Nei dischi rigidi i dati cancellati possono essere sovrascritti. Ma viene immediatamente sovrascritto quando vengono memorizzati nuovi dati? Ad esempio, scattare una foto e cancellarla. Dopo un po ', prendo una nuova foto. Quella vecchia immagine è stata sovrascritta? Sono interessato principalmente al modo in cui le unità sovrascrivono i dati.
In generale, no, non puoi aspettarti che i blocchi del disco rigido cancellati di recente siano utilizzati per la prima volta per scrivere nuovi dati .
Nel caso dei dischi del piatto tradizionale, le prestazioni di lettura / scrittura per i singoli file sono influenzate da dove (fisicamente) sui piatti vengono scritti i dati. Alcuni sistemi operativi e alcune utilità sceglieranno dove scrivere i dati in base a complessi algoritmi di ottimizzazione (spesso durante Deframmentazione ). Quindi ci sono fattori diversi da "ciò che è stato liberato di recente" che vanno nel decidere dove scrivere i dati.
Con le nuove unità SSD, il problema peggiora ulteriormente - il controller hardware sull'unità stessa fa la stessa cosa, scegliendo le posizioni di scrittura in base a algoritmi progettati per massimizzare la copertura e minimizzare le riscritture. Di conseguenza, non è nemmeno possibile garantire la sovrascrittura dell'intero disco riempiendo il disco - devi cancellare ATA Secure Erase per cancellare i dati .
Se sei preoccupato per i file cancellati da recuperare, devi essere proattivo:
cipher /w:c: ) regolarmente Quando si eliminano i dati, ciò che effettivamente accade è il puntatore, il riferimento o l'inode alla posizione di tali dati che viene cancellata. Non sarai in grado di accedervi, ma è ancora lì, supponendo che non sia stata ancora eseguita alcuna operazione aggiuntiva. Tuttavia, è contrassegnato come spazio inutilizzato e può essere sovrascritto quando necessario.
Scrivere i dati non significa necessariamente che tu sovrascrivi ciò che hai precedentemente cancellato. Può scrivere su una parte della posizione in cui il file è stato precedentemente memorizzato, oppure può scrivere anche su un'altra parte del disco. Il modo in cui il drive scrive i dati dipende dal sistema operativo e dal tipo di filesystem, e come suggerito da Arminius, sarebbe una domanda migliore per superuser.
Dato che siamo in sicurezza, un modo corretto per cancellare i file in modo sicuro è utilizzare alcuni strumenti come shred in linux, dove i contenuti vengono prima sovrascritti con byte arbitrari diverse volte prima che l'inode sia cancellato.
Sto scrivendo questa risposta perché c'è un'eccezione che è stata persa nelle risposte fino ad ora. Ma poiché tutti i dati menzionati non vengono sovrascritti immediatamente. Infatti ci sono strumenti per recuperare i dati cancellati dal disco. Rimuovono solo il riferimento dei dati come menzionato nel post precedente. La rimozione dei dati ha due forme ora al giorno, eliminando e cancellando. L'eliminazione è più economica e la cancellazione è costosa , in termini computazionali.
Tuttavia, esiste un'eccezione in questo caso e cioè se si utilizzano unità a stato solido (SSD) . Gli SSD sono TRIM abilitati. L'idea di TRIM è che nelle unità flash non può essere sovrascritto. Deve essere cancellato per primo. Quindi, quando un file viene eliminato, elimina tutti i dati in modo che le scritture siano più veloci sia future.
In generale quando si elimina un file, viene eliminato solo il puntatore del file. È memorizzato in una tabella di informazioni sui file, che ha nomi diversi su diversi sistemi operativi. Dopo che questo puntatore / id file / numero inode non esiste più, non puoi comunque fare riferimento al file senza sapere esattamente dove si trovava sul disco che è stato archiviato, che è spesso nascosto dal sistema operativo comunque.
La strada da percorrere è un processo chiamato shredding dei file, che occupa lo spazio libero sul disco e lo sovrascrive N volte. Importante, quella via non è di solito sufficiente. Per iniziare a recuperare i dati irrecuperabili, è necessario utilizzare almeno 7 sovrascritture. I paranoici usano spesso il processo Gutmann a 35 giri. È assolutamente lo stesso triturazione, ma più tempo passa e più tempo. (Può prendere un pomeriggio.) Potrebbe valere la pena notare che è considerato più sicuro se il distruggidocumenti funziona con dati casuali invece di zero.
La distruzione dei file tuttavia non è un processo che ti piacerebbe fare regolarmente. Ci vuole molto tempo e ogni volta che passa attraverso l'intero disco. Esistono applicazioni shredder che ti consentono di eliminare file specifici distruggendoli. Questo non impedisce di dati sensibili che vengono cancellati dalle applicazioni non da te tramite shredding.
Nota a margine: se non ti preoccupa un po 'di tempo di avvio extra, la crittografia HDD è la strada da percorrere.
Leggi altre domande sui tag forensics