jer*_*rry 23 windows mac hard-drive data-recovery
阅读下面关于 Casey Anthony 审判 (CNN) 的引述后,我很好奇已删除文件实际上在硬盘驱动器上的位置,删除后如何看到它们,以及数据可以恢复到什么程度(完全,部分, 等等)。
“在审判的早些时候,专家作证说,有人在凯西安东尼与她父母分享的家中的台式计算机上进行了关键字搜索。
奥兰治县警长办公室的侦探桑德拉·奥斯本 (Sandra Osborne) 周三在安东尼谋杀案的审判中作证说,在计算机硬盘驱动器的一部分中发现了这些搜索,表明它们已被删除。”
我知道这里关于超级用户地址第三方软件的一些问题可以用于这种事情,但我更感兴趣的是删除后如何看到这些数据,它驻留在硬盘驱动器上的位置等。我发现整个主题很有趣,因此欢迎任何其他见解。
Tyl*_*ile 39
想象一下 1970 年的图书馆。所有书架上都放着书,抽屉里有卡片,可以告诉你要找的书在哪里。
在硬盘驱动器上,您有一张桌子(抽屉)与文件(书籍)分开。
您的操作系统在需要查找数据时会引用此表。然后它带着它的读头或设备使用的任何东西转到书的位置并在那里读取数据。
当用户决定删除一个文件时,计算机只会删除该位置的表格内容,这基本上会在表格中为该文件放置一张空白卡。因为计算机到每个位置并实际擦除文件需要更多的时间和电量,所以它只是将其留在那里。
然后,因为这本书实际上仍在图书馆中,即使它不在他们的记录中,特殊软件也有可能阅读所有书籍并找出最近被删除的内容(只要它从那以后没有被写过)然后!)
这取决于您所说的删除是什么意思。在大多数操作系统,文件被“删除”,由被移动到回收站文件夹,特别是使他们能够在以后用户恢复。一旦垃圾内容被“删除”,包含数据的块被标记为可用,但其内容完好无损。为了使数据不可读,如果操作系统提供该选项,用户必须“安全删除”文件或包含它的垃圾文件夹。如果没有,这些块最终会被新数据重新使用和覆盖,但这可能需要很长时间,同时可以找到并读取这些块中的数据。
Tyler Faile 的比喻很好。
数据不会去任何地方。它的地址被简单地标记为可用空间,然后在新数据需要去处时被覆盖。一旦它被覆盖,它就会永久消失。
如果您想删除某些内容使其无法恢复,您可以直接覆盖它,或者覆盖硬盘驱动器上的所有可用空间。但是,您必须小心简单地覆盖文件,因为在正常使用期间文件会被操作系统移动。如果发生这种情况,旧副本将不会被安全地覆盖。
用于覆盖文件和覆盖所有可用空间的好程序是 Eraser。 http://eraser.heidi.ie/
覆盖整个硬盘驱动器(可能在出售它们之前)的一个好程序是 Darik's Boot 和 Nuke。对这个程序要非常小心。它的名字非常准确。除非您确定不希望计算机上有任何数据,否则不要使用它。
关于单次覆盖后数据是否仍然可以恢复的争论经常发生。事实是,这从未在现代磁盘上公开进行过。Peter Gutmann 写了一篇关于此的论文,其中一种方法以他的名字命名。你可以在这里阅读他的论文:http : //www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html
这就是他对多次传球矫枉过正的说法:
自从这篇论文发表以来,有人将其中描述的35遍覆盖技术更多地视为一种驱邪的伏都教咒语,而不是驱动编码技术的技术分析结果。因此,他们提倡将 Voodoo 应用到 PRML 和 EPRML 驱动器,即使它不会比使用随机数据进行简单的清理产生更多效果。事实上,执行完整的 35 遍覆盖对于任何驱动器都是毫无意义的,因为它针对的是涉及所有类型(通常使用的)编码技术的场景的混合,涵盖了所有可以追溯到 30 多年前的 MFM 方法(如果你不不明白那句话,重新阅读论文)。如果您使用的是使用编码技术 X 的驱动器,则只需执行特定于 X 的传递,并且您永远不需要执行所有 35 次传球。对于任何现代 PRML/EPRML 驱动器,随机擦洗几次是您能做的最好的事情。正如论文所说,“对随机数据进行良好的清理将达到预期的效果”。这在 1996 年是正确的,现在仍然是正确的。