ごみ箱を削除し、ディスクをデフラグして空き容量をゼロにする後、一部の回復ツールが削除されたファイルを見つけることができるのはなぜですか?

10

私が理解している限り、ファイルを(ごみ箱を使用せずに)削除すると、そのレコードはファイルシステムの目次(FAT / MFT / etc ...)から削除されますが、ディスクセクターの値はこれらのセクターが他の何かを書き込むために再利用されるまで、ファイルはそのまま残ります。ある種の消去済みファイルの回復ツールを使用すると、それらのセクターが直接読み取られ、元のファイルを構築しようとします。

この場合、理解できないのは、ドライブをデフラグしてすべての空き領域をゼロで上書きした後も、回復ツールが削除されたファイルを見つけることができる(ただし、再構築の可能性は低い)理由です。これを説明できますか?

上書きされたゼロ削除ファイルは、特別な法医学ラボの磁気スキャンハードウェアによってのみ見つけることができ、それらの複雑なワイプアルゴリズム(ランダムおよび非ランダムパターンで空きスペースを複数回上書きする)は、このような物理スキャンを防止する意味があるだけだと思いました成功しますが、実際には、削除されたファイルのすべてのトラックをワイプするにはプレーンゼロフィルでは十分ではないようです。どうすればいいの?

出てきた質問に対処する更新:

  • 私は次のワイプツールを試しました:SysinternalのSDelete、CCLeaner、および単純なユーティリティ。名前は覚えていませんが、コマンドラインから始まり、空き領域がすべて使用されてから削除されるまで、ゼロで満たされたファイルが増えていきます。それ。
  • 私は次の回復ツールを試しました:Recuva、GetDataBack、R-Studio、EasyRecovery。
  • 特定の結果が得られたツールを正確に思い出せません(一部のツールの試用版がファイル名のみを表示し、実際に回復できないことを覚えている限り)。
  • おそらくほとんど(100%すべてではない)のケースでは、名前を確認しただけでデータを回復できませんでしたが、ファイル名はかなり参考になる可能性があるため、これはまだ対処すべきセキュリティ上の脅威です(たとえば、ログイン名も保護する必要があるが、パスワード付きのリソース名とログイン名として名前が付けられたテキストファイルにパスワードを保存した男。
hard-drive  security  data-recovery  file-recovery  wipe 
イワン
ソース
1
「再構築の機会の減少」は0より大きいですか?
ダニエルベック
1
ゼロに上書きされたファイルを一度も見つけたことがないので、正常に回復するためにどの回復プログラムを使用しましたか?
Neal、
1
回復ソフトウェアは実際に使用可能なファイルを回復しますか?または、マスターファイルテーブルで古いエントリを見つけるだけですか。
Moab、2011年

回答:

9

消去されたファイルを上書きすると、それらから何も取得できなくなります。

私の推測では、ワイプツールが想定どおりの処理を行っていないか、何らかのキャッシュの問題が発生しています。

更新-ソリッドステートドライブを使用している場合、SSDでのデータの読み取り/書き込み方法が原因で、安全な削除ツールが期待どおりに機能しないことがあります。

ロリー・アルソップ
ソース
3

データを削除し、ハードドライブをフォーマットするだけでは不十分です(アドレステーブルを削除します)。これは、データへのリンクを削除するだけです。データを消去するには、その上に新しいデータを書き込む必要があります。

データの上に一度だけ書き込むだけでは十分ではありません。これが、ディスクを消去するより安全な方法が、さまざまなタイプのデータをディスクに複数回書き込む理由です。新しいデータがディスクに書き込まれる回数が多いほど、安全性が高くなります。詳細については、こちらをご覧ください。http//www.headresist.com/how-computer-programs-that-wipe-hard-drive-work.htm

さまざまなハードドライブワイプを適用できる本当に優れたプログラムはDBANです。

リーベロラ
ソース
3

後ろに残っているファイル名とデータについて尋ねられたことにお気づきでしょうか。これは正常なことです。ディレクトリエントリを上書きする唯一の方法は、古いエントリが上書きされるまで、含まれているディレクトリでファイルを作成および削除することなので、ディスクワイパーはディレクトリエントリを上書きしません。ファイルシステムがどれほど豪華であるかに応じて(ext4、ntfs、reiserfs、hfs +、その他の非線形ディレクトリ構造)、これには複数の試行が必要になる場合があります。

一部のファイルシステムでファイルデータを回復可能にするためのもう1つの提案は、ジャーナルに存在する可能性があることです。多くのディスク空き領域消去ユーティリティは、ファイルシステムを避けて、デバイスに直接書き込みました。また、十分にスマートなジャーナルは、ファイルがいっぱいになるまでファイルにすべて0を書き込むことを検出し(より正確には、同じデータブロックを複数回書き込む)、それを1回だけ保存し、ジャーナル内の他のものはそのままにします。また、一部のスマートファイルシステムでは、ファイルシステムのファイルメタデータ(Unixファイルシステムのiノード)に十分に小さいファイルを詰め込んで、あらゆる種類のディスクワイプでデータにアクセスできないようにする場合があります。

ギーコサウルス
ソース
3

ギーコサウルスが言ったように、これらのツールはファイルデータのみをワイプし、ファイルテーブルインデックスを再編成しないためです。インデックスからファイルのトレースを完全に削除する場合は、それも消去するツールを見つけるか、ファイルシステムをバックアップし、ディスクを消去してバックアップから復元します。私はここにいくつかの明確化を見つけました:http : //www.broadbandreports.com/forum/r19572516-Removing-names-of-deleted-files-from-MFT~start=40

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.