем, поскольку книга все еще физически находится в библиотеке, хотя ее нет в их записях, специальное программное обеспечение может прочитать все книги и выяснить, что было недавно удалено (если оно не было переписано затем!)

Answer 2

В общем, удаленные файлы никуда не денутся. Они остаются на диске в точности такими, какими они были до тех пор, пока они не будут перезаписаны. Когда они удаляются, ссылка на него просто удаляется из структуры файловой системы.

Answer 3

Это зависит от того, что вы подразумеваете под удаленным. в большинстве операционных систем, файлы "удаляются", будучи перемещен в папку Корзина, в частности , таким образом , они могут быть восстановлены позже пользователем. Как только содержимое корзины "удалено", блоки, содержащие данные, помечаются как доступные, но их содержимое остается неизменным. Чтобы сделать данные нечитаемыми, пользователь должен "Безопасно удалить" файл или папку с корзиной, в которой он находится, если ОС предлагает эту опцию. Если нет, то эти блоки в конечном итоге будут повторно использованы и перезаписаны новыми данными, но это может занять много времени, и между тем данные в этих блоках могут быть найдены и прочитаны.

Answer 4

Аналогия Тайлера Фэйли великолепна.

Данные никуда не уходят. Его адрес просто помечается как свободное место, а затем перезаписывается, когда новым данным требуется место для перемещения. Как только он перезаписывается, он исчезает навсегда.

Если вы хотите удалить что-то, чтобы это не удалось восстановить, вы можете либо перезаписать это напрямую, либо перезаписать все свободное место на жестком диске. Вы должны быть осторожны с простой перезаписью файлов, поскольку файлы перемещаются ОС во время обычного использования. Если это произойдет, старая копия не будет надежно перезаписана.

Хорошая программа для перезаписи файлов и перезаписи всего свободного пространства - это Eraser. http://eraser.heidi.ie/

Хорошая программа для перезаписи целых жестких дисков (возможно, перед их продажей) - это Darik's Boot and Nuke. Будьте очень осторожны с этой программой. Его название довольно точное. Не используйте его, если вы не уверены, что не хотите никаких данных на компьютере.

Часто возникают споры о том, можно ли восстановить данные после однократной перезаписи. Дело в том, что это никогда не было публично сделано на современном диске. Питер Гутман написал статью об этом, и один из методов назван в его честь. Вы можете прочитать его статью здесь:http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html

Вот что он должен сказать по поводу многократного перебора:

За время, прошедшее с момента публикации этой статьи, некоторые люди рассматривали описанную в ней технику 35-проходной перезаписи скорее как своего рода заклинание вуду для изгнания злых духов, чем в результате технического анализа методов кодирования дисков. В результате они выступают за применение voodoo к дискам PRML и EPRML, даже если это не даст большего эффекта, чем простая очистка со случайными данными. На самом деле выполнение полной 35-проходной перезаписи бессмысленно для любого накопителя, поскольку она нацелена на сочетание сценариев, включающих все типы (обычно используемых) технологий кодирования, которые охватывают все, начиная с 30-летних методов MFM (если вы не не понимаю этого утверждения, перечитайте статью). Если вы используете диск, в котором используется технология кодирования X, вам нужно выполнить только этапы, характерные для X, и вам никогда не нужно выполнять все 35 этапов. Для любого современного привода PRML/EPRML лучшее, что вы можете сделать, - несколько проходов случайной очистки. Как говорится в документе: «Хорошая очистка со случайными данными подойдет примерно так же, как и следовало ожидать». Это было верно в 1996 году и до сих пор верно.

Answer 5

Выделенное пространство для удаленных файлов освобождается, чтобы другие файлы могли их перезаписать. Но пока это не произойдет, ваши файлы останутся на жестком диске.

Обычно доступ к этим файлам невозможен, но существуют различные инструменты для поиска таких удаленных, но еще не перезаписанных файлов. Тем не менее, вы теряете всю мета-информацию о файле, такую как путь и имя файла. Если вы восстановите такой файл, он получит загадочное имя, например FILE004, в определенном каталоге.