Wohin gehen gelöschte Objekte auf der Festplatte?

23

Nachdem ich das folgende Zitat über die Casey Anthony-Studie (CNN) gelesen habe, bin ich gespannt, wo gelöschte Dateien tatsächlich auf einer Festplatte gespeichert sind, wie sie nach dem Löschen angezeigt werden und inwieweit die Daten wiederhergestellt werden können (vollständig, teilweise) , etc).

"Zu Beginn des Prozesses sagten Experten aus, dass jemand die Stichwortsuche auf einem Desktop-Computer in der Wohnung durchführte, die Casey Anthony mit ihren Eltern geteilt hatte.

Die Durchsuchungen wurden in einem Teil der Festplatte des Computers gefunden, der darauf hinweist, dass sie gelöscht wurden. Detective Sandra Osborne vom Büro des Sheriffs von Orange County sagte am Mittwoch in Anthonys Hauptmordprozess aus. "

Ich kenne einige der Fragen, die Super User hier zu Software von Drittanbietern stellen, die für diese Art von Dingen verwendet werden können, aber ich bin mehr daran interessiert, wie diese Daten nach dem Löschen angezeigt werden, wo sie sich auf der Festplatte befinden usw. Ich finde das ganze Thema faszinierend, daher ist jeder zusätzliche Einblick willkommen.

Jerry
quelle
Ich habe kürzlich einige Torrents heruntergeladen und als ich versuchte, sie in der Vorschau anzuzeigen, wurden Videos wiedergegeben, die ich einige Tage zuvor gelöscht hatte, da der Torrent diesen Speicherort zugewiesen, aber noch nichts heruntergeladen hat. Dachte, ein Beispiel könnte helfen :)
Skeith

Antworten:

33

Im Allgemeinen gehen gelöschte Dateien nirgendwo hin. Sie bleiben genau so auf der Festplatte, bis sie überschrieben werden. Wenn sie gelöscht werden, wird ein Link dazu einfach aus der Dateisystemstruktur entfernt.

jncraton
quelle
39

Stellen Sie sich eine Bibliothek im Jahr 1970 vor. Sie hatten alle Regale mit den Büchern und Schubladen mit Karten, aus denen hervorgeht, wo sich das gesuchte Buch befindet.

Auf einer Festplatte befindet sich ein Tisch (die Schubladen), der von den Dateien (den Büchern) getrennt ist.

Ihr Betriebssystem verweist auf diese Tabelle, wenn Daten gesucht werden müssen. Es geht dann zum Ort des Buches mit seinem Lesekopf oder was auch immer das Gerät verwendet und liest die Daten dort.

Wenn ein Benutzer beschließt, eine Datei zu löschen, löscht der Computer lediglich den Inhalt der Tabelle für diesen Speicherort. Dadurch wird im Grunde eine leere Karte für diese Datei in die Tabelle eingefügt. Da der Computer mehr Zeit und Energie benötigt, um zu jedem Speicherort zu gelangen und die Datei tatsächlich zu löschen, belässt er sie einfach dort.

Da sich das Buch weiterhin physisch in der Bibliothek befindet, kann eine spezielle Software alle Bücher lesen und herausfinden, was kürzlich gelöscht wurde (sofern es seitdem nicht mehr beschrieben wurde) dann!)

Tyler Faile
quelle
1
+ 2 Sehr gute Analogie.
Jerry
5

Es kommt darauf an, was du mit gelöscht meinst. in den meisten Betriebssystemen, werden die Dateien „gelöscht“ von auf einen Papierkorb - Ordner verschoben werden, und zwar so sie können später vom Benutzer wiederhergestellt werden. Sobald der Papierkorbinhalt "gelöscht" ist, werden die Blöcke, die die Daten enthalten, als verfügbar markiert, wobei ihr Inhalt jedoch intakt ist. Um die Daten unlesbar zu machen, muss der Benutzer die Datei oder den Papierkorb-Ordner, der sie enthält, "sicher löschen", wenn das Betriebssystem diese Option anbietet. Andernfalls werden diese Blöcke möglicherweise wieder verwendet und durch neue Daten überschrieben. Dies kann jedoch viel Zeit in Anspruch nehmen. In der Zwischenzeit können die Daten in diesen Blöcken gefunden und gelesen werden.

JRobert
quelle
1
Es ist zu beachten, dass das "Löschen" und / oder "Verschieben" einer Datei von einem Ordner in einen anderen oder sogar in den Papierkorb nur die Verknüpfungsinformationen der Datei (dh den Namen) und nicht den Inhalt der Datei auf der Festplatte betrifft.
Chris Nava
@ Chris ist das, warum es viel schneller ist, eine größere Datei zu schneiden, als sie zu kopieren?
Skeith
1
Ja - das Verschieben eines winzigen Links ist viel schneller als das Kopieren des Dateiinhalts.
JRobert
5

Tyler Failes Analogie ist großartig.

Die Daten gehen nirgendwo hin. Die Adresse wird einfach als freier Speicherplatz markiert und dann überschrieben, wenn neue Daten einen Ort benötigen, an dem sie abgelegt werden können. Sobald es überschrieben ist, ist es dauerhaft verschwunden.

Wenn Sie etwas löschen möchten, damit es nicht wiederhergestellt werden kann, können Sie es entweder direkt überschreiben oder den gesamten freien Speicherplatz auf Ihrer Festplatte überschreiben. Sie müssen jedoch vorsichtig sein, wenn Sie Dateien einfach überschreiben, da diese während der normalen Verwendung vom Betriebssystem verschoben werden. In diesem Fall wird die alte Kopie nicht sicher überschrieben.

Ein gutes Programm zum Überschreiben von Dateien und zum Überschreiben des gesamten freien Speicherplatzes ist Eraser. http://eraser.heidi.ie/

Ein gutes Programm zum Überschreiben ganzer Festplatten (möglicherweise vor dem Verkauf) ist Dariks Boot and Nuke. Seien Sie mit diesem Programm sehr vorsichtig. Sein Name ist ziemlich genau. Verwenden Sie es nur, wenn Sie sicher sind, dass Sie keine Daten auf einem Computer möchten.

Es gibt häufig Debatten darüber, ob Daten nach einem einzelnen Überschreiben wiederhergestellt werden können. Tatsache ist, dass dies auf einer modernen Festplatte noch nie öffentlich gemacht wurde. Peter Gutmann hat einen Artikel darüber geschrieben, und eine der Methoden ist nach ihm benannt. Sie können seinen Artikel hier lesen: http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html

Dies ist, was er über Multiple Pass Overkill zu sagen hat:

In der Zeit seit der Veröffentlichung dieses Artikels haben einige Leute die darin beschriebene 35-Pass-Überschreibungstechnik eher als eine Art Voodoo-Beschwörung zur Vertreibung böser Geister angesehen als als das Ergebnis einer technischen Analyse der Laufwerkscodierungstechniken. Aus diesem Grund empfehlen sie, das Voodoo auf PRML- und EPRML-Laufwerke anzuwenden, obwohl es nur eine einfache Bereinigung mit zufälligen Daten bewirkt. Tatsächlich ist das vollständige Überschreiben mit 35 Durchgängen für jedes Laufwerk sinnlos, da es auf eine Mischung von Szenarien abzielt, in denen alle Arten von (normalerweise verwendeten) Codierungstechnologien zum Einsatz kommen, die alles bis zu über 30 Jahre alten MFM-Methoden abdecken (sofern Sie dies nicht tun) verstehe diese Aussage nicht, lies das Papier noch einmal). Wenn Sie ein Laufwerk verwenden, das die Codierungstechnologie X verwendet, müssen Sie nur die für X spezifischen Durchgänge ausführen. und Sie müssen nie alle 35 Durchgänge durchführen. Für jedes moderne PRML / EPRML-Laufwerk sind einige zufällige Bereinigungsdurchläufe das Beste, was Sie tun können. Wie es in der Zeitung heißt: "Ein gutes Schrubben mit zufälligen Daten ist ungefähr so ​​gut, wie es zu erwarten ist." Dies war 1996 der Fall und ist bis heute der Fall.

DaleSwanson
quelle
1
Es ist jedoch zu beachten, dass das mehrfache Überschreiben auf SSD-Laufwerken möglicherweise nicht sicher ist. Vergleichen superuser.com/q/22238/33973
sum1stolemyname
Es sollte auch , dass einzelne Dateien überschreiben beachtet werden , (im Gegensatz zu einer ganzen Partition / Platte gegen) oft nicht genug: superuser.com/questions/157931/foss-wipe-free-space-7-35-passes
sleske
Dies ist eine gute Antwort, aber das OP war nicht an tatsächlicher Software interessiert, die löscht, aber wo sie sich befindet, von der Sie keine neuen Erkenntnisse liefern. Ich habe keine Gegenstimme abgegeben, kann aber eine Gegenstimme nicht wirklich rechtfertigen.
James Mertz
3

Der zugewiesene Speicherplatz für gelöschte Dateien wird freigegeben, damit andere Dateien sie überschreiben können. Bis dahin verbleiben Ihre Dateien jedoch auf Ihrer Festplatte.

Normalerweise ist es nicht möglich, auf diese Dateien zuzugreifen, aber es gibt verschiedene Tools, um solche gelöschten, aber noch nicht überschriebenen Dateien zu finden. Trotzdem verlieren Sie die gesamten Metainformationen über die Datei wie Pfad und Dateiname. Wenn Sie eine solche Datei wiederherstellen, erhält sie einen kryptischen Namen wie FILE004 in einem bestimmten Verzeichnis.

Ayckoster
quelle