Por que algumas ferramentas de recuperação ainda conseguem localizar arquivos excluídos depois que eu limpo a Lixeira, desfragmente o disco e preencha zero o espaço livre?

10

Tanto quanto eu entendo, quando eu excluir (sem usar a Lixeira) um arquivo, seu registro é removido do índice do sistema de arquivos (FAT / MFT / etc ...), mas os valores dos setores de disco que foram ocupados pelo arquivo permanecem intactos até que esses setores sejam reutilizados para escrever outra coisa. Quando eu uso algum tipo de ferramenta de recuperação de arquivos apagados, ele lê esses setores diretamente e tenta criar o arquivo original.

Nesse caso, o que não consigo entender é por que as ferramentas de recuperação ainda conseguem encontrar arquivos excluídos (embora com poucas chances de recriá-los) depois que eu desfragmente a unidade e sobrescrevo todo o espaço livre com zeros. Você pode explicar isso?

Eu achei que arquivos apagados com exclusão zero só podem ser encontrados por meio de hardware especial de varredura magnética de laboratório forense e os complexos algoritmos de limpeza (sobrescrever o espaço livre várias vezes com padrões aleatórios e não aleatórios) só fazem sentido varredura física para ter sucesso, mas praticamente parece que o preenchimento zero simples não é suficiente para limpar todas as faixas de arquivos excluídos. Como isso pode ser?

UPDATE, abordando as questões que surgiram:

  • Eu tentei as seguintes ferramentas de limpeza: o SDelete, o CCLeaner e um utilitário simples do Sysinternal cujo nome não consigo lembrar, que começa na linha de comando e cria um arquivo crescente preenchido com zero até que todo o espaço livre seja ocupado e depois apaga-o.
  • Experimentei as seguintes ferramentas de recuperação: Recuva, GetDataBack, R-Studio, EasyRecovery.
  • Eu não consigo lembrar exatamente quais ferramentas deram resultados específicos (até onde eu me lembro, versões de teste de alguns deles mostram apenas nomes de arquivos e não podem se recuperar de fato).
  • Provavelmente na maioria (mas não em 100% todos) casos, eles só viram os nomes e não puderam recuperar os dados, mas isso ainda é uma ameaça de segurança a ser tratada, pois os nomes dos arquivos ainda podem ser bastante informativos (por exemplo, já vi um cara que armazenou senhas em arquivos de texto que foram nomeados como o nome do recurso com senha mais o nome de login, enquanto os nomes de login também devem ser protegidos).
por Ivan 06.03.2011 / 08:53

4 respostas

9

Se você substituir arquivos apagados, não conseguirá recuperar nada deles.

Meu melhor palpite é que sua ferramenta de limpeza não fez tudo o que deveria ou você tem algum tipo de problema de cache.

update - se você estiver usando drives de estado sólido, poderá descobrir que as ferramentas de exclusão segura não funcionam como esperado devido à maneira como os dados são lidos / gravados nos SSDs.

    
por 06.03.2011 / 18:04
3

Não é suficiente excluir os dados e formatar o disco rígido (o que exclui as tabelas de endereços). Isso só remove o link para os dados. Para que os dados sejam apagados, novos dados devem ser escritos sobre eles.

Apenas escrever sobre os dados uma vez não é suficiente. É por isso que o método mais seguro de limpeza de disco grava diferentes tipos de dados no disco várias vezes. Quanto mais vezes novos dados são gravados no disco, mais seguro ele é. Para mais informações, leia isto: link

Um programa muito bom que permite aplicar muitos toalhetes diferentes no disco rígido é o DBAN .

    
por 07.03.2011 / 19:59
3

Percebo que você perguntou sobre os nomes dos arquivos que ficaram para trás, assim como os dados; isso é normal, nenhum limpador de disco substituirá as entradas de diretório porque a única maneira de fazer isso é criar e excluir arquivos no diretório que contém até que a entrada antiga seja sobrescrita. Dependendo de quão sofisticado é o sistema de arquivos (ext4, ntfs, reiserfs, hfs +, outros com estruturas de diretório não-lineares), isso pode levar várias tentativas.

Outra sugestão possível para recuperação de dados de arquivos em alguns sistemas de arquivos é que eles podem estar no diário. Muitos utilitários de limpeza de espaço livre em disco escreveram diretamente para o dispositivo, evitando o sistema de arquivos; e um diário suficientemente inteligente pode detectar a gravação de todos os zeros em um arquivo até que esteja cheio (mais precisamente, escrever o mesmo bloco de dados várias vezes) e salvá-lo apenas uma vez, deixando outras coisas no diário ainda. E, em seguida, alguns sistemas de arquivos inteligentes podem colocar arquivos suficientemente pequenos nos metadados de arquivos do sistema de arquivos (inode em sistemas de arquivos Unix), tornando-os impossíveis para qualquer tipo de limpeza de disco tocar nos dados.

    
por 07.03.2011 / 20:37
3

porque, como disse o geekosaur, essas ferramentas apenas apagam os dados do arquivo e não reorganizam o índice da tabela de arquivos. Se você quiser remover completamente os rastros do arquivo do índice, encontre uma ferramenta que também o limpe ou faça backup do sistema de arquivos, limpe o disco e restaure a partir do backup. Eu encontrei alguns esclarecimentos aqui: link

    
por 11.05.2011 / 15:28