Sejauh yang saya mengerti, ketika saya menghapus (tanpa menggunakan Recycle Bin) file, catatannya dihapus dari daftar isi sistem file (FAT / MFT / etc ...) tetapi nilai-nilai sektor disk yang ditempati oleh file tetap utuh sampai sektor-sektor ini digunakan kembali untuk menulis sesuatu yang lain. Ketika saya menggunakan semacam alat pemulihan file yang terhapus, ia membaca sektor-sektor tersebut secara langsung dan mencoba untuk membangun file asli.
Dalam hal ini, apa yang saya tidak mengerti adalah mengapa alat pemulihan masih dapat menemukan file yang dihapus (dengan pengurangan kesempatan membangun kembali mereka) setelah saya defragment drive dan menimpa semua ruang kosong dengan nol. Bisakah Anda menjelaskan ini?
Saya pikir file yang dihapus tanpa ditimpa hanya dapat ditemukan dengan menggunakan beberapa perangkat pindai magnetik forensik khusus dan algoritma penyeka kompleks (menimpa ruang bebas beberapa kali dengan pola acak dan non-acak) hanya masuk akal untuk mencegah pemindaian fisik seperti itu untuk berhasil, tetapi secara praktis tampaknya pengisian nol biasa tidak cukup untuk menghapus semua trek file yang dihapus. Bagaimana ini bisa terjadi?
UPDATE, menjawab pertanyaan-pertanyaan yang muncul:
- Saya sudah mencoba alat penghapusan berikut ini: Selinternal's SDelete, CCLeaner, dan sebuah utilitas sederhana yang namanya tidak dapat saya ingat yang dimulai dari baris perintah dan membuat file yang berisi nol yang bertambah hingga seluruh ruang kosong diambil dan kemudian dihapus Itu.
- Saya sudah mencoba alat pemulihan berikut: Recuva, GetDataBack, R-Studio, EasyRecovery.
- Saya tidak ingat persis alat apa yang telah memberikan hasil spesifik (sejauh yang saya ingat versi percobaan beberapa dari mereka hanya menampilkan nama file dan tidak dapat benar-benar pulih).
- Mungkin dalam sebagian besar (tetapi tidak 100% semua) kasus mereka hanya melihat nama dan tidak dapat memulihkan data, tetapi ini masih merupakan ancaman keamanan untuk ditangani karena nama file masih bisa sangat informatif (misalnya saya telah melihat seorang pria yang menyimpan kata sandi dalam file teks yang dinamai sebagai nama sumber daya kata sandi ditambah nama login, sementara nama login harus diamankan juga).
Jawaban:
Jika Anda menimpa file yang terhapus, Anda seharusnya tidak dapat mengambil apa pun dari mereka.
Tebakan terbaik saya adalah bahwa baik alat penghapusan Anda belum melakukan semua yang seharusnya atau Anda memiliki semacam masalah cache.
pembaruan - jika Anda menggunakan solid state drive, Anda mungkin menemukan bahwa alat hapus aman tidak berfungsi seperti yang diharapkan karena cara data dibaca / ditulis pada SSD.
sumber
Tidak cukup hanya menghapus data dan memformat hard drive (yang menghapus tabel alamat). Ini hanya menghapus tautan ke data. Agar data dapat dihapus, data baru harus ditulis di atasnya.
Menulis di atas data saja tidak cukup. Inilah sebabnya mengapa metode penghapusan disk yang lebih aman menulis berbagai jenis data ke disk beberapa kali. Semakin banyak data baru ditulis ke disk, semakin aman itu. Untuk informasi lebih lanjut baca ini: http://www.headresist.com/how-computer-programs-that-wipe-hard-drive-work.htm
Program yang sangat bagus yang memungkinkan Anda menerapkan banyak tisu hard drive yang berbeda adalah DBAN .
sumber
Saya perhatikan Anda bertanya tentang nama file yang tertinggal, serta data; itu normal, tidak ada disk wiper akan menimpa entri direktori karena satu-satunya cara untuk melakukannya adalah membuat dan menghapus file dalam direktori yang berisi sampai entri lama ditimpa. Bergantung pada seberapa mewah filesystem-nya (ext4, ntfs, reiserfs, hfs +, yang lain dengan struktur direktori non-linear) ini mungkin memerlukan beberapa upaya.
Saran lain yang mungkin untuk data file dapat dipulihkan pada beberapa sistem file adalah bahwa itu bisa ada di jurnal. Banyak disk menghapus ruang bebas utilitas menulis langsung ke perangkat, menghindari sistem file; dan jurnal yang cukup pintar mungkin mendeteksi menulis semua nol ke dalam file sampai penuh (lebih tepatnya, menulis blok data yang sama beberapa kali) dan hanya menyimpannya satu kali, meninggalkan hal-hal lain dalam jurnal tetap. Dan kemudian beberapa sistem file pintar mungkin memasukkan cukup banyak file kecil ke dalam metadata file sistem file (inode dalam sistem file Unix) membuat mereka tidak mungkin untuk segala jenis disk menghapus data.
sumber
karena seperti dikatakan geekosaur, alat ini hanya menghapus data file dan tidak mengatur ulang indeks tabel file. Jika Anda ingin menghapus jejak file sepenuhnya dari indeks, temukan alat yang akan menghapus itu juga, atau membuat cadangan sistem file, menghapus disk dan memulihkan dari cadangan. saya menemukan beberapa klarifikasi di sini: http://www.broadbandreports.com/forum/r19572516-Removing-names-of-deleted-files-from-MFT~start=40
sumber