Triturazione gratuita dello spazio

Meta dati NTFS

Considerando ntfs , se sovrascrivi un blocco con qualsiasi dato, questo blocco viene riscritto in modo irreversibile ma,

• NTFS contiene nome, dimensioni e altre informazioni ( metadati ) in un luogo diverso dai dati. Quindi la sovrascrittura dei dati non la nasconderà.
• Se i dati scritti sul posto sono totalmente casuali o solo zero, l'origine dei dati non sarà sicuramente determinabile.

Basso livello

Se esegui una sovrascrittura completa del tuo disco o partizione, molte volte con dati casuali, che alla fine con zero, il tuo disco sembrerà cleen come mai usato ..

wikipedia: Zeroizzazione

Ma se vuoi sapere veramente cosa succede con un disco, puoi provare a usare l'hardware forense, come camera bianca e il microscopio a forza magnetica per ricostruire una qualche generazione di dati

wikipedia: Data residance

SSD e flash

Attenzione! Questo tipo di materiale funziona con una durata limitata. questo significa: ogni generazione di dati userebbe un altro spazio fisico su memorie flash!

La distruzione selvaggia riduce il tempo di vita, ma non nasconde nulla per i laboratori forensi!

wikipedia: memoria Flash

Se stai facendo un wipe su un disco moderno su un disco moderno, è sufficiente un singolo passaggio di uno e quindi un singolo passaggio di zeri (tecnicamente parlando, con hard disk moderni, even one il passaggio è sufficiente ). Non è necessario un algoritmo complicato o dati generati da PRNG. Il tuo disco apparirà come se fosse nuovo, e puoi negare di averlo cancellato.

Se stai cancellando spazio libero o file specifici, non preoccuparti. Una copia del tuo file sarà in qualche punto del disco nella cache, nei file temporanei, nei file di indicizzazione, ecc. Quindi hai due opzioni:

• Crittografia di tutto il disco con qualcosa come TrueCrypt . Ma se il tuo obiettivo è la piena negabilità plausibile, devi sapere che ci saranno dati dall'aspetto casuale sul tuo disco, e troverai una spiegazione per questo.

• Pulisci tutto il disco con zero, usando qualcosa come WipeDisk . Il disco apparirà nuovo e puoi dire che è un disco inutilizzato.

In generale, lo sminuzzamento dello spazio libero è semplicemente l'atto di sovrascrivere i cluster inutilizzati con dati (pseudo-) casuali. Se il PRNG in uso è buono, non dovrebbe essere possibile differenziare la triturazione dal rumore casuale. L'unica nota interessante sulla triturazione è che la maggior parte delle nuove unità leggerà come se avessero tutti i bit impostati su 0, quindi è probabile che un disco con tutti i cluster non utilizzati pieni di "rumore casuale" sia stato distrutto.

È una domanda molto interessante. A file system non triturati (dopo un po 'di lavoro reale) possiamo "ripristinare" alcuni file. Ecco perché per "triturazione invisibile" è necessario scrivere a parti dello spazio libero di file reali (copia di file o file esistenti da altri HDD). Altrimenti, per determinare se l'HDD () fosse o meno frammentato, è necessario solo eseguire un programma per i file "undelete". Se il programma non riesce a trovare nulla, possiamo essere quasi certi HDD sono stati distrutti o è nuovo. Se lo spazio libero non è zero e il programma non può ripristinare i file - forse :) L'HDD è stato distrutto. Se lo spazio libero contiene complessivamente lo stesso byte, forse era uno degli algoritmi. )) E infine se MFT è frammentato e lo spazio libero ha solo zero - L'HDD è stato triturato (o clone?) + Se il volume ha molti file frammentati e spazio libero più che usato e riempito a zero - HDD triturati (o clonati).