写真/ファイルを削除しても、実際に削除されないのはなぜですか？どうして回復できるのでしょうか？

娘の写真ライブラリ/ハードドライブから写真を削除しようとしています。これまでに行ったことは、写真をゴミ箱に移動して空にしたことです。

今、問題は、削除されたファイル/写真は、市場にある任意の回復ソフトウェアを使用して回復できることです。（私の夫によれば）

私は混乱しています。誰かが内部ドライブ全体を削除/消去した場合-削除されたファイルはどうして回復可能になりますか？

娘のコンピューターはEl Capitanを実行している2014 iMacで、500GB SATAハードドライブを搭載しています。

短い答え

ファイルをゴミ箱に移動してゴミ箱を空にするか、または従来のハードドライブ（つまり、ソリッドステートドライブではない）のクイックフォーマットを実行することにより、実際にはファイルを削除していません。代わりに、それらのファイルに関する情報を削除するだけです。これは、オペレーティングシステムがこれらのファイルが存在することをまったく知らないことを意味します。

長い答え

さて、アナロジーを使用してこれを説明させてください。

あなたが図書館にいて、この特定の図書館には100,000冊の本が含まれていると想像してください。これらの本はすべて、図書館のカタログで索引付けされています。このカタログには、タイトル、著者、日付などで検索できるコンピューターを介してアクセスできます。最も重要なのは、各インデックスがその書籍の正確な場所を示していることです。これにより、必要なときに探しているものを簡単に見つけることができます。カタログを検索するだけで、その本がどこにあるか（つまり、どのセクション、行、棚にあるか）が正確にわかります。

ある日、誰かが誤って特定の本の記録を図書館のカタログから削除してしまいました。本自体はまだ存在し、まったく同じ場所にあります。しかし、それがどこにあるのか、どこにあるのか、誰も知りません！

翌日、誰かが侵入して、図書館のカタログを含むコンピューターを盗みます。すべての本はまだそこにありますが、Steve Jobsについての特定の本を探して見たいと思ったら、その本が図書館にあるかどうか、もしそうならどこにあるかはわかりません！

ここで、ハードドライブがそのライブラリであることを想像してください。100,000個のファイル（ドキュメント、写真、ビデオ、音楽など）が含まれています。

• ファイルをゴミ箱に移動してから空にすると、誰かが誤って特定の本の記録を図書館のカタログから削除するようなものです。

• ハードドライブを消去すると、それは誰かがライブラリのカタログ全体を盗むようなものです。

したがって、私たちの類推を使用して、本はまだ棚にあります。彼らはどこにも行っていない！しかし、探している1冊の本を見つけたい場合は、どこを探すべきかまったくわからないでしょう。

同様に、ファイルを削除したり、ハードドライブを消去したりします。あなたのコンピューターは、そのハード上にどんなデータがあるのか​​、それがどこにあるのかを全く知りません。そのため、ユーザーがハードドライブ内を移動しても、Macはそれらを認識しないため、表示されないため、これらのファイルは表示されません。それらは事実上存在しません。

しかし、データリカバリソフトウェアを使用する場合、それは図書館に本棚のすべての行に出入りする人を雇い、それぞれの本を開き、タイトル、著者、場所などのメモを取るようなものです。データ回復ソフトウェアは、最初はハードドライブの内容を把握していませんが、スペースのすべてのブロックを調べて、実際にそこにあるものを確認し、回復することができます。言い換えれば、すでにそこにあるものが再び見えるようにしているのです。

ごみ箱を空にするか、ハードドライブを消去してからコンピューターに新しいファイルの保存を開始すると、macOSはデータが存在することを知らないため、以前のデータを上書きします。空きスペースと見なされるため、新しいデータを上書きできます。データが既に上書きされている可能性が低いため、何かを削除した後すぐにデータの回復が常により成功する理由です。

これらの親密な写真が回復できないことをかなり確実にしたい場合、次のことができます。

• ハードドライブを安全に消去します（エルキャピタンにいるので、この質問とその回答を読んでください）El Capitan＆Sierraのディスクユーティリティの「安全に消去」機能を取得する方法
• ハードドライブの空き領域に他のデータ、できれば大きなファイル（ヒープビデオ全体など）を手動で入力し、いっぱいになったらこのファイルを削除します。この方法で、以前の写真を含むブロックは他のデータで上書きされるはずです。

重要：娘がTime Machineバックアップを持っている場合、それらの親密な写真はすべてほぼ確実にそれらのバックアップにも含まれます。

最後の言葉...

ユーザーが選択できる別のオプションは、Mac起動ドライブを暗号化することです。これにより、ディスク上のすべてが暗号化されるため、データが保護されます。ファイルを削除すると、これらは回復不能になりますが、さらに重要なのは回復可能ですが、暗号化されているため、正しい資格情報（ログインパスワード、回復キーなど）を持っていないユーザーはアクセスできません。

FileVaultの使用方法の詳細については、「FileVaultを使用してMacの起動ディスクを暗号化する」を参照してください。

ハードドライブ上のファイルはすべて存在し、システムはファイルを指すポインターを保持します。ファイルを削除すると、実際にポインターを削除するだけで、データはまだそこにありますが、通常のツールでは見つけることができません。オペレーティングシステムは、最終的にそのデータを新しいデータで上書きします。

これは、データの回復が行われる場所であり、ドライブのスキャンとファイルの回復（ポインターの復元）を可能にするツールがあります。

これを回避する1つの方法は、実際のデータが存在する場所を複数回上書きすることです。繰り返しますが、そのためのツールがあります。

エルキャピタンの前は、メニュー内のゴミ箱を安全に空にすることができましたが、そのオプションは正常に機能しなかったため削除されました。新しいバージョンでは、これは次のような端末から実行できますdiskutil secureErase freespace LEVEL /Volumes/DRIVENAME。出典：FileVault 2は空きディスク容量も暗号化しますか？

このコマンドでファイルを削除できますsrm -v /path/to/file/to/securely/delete/example.png。それでも、優れたツールは、このように削除されたファイルを回復できます。

残念ながら、唯一の実際の解決策は、ドライブ全体を安全に消去し、ランダムな0と1で上書きすることです。一度だけで十分です。このプロセスにより、ドライブ上のすべてが削除され、完了するまでに時間がかかります。

ゴミ箱を空にしても、ディスク上のファイルが占有していたスペースは消去されません。そのスペースが再び使用可能としてマークされるだけです。スペースが再利用されていない場合、データはまだそこにあり、写真の断片などを探してドライブの利用可能なスペースを調べるソフトウェアによって見つけることができます。

スペースの消去には時間がかかるため、ほとんどのデータは機密ではないため、通常は実際に消去するのではなく、そのままにしておくほうが良いでしょう。また、人々はおっとから回復することができます。

Monomeethの答えは、削除と回復の仕組みをすでに説明しています。

私は彼らがそのように働く理由を説明しようとします。

今日のコンピューターは高速ですが、常にそうであるとは限りませんでした。概念的に言えば、最新の最も優れたOS X（すべてのアップルコンピューターが動作させるソフトウェア）は、1980年代の初期のUnixと共通しています（大学や大企業だけが持っていた古い冷蔵庫サイズのマシンのソフトウェアを考えてください）。

ハードディスク上のデータの上書きは高価です（多くのコンピューターリソースを消費します）。データのある場所へのポインターを削除すること（ライブラリカタログエントリを考える）とデータ自体（百科事典のコレクションを考える）の違いは（データのサイズに応じて）隣の家に走る（秒）と地球全体（年）を走る...または月とその後ろ（世紀）...または次の星系（あなたはアイデアを得る）まで。技術者でない人に、その違いがどれほど大きいかを説明するのは難しいです。

コンピュータは人よりもはるかに高速に動作し、最新のコンピュータは初期のコンピュータよりもはるかに高速に動作しますが、その違いは依然として重要です。

それは社会的要因にも影響します。人々は自分のコンピューターが高速であることを望んでいます。また、ファイルを誤って削除した場合にファイルを回復できるようにしたいと考えています。また、ファイルシステムがほぼ常にそのように機能していたという事実の慣性もあり、多くのプログラマーはそれを変更するのに多くの時間（読み取り：非常に高価）を要するでしょう。

そのすべてが、現在のMac（および他のすべてのコンピューター）が、Monomeethの答えが説明する方法とほぼ同じように機能することになります。

詳細については、この質問とそれに対する私の回答を参照してください。

この回答はParenting SEに属しますが、質問はここにあるので、ここにも回答を掲載します。OPの実際のハードウェアの質問には対応していません。

コメントのフォローアップ。技術的な答えがそれをカバーしています。あなたは画像を消去することができ、本当に高度な技術スキルがなくても回復する可能性が低いファイルを消去する前にファイルにちらつきを書き込むアプリがあります。

しかし、神がカブに与えた頭脳を持つ子供は、最初の経験から学び、あなたから物を隠します。

これは、ルールを設定しても勝てないものです。あなたは彼女が彼女のコンピューターにこの種のものを望んでいないことを彼女に納得させることによってこれに勝ちます。あなたを悩ませているコンテンツについて話し合ってください。彼女がオープンであること、そしてこれについて話すこと、そして彼女がそれについて秘密であることがはるかに良い。全体として、このプロセスは数年前に始まります。この時点で信頼を得ることは困難です。

14歳は難しい年齢です。私たちは皆、その年齢で愚かな選択をしました。いつも両親と何でも話せると感じました。彼らは物事の潜在的な欠点を指摘したが、私は自分の間違いを犯すことが許されていると言った。いくつか作りました。しかし、ほとんどのクラスメートほどではありません。

または、コンピューターを彼女から離します。

お子様がデバイスのコンテンツを制御しようとする試みを回避する方法：

1. デバイスをパスコードします。
2. ハードドライブを暗号化します。
3. ハードドライブのパーティションを作成し、追加のパーティションを暗号化します。
4. ハードドライブをパーティション分割し、通常はマウントしないでおきます。
5. 隠しフォルダーを作成します。
6. 複数の写真ライブラリを作成します。
7. サムドライブに保管してください。サムドライブでは、1〜6の任意の組み合わせを実行できます。
8. 新しいユーザーアカウントを作成し、ログインが必要です。オープニング画面にログイン項目を表示しないでください。1つのアカウントを学校に使用し、もう1つのアカウントを秘密のものに使用します。
9. ものをクラウドに保管します。
10. スポットライト（または同等のもの）が検索しないものをアーカイブに保存します。
11. パブリックサーバーに新しいメールアカウントを作成します。そのアカウントへの添付ファイルとしてメールのもの。

ストレージデバイスは、ディレクトリを備えた大きな本のようなものです。情報はそのページの一部に保存され、ディレクトリにはそれらのページにつながる対応するポインターがあります。何かを削除すると、ページはそのまま残りますが、そのページにつながるディレクトリは空としてマークされます。これらのページを自分でめくると、「削除」したデータが表示されます。

ハードドライブの基本的な考え方は、ハードドライブが2つの異なる状態に配置できる多数のピースで構成されているということです。ある意味、ハードドライブには何十億ものスイッチが含まれており、これらのスイッチはどちらにでも切り替えることができます。ファイルを開くと、コンピューターはハードドライブの適切なスイッチを調べ、その状態を確認し、その情報を処理して画面に表示されるものを作成します。コンピューターは、どのファイルがどのピースに保存されているかを追跡し、新しいファイルを保存するたびに、まだ使用されていない一連のスイッチを探します。空きスイッチがない場合は、ファイルを保存できないことを通知します。

ファイルをゴミ箱に移動すると、そのファイルがもう必要ないことがコンピューターに通知されます。そのため、コンピューターはどのファイルがどこに保存されているかの記録に移動し、そのファイルの場所を保存している記録を削除します。これで、そのファイルの場所は「使用済み」としてリストされなくなり、コンピューターがファイルをどこかに保存する必要がある場合、そのスペースを使用できます。

そのため、ファイルをゴミ箱に移動しても、そのファイルを表すスイッチは変更されません。変更点はすべて、その場所が「使用済み」としてマークされていないことです。さて、あなたは「なぜこれらのスイッチが変更されないのか」と疑問に思うかもしれません。そして、対応する質問は「なぜ彼らなのか」です。スイッチの1つの構成は、もう1つの構成と同じです。コンピューターはすべてのスイッチを通過して「リセット」しますが、計算の観点からの利点はありません。スイッチが「リセット」された後にファイルを保存することは、ランダムな構成のスイッチでファイルを保存するよりも速くありません。スイッチのリセットに費やす時間は無駄になります。計算の観点からは、ファイルを「削除」するようなことはありません。最初のファイルがあった場所に別のファイルを書き込むだけです。ファイルを回復不能にしたい場合は、保存されているハードドライブの部分に何か他のものを書き込む必要があります。