삭제 된 항목은 하드 드라이브의 어디에 있습니까?

Casey Anthony 시험 (CNN)에서 아래 인용문을 읽은 후 삭제 된 파일이 실제로 하드 드라이브에 저장된 위치, 삭제 후 파일을 볼 수있는 방법 및 데이터를 어느 정도까지 복구 할 수 있는지 궁금합니다. 등).

"시험 초반에 전문가들은 누군가 Casey Anthony가 가정의 데스크톱 컴퓨터에서 키워드 검색을 수행하여 부모와 공유했다고 증언했습니다.

이번 조사는 컴퓨터 하드 드라이브에서 삭제 된 것으로 밝혀 졌다고 밝혔다. 오렌지 카운티 보안관의 산드라 오스본 형사는 수요일 안토니의 수도 살인 재판에서 증언했다. "

슈퍼 유저 주소에 대한 질문 중 일부는 이런 종류의 소프트웨어에 사용될 수 있지만, 삭제 후이 데이터를 볼 수있는 방법, 하드 드라이브의 상주 위치 등에 더 관심이 있습니다. 흥미로운 전체 주제를 찾으면 추가 통찰력을 환영합니다.

일반적으로 삭제 된 파일은 어디에도 가지 않습니다. 덮어 쓸 때까지 디스크에 그대로 유지됩니다. 삭제되면 파일 시스템 구조에서 해당 링크가 제거됩니다.

1970 년에 도서관을 상상해보십시오. 책이있는 선반이 모두 있고, 책이있는 곳을 알려주는 카드가있는 서랍이있었습니다.

하드 드라이브에는 파일 (책)과 분리 된 테이블 (서랍)이 있습니다.

운영 체제는 데이터를 찾아야 할 때이 테이블을 참조합니다. 그런 다음 읽기 헤드 또는 장치가 사용하는 데이터가있는 책의 위치로 이동합니다.

사용자가 파일을 삭제하기로 결정하면 컴퓨터는 해당 위치에 대한 테이블 내용을 삭제하기 만하면 기본적으로 해당 파일에 대한 빈 카드를 테이블에 넣습니다. 컴퓨터가 각 위치로 이동하여 실제로 파일을 지우는 데 더 많은 시간과 전력이 필요하기 때문에 파일을 그대로 둡니다.

그런 다음, 책이 여전히 실제 라이브러리에 있기 때문에 기록에없는 경우에도 특수 소프트웨어가 모든 책을 읽고 최근에 삭제 된 내용을 찾을 수 있습니다. 그때!)

삭제 한 의미에 따라 다릅니다. 대부분의 OS에서 파일은 휴지통 폴더로 이동하여 "삭제"됩니다 . 특히 사용자가 나중에 복구 할 수 있습니다. 휴지통 내용이 "삭제"되면 데이터가 포함 된 블록은 사용 가능한 것으로 표시되지만 내용은 그대로 유지됩니다. 데이터를 읽을 수 없도록하려면 OS에서 해당 옵션을 제공하는 경우 파일 또는 파일이 포함 된 휴지통 폴더를 "보안 적으로 삭제"해야합니다. 그렇지 않은 경우 해당 블록은 새로운 데이터에 의해 재사용되고 덮어 쓰기되지만 시간이 오래 걸리며 그 동안 해당 블록의 데이터를 찾아 읽을 수 있습니다.

Tyler Faile의 비유는 훌륭합니다.

데이터는 어디에도 가지 않습니다. 그것의 주소는 단순히 여유 공간으로 표시되며, 새로운 데이터가 있어야 할 장소를 덮어 씁니다. 덮어 쓰면 영구적으로 사라집니다.

복구 할 수 없도록 무언가를 삭제하려면 직접 덮어 쓰거나 하드 드라이브의 모든 여유 공간을 덮어 쓰십시오. 정상적인 사용 중에 파일이 OS에 의해 이동되기 때문에 단순히 파일 덮어 쓰기에주의해야합니다. 이 경우 이전 사본을 안전하게 덮어 쓰지 않습니다.

파일을 덮어 쓰고 모든 여유 공간을 덮어 쓰는 데 유용한 프로그램은 지우개입니다. http://eraser.heidi.ie/

전체 하드 드라이브를 덮어 쓰기위한 좋은 프로그램 (아마도 판매하기 전에)은 Darik 's Boot and Nuke입니다. 이 프로그램에 매우주의하십시오. 그 이름은 매우 정확합니다. 컴퓨터에서 데이터를 원하지 않는 경우가 아니라면 사용하지 마십시오.

한 번의 덮어 쓰기 후에도 데이터를 복구 할 수 있는지에 대한 논쟁이 종종 있습니다. 사실 이것은 현대 디스크에서 공개적으로 수행 된 적이 없습니다. Peter Gutmann은 이것에 관한 논문을 썼으며 그 방법 중 하나가 그를 위해 명명되었습니다. 그의 논문은 여기에서 읽을 수 있습니다 : http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html

이것이 다중 패스 오버 킬에 대해 그가 말한 것입니다.

이 백서가 출판 된 이래로 일부 사람들은 드라이브 인코딩 기술에 대한 기술적 분석의 결과보다 악의적 정신을 추방하기위한 일종의 부두 명령으로 더 많은 35 패스 덮어 쓰기 기술을 취급했습니다. 결과적으로, 그들은 임의의 데이터로 간단한 스크러빙보다 더 이상 효과가 없을지라도 부두를 PRML 및 EPRML 드라이브에 적용하는 것을 옹호합니다. 실제로 모든 35 패스 덮어 쓰기를 수행하는 것은 모든 종류의 (일반적으로 사용되는) 인코딩 기술과 관련된 시나리오를 대상으로하기 때문에 모든 드라이브에 무의미합니다. 그 진술을 이해하지 못하면, 논문을 다시 읽으십시오). 인코딩 기술 X를 사용하는 드라이브를 사용하는 경우 X 전용 패스 만 수행하면됩니다. 35 번의 패스를 모두 수행 할 필요는 없습니다. 최신 PRML / EPRML 드라이브의 경우 몇 번의 랜덤 스크러빙이 가장 좋습니다. 논문에 따르면, "임의의 데이터로 문지르면 좋은 결과를 얻을 수있을 것입니다." 1996 년에도 마찬가지였으며 지금도 여전히 사실입니다.

삭제 된 파일에 할당 된 공간이 비워져 다른 파일이 덮어 쓸 수 있습니다. 그러나 그 때까지 파일은 하드 드라이브에 남아 있습니다.

일반적으로 이러한 파일에 액세스 할 수 없지만 삭제되었지만 아직 덮어 쓰지 않은 파일을 찾기위한 다른 도구가 있습니다. 여전히 경로 및 파일 이름과 같은 파일에 대한 전체 메타 정보를 잃어 버립니다. 이러한 파일을 복원하면 특정 디렉토리에 FILE004와 같은 암호 이름이 표시됩니다.