Warum können einige Wiederherstellungstools gelöschte Dateien immer noch finden, nachdem ich den Papierkorb geleert, die Festplatte defragmentiert und freien Speicherplatz auf Null gesetzt habe?

Soweit ich weiß, wird beim Löschen (ohne Verwendung des Papierkorbs) einer Datei deren Datensatz aus dem Inhaltsverzeichnis des Dateisystems (FAT / MFT / etc ...) entfernt, jedoch die Werte der Festplattensektoren, die von belegt wurden Die Datei bleibt intakt, bis diese Sektoren wieder verwendet werden, um etwas anderes zu schreiben. Wenn ich ein Wiederherstellungsprogramm für gelöschte Dateien verwende, liest es diese Sektoren direkt und versucht, die Originaldatei aufzubauen.

In diesem Fall kann ich nicht verstehen, warum Wiederherstellungstools nach dem Defragmentieren des Laufwerks und dem Überschreiben des gesamten freien Speicherplatzes mit Nullen immer noch gelöschte Dateien finden können (mit verringerter Wahrscheinlichkeit, sie neu zu erstellen). Kannst du das erklären?

Ich dachte, null überschriebene gelöschte Dateien können nur mit einer speziellen forensischen Labor-Magnet-Scan-Hardware gefunden werden, und diese komplexen Löschalgorithmen (mehrmaliges Überschreiben des freien Speicherplatzes mit zufälligen und nicht zufälligen Mustern) sind nur sinnvoll, um einen solchen physischen Scan zu verhindern erfolgreich, aber praktisch scheint es, dass eine einfache Nullfüllung nicht ausreicht, um alle Spuren gelöschter Dateien zu löschen. Wie kann das sein?

UPDATE, um die gestellten Fragen zu beantworten:

• Ich habe die folgenden Löschwerkzeuge ausprobiert: SDelete, CCLeaner von Sysinternal und ein einfaches Dienstprogramm, an dessen Namen ich mich nicht erinnern kann, das über die Befehlszeile beginnt und eine wachsende, mit Nullen gefüllte Datei erstellt, bis der gesamte freie Speicherplatz belegt und dann gelöscht wird es.
• Ich habe die folgenden Wiederherstellungstools ausprobiert: Recuva, GetDataBack, R-Studio, EasyRecovery.
• Ich kann mich nicht genau erinnern, welche Tools ein bestimmtes Ergebnis geliefert haben (soweit ich mich erinnern kann, zeigen Testversionen einiger von ihnen nur Dateinamen und können nicht wiederhergestellt werden).
• Wahrscheinlich haben sie in den meisten (aber nicht zu 100% allen) Fällen nur die Namen gesehen und konnten die Daten nicht wiederherstellen, aber dies ist immer noch eine Sicherheitsbedrohung, die angegangen werden muss, da Dateinamen immer noch ziemlich informativ sein können (zum Beispiel habe ich gesehen Ein Typ, der Passwörter in Textdateien gespeichert hat, die als Name der passwortgeschützten Ressource plus Anmeldename benannt wurden, während Anmeldenamen ebenfalls gesichert werden sollten.

Wenn Sie gelöschte Dateien überschreiben, sollten Sie nichts von ihnen abrufen können.

Ich vermute, dass entweder Ihr Löschwerkzeug nicht alles getan hat, was es soll, oder dass Sie ein Cache-Problem haben.

Update - Wenn Sie Solid-State-Laufwerke verwenden, stellen Sie möglicherweise fest, dass sichere Löschtools aufgrund der Art und Weise, wie Daten auf SSDs gelesen / geschrieben werden, nicht wie erwartet funktionieren.

Es reicht nicht aus, die Daten zu löschen und die Festplatte zu formatieren (wodurch die Adresstabellen gelöscht werden). Dadurch wird nur die Verknüpfung zu den Daten entfernt. Damit die Daten gelöscht werden können, müssen neue Daten darauf geschrieben werden.

Es reicht nicht aus, nur einmal über die Daten zu schreiben. Aus diesem Grund schreibt die sicherere Methode zum Löschen von Datenträgern verschiedene Datentypen mehrmals auf den Datenträger. Je öfter neue Daten auf die Festplatte geschrieben werden, desto sicherer ist sie. Weitere Informationen finden Sie unter: http://www.headresist.com/how-computer-programs-that-wipe-hard-drive-work.htm

Ein wirklich gutes Programm, mit dem Sie viele verschiedene Festplattenlöschvorgänge anwenden können, ist DBAN .

Ich stelle fest, dass Sie nach den zurückgebliebenen Dateinamen sowie den Daten gefragt haben. Das ist normal. Kein Disk Wiper überschreibt Verzeichniseinträge, da die einzige Möglichkeit darin besteht, Dateien im enthaltenen Verzeichnis zu erstellen und zu löschen, bis der alte Eintrag überschrieben wird. Je nachdem, wie ausgefallen das Dateisystem ist (ext4, ntfs, reiserfs, hfs +, andere mit nichtlinearen Verzeichnisstrukturen), kann dies mehrere Versuche erfordern.

Ein weiterer möglicher Vorschlag für die Wiederherstellung von Dateidaten auf einigen Dateisystemen ist, dass sie sich möglicherweise im Journal befinden. Viele Dienstprogramme zum Löschen des freien Speicherplatzes haben direkt auf das Gerät geschrieben und das Dateisystem vermieden. und ein ausreichend intelligentes Journal erkennt möglicherweise das Schreiben aller Nullen in eine Datei, bis diese voll ist (genauer gesagt, der gleiche Datenblock wird mehrmals geschrieben) und speichert sie nur einmal, wobei andere Dinge im Journal verbleiben. Und dann können einige intelligente Dateisysteme ausreichend kleine Dateien in die Dateimetadaten des Dateisystems einfügen (Inode in Unix-Dateisystemen), sodass sie für keine Art von Festplattenlöschung die Daten berühren können.

Denn wie Geekosaur sagte, löschen diese Tools nur Dateidaten und organisieren den Dateitabellenindex nicht neu. Wenn Sie Dateispuren vollständig aus dem Index entfernen möchten, suchen Sie ein Tool, das auch diese löscht, oder sichern Sie das Dateisystem, löschen Sie die Festplatte und stellen Sie sie aus der Sicherung wieder her. Ich habe hier einige Klarstellungen gefunden: http://www.broadbandreports.com/forum/r19572516-Removing-names-of-deleted-files-from-MFT~start=40