Pourquoi certains outils de récupération sont toujours en mesure de trouver des fichiers supprimés après avoir purgé la corbeille, défragmenté le disque et rempli l'espace libre?

10

Si je comprends bien, lorsque je supprime (sans utiliser la Corbeille) un fichier, son enregistrement est supprimé de la table des matières du système de fichiers (FAT / MFT / etc ...) mais les valeurs des secteurs de disque qui étaient occupés par le fichier reste intact jusqu'à ce que ces secteurs soient réutilisés pour écrire autre chose. Lorsque j'utilise une sorte d'outil de récupération de fichiers effacés, il lit ces secteurs directement et essaie de créer le fichier d'origine.

Dans ce cas, ce que je ne comprends pas, c'est pourquoi les outils de récupération sont toujours en mesure de trouver des fichiers supprimés (avec une chance réduite de les reconstruire cependant) après avoir défragmenté le lecteur et écrasé tout l'espace libre avec des zéros. Pouvez-vous expliquer cela?

Je pensais que les fichiers supprimés sans écrasement ne pouvaient être trouvés qu'au moyen de matériel de balayage magnétique spécial de laboratoire judiciaire et ces algorithmes d'essuyage complexes (écrasant plusieurs fois l'espace libre avec des motifs aléatoires et non aléatoires) n'avaient de sens que pour empêcher une telle analyse physique. réussir, mais pratiquement il semble que le remplissage nul ne suffit pas pour effacer toutes les pistes des fichiers supprimés. Comment se peut-il?

MISE À JOUR, répondant aux questions soulevées:

  • J'ai essayé les outils d'effacement suivants: SDelete de Sysinternal, CCLeaner et un utilitaire simple dont je ne me souviens pas qui commence à partir de la ligne de commande et crée un fichier croissant rempli de zéro jusqu'à ce que tout l'espace libre soit occupé, puis supprime il.
  • J'ai essayé les outils de récupération suivants: Recuva, GetDataBack, R-Studio, EasyRecovery.
  • Je ne me souviens pas exactement quels outils ont donné un résultat spécifique (pour autant que je me souvienne, les versions d'essai de certains d'entre eux ne montrent que les noms de fichiers et ne peuvent pas réellement récupérer).
  • Dans la plupart des cas (mais pas à 100%), ils n'ont probablement vu que les noms et n'ont pas pu récupérer les données, mais cela reste une menace de sécurité à résoudre car les noms de fichiers peuvent toujours être assez informatifs (par exemple, j'ai vu un gars qui a stocké des mots de passe dans des fichiers texte qui ont été nommés comme nom de ressource avec mot de passe plus le nom de connexion, tandis que les noms de connexion doivent également être sécurisés).
Ivan
la source
1
La "probabilité réduite de reconstruction" est-elle supérieure à 0?
Daniel Beck
1
Quel programme de récupération avez-vous utilisé pour récupérer avec succès un fichier zéro écrasé, car je n'en ai jamais rencontré (pas que j'aie regardé très fort ou essayé plusieurs)?
Neal
1
Le logiciel de récupération récupère-t-il réellement un fichier utilisable? ou s'agit-il simplement de trouver une ancienne entrée dans la table du fichier maître.
Moab

Réponses:

9

Si vous écrasez des fichiers effacés, vous ne devriez pas pouvoir en récupérer quoi que ce soit.

Ma meilleure supposition est que votre outil de nettoyage n'a pas fait tout ce qu'il est censé faire ou que vous avez une sorte de problème de cache.

mise à jour - si vous utilisez des disques SSD, vous pouvez constater que les outils de suppression sécurisée ne fonctionnent pas comme prévu en raison de la façon dont les données sont lues / écrites sur les SSD.

Rory Alsop
la source
3

Il ne suffit pas de supprimer les données et de formater le disque dur (ce qui supprime les tables d'adresses). Cela supprime uniquement le lien vers les données. Pour que les données soient effacées, de nouvelles données doivent être écrites dessus.

Il ne suffit pas d'écrire une fois sur les données. C'est pourquoi la méthode plus sécurisée d'effacement du disque écrit plusieurs fois différents types de données sur le disque. Plus de nouvelles données sont écrites sur le disque, plus elles sont sécurisées. Pour plus d'informations, lisez ceci: http://www.headresist.com/how-computer-programs-that-wipe-hard-drive-work.htm

DBAN est un très bon programme qui vous permet d'appliquer de nombreuses lingettes de disque dur différentes .

Leebeloola
la source
3

Je remarque que vous avez posé des questions sur les noms de fichiers restants, ainsi que sur les données; c'est normal, aucun essuyeur de disque n'écrasera les entrées du répertoire car la seule façon de le faire est de créer et de supprimer des fichiers dans le répertoire contenant jusqu'à ce que l'ancienne entrée soit écrasée. Selon la fantaisie du système de fichiers (ext4, ntfs, reiserfs, hfs +, d'autres avec des structures de répertoires non linéaires), cela peut prendre plusieurs tentatives.

Une autre suggestion possible pour les données de fichier récupérables sur certains systèmes de fichiers est qu'elles pourraient être dans le journal. De nombreux utilitaires d'effacement de l'espace libre sur le disque ont écrit directement sur le périphérique, évitant le système de fichiers; et un journal suffisamment intelligent pourrait détecter l'écriture de tous les zéros dans un fichier jusqu'à ce qu'il soit plein (plus précisément, écrire le même bloc de données plusieurs fois) et ne l'enregistrer qu'une seule fois, en laissant d'autres choses dans le journal. Et puis, certains systèmes de fichiers intelligents peuvent remplir des fichiers suffisamment petits dans les métadonnées de fichiers du système de fichiers (inode dans les systèmes de fichiers Unix), ce qui les rend impossible pour tout type d'effacement de disque de toucher les données.

geekosaure
la source
3

car, comme l'a dit le geekosaure, ces outils n'effacent que les données des fichiers et ne réorganisent pas l'index de la table des fichiers. si vous voulez supprimer complètement les traces de fichier de l'index, trouvez un outil qui effacera cela aussi, ou sauvegardez le système de fichiers, essuyez le disque et restaurez à partir de la sauvegarde. j'ai trouvé quelques éclaircissements ici: http://www.broadbandreports.com/forum/r19572516-Removing-names-of-deleted-files-from-MFT~start=40


la source