Em geral, os arquivos excluídos não vão a lugar nenhum. Eles permanecem no disco exatamente como estavam até que sejam substituídos. Quando eles são excluídos, um link para ele é simplesmente removido da estrutura do sistema de arquivos.
"Earlier in the trial, experts testified that someone conducted the keyword searches on a desktop computer in the home Casey Anthony shared with her parents.
The searches were found in a portion of the computer's hard drive that indicated they had been deleted, Detective Sandra Osborne of the Orange County Sheriff's Office testified Wednesday in Anthony's capital murder trial."
Eu sei que algumas das perguntas aqui no Super User abordam software de terceiros que podem ser usadas para esse tipo de coisa, mas estou mais interessado em saber como esses dados podem ser vistos após a exclusão, onde eles residem no disco rígido, etc. Eu acho o tópico inteiro intrigante, então qualquer percepção adicional é bem-vinda.
Imagine uma biblioteca em 1970. Você tinha todas as prateleiras com os livros e você tinha gavetas com cartões que poderiam dizer onde estava o livro que você estava procurando.
Em um disco rígido, você tem uma tabela (as gavetas) separada dos arquivos (os livros).
Seu sistema operacional faz referência a essa tabela quando precisa encontrar dados. Em seguida, ele vai para o local do livro com a cabeça de leitura ou o que o dispositivo usa e lê os dados lá.
Quando um usuário decide excluir um arquivo, o computador simplesmente apaga o conteúdo da tabela para esse local, isso basicamente coloca um cartão em branco para esse arquivo na tabela. porque levaria mais tempo e energia para o computador ir a cada local e realmente apagar o arquivo, ele simplesmente o deixa lá.
Então, como o livro ainda está fisicamente na biblioteca, mesmo que não esteja em seus registros, é possível que um software especial leia todos os livros e descubra o que foi excluído recentemente (desde que não tenha sido escrito desde então!)
Depende do que você quer dizer com excluído. na maioria dos sistemas operacionais, os arquivos são "excluídos" ao serem movidos para uma pasta Lixeira, especificamente para que eles possam ser recuperados posteriormente pelo usuário. Quando o conteúdo da Lixeira é "excluído", os blocos que contêm os dados são marcados como disponíveis, mas com o conteúdo intacto. Para tornar os dados ilegíveis, o usuário deve "Excluir com segurança" o arquivo ou a pasta Lixeira que o contém, se o sistema operacional oferecer essa opção. Caso contrário, esses blocos serão eventualmente reutilizados e sobrescritos por novos dados, mas isso poderá levar um longo tempo e, enquanto isso, os dados nesses blocos poderão ser encontrados e lidos.
A analogia de Tyler Faile é ótima.
Os dados não vão a lugar nenhum. O endereço é simplesmente marcado como espaço livre e, em seguida, sobrescrito quando novos dados precisam de um lugar para ir. Assim que é sobrescrito, desaparece permanentemente.
Se você quiser excluir algo para que ele não seja recuperável, você pode sobrescrevê-lo diretamente ou substituir todo o espaço livre no disco rígido. Você deve ter cuidado ao simplesmente sobrescrever arquivos, pois os arquivos são movidos pelo SO durante o uso normal. Se isso acontecer, a cópia antiga não será sobrescrita com segurança.
Um bom programa para sobrescrever arquivos e sobrescrever todo o espaço livre é o Eraser. link
Um bom programa para sobrescrever discos rígidos inteiros (talvez antes de vendê-los) é o Boot e o Nuke da Darik. Tenha muito cuidado com este programa. Seu nome é bastante preciso. Não use a menos que tenha certeza de que não deseja dados em um computador.
Muitas vezes há debates sobre se os dados ainda podem ser recuperados após uma única sobrescrita. O fato é que isso nunca foi feito publicamente em um disco moderno. Peter Gutmann escreveu um artigo sobre isso, e um dos métodos é nomeado para ele. Você pode ler o jornal dele aqui: link
Isso é o que ele tem a dizer sobre o excesso de passes múltiplos:
In the time since this paper was published, some people have treated the 35-pass overwrite technique described in it more as a kind of voodoo incantation to banish evil spirits than the result of a technical analysis of drive encoding techniques. As a result, they advocate applying the voodoo to PRML and EPRML drives even though it will have no more effect than a simple scrubbing with random data. In fact performing the full 35-pass overwrite is pointless for any drive since it targets a blend of scenarios involving all types of (normally-used) encoding technology, which covers everything back to 30+-year-old MFM methods (if you don't understand that statement, re-read the paper). If you're using a drive which uses encoding technology X, you only need to perform the passes specific to X, and you never need to perform all 35 passes. For any modern PRML/EPRML drive, a few passes of random scrubbing is the best you can do. As the paper says, "A good scrubbing with random data will do about as well as can be expected". This was true in 1996, and is still true now.
O espaço alocado para arquivos excluídos é liberado para que outros arquivos possam sobrescrevê-los. Mas até que isso aconteça, seus arquivos permanecerão no seu disco rígido.
Geralmente, não é possível acessar esses arquivos, mas existem ferramentas diferentes para localizar esses arquivos excluídos, mas ainda não sobrescritos. Ainda assim, você perderá todas as informações meta sobre o arquivo, como caminho e nome de arquivo. Se você restaurar esse arquivo, ele receberá um nome enigmático, como FILE004, em um diretório específico.