销毁数据:不可能执行任务

2016年1月20日,星期三 通过 马特·普林斯

数据恢复 experts often have to deal with cases where important data has been 已删除 —偶然或故意—由其所有者或第三方提供。那些故事不’如果客户避难所,总是以相同的结尾,但往往不止于此’如果没有做任何创造性的工作来自行检索,这些数据将被恢复。那’对于那些丢失了重要数据的人来说,这是个好消息,对那些需要永久销毁它们的人来说,这是个坏消息。

Why is it possible to recover files that have already been 已删除? It’s,因为文件保留在硬盘驱动器上,直到存储该文件的物理位置被另一个文件覆盖为止。 覆盖的过程超出了用户的控制范围(当然,随后保存到硬盘上的文件越多,覆盖已删除文件的可能性就越高)。删除单个文件和格式化分区都涉及在文件分配表内进行系统修改的过程(某些最流行的文件系统,例如FAT和NTFS,都是基于文件分配表的系统)。这个过程没有’t包括磁盘空间,只有在文件写入后才开始另一个写入文件的过程时才修改磁盘空间‘deleted’或分区已格式化。因此,如果在删除的文件所占用的物​​理空间上未写入任何内容,则还原它非常容易(在我们的博客上有关于如何执行此操作的详细说明)。

我前面提到的所有系统文件(例如临时文件,分页文件,打印和休眠文件)也是如此,即使某个位置的文件被覆盖,仍然可以从硬盘驱动器上的其他位置恢复该文件。 。如您所见,‘manual’删除更像是用数据玩猫猫游戏。

删除数据—进一步的并发症

这不是问题的全部—某些设备(例如智能手机和闪存驱动器)将使您更难擦除数据。 在许多设备上仍无法将手机恢复为Android的出厂设置,因此,当您购买二手手机或平板电脑时,通常还会得到其先前的所有者’s data as well.

基于闪存的数据存储设备(例如SSD驱动器,SD卡等)中存在类似的问题。闪存分为多个块(每个块然后分成128页,每个4kB,它们在物理上表示为单独的帧)。闪存包括四种类型的块,每种块具有不同的数据存储功能和属性。

  1. 系统块— the user’的数据永远不会存储在其中;损坏系统块会导致整个驱动器出现逻辑错误(除了以编程方式擦除存储在其中的数据外,别无选择)
  2. 活动块— where the user’数据被存储;它可以写在块上的任何地方
  3. 免费块— where old (‘deleted’)数据已存储;该数据也可以写入该块的任何部分
  4. 二手积木—那些没有可用空间来写数据,但仍然包含用户保存的数据的磁盘

SSD驱动器通常具有内置功能,可以使它们更高效地工作,例如垃圾收集器,不仅可以使它们更快速地工作。—它还会为每个文件创建多个副本。这意味着这些驱动器上存在每个文件的更多副本,并且其中一些副本位于’t get overwritten —因此在需要时很难正确地覆盖它们。

请注意:成功删除文件的唯一方法是完全覆盖它!

I’m afraid that’仍然不是问题的全部范围。多次覆盖文件仍然没有’t保证将消除所有痕迹。在下一篇文章中,我将重点讨论这个问题。

再见!

附言如果您想分享有关本课程的任何问题,疑问或意见,请在下面的评论框中进行。

载入更多评论
谢谢你的意见!您的评论必须先获得批准


新密码