Setelah membaca kutipan di bawah ini pada uji coba Casey Anthony (CNN), saya ingin tahu tentang di mana sebenarnya file yang dihapus pada hard drive, bagaimana mereka dapat dilihat setelah dihapus, dan sejauh mana data dapat dipulihkan (sepenuhnya, sebagian , dll).
"Sebelumnya dalam persidangan, para ahli bersaksi bahwa seseorang melakukan pencarian kata kunci di komputer desktop di rumah yang dibagi Casey Anthony dengan orangtuanya.
Pencarian ditemukan di sebagian hard drive komputer yang mengindikasikan mereka telah dihapus, Detektif Sandra Osborne dari Kantor Sheriff Orange County bersaksi pada hari Rabu dalam persidangan pembunuhan berencana Anthony. "
Saya tahu beberapa pertanyaan di sini di Super User membahas perangkat lunak pihak ketiga yang dapat digunakan untuk hal semacam ini, tapi saya lebih tertarik pada bagaimana data ini dapat dilihat setelah penghapusan, di mana ia berada di hard drive, dll. temukan seluruh topik yang menarik, sehingga wawasan tambahan apa pun diterima.
sumber
Jawaban:
Secara umum, file yang dihapus tidak pergi ke mana pun. Mereka tetap di disk persis seperti sebelum mereka ditimpa. Ketika dihapus, tautan ke sana hanya dihapus dari struktur sistem file.
sumber
Bayangkan sebuah perpustakaan pada tahun 1970. Anda memiliki semua rak dengan buku-buku di atasnya dan Anda memiliki laci dengan kartu yang dapat memberi tahu Anda di mana buku yang Anda cari berada.
Pada hard drive, Anda memiliki tabel (laci) yang terpisah dari file (buku-buku).
Sistem operasi Anda mereferensikan tabel ini ketika perlu mencari data. Kemudian pergi ke lokasi buku dengan kepala baca itu atau apa pun perangkat menggunakan dan membaca data di sana.
Ketika pengguna memutuskan untuk menghapus file, komputer hanya menghapus isi tabel untuk lokasi itu, ini pada dasarnya menempatkan kartu kosong untuk file itu di dalam tabel. karena akan membutuhkan lebih banyak waktu dan tenaga bagi komputer untuk pergi ke setiap lokasi dan benar-benar menghapus file, itu hanya meninggalkannya di sana.
Kemudian, karena buku itu masih secara fisik di perpustakaan, meskipun tidak ada dalam catatan mereka, mungkin saja perangkat lunak khusus untuk membaca semua buku dan mencari tahu apa yang baru saja dihapus (Selama belum ditulis sejak kemudian!)
sumber
Itu tergantung pada apa yang Anda maksud dengan dihapus. di sebagian besar OS, file "dihapus" dengan dipindahkan ke folder Tempat Sampah, khususnya agar mereka dapat dipulihkan nanti oleh pengguna. Setelah konten Sampah "dihapus", blok yang berisi data ditandai sebagai tersedia, tetapi dengan kontennya yang utuh. Untuk membuat data tidak dapat dibaca, pengguna harus "Hapus dengan Aman" file atau folder Sampah yang berisi itu, jika OS menawarkan opsi itu. Jika tidak, blok-blok itu pada akhirnya akan digunakan kembali dan ditulis ulang oleh data baru, tetapi itu bisa memakan waktu lama, dan sementara itu, data di blok-blok itu dapat ditemukan dan dibaca.
sumber
Analogi Tyler Faile bagus.
Data tidak pergi ke mana pun. Alamat itu hanya ditandai sebagai ruang kosong, dan kemudian ditimpa ketika data baru membutuhkan tempat untuk pergi. Begitu ditimpa maka hilang secara permanen.
Jika Anda ingin menghapus sesuatu sehingga tidak dapat dipulihkan, Anda dapat langsung menimpanya, atau menimpa semua ruang kosong pada hard drive Anda. Anda harus berhati-hati tentang hanya menimpa file, karena file dipindahkan oleh OS selama penggunaan normal. Jika ini terjadi, salinan lama tidak akan ditimpa dengan aman.
Program yang bagus untuk menimpa file, dan menimpa semua ruang kosong adalah Eraser. http://eraser.heidi.ie/
Program yang bagus untuk menimpa seluruh hard drive (mungkin sebelum menjualnya) adalah Darik's Boot and Nuke. Berhati-hatilah dengan program ini. Namanya cukup akurat. Jangan gunakan kecuali Anda yakin Anda tidak ingin data pada komputer.
Sering ada perdebatan tentang apakah data masih dapat dipulihkan setelah ditimpa tunggal. Faktanya adalah ini belum pernah dilakukan secara publik pada disk modern. Peter Gutmann menulis makalah tentang ini, dan salah satu metode dinamai untuknya. Anda dapat membaca makalahnya di sini: http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html
Inilah yang dia katakan tentang multiple pass overkill:
sumber
Ruang yang dialokasikan untuk file yang dihapus dibebaskan sehingga file lain dapat menimpanya. Tetapi sampai itu terjadi, file Anda tetap berada di hard drive Anda.
Biasanya tidak mungkin untuk mengakses file-file ini tetapi ada berbagai alat untuk menemukan file yang dihapus tetapi belum ditimpa. Masih Anda kehilangan seluruh informasi meta tentang file seperti path dan nama file. Jika Anda mengembalikan file seperti itu ia mendapatkan nama samar seperti FILE004 di direktori tertentu.
sumber