削除されたアイテムはハードドライブのどこに保存されますか？

Casey Anthonyトライアル（CNN）に関する以下の引用を読んだ後、削除されたファイルが実際にハードドライブ上に置かれている場所、削除された後にそれらがどのように見えるか、データがどの程度回復できるか（完全に、部分的になど）。

「試験の前半、専門家は誰かが両親と共有している自宅のケイシーアンソニーのデスクトップコンピューターでキーワード検索を行ったことを証言しました。

検索は、削除されたことを示すコンピューターのハードドライブの一部で見つかりました。オレンジ郡保安官事務所のサンドラオズボーン刑事は、水曜日にアンソニーの殺人裁判で証言しました。」

私はこの種のことに使用できるスーパーユーザーアドレスサードパーティソフトウェアに関するいくつかの質問を知っていますが、削除後にこのデータがどのように見えるか、ハードドライブ上の場所などにもっと興味があります。トピック全体が興味をそそるので、追加の洞察を歓迎します。

一般的に、削除されたファイルはどこにも行きません。それらは上書きされるまで、ディスク上にそのまま残ります。それらが削除されると、それへのリンクはファイルシステム構造から単純に削除されます。

1970年の図書館を想像してみてください。すべての棚に本が置かれ、探している本がどこにあるのかを示すカード付きの引き出しがありました。

ハードドライブには、ファイル（書籍）とは別のテーブル（引き出し）があります。

オペレーティングシステムは、データを見つける必要があるときにこのテーブルを参照します。次に、読み上げヘッドまたはデバイスが使用するもので本の場所に移動し、そこでデータを読み取ります。

ユーザーがファイルを削除することを決定すると、コンピューターはその場所のテーブルの内容を消去するだけで、基本的にそのファイルの空のカードをテーブルに置きます。コンピューターがそれぞれの場所に移動して実際にファイルを消去するのにより多くの時間と電力がかかるため、そのまま残します。

その後、書籍は物理的にライブラリにあるため、たとえ記録に載っていなくても、特別なソフトウェアがすべての書籍を読んで、最近削除されたものを見つけることができます（それ以降に上書きされていない限り）その後！）

削除されたという意味によって異なります。ほとんどのOSでは、ファイルはごみ箱フォルダに移動することで「削除」されます。特にユーザーが後で回復できるようにするためです。ゴミ箱の内容が「削除」されると、データを含むブロックは利用可能としてマークされますが、内容はそのまま残ります。データを読み取れないようにするには、OSがそのオプションを提供している場合、ユーザーはファイルまたはそれを含むごみ箱フォルダーを「安全に削除」する必要があります。そうでない場合、それらのブロックは最終的に再利用され、新しいデータで上書きされますが、時間がかかり、その間、それらのブロック内のデータを見つけて読み取ることができます。

Tyler Faileのアナロジーは素晴らしい。

データはどこにも行きません。そのアドレスは、単に空き領域としてマークされ、新しいデータが移動する場所が必要になると上書きされます。上書きされるとすぐに永久に消えます。

回復できないように何かを削除する場合は、直接上書きするか、ハードドライブのすべての空き領域を上書きします。ただし、ファイルは通常の使用中にOSによって移動されるため、単純にファイルを上書きすることに注意する必要があります。これが発生した場合、古いコピーは安全に上書きされません。

ファイルを上書きし、すべての空き領域を上書きするための優れたプログラムはEraserです。 http://eraser.heidi.ie/

ハードドライブ全体を（おそらく販売する前に）上書きする良いプログラムは、DarikのBootとNukeです。このプログラムには非常に注意してください。その名前は非常に正確です。コンピュータにデータが必要ないことが確実でない限り、使用しないでください。

多くの場合、1回の上書きでデータを回復できるかどうかについて議論があります。事実、これは最新のディスクで公に行われたことはありません。ピーター・ガットマンはこれについて論文を書き、その方法の一つは彼にちなんで名付けられました。彼の論文はここで読むことができます：http : //www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html

これは、彼がマルチパスオーバーキルについて言わなければならないことです。

この論文が発表されて以来、ドライブエンコード技術の技術的分析の結果よりも、一部の人々はそこに記述されている35パス上書き技術を悪魔を追放する一種のブードゥー教の呪文として扱ってきました。その結果、ランダムデータを使用した単純なスクラブと同じ効果があるにもかかわらず、ブードゥーをPRMLおよびEPRMLドライブに適用することを提唱しています。実際、すべての種類の（通常使用される）エンコードテクノロジを含むシナリオのブレンドを対象としているため、35パス以上のMFMメソッドに戻るすべてをカバーするため、すべてのドライブで35パス完全上書きを実行しても意味がありませんその声明を理解せず、論文を読み直してください）。エンコードテクノロジーXを使用するドライブを使用している場合、Xに固有のパスのみを実行する必要があります。35パスすべてを実行する必要はありません。最新のPRML / EPRMLドライブでは、ランダムパスの数回のパスが最善です。論文が述べているように、「ランダムなデータを使った適切なスクラビングは、期待どおりに実行できます」。これは1996年に当てはまりましたが、今でも当てはまります。

削除されたファイルに割り当てられたスペースは、他のファイルが上書きできるように解放されます。ただし、それまではファイルはハードドライブに残ります。

通常、これらのファイルにアクセスすることはできませんが、削除されたがまだ上書きされていないファイルを見つけるためのさまざまなツールが存在します。それでも、パスやファイル名などのファイルに関するメタ情報全体を失います。このようなファイルを復元すると、特定のディレクトリにFILE004などの暗号化された名前が付けられます。