Où vont les éléments supprimés sur le disque dur?

Après avoir lu la citation ci-dessous sur le procès Casey Anthony (CNN), je suis curieux de savoir où les fichiers supprimés vont réellement sur un disque dur, comment ils peuvent être vus après avoir été supprimés et dans quelle mesure les données peuvent être récupérées (entièrement, partiellement , etc).

"Plus tôt dans le procès, des experts ont déclaré que quelqu'un avait effectué des recherches par mot-clé sur un ordinateur de bureau dans la maison que Casey Anthony avait partagée avec ses parents.

Les recherches ont été trouvées dans une partie du disque dur de l'ordinateur qui indiquait qu'elles avaient été supprimées, a déclaré mercredi l'inspecteur Sandra Osborne du bureau du shérif du comté d'Orange lors du procès pour meurtre d'Anthony. "

Je connais certaines des questions ici sur les logiciels tiers d'adresse de superutilisateur qui peuvent être utilisés pour ce genre de chose, mais je suis plus intéressé par la façon dont ces données peuvent être vues après la suppression, où elles résident sur le disque dur, etc. trouvez l'intégralité du sujet intrigant, donc toute information supplémentaire est la bienvenue.

En général, les fichiers supprimés ne vont nulle part. Ils restent sur le disque exactement comme ils étaient jusqu'à ce qu'ils soient écrasés. Lorsqu'ils sont supprimés, un lien vers celui-ci est simplement supprimé de la structure du système de fichiers.

Imaginez une bibliothèque en 1970. Vous aviez toutes les étagères avec les livres dessus et vous aviez des tiroirs avec des cartes qui pouvaient vous dire où se trouvait le livre que vous cherchiez.

Sur un disque dur, vous avez une table (les tiroirs) séparée des fichiers (les livres).

Votre système d'exploitation fait référence à ce tableau lorsqu'il a besoin de trouver des données. Il va ensuite à l'emplacement du livre avec sa tête de lecture ou tout ce que l'appareil utilise et y lit les données.

Lorsqu'un utilisateur décide de supprimer un fichier, l'ordinateur efface simplement le contenu de la table pour cet emplacement, cela place essentiellement une carte vierge pour ce fichier dans la table. car il faudrait plus de temps et d'énergie pour que l'ordinateur aille à chaque emplacement et efface réellement le fichier, il le laisse là.

Ensuite, parce que le livre est toujours physiquement dans la bibliothèque, même s'il ne figure pas dans leurs dossiers, il est possible qu'un logiciel spécial lise tous les livres et découvre ce qui a été récemment supprimé (tant qu'il n'a pas été réécrit depuis puis!)

Cela dépend de ce que vous entendez par supprimé. dans la plupart des systèmes d'exploitation, les fichiers sont "supprimés" en étant déplacés vers un dossier Corbeille, spécifiquement afin qu'ils puissent être récupérés ultérieurement par l'utilisateur. Une fois que le contenu de la corbeille est «supprimé», les blocs contenant les données sont marqués comme disponibles, mais avec leur contenu intact. Pour rendre les données illisibles, l'utilisateur doit "Supprimer en toute sécurité" le fichier ou le dossier Corbeille qui le contient, si le système d'exploitation propose cette option. Sinon, ces blocs seront éventuellement réutilisés et remplacés par de nouvelles données, mais cela pourrait prendre beaucoup de temps, et en attendant, les données de ces blocs pourraient être trouvées et lues.

L'analogie de Tyler Faile est excellente.

Les données ne vont nulle part. L'adresse de celui-ci est simplement marquée comme espace libre, puis est remplacée lorsque de nouvelles données ont besoin d'un endroit où aller. Dès qu'il est écrasé, il disparaît définitivement.

Si vous souhaitez supprimer un élément afin qu'il ne soit pas récupérable, vous pouvez soit l'écraser directement, soit écraser tout l'espace libre sur votre disque dur. Cependant, vous devez faire attention à ne pas écraser simplement les fichiers, car les fichiers sont déplacés par le système d'exploitation lors d'une utilisation normale. Si cela se produit, l'ancienne copie ne sera pas écrasée en toute sécurité.

Un bon programme pour écraser des fichiers et écraser tout l'espace libre est Eraser. http://eraser.heidi.ie/

Un bon programme pour écraser des disques durs entiers (peut-être avant de les vendre) est Darik's Boot et Nuke. Soyez très prudent avec ce programme. Son nom est assez précis. Ne l'utilisez que si vous êtes certain de ne pas vouloir de données sur un ordinateur.

Il y a souvent des débats pour savoir si les données peuvent encore être récupérées après un seul remplacement. Le fait est que cela n'a jamais été fait publiquement sur un disque moderne. Peter Gutmann a écrit un article à ce sujet, et l'une des méthodes porte son nom. Vous pouvez lire son article ici: http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html

Voici ce qu'il a à dire sur la surpuissance en plusieurs passes:

Depuis que cet article a été publié, certaines personnes ont traité la technique d'écrasement en 35 passes qui y est décrite plus comme une sorte d'incantation vaudou pour bannir les mauvais esprits que comme le résultat d'une analyse technique des techniques d'encodage de disque. En conséquence, ils préconisent d'appliquer le vaudou aux lecteurs PRML et EPRML même si cela n'aura pas plus d'effet qu'un simple nettoyage avec des données aléatoires. En fait, effectuer l'écrasement complet en 35 passes est inutile pour tout lecteur, car il cible un mélange de scénarios impliquant tous les types de technologie d'encodage (normalement utilisée), qui couvre tout jusqu'à 30 méthodes MFM âgées de plus de 30 ans (si vous ne le faites pas). ne comprends pas cette déclaration, relisez le document). Si vous utilisez un lecteur qui utilise la technologie d'encodage X, il vous suffit d'effectuer les passes spécifiques à X, et vous n'avez jamais besoin d'effectuer les 35 passes. Pour tout lecteur PRML / EPRML moderne, quelques passages de nettoyage aléatoire sont les meilleurs que vous puissiez faire. Comme le dit le journal, "un bon nettoyage avec des données aléatoires fera à peu près aussi bien que prévu". Cela était vrai en 1996 et l'est encore aujourd'hui.

L'espace alloué pour les fichiers supprimés est libéré afin que d'autres fichiers puissent les remplacer. Mais jusqu'à ce que cela se produise, vos fichiers restent sur votre disque dur.

Habituellement, il n'est pas possible d'accéder à ces fichiers mais différents outils existent pour trouver ces fichiers supprimés mais pas encore remplacés. Vous perdez toujours toutes les méta-informations sur le fichier comme le chemin et le nom de fichier. Si vous restaurez un tel fichier, il obtient un nom cryptique comme FILE004 dans un répertoire spécifique.