web-dev-qa-db-ja.com

ごみ箱を削除し、ディスクをデフラグして空き領域をゼロにした後でも、一部の回復ツールが削除されたファイルを見つけることができるのはなぜですか?

私の知る限り、ファイルを(ごみ箱を使用せずに)削除すると、そのレコードはファイルシステムの目次(FAT/MFTなど)から削除されますが、占有されていたディスクセクターの値は削除されます。これらのセクターが他の何かを書き込むために再利用されるまで、ファイルはそのまま残ります。ある種の消去されたファイル回復ツールを使用すると、それらのセクターを直接読み取り、元のファイルを構築しようとします。

この場合、私が理解できないのは、ドライブをデフラグしてすべての空き領域をゼロで上書きした後でも、回復ツールが削除されたファイルを見つけることができる理由です(ただし、ファイルを再構築する可能性は低くなります)。これを説明できますか?

上書きゼロの削除されたファイルは、いくつかの特別な法医学ラボの磁気スキャンハードウェアによってのみ見つけることができ、それらの複雑なワイプアルゴリズム(ランダムおよび非ランダムパターンで空き領域を複数回上書きする)は、そのような物理スキャンを防ぐためにのみ意味があると思いました成功しますが、実際には、削除されたファイルのすべてのトラックを消去するには、単純なゼロフィルでは不十分であるようです。どうすればいいの?

発生した質問に対処する更新:

  • 私は次のワイプツールを試しました:SysinternalのSDelete、CCLeaner、および名前を思い出せない単純なユーティリティ。コマンドラインから始まり、空き領域全体が使用されてから削除されるまで、ゼロで埋められたファイルが増えていきます。それ。
  • 私は次の回復ツールを試しました:Recuva、GetDataBack、R-Studio、EasyRecovery。
  • どのツールが特定の結果をもたらしたかを正確に思い出せません(それらのいくつかの試用版はファイル名しか表示せず、実際には回復できないことを覚えている限り)。
  • おそらくほとんどの場合(100%すべてではありません)、名前だけを見てデータを回復できませんでしたが、ファイル名はまだかなり有益である可能性があるため、これは対処すべきセキュリティ上の脅威です(たとえば、私は見ました)パスワード付きのリソース名とログイン名として名前が付けられたテキストファイルにパスワードを保存した人ですが、ログイン名も保護する必要があります)。
hard-drivesecuritydata-recoveryfile-recoverywipe
10
Ivan

消去したファイルを上書きすると、ファイルから何も取得できなくなります。

私の最善の推測は、ワイプツールが想定されているすべてを実行していないか、何らかのキャッシュの問題があることです。

更新-ソリッドステートドライブを使用している場合、SSDでのデータの読み取り/書き込み方法が原因で、安全な削除ツールが期待どおりに機能しない場合があります。

9
Rory Alsop

残っているファイル名とデータについて質問されたのに気づきました。これは正常です。古いエントリが上書きされるまで、含まれているディレクトリにファイルを作成および削除するしか方法がないため、ディスクワイパーがディレクトリエントリを上書きすることはありません。ファイルシステムの機能(ext4、ntfs、reiserfs、hfs +、その他の非線形ディレクトリ構造)によっては、複数回の試行が必要になる場合があります。

一部のファイルシステムでファイルデータを回復可能にするための別の考えられる提案は、それがジャーナルにある可能性があるということです。多くのディスク空き領域ワイプユーティリティは、ファイルシステムを避けてデバイスに直接書き込みました。また、十分にスマートなジャーナルは、ファイルがいっぱいになるまですべてゼロをファイルに書き込んでいることを検出し(より正確には、同じデータブロックを複数回書き込む)、1回だけ保存して、ジャーナル内の他のものをそのまま残します。また、一部のスマートファイルシステムは、ファイルシステムのファイルメタデータ(Unixファイルシステムのinode)に十分に小さいファイルを詰め込んで、どのような種類のディスクワイプでもデータにアクセスできないようにする場合があります。

3
geekosaur

geekosaurが言ったように、これらのツールはファイルデータをワイプするだけで、ファイルテーブルのインデックスを再編成しないためです。インデックスからファイルの痕跡を完全に削除したい場合は、それもワイプするツールを見つけるか、ファイルシステムをバックアップし、ディスクをワイプしてバックアップから復元します。私はここでいくつかの説明を見つけました: http://www.broadbandreports.com/forum/r19572516-Removing-names-of-deleted-files-from-MFT~start=4

3
user80758

データを削除し、ハードドライブをフォーマットする(アドレステーブルを削除する)だけでは不十分です。これにより、データへのリンクのみが削除されます。データを消去するには、その上に新しいデータを書き込む必要があります。

データの上に一度書き込むだけでは十分ではありません。これが、ディスクワイプのより安全な方法が、さまざまなタイプのデータをディスクに複数回書き込む理由です。新しいデータがディスクに書き込まれる回数が多いほど、安全性は高くなります。詳細については、これをお読みください: http://www.headresist.com/how-computer-programs-that-wipe-hard-drive-work.htm

多くの異なるハードドライブワイプを適用できる本当に良いプログラムは [〜#〜] dban [〜#〜] です。

3
Leebeloola