Où vont les éléments supprimés sur le disque dur?

23

Après avoir lu la citation ci-dessous sur le procès Casey Anthony (CNN), je suis curieux de savoir où les fichiers supprimés vont réellement sur un disque dur, comment ils peuvent être vus après avoir été supprimés et dans quelle mesure les données peuvent être récupérées (entièrement, partiellement , etc).

"Plus tôt dans le procès, des experts ont déclaré que quelqu'un avait effectué des recherches par mot-clé sur un ordinateur de bureau dans la maison que Casey Anthony avait partagée avec ses parents.

Les recherches ont été trouvées dans une partie du disque dur de l'ordinateur qui indiquait qu'elles avaient été supprimées, a déclaré mercredi l'inspecteur Sandra Osborne du bureau du shérif du comté d'Orange lors du procès pour meurtre d'Anthony. "

Je connais certaines des questions ici sur les logiciels tiers d'adresse de superutilisateur qui peuvent être utilisés pour ce genre de chose, mais je suis plus intéressé par la façon dont ces données peuvent être vues après la suppression, où elles résident sur le disque dur, etc. trouvez l'intégralité du sujet intrigant, donc toute information supplémentaire est la bienvenue.

jerry
la source
Je téléchargeais récemment des torrents et lorsque j'ai essayé de les prévisualiser, il a joué des vidéos que j'avais supprimées plusieurs jours plus tôt car il a attribué cet emplacement de mémoire au torrent mais n'a encore rien téléchargé. Je pensais qu'un exemple pourrait aider :)
Skeith

Réponses:

33

En général, les fichiers supprimés ne vont nulle part. Ils restent sur le disque exactement comme ils étaient jusqu'à ce qu'ils soient écrasés. Lorsqu'ils sont supprimés, un lien vers celui-ci est simplement supprimé de la structure du système de fichiers.

jncraton
la source
39

Imaginez une bibliothèque en 1970. Vous aviez toutes les étagères avec les livres dessus et vous aviez des tiroirs avec des cartes qui pouvaient vous dire où se trouvait le livre que vous cherchiez.

Sur un disque dur, vous avez une table (les tiroirs) séparée des fichiers (les livres).

Votre système d'exploitation fait référence à ce tableau lorsqu'il a besoin de trouver des données. Il va ensuite à l'emplacement du livre avec sa tête de lecture ou tout ce que l'appareil utilise et y lit les données.

Lorsqu'un utilisateur décide de supprimer un fichier, l'ordinateur efface simplement le contenu de la table pour cet emplacement, cela place essentiellement une carte vierge pour ce fichier dans la table. car il faudrait plus de temps et d'énergie pour que l'ordinateur aille à chaque emplacement et efface réellement le fichier, il le laisse là.

Ensuite, parce que le livre est toujours physiquement dans la bibliothèque, même s'il ne figure pas dans leurs dossiers, il est possible qu'un logiciel spécial lise tous les livres et découvre ce qui a été récemment supprimé (tant qu'il n'a pas été réécrit depuis puis!)

Tyler Faile
la source
1
+ 2 Très bonne analogie.
jerry
5

Cela dépend de ce que vous entendez par supprimé. dans la plupart des systèmes d'exploitation, les fichiers sont "supprimés" en étant déplacés vers un dossier Corbeille, spécifiquement afin qu'ils puissent être récupérés ultérieurement par l'utilisateur. Une fois que le contenu de la corbeille est «supprimé», les blocs contenant les données sont marqués comme disponibles, mais avec leur contenu intact. Pour rendre les données illisibles, l'utilisateur doit "Supprimer en toute sécurité" le fichier ou le dossier Corbeille qui le contient, si le système d'exploitation propose cette option. Sinon, ces blocs seront éventuellement réutilisés et remplacés par de nouvelles données, mais cela pourrait prendre beaucoup de temps, et en attendant, les données de ces blocs pourraient être trouvées et lues.

JRobert
la source
1
Il convient de noter que la «suppression» et / ou le «déplacement» d'un fichier d'un dossier à un autre ou même dans la corbeille n'affecte que les informations de lien du fichier (c'est-à-dire le nom) et non le contenu du fichier sur le disque.
Chris Nava
@Chris est la raison pour laquelle il est beaucoup plus rapide de couper un fichier plus volumineux que de le copier?
Skeith
1
Oui - déplacer un petit lien est beaucoup plus rapide que de copier le contenu du fichier.
JRobert
5

L'analogie de Tyler Faile est excellente.

Les données ne vont nulle part. L'adresse de celui-ci est simplement marquée comme espace libre, puis est remplacée lorsque de nouvelles données ont besoin d'un endroit où aller. Dès qu'il est écrasé, il disparaît définitivement.

Si vous souhaitez supprimer un élément afin qu'il ne soit pas récupérable, vous pouvez soit l'écraser directement, soit écraser tout l'espace libre sur votre disque dur. Cependant, vous devez faire attention à ne pas écraser simplement les fichiers, car les fichiers sont déplacés par le système d'exploitation lors d'une utilisation normale. Si cela se produit, l'ancienne copie ne sera pas écrasée en toute sécurité.

Un bon programme pour écraser des fichiers et écraser tout l'espace libre est Eraser. http://eraser.heidi.ie/

Un bon programme pour écraser des disques durs entiers (peut-être avant de les vendre) est Darik's Boot et Nuke. Soyez très prudent avec ce programme. Son nom est assez précis. Ne l'utilisez que si vous êtes certain de ne pas vouloir de données sur un ordinateur.

Il y a souvent des débats pour savoir si les données peuvent encore être récupérées après un seul remplacement. Le fait est que cela n'a jamais été fait publiquement sur un disque moderne. Peter Gutmann a écrit un article à ce sujet, et l'une des méthodes porte son nom. Vous pouvez lire son article ici: http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html

Voici ce qu'il a à dire sur la surpuissance en plusieurs passes:

Depuis que cet article a été publié, certaines personnes ont traité la technique d'écrasement en 35 passes qui y est décrite plus comme une sorte d'incantation vaudou pour bannir les mauvais esprits que comme le résultat d'une analyse technique des techniques d'encodage de disque. En conséquence, ils préconisent d'appliquer le vaudou aux lecteurs PRML et EPRML même si cela n'aura pas plus d'effet qu'un simple nettoyage avec des données aléatoires. En fait, effectuer l'écrasement complet en 35 passes est inutile pour tout lecteur, car il cible un mélange de scénarios impliquant tous les types de technologie d'encodage (normalement utilisée), qui couvre tout jusqu'à 30 méthodes MFM âgées de plus de 30 ans (si vous ne le faites pas). ne comprends pas cette déclaration, relisez le document). Si vous utilisez un lecteur qui utilise la technologie d'encodage X, il vous suffit d'effectuer les passes spécifiques à X, et vous n'avez jamais besoin d'effectuer les 35 passes. Pour tout lecteur PRML / EPRML moderne, quelques passages de nettoyage aléatoire sont les meilleurs que vous puissiez faire. Comme le dit le journal, "un bon nettoyage avec des données aléatoires fera à peu près aussi bien que prévu". Cela était vrai en 1996 et l'est encore aujourd'hui.

DaleSwanson
la source
1
Il convient de noter, cependant, que l'écrasement multiple peut ne pas être sécurisé sur les disques SSD. Comparer superuser.com/q/22238/33973
sum1stolemyname
Il convient également de noter que le remplacement de fichiers individuels (par opposition à une partition / un disque entier) n'est souvent pas suffisant: superuser.com/questions/157931/foss-wipe-free-space-7-35-passes
sleske
C'est une bonne réponse, mais l'OP n'était pas intéressé par les logiciels réels qui effacent mais où ils résident, dont vous ne fournissez pas de nouvelles informations. Je n'ai pas downvote, mais je ne peux pas vraiment justifier une upvote.
James Mertz
3

L'espace alloué pour les fichiers supprimés est libéré afin que d'autres fichiers puissent les remplacer. Mais jusqu'à ce que cela se produise, vos fichiers restent sur votre disque dur.

Habituellement, il n'est pas possible d'accéder à ces fichiers mais différents outils existent pour trouver ces fichiers supprimés mais pas encore remplacés. Vous perdez toujours toutes les méta-informations sur le fichier comme le chemin et le nom de fichier. Si vous restaurez un tel fichier, il obtient un nom cryptique comme FILE004 dans un répertoire spécifique.

ayckoster
la source