为什么一些恢复工具在我清除回收站、磁盘碎片整理和零填充可用空间后仍然能够找到已删除的文件？

Question

据我了解，当我删除（不使用回收站）一个文件时，它的记录会从文件系统目录（FAT/MFT/etc...）中删除，但被占用的磁盘扇区的值该文件保持完整，直到这些扇区被重用以写入其他内容。当我使用某种擦除文件恢复工具时，它会直接读取这些扇区并尝试建立原始文件。

在这种情况下，我不明白为什么在我对驱动器进行碎片整理并用零覆盖所有可用空间后，恢复工具仍然能够找到已删除的文件（尽管重建它们的机会减少了）。你能解释一下吗？

我认为零覆盖删除的文件只能通过一些特殊的取证实验室磁扫描硬件来找到，而那些复杂的擦除算法（用随机和非随机模式多次覆盖可用空间）只有防止这种物理扫描才有意义成功，但实际上似乎简单的零填充不足以擦除已删除文件的所有轨道。怎么会这样？

更新，解决出现的问题：

• 我尝试了以下擦除工具：Sysinternal 的 SDelete、CCLeaner 和一个我不记得其名称的简单实用程序，它从命令行开始并创建一个不断增长的零填充文件，直到占用整个可用空间然后删除它。
• 我尝试了以下恢复工具：Recuva、GetDataBack、R-Studio、EasyRecovery。
• 我记不清哪些工具给出了具体的结果（据我所知，其中一些工具的试用版只显示文件名，实际上无法恢复）。
• 可能在大多数（但不是 100% 全部）情况下，他们只看到名称而无法恢复数据，但这仍然是一个需要解决的安全威胁，因为文件名仍然可以提供相当多的信息（例如我已经看到一个将密码存储在文本文件中的人，这些文件被命名为密码资源名称加上登录名，而登录名也应该受到保护）。

Answer 1

如果您覆盖已删除的文件，您将无法从中检索任何内容。

我最好的猜测是你的擦除工具没有完成它应该做的一切，或者你有某种缓存问题。

更新 - 如果您使用的是固态驱动器，您可能会发现安全删除工具由于在 SSD 上读取/写入数据的方式而无法按预期工作。