Por que algumas ferramentas de recuperação ainda conseguem encontrar arquivos excluídos após limpar a Lixeira, desfragmentar o disco e preencher o espaço livre com zero?

10

Pelo que entendi, quando excluo (sem usar a Lixeira) um arquivo, seu registro é removido do índice do sistema de arquivos (FAT / MFT / etc ...), mas os valores dos setores do disco que foram ocupados por o arquivo permanece intacto até que esses setores sejam reutilizados para gravar outra coisa. Quando uso algum tipo de ferramenta de recuperação de arquivos apagados, ele lê esses setores diretamente e tenta criar o arquivo original.

Nesse caso, o que não consigo entender é por que as ferramentas de recuperação ainda conseguem encontrar arquivos excluídos (com menor chance de reconstruí-los) depois que eu desfragmentar a unidade e sobrescrever todo o espaço livre com zeros. Você pode explicar isso?

Pensei que os arquivos excluídos sobrescritos com zero pudessem ser encontrados apenas por meio de algum hardware especial de varredura magnética de laboratório forense e esses complexos algoritmos de limpeza (substituindo o espaço livre várias vezes com padrões aleatórios e não aleatórios) só fazem sentido impedir essa varredura física. bem-sucedido, mas praticamente parece que o preenchimento zero simples não é suficiente para limpar todas as faixas dos arquivos excluídos. Como isso pode ser?

UPDATE, abordando as perguntas que surgiram:

  • Eu tentei as seguintes ferramentas de limpeza: SDelete, CCLeaner e Sysinternal, e um utilitário simples cujo nome não me lembro que começa na linha de comando e cria um arquivo crescente preenchido com zero até que todo o espaço livre seja ocupado e, em seguida, exclui isto.
  • Eu tentei as seguintes ferramentas de recuperação: Recuva, GetDataBack, R-Studio, EasyRecovery.
  • Não me lembro exatamente quais ferramentas deram resultado específico (tanto quanto me lembro das versões de avaliação de algumas delas, apenas mostram nomes de arquivos e não podemos nos recuperar).
  • Provavelmente, na maioria dos casos (mas não 100% todos), eles só viram os nomes e não conseguiram recuperar os dados, mas ainda é uma ameaça à segurança a ser tratada, pois os nomes dos arquivos ainda podem ser bastante informativos (por exemplo, eu vi um cara que armazenou senhas em arquivos de texto que foram nomeados como o nome do recurso com senha e o nome de login, enquanto os nomes de login também devem ser protegidos).
hard-drive  security  data-recovery  file-recovery  wipe 
Ivan
fonte
1
A "chance reduzida de reconstrução" é maior que 0?
Daniel Beck
1
Qual programa de recuperação você usou para recuperar com êxito um arquivo zero sobrescrito, pois nunca encontrei um (não que parecesse muito ou tentei muitos)?
Neal
1
O software de recuperação realmente recupera um arquivo utilizável? ou está apenas encontrando uma entrada antiga na tabela de arquivos principais.
Moab

Respostas:

9

Se você sobrescrever arquivos apagados, não poderá recuperar nada deles.

Meu melhor palpite é que sua ferramenta de limpeza não fez tudo o que deveria ou você tem algum tipo de problema de cache.

atualização - se você estiver usando unidades de estado sólido, poderá descobrir que as ferramentas de exclusão segura não funcionam conforme o esperado, devido à maneira como os dados são lidos / gravados nos SSDs.

Rory Alsop
fonte
3

Não é suficiente excluir os dados e formatar o disco rígido (que exclui as tabelas de endereços). Isso remove apenas o link para os dados. Para que os dados sejam apagados, novos dados devem ser gravados em cima deles.

Apenas escrever sobre os dados uma vez não é suficiente. É por isso que o método mais seguro de limpeza de disco grava diferentes tipos de dados no disco várias vezes. Quanto mais vezes os novos dados são gravados no disco, mais seguro ele é. Para obter mais informações, leia o seguinte: http://www.headresist.com/how-computer-programs-that-wipe-hard-drive-work.htm

Um programa realmente bom que permite aplicar muitos toalhetes diferentes no disco rígido é o DBAN .

Leebeloola
fonte
3

Percebo que você perguntou sobre os nomes de arquivos que ficaram para trás, bem como os dados; isso é normal, nenhum limpador de disco substituirá as entradas de diretório porque a única maneira de fazer isso é criar e excluir arquivos no diretório que contém até que a entrada antiga seja substituída. Dependendo de como o sistema de arquivos é sofisticado (ext4, ntfs, reiserfs, hfs +, outros com estruturas de diretórios não lineares), isso pode levar várias tentativas.

Outra sugestão possível para os dados de arquivos serem recuperáveis ​​em alguns sistemas de arquivos é que eles podem estar no diário. Muitos utilitários de limpeza de espaço livre em disco gravaram diretamente no dispositivo, evitando o sistema de arquivos; e um diário suficientemente inteligente pode detectar a gravação de todos os zeros em um arquivo até ficar cheio (mais precisamente, a gravação do mesmo bloco de dados várias vezes) e salvá-lo apenas uma vez, deixando outras coisas no diário ainda. E então, alguns sistemas de arquivos inteligentes podem inserir arquivos suficientemente pequenos nos metadados de arquivo do sistema de arquivos (inode nos sistemas de arquivos Unix), tornando-os impossíveis para qualquer tipo de limpeza de disco tocar nos dados.

geekosaur
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.