Come rimuovere completamente tutte le tracce di un file in Windows 7?

5

Sono curioso di sapere come cancellare completamente tutte le possibili tracce di file in Windows 7.

Ad esempio, supponiamo di avere una sottocartella contenente cinque file diversi sul lavoro ritenuto sensibile (un documento, un file video, un RAR, un'immagine e un file di testo).

Quali sono i passi che devo compiere se voglio cancellare completamente tutte le tracce di questi file senza riformattare o fare qualcosa di simile?

Posso pensare solo a poche cose:

  • Cancella i file temporanei memorizzati da WinRAR
  • Elimina il database dell'icona di anteprima memorizzato in AppData (file .DS)
  • Disabilita la memorizzazione dei dati tramite la funzione di sospensione di Windows
  • RAM

Sono corretto assumendo che semplicemente "distruggere" una cartella non cancelli completamente tutte le tracce dei file in detta sottocartella?

È lecito ritenere che l'utilizzo di software come CCleaner rimuova sufficientemente tutte le tracce di detta sottocartella (se si utilizza l'opzione 'secure delete')?

Come posso raggiungere uno stato di sicurezza in cui posso rimuovere tutte le tracce di questi file e portare a casa il mio portatile di lavoro sapendo che i file e tutte le tracce di questi file sono stati completamente cancellati? (O posso mai essere completamente sicuro?)

    
posta Othya 08.01.2016 - 20:28
fonte

7 risposte

4

Qui ci sono molti% di% di sconto. Consentitemi di presentare un incorrect tinfoil hat solutions che si adatti ai requisiti "senza formattazione".

Anche la microscopia a forza magnetica non restituirà i file se sono stati eliminati correttamente. La masterizzazione dell'unità è un'opzione correct tinfoil hat solution estrema che non è necessaria.

Prendendo il Tatterino di stagnola al livello successivo

What are the steps I have to take if I want to completely erase all traces of these files without reformatting or doing something similar?

  1. Disabilita Windows Hibernate, Pagefile, e Ripristino configurazione di sistema.
  2. Disattiva copie shadow
  3. Elimina le informazioni nell'icona AppData db
  4. Sposta i file temporanei in un'altra cartella, tinfoil hat , insieme a elementi e scorciatoie recenti.
  5. Sposta i file in questione a FolderA .
  6. Rinomina tutti i file in questione in qualcosa di casuale. %codice%? %codice%? Li hai fatti a pezzi, giusto? Sì, i nomi dei file sono ancora ricercabili , anche se nulla può essere recuperato, anche dopo averli distrutti, nella maggior parte dei casi . In molti paesi, il semplice possesso di materiali vietati ti farà arrestare e / o giustiziare . Documenti religiosi, propaganda antigovernativa, ecc. Basta trovare un nome per il file è tutto ciò di cui hanno bisogno per costringerti a donare i tuoi organi. Usa uno strumento come Recuva per verificarlo. Anche se è stato cancellato in modo sicuro, avere il nome del file elencato farebbe capire alla gente che sei stato in possesso di quei documenti. Rendilo qualcosa come "derp.exe".
  7. Sovrascrivere in modo sicuro ogni singolo file rinominato.
  8. Elimina questi file sovrascritti in modo sicuro.
  9. Riavviare in modalità provvisoria con un prompt dei comandi o utilizzare un'unità separata per l'avvio. Raccomando un'unità separata.
  10. FolderA 2 volte per buona misura.
  11. Scollega la corrente per 20 minuti. Avvia il computer e usalo normalmente.

Tieni presente che se l'unità / i tuoi file sono già stati copiati da qualcun altro prima dell'inizio della cancellazione, sei disossato (trasferimento di rete dei dati del disco rigido / copia fisica) se trova il tuo Private Health Information.csv . Un semplice Secret Chinese Dissident List.pdf dei contenuti del disco lo rivelerà e finirai generosamente donando organi ai quadri locali.

Alternative

La tua vita sarebbe in pericolo a causa di questo? In alternativa, crittografare le unità con una password super-lunga, quindi formattare e avviare dban e nuke, quindi riformattare.

Altrimenti, distruggi l'unità.

    
risposta data 13.01.2016 - 20:22
fonte
4

The Honest Truth Answer:

A meno che tu non distrugga fisicamente l'unità mettendola attraverso un distruggidocumenti, non c'è modo di impedire completamente che tali informazioni abbiano la possibilità di essere recuperate da un individuo abile. Se gli attori di livello governativo fanno parte del tuo modello di minaccia, devi distruggere fisicamente l'unità.

The Good Enough Answer:

Se NSA, FBI, Intelligence cinese, ecc. non fanno parte del tuo modello di minaccia, allora puoi cavartela con applicazioni come CCleaner. Per tutti tranne gli attori di minacce estremamente sofisticati, una riscrittura di oltre 25 passaggi sarà sufficiente su un HDD.

Gli SSD sono una cosa diversa tutti insieme a causa dell'usura (come già affermato da Rory) e circa il 30% + dell'industria SSD non segue la pratica standard consolidata per come gestire la riscrittura di quei blocchi di memoria "cattivi". Il che mi riporta all'onesta risposta di verità, distrugge il drive.

    
risposta data 12.01.2016 - 20:17
fonte
1

Per un HDD, le utilità Shred rimuovono completamente tutte le tracce del file in quella sottocartella, sì.

Non hai bisogno di più pass o "cancellazione sicura"

Per un SSD questo non è il caso, a causa dell'usura dell'uso del SSD.

Potresti avere tracce di questi file altrove, ad esempio lo spazio di swap, il file di ibernazione, ecc.

Abbiamo molte domande su questo già qui, quindi dai un'occhiata.

    
risposta data 08.01.2016 - 20:59
fonte
1

Sto solo sputando nel vento; ma per essere sicuro vorrei usare due dischi rigidi. Innanzitutto, esegui il prompt dei comandi come amministratore.

Quindi, digita: cipher /w:drive letter ed esegui. Questo scriverà sopra tutto lo spazio libero sull'unità, e tutti i file contrassegnati per l'eliminazione. Credo che faccia tre passaggi.

Utilizzare un'utilità per clonare i dati su un altro disco rigido testualmente dopo aver cancellato / sovrascritto i file in questione (clonezilla, Acronis, ecc.). Quindi clonare l'unità e forare / distruggere il secondo disco rigido.

Ci sono anche programmi che cancellano le voci dal M aster F ile T in grado. Questo è solo un database di posizioni per questi file; ma alcuni file (.txt, ecc.) sono memorizzati direttamente nella MFT. La ricerca di programmi di annullamento entra nella tabella del file principale. Sono sicuro che questo può essere fatto in modo ricorsivo, e in tal caso, utilizzare un programma che prima sovrascriverà la voce nella Tabella file master. Il file della pagina è una bestia diversa; ma nel mondo di oggi, i dischi rigidi sono raramente richiesti per questo. Elimina il file di paging (pagefile.sys) prima di clonare l'unità per sicurezza.

Anche in questo caso, l'unico modo per essere sicuri è distruggerlo. La maggior parte dei file cancellati vengono recuperati perché sono semplicemente contrassegnati per la cancellazione piuttosto che cancellati, e anche se possono essere corrotti, una parte grande non è stata sovrascritta con l'uso normale e la voce rimane ancora nella MFT, rendendola facile.

Solo i miei $ 0,02.

    
risposta data 12.01.2016 - 23:49
fonte
1

per aggiungere alle altre risposte, ammetto anche che l'unico vero modo di rimuovere completamente tutti i trattati anche per gli attaccanti più sphiscati è quello di bruciare / distruggere fisicamente / ecc. (distruggi) l'unità

molte persone aggirano anche la distruzione di file "standard", lavorando con la MFT ecc., ma questo non rimuove tutte le tracce che questa cosa sia esistita.

  1. per i principianti, non utilizzare un SSD per cose eccessivamente confidenziali, difficile da rimuovere davvero perché il livellamento dell'usura.

  2. quindi distruggerei i file sovrascrivendoli casualmente alcune volte (software di shredding "standard")

  3. quindi rimuovi file di paging, file di ibernazione ecc dall'unità utilizzando le impostazioni di sistema

  4. quindi controlla il registro per i percorsi dei file, ci possono essere facilmente MRU (file utilizzati più di recente) lasciati dal software.

    4.1. (facoltativo perché rischioso) rimuovere gli hive del registro di backup in c: \ windows \ system32 \ config Questo è VERAMENTE rischioso, perché il backup viene utilizzato in caso di problemi e se si vuole veramente cancellarli, rinominarli per primi e riavviare in modo da far funzionare il sistema e generare nuovi file di backup (con il registro pulito).

  5. controlla i file di configurazione di tutto il software che è stato coinvolto nei file, forse quelli lasciati indietro.

  6. cancella (o cancella) tutti i file temporanei

  7. cancella lo spazio libero dell'unità (i file che abbiamo modificato come i file di registro potrebbero essere salvati in una posizione diversa lasciando l'originale dietro)

  8. cancella ram usando strumenti di memoria tester o altre cose che funzionano seriamente sul tuo ram.

quando sei tornato puoi ripristinare la modalità di sospensione e il file di paging, ma in realtà dovrebbe cancellare la maggior parte delle tracce del sistema operativo di un file.

    
risposta data 13.01.2016 - 18:07
fonte
0

Ci sono molti metodi e strumenti:

Formattazione a basso livello

Boot di Darik e Nuke

CCleaner

SDelete

Eraser

Eraser è uno strumento di sicurezza gratuito e open source per rimuovere completamente i dati dal tuo disco rigido. Può sovrascrivere i dati più volte utilizzando modelli casuali di codice binario. È essenzialmente un file shredder.

La gomma è più comoda di Drive Wiper di CCleaner perché può eliminare e distruggere singoli file, invece di pulire tutto lo spazio libero su un'unità, ed è integrato con Esplora risorse (menu contestuale). Inoltre, Eraser offre una serie di impostazioni avanzate, ad esempio diversi metodi di cancellazione di file e spazio, l'opzione di sostituire i file cancellati con altri file per consentire una "negabilità" plausibile e la cancellazione pianificata di file, cartelle, cestino o non utilizzati spazio su disco.

Riferimento Eccellente articolo

    
risposta data 13.01.2016 - 15:04
fonte
0

Come funziona

NTFS, come gli altri file system, l'obiettivo è mantenere una mappa logica del file sul disco. Il disco agisce come un grande array. Il file system alloca lo spazio utilizzando un algoritmo efficiente (Btree + per NTFS).

The logical representation : [file1, empty, file2, empty, file3, file4,...]

actual disk : [file1, empty, file2, empty, file3, file4,...]

Quando elimini un file (usando ccleaner o altro) rimuovi solo il riferimento della ripensazione logica. Quindi il file rimane sul disco, ma il file system non mantiene più alcun riferimento ad esso. Il file system può quindi riutilizzarli. Ci sono diversi software per recuperare il file cancellato. Effettivamente cercano file non mappati sul disco.

The logical representation : [empty, empty, file2, empty, file3, empty,...]

actual disk : [file1, empty, file2, empty, file3, file4,...]

HowTo teorical

Cancellarli completamente senza formarli sarebbe riscrivere più volte (somes dire 7, somes say 20 ..) il disco in quei settori. Personalmente non conosco nessun software in grado di farlo. Forse il metodo di Jesse Pardue funziona (usando "cipher / w: lettera di unità" più volte)

    
risposta data 13.01.2016 - 20:29
fonte

Leggi altre domande sui tag