O ile rozumiem, kiedy usuwam (bez użycia Kosza) plik, jego rekord jest usuwany ze spisu treści systemu plików (FAT / MFT / etc ...), ale wartości sektorów dyskowych, które były zajęte przez plik pozostaje nienaruszony, dopóki te sektory nie zostaną ponownie użyte do napisania czegoś innego. Kiedy używam jakiegoś narzędzia do odzyskiwania skasowanych plików, odczytuje te sektory bezpośrednio i próbuje zbudować oryginalny plik.
W tym przypadku nie rozumiem, dlaczego narzędzia do odzyskiwania są w stanie znaleźć usunięte pliki (ze zmniejszoną szansą na ich odbudowanie) po defragmentacji dysku i zastąpieniu całego wolnego miejsca zerami. Czy możesz to wyjaśnić?
Pomyślałem, że usunięte pliki z zerowym nadpisaniem można znaleźć tylko za pomocą specjalnego sprzętu do magnetycznego laboratorium kryminalistycznego, a te złożone algorytmy czyszczenia (wielokrotne zastępowanie wolnego miejsca wzorami losowymi i nieprzypadkowymi) mają sens, aby zapobiec takiemu fizycznemu skanowaniu udane, ale praktycznie wydaje się, że zwykłe zerowanie nie wystarczy, aby wyczyścić wszystkie ścieżki usuniętych plików. Jak to może być?
AKTUALIZACJA, odpowiadając na pojawiające się pytania:
- Wypróbowałem następujące narzędzia do czyszczenia: SDelete Sysinternal, CCLeaner i proste narzędzie, którego nazwy nie pamiętam, które zaczyna się od wiersza poleceń i tworzy rosnący plik wypełniony zerami, dopóki cała wolna przestrzeń nie zostanie zajęta, a następnie usunięta to.
- Wypróbowałem następujące narzędzia do odzyskiwania: Recuva, GetDataBack, R-Studio, EasyRecovery.
- Nie pamiętam dokładnie, które narzędzia dały określony wynik (o ile pamiętam wersje próbne niektórych z nich pokazują tylko nazwy plików i nie mogę ich odzyskać).
- Prawdopodobnie w większości (ale nie w 100%) przypadków widzieli tylko nazwy i nie mogli odzyskać danych, ale nadal jest to zagrożenie bezpieczeństwa, którym należy się zająć, ponieważ nazwy plików nadal mogą być bardzo pouczające (na przykład widziałem facet, który przechowywał hasła w plikach tekstowych, które zostały nazwane jako nazwa zasobu chronionego hasłem plus nazwa logowania, a nazwy logowania również powinny być zabezpieczone).