在阅读完Casey Anthony试用版(CNN)上的引用之后,我很好奇被删除的文件在硬盘上的实际位置,删除后如何看到它们以及可以恢复到什么程度(完全,部分恢复)等)。
“在试验的早期,专家作证说有人在凯西·安东尼(Casey Anthony)与父母共享的家里的台式计算机上进行了关键字搜索。
搜查发现在计算机硬盘驱动器的一部分中,表明它们已被删除,奥兰治县警长办公室的侦探桑德拉·奥斯本周三在安东尼的死刑审判中作证。”
我知道超级用户地址第三方软件上可以用于此类事情的一些问题,但我对删除后如何看到这些数据,将其驻留在硬盘上等更感兴趣。找到有趣的整个主题,因此欢迎您提供任何其他见解。
Answers:
想象一下1970年的图书馆。您在所有的书架上都装有书,并且您的抽屉里有卡片,可以告诉您您要寻找的书的位置。
在硬盘驱动器上,您有一个与文件(书本)分开的桌子(抽屉)。
您的操作系统在需要查找数据时会引用该表。然后,它会以其读取头或任何设备使用的位置(并在那里读取数据)到达书的位置。
当用户决定删除文件时,计算机只会删除该位置表的内容,这基本上会将空白文件放入表中。因为计算机要花更多的时间和精力去每个位置并实际删除文件,所以它只会留在那里。
然后,由于这本书实际上仍在图书馆中,即使它不在他们的记录中,也可以使用特殊软件读取所有书籍并找出最近被删除的内容(只要自从然后!)
这取决于您删除的意思。在大多数操作系统中,通过将文件移到“废纸folder”文件夹中来“删除”文件,尤其是它们可以由用户稍后恢复。垃圾箱内容被“删除”后,包含数据的块将标记为可用,但其内容保持不变。为了使数据不可读,如果操作系统提供了该选项,则用户必须“安全删除”文件或包含该文件的“废纸rash”文件夹。否则,这些块最终将被新数据重新使用和覆盖,但这可能会花费很长时间,同时,可以找到并读取这些块中的数据。
泰勒·法伊勒的比喻很棒。
数据不会随处可见。它的地址只是标记为可用空间,然后在需要放置新数据时将其覆盖。一旦被覆盖,它将永久消失。
如果要删除某些内容以使其无法恢复,则可以直接覆盖它,也可以覆盖硬盘驱动器上的所有可用空间。不过,您必须注意仅覆盖文件,因为操作系统在正常使用期间会移动文件。如果发生这种情况,旧副本将不会被安全覆盖。
覆盖文件和覆盖所有可用空间的好程序是Eraser。 http://eraser.heidi.ie/
覆盖整个硬盘(可能在出售之前)的一个很好的程序是Darik的Boot和Nuke。这个程序要非常小心。它的名字很准确。除非确定您不需要计算机上的任何数据,否则不要使用它。
关于一次覆盖后是否仍然可以恢复数据的争论通常很多。事实是,这从未在现代磁盘上公开进行过。彼得·古特曼(Peter Gutmann)撰写了一篇有关此的论文,其中一种方法以他的名字命名。您可以在这里阅读他的论文:http : //www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html
这就是他关于多次传球过大杀伤力的说法:
自本文发表以来,有些人将其中描述的35遍覆盖技术更多地视为一种驱逐恶魔的伏都教咒语,而不是对驱动编码技术进行技术分析的结果。结果,他们提倡将伏都教徒应用于PRML和EPRML驱动器,尽管它只比对随机数据进行简单擦洗没有更多效果。实际上,对任何驱动器而言,执行完整的35次遍历覆盖都是毫无意义的,因为它针对的是涉及所有类型(正常使用)编码技术的场景混合,涵盖了30年前的MFM方法(如果您不这样做的话)的所有内容。无法理解该声明,请重新阅读该论文)。如果您使用的驱动器使用编码技术X,则只需执行特定于X的传递,而且您无需执行所有35次传递。对于任何现代PRML / EPRML驱动器,您可以做到几遍随机擦洗。正如论文所说,“使用随机数据进行良好的清理将达到预期效果。” 这在1996年是正确的,现在仍然适用。