Nachdem ich das folgende Zitat über die Casey Anthony-Studie (CNN) gelesen habe, bin ich gespannt, wo gelöschte Dateien tatsächlich auf einer Festplatte gespeichert sind, wie sie nach dem Löschen angezeigt werden und inwieweit die Daten wiederhergestellt werden können (vollständig, teilweise) , etc).
"Zu Beginn des Prozesses sagten Experten aus, dass jemand die Stichwortsuche auf einem Desktop-Computer in der Wohnung durchführte, die Casey Anthony mit ihren Eltern geteilt hatte.
Die Durchsuchungen wurden in einem Teil der Festplatte des Computers gefunden, der darauf hinweist, dass sie gelöscht wurden. Detective Sandra Osborne vom Büro des Sheriffs von Orange County sagte am Mittwoch in Anthonys Hauptmordprozess aus. "
Ich kenne einige der Fragen, die Super User hier zu Software von Drittanbietern stellen, die für diese Art von Dingen verwendet werden können, aber ich bin mehr daran interessiert, wie diese Daten nach dem Löschen angezeigt werden, wo sie sich auf der Festplatte befinden usw. Ich finde das ganze Thema faszinierend, daher ist jeder zusätzliche Einblick willkommen.
quelle
Antworten:
Im Allgemeinen gehen gelöschte Dateien nirgendwo hin. Sie bleiben genau so auf der Festplatte, bis sie überschrieben werden. Wenn sie gelöscht werden, wird ein Link dazu einfach aus der Dateisystemstruktur entfernt.
quelle
Stellen Sie sich eine Bibliothek im Jahr 1970 vor. Sie hatten alle Regale mit den Büchern und Schubladen mit Karten, aus denen hervorgeht, wo sich das gesuchte Buch befindet.
Auf einer Festplatte befindet sich ein Tisch (die Schubladen), der von den Dateien (den Büchern) getrennt ist.
Ihr Betriebssystem verweist auf diese Tabelle, wenn Daten gesucht werden müssen. Es geht dann zum Ort des Buches mit seinem Lesekopf oder was auch immer das Gerät verwendet und liest die Daten dort.
Wenn ein Benutzer beschließt, eine Datei zu löschen, löscht der Computer lediglich den Inhalt der Tabelle für diesen Speicherort. Dadurch wird im Grunde eine leere Karte für diese Datei in die Tabelle eingefügt. Da der Computer mehr Zeit und Energie benötigt, um zu jedem Speicherort zu gelangen und die Datei tatsächlich zu löschen, belässt er sie einfach dort.
Da sich das Buch weiterhin physisch in der Bibliothek befindet, kann eine spezielle Software alle Bücher lesen und herausfinden, was kürzlich gelöscht wurde (sofern es seitdem nicht mehr beschrieben wurde) dann!)
quelle
Es kommt darauf an, was du mit gelöscht meinst. in den meisten Betriebssystemen, werden die Dateien „gelöscht“ von auf einen Papierkorb - Ordner verschoben werden, und zwar so sie können später vom Benutzer wiederhergestellt werden. Sobald der Papierkorbinhalt "gelöscht" ist, werden die Blöcke, die die Daten enthalten, als verfügbar markiert, wobei ihr Inhalt jedoch intakt ist. Um die Daten unlesbar zu machen, muss der Benutzer die Datei oder den Papierkorb-Ordner, der sie enthält, "sicher löschen", wenn das Betriebssystem diese Option anbietet. Andernfalls werden diese Blöcke möglicherweise wieder verwendet und durch neue Daten überschrieben. Dies kann jedoch viel Zeit in Anspruch nehmen. In der Zwischenzeit können die Daten in diesen Blöcken gefunden und gelesen werden.
quelle
Tyler Failes Analogie ist großartig.
Die Daten gehen nirgendwo hin. Die Adresse wird einfach als freier Speicherplatz markiert und dann überschrieben, wenn neue Daten einen Ort benötigen, an dem sie abgelegt werden können. Sobald es überschrieben ist, ist es dauerhaft verschwunden.
Wenn Sie etwas löschen möchten, damit es nicht wiederhergestellt werden kann, können Sie es entweder direkt überschreiben oder den gesamten freien Speicherplatz auf Ihrer Festplatte überschreiben. Sie müssen jedoch vorsichtig sein, wenn Sie Dateien einfach überschreiben, da diese während der normalen Verwendung vom Betriebssystem verschoben werden. In diesem Fall wird die alte Kopie nicht sicher überschrieben.
Ein gutes Programm zum Überschreiben von Dateien und zum Überschreiben des gesamten freien Speicherplatzes ist Eraser. http://eraser.heidi.ie/
Ein gutes Programm zum Überschreiben ganzer Festplatten (möglicherweise vor dem Verkauf) ist Dariks Boot and Nuke. Seien Sie mit diesem Programm sehr vorsichtig. Sein Name ist ziemlich genau. Verwenden Sie es nur, wenn Sie sicher sind, dass Sie keine Daten auf einem Computer möchten.
Es gibt häufig Debatten darüber, ob Daten nach einem einzelnen Überschreiben wiederhergestellt werden können. Tatsache ist, dass dies auf einer modernen Festplatte noch nie öffentlich gemacht wurde. Peter Gutmann hat einen Artikel darüber geschrieben, und eine der Methoden ist nach ihm benannt. Sie können seinen Artikel hier lesen: http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html
Dies ist, was er über Multiple Pass Overkill zu sagen hat:
quelle
Der zugewiesene Speicherplatz für gelöschte Dateien wird freigegeben, damit andere Dateien sie überschreiben können. Bis dahin verbleiben Ihre Dateien jedoch auf Ihrer Festplatte.
Normalerweise ist es nicht möglich, auf diese Dateien zuzugreifen, aber es gibt verschiedene Tools, um solche gelöschten, aber noch nicht überschriebenen Dateien zu finden. Trotzdem verlieren Sie die gesamten Metainformationen über die Datei wie Pfad und Dateiname. Wenn Sie eine solche Datei wiederherstellen, erhält sie einen kryptischen Namen wie FILE004 in einem bestimmten Verzeichnis.
quelle