Qualcuno può dire se cancelli i file cancellati?

Naviga le tue risposte
8

Sono consapevole che per eliminare completamente qualcosa dovremo utilizzare un programma che sovrascrive il file cancellato in modo tale che non sia recuperabile.

C'è comunque da dire che è successo? Oppure lo stato risultante è così casuale che nessuno può dire che è stato appena "pulito"?

Ok, abbiamo un'unità C: \ da 100 GB e tutti i dati sono "puliti". Dopo la "pulizia", se qualcuno tenta di fare un'inversione e non può, sospetterà che sia "pulito" prima. Quindi quello che faccio è copiare "file casuali" ed eliminarli in modo tale che se esegue un'inversione, otterrebbe i "file casuali". Ora la domanda è, se ho semplicemente 50 GB di "file casuali", i rimanenti 50 GB mostreranno evidenze di "pulizia"? Devo riempire tutti i 100 GB "file casuali" (ed eliminarli) per cancellare TUTTE le tracce di "pulizia"?

    
posta Pacerier 02.10.2011 - 03:20
fonte

3 risposte

8

Hai ragione, per poter cancellare un file, il vero blocco del disco precedentemente occupato deve essere sovrascritto. Questo è generalmente fatto con dati casuali; ad esempio, lo 'strumento di crittografia' di Windows sovrascrive lo spazio su disco inutilizzato (ad esempio, precedentemente utilizzato) con 0, quindi 1s e quindi i dati casuali.

Se un investigatore forense dovesse esaminare il disco del tuo computer e tu avessi cancellato i file cancellati in questo modo, avrebbe notato che lo "spazio libero" sul disco era pieno di dati casuali e che c'erano pochi o nessun file cancellati. Diciamo che hai cancellato "readme.txt" e non lo hai cancellato; avrebbe trovato il contenuto di quel vecchio file e avrebbe risposto "Ok, ecco un file di testo cancellato". Pertanto, se non riesce a trovare file cancellati di qualsiasi tipo, allora deve concludere o a) non hai mai cancellato un file o b) hai cancellato il tuo spazio libero per sovrascrivere i file cancellati. Ovviamente b) è più probabile di a).

Per dirla in un altro modo: se lo stato risultante della cancellazione è casuale, allora quella casualità è ciò che dice all'investigatore che il disco è stato "pulito".

Alcuni strumenti, come il brandello PGP, sovrascriveranno il singolo file specificato piuttosto che ripulire tutto lo spazio allentato sul disco. Se i file sensibili vengono triturati e i file normali vengono eliminati come al solito, sarebbe più difficile per un investigatore dimostrare che si era verificato un errore nel file.

    
risposta data 02.10.2011 - 05:24
fonte
4

Ciò che gowenfawr dice è completamente corretto, tuttavia, vorrei aggiungere qualcosa a questo.

A seconda del filesystem, potrebbero esserci dei resti. Su NTFS, gli indici dei file non vengono rimossi durante la cancellazione / eliminazione del file. Quindi, anche se non puoi recuperare il contenuto del tuo file, ci saranno sempre tracce del file.

Vedi questo blogpost da sans forensics per maggiori informazioni

link

    
risposta data 02.10.2011 - 23:16
fonte
2

In tal caso, la soluzione più semplice è utilizzare TrueCrypt . È legale da usare, è facile giustificare la necessità e nessuno può sapere quanti dati hai usato, quali file c'erano ecc.

    
risposta data 03.10.2011 - 23:58
fonte

Leggi altre domande sui tag

Gli scanner per impronte digitali sono facili da bypassare? Esiste un modo per negoziare un segreto tra 2 parti senza conoscenza preliminare?