Kemana barang yang dihapus pergi pada hard drive?

Setelah membaca kutipan di bawah ini pada uji coba Casey Anthony (CNN), saya ingin tahu tentang di mana sebenarnya file yang dihapus pada hard drive, bagaimana mereka dapat dilihat setelah dihapus, dan sejauh mana data dapat dipulihkan (sepenuhnya, sebagian , dll).

"Sebelumnya dalam persidangan, para ahli bersaksi bahwa seseorang melakukan pencarian kata kunci di komputer desktop di rumah yang dibagi Casey Anthony dengan orangtuanya.

Pencarian ditemukan di sebagian hard drive komputer yang mengindikasikan mereka telah dihapus, Detektif Sandra Osborne dari Kantor Sheriff Orange County bersaksi pada hari Rabu dalam persidangan pembunuhan berencana Anthony. "

Saya tahu beberapa pertanyaan di sini di Super User membahas perangkat lunak pihak ketiga yang dapat digunakan untuk hal semacam ini, tapi saya lebih tertarik pada bagaimana data ini dapat dilihat setelah penghapusan, di mana ia berada di hard drive, dll. temukan seluruh topik yang menarik, sehingga wawasan tambahan apa pun diterima.

Secara umum, file yang dihapus tidak pergi ke mana pun. Mereka tetap di disk persis seperti sebelum mereka ditimpa. Ketika dihapus, tautan ke sana hanya dihapus dari struktur sistem file.

Bayangkan sebuah perpustakaan pada tahun 1970. Anda memiliki semua rak dengan buku-buku di atasnya dan Anda memiliki laci dengan kartu yang dapat memberi tahu Anda di mana buku yang Anda cari berada.

Pada hard drive, Anda memiliki tabel (laci) yang terpisah dari file (buku-buku).

Sistem operasi Anda mereferensikan tabel ini ketika perlu mencari data. Kemudian pergi ke lokasi buku dengan kepala baca itu atau apa pun perangkat menggunakan dan membaca data di sana.

Ketika pengguna memutuskan untuk menghapus file, komputer hanya menghapus isi tabel untuk lokasi itu, ini pada dasarnya menempatkan kartu kosong untuk file itu di dalam tabel. karena akan membutuhkan lebih banyak waktu dan tenaga bagi komputer untuk pergi ke setiap lokasi dan benar-benar menghapus file, itu hanya meninggalkannya di sana.

Kemudian, karena buku itu masih secara fisik di perpustakaan, meskipun tidak ada dalam catatan mereka, mungkin saja perangkat lunak khusus untuk membaca semua buku dan mencari tahu apa yang baru saja dihapus (Selama belum ditulis sejak kemudian!)

Itu tergantung pada apa yang Anda maksud dengan dihapus. di sebagian besar OS, file "dihapus" dengan dipindahkan ke folder Tempat Sampah, khususnya agar mereka dapat dipulihkan nanti oleh pengguna. Setelah konten Sampah "dihapus", blok yang berisi data ditandai sebagai tersedia, tetapi dengan kontennya yang utuh. Untuk membuat data tidak dapat dibaca, pengguna harus "Hapus dengan Aman" file atau folder Sampah yang berisi itu, jika OS menawarkan opsi itu. Jika tidak, blok-blok itu pada akhirnya akan digunakan kembali dan ditulis ulang oleh data baru, tetapi itu bisa memakan waktu lama, dan sementara itu, data di blok-blok itu dapat ditemukan dan dibaca.

Analogi Tyler Faile bagus.

Data tidak pergi ke mana pun. Alamat itu hanya ditandai sebagai ruang kosong, dan kemudian ditimpa ketika data baru membutuhkan tempat untuk pergi. Begitu ditimpa maka hilang secara permanen.

Jika Anda ingin menghapus sesuatu sehingga tidak dapat dipulihkan, Anda dapat langsung menimpanya, atau menimpa semua ruang kosong pada hard drive Anda. Anda harus berhati-hati tentang hanya menimpa file, karena file dipindahkan oleh OS selama penggunaan normal. Jika ini terjadi, salinan lama tidak akan ditimpa dengan aman.

Program yang bagus untuk menimpa file, dan menimpa semua ruang kosong adalah Eraser. http://eraser.heidi.ie/

Program yang bagus untuk menimpa seluruh hard drive (mungkin sebelum menjualnya) adalah Darik's Boot and Nuke. Berhati-hatilah dengan program ini. Namanya cukup akurat. Jangan gunakan kecuali Anda yakin Anda tidak ingin data pada komputer.

Sering ada perdebatan tentang apakah data masih dapat dipulihkan setelah ditimpa tunggal. Faktanya adalah ini belum pernah dilakukan secara publik pada disk modern. Peter Gutmann menulis makalah tentang ini, dan salah satu metode dinamai untuknya. Anda dapat membaca makalahnya di sini: http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html

Inilah yang dia katakan tentang multiple pass overkill:

Pada saat makalah ini diterbitkan, beberapa orang telah memperlakukan teknik menimpa 35-pass yang dijelaskan di dalamnya lebih sebagai semacam mantra voodoo untuk mengusir roh-roh jahat daripada hasil analisis teknis teknik pengodean drive. Akibatnya, mereka menganjurkan menerapkan voodoo ke drive PRML dan EPRML meskipun itu tidak akan memiliki efek lebih dari sekadar menggosok dengan data acak. Kenyataannya, melakukan overwrite 35-pass penuh tidak ada gunanya untuk drive apa pun karena ia menargetkan campuran skenario yang melibatkan semua jenis teknologi pengkodean (biasanya digunakan), yang mencakup semuanya kembali ke 30 + metode MFM tahun-lama (jika Anda tidak bisa mengerti pernyataan itu, baca kembali makalahnya). Jika Anda menggunakan drive yang menggunakan teknologi encoding X, Anda hanya perlu melakukan operan spesifik ke X, dan Anda tidak perlu melakukan semua 35 pass. Untuk setiap drive PRML / EPRML modern, beberapa lintasan scrubing acak adalah yang terbaik yang dapat Anda lakukan. Seperti yang dikatakan oleh makalah itu, "Penggosokan yang baik dengan data acak akan dilakukan dan diharapkan". Ini benar pada tahun 1996, dan masih benar sampai sekarang.

Ruang yang dialokasikan untuk file yang dihapus dibebaskan sehingga file lain dapat menimpanya. Tetapi sampai itu terjadi, file Anda tetap berada di hard drive Anda.

Biasanya tidak mungkin untuk mengakses file-file ini tetapi ada berbagai alat untuk menemukan file yang dihapus tetapi belum ditimpa. Masih Anda kehilangan seluruh informasi meta tentang file seperti path dan nama file. Jika Anda mengembalikan file seperti itu ia mendapatkan nama samar seperti FILE004 di direktori tertentu.