Onde os itens excluídos vão no disco rígido?

Depois de ler a citação abaixo no julgamento de Casey Anthony (CNN), estou curioso para saber onde os arquivos excluídos realmente vão para o disco rígido, como eles podem ser vistos após serem excluídos e até que ponto os dados podem ser recuperados (total, parcialmente). etc).

"No início do julgamento, especialistas testemunharam que alguém conduziu a pesquisa de palavras-chave em um computador desktop na casa que Casey Anthony compartilhou com seus pais.

As buscas foram encontradas em uma parte do disco rígido do computador que indicava que haviam sido excluídas, testemunhou quarta-feira a detetive Sandra Osborne, do xerife do condado de Orange, na quarta-feira no julgamento de Anthony por homicídio capital ".

Sei que algumas das perguntas aqui no Superusuário abordam softwares de terceiros que podem ser usados ​​para esse tipo de coisa, mas estou mais interessado em saber como esses dados podem ser vistos após a exclusão, onde residem no disco rígido etc. encontre o tópico inteiro intrigante, para que qualquer insight adicional seja bem-vindo.

Em geral, os arquivos excluídos não vão a lugar algum. Eles permanecem no disco exatamente como estavam até serem substituídos. Quando eles são excluídos, um link para ele é simplesmente removido da estrutura do sistema de arquivos.

Imagine uma biblioteca em 1970. Você tinha todas as prateleiras com os livros e gavetas com cartões que indicavam onde estava localizado o livro que você estava procurando.

No disco rígido, você tem uma mesa (as gavetas) separada dos arquivos (os livros).

Seu sistema operacional faz referência a esta tabela quando precisa localizar dados. Em seguida, ele vai para o local do livro com a cabeça de leitura ou o que o dispositivo usa e lê os dados.

Quando um usuário decide excluir um arquivo, o computador apenas apaga o conteúdo da tabela para esse local, basicamente coloca um cartão em branco para esse arquivo na tabela. porque levaria mais tempo e energia para o computador ir para cada local e realmente apagar o arquivo, apenas o deixa lá.

Então, como o livro ainda está fisicamente na biblioteca, mesmo que não esteja em seus registros, é possível que um software especial leia todos os livros e descubra o que foi excluído recentemente (desde que não tenha sido escrito desde então!)

Depende do que você quer dizer com excluído. Na maioria dos sistemas operacionais, os arquivos são "excluídos" ao serem movidos para uma pasta Lixeira, especificamente para que possam ser recuperados posteriormente pelo usuário. Depois que o conteúdo da Lixeira é "excluído", os blocos que contêm os dados são marcados como disponíveis, mas com o conteúdo intacto. Para tornar os dados ilegíveis, o usuário deve "Excluir com segurança" o arquivo ou a pasta Lixeira que o contém, se o sistema operacional oferecer essa opção. Caso contrário, esses blocos serão reutilizados e substituídos por novos dados, mas isso pode levar um longo tempo e, enquanto isso, os dados desses blocos poderão ser encontrados e lidos.

A analogia de Tyler Faile é ótima.

Os dados não vão a lugar algum. O endereço dele é simplesmente marcado como espaço livre e, em seguida, é substituído quando novos dados precisam de um lugar para ir. Assim que é substituído, desaparece permanentemente.

Se você deseja excluir algo para que não seja recuperável, você pode substituí-lo diretamente ou substituir todo o espaço livre no seu disco rígido. Você deve ter cuidado com a substituição de arquivos, pois os arquivos são movidos pelo sistema operacional durante o uso normal. Se isso acontecer, a cópia antiga não será substituída com segurança.

Um bom programa para substituir arquivos e substituir todo o espaço livre é o Eraser. http://eraser.heidi.ie/

Um bom programa para substituir discos rígidos inteiros (talvez antes de vendê-los) é o Boot and Nuke da Darik. Tenha muito cuidado com este programa. Seu nome é bastante preciso. Não use-o, a menos que tenha certeza de que não deseja dados em um computador.

Geralmente, há debates sobre se os dados ainda podem ser recuperados após uma única substituição. O fato é que isso nunca foi feito publicamente em um disco moderno. Peter Gutmann escreveu um artigo sobre isso, e um dos métodos é nomeado para ele. Você pode ler o artigo dele aqui: http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html

Isto é o que ele tem a dizer sobre o excesso de passes múltiplos:

Desde que este artigo foi publicado, algumas pessoas trataram a técnica de substituição de 35 passagens descrita mais como uma espécie de encantamento de vodu para banir espíritos malignos do que o resultado de uma análise técnica das técnicas de codificação de unidades. Como resultado, eles defendem a aplicação do vodu às unidades PRML e EPRML, mesmo que isso não tenha mais efeito do que uma simples lavagem com dados aleatórios. De fato, executar a substituição completa de 35 passagens não faz sentido para nenhuma unidade, uma vez que tem como alvo uma mistura de cenários que envolvem todos os tipos de tecnologia de codificação (normalmente usada), que abrange tudo, desde os métodos MFM com mais de 30 anos (se você não entenda essa afirmação, releia o artigo). Se você estiver usando uma unidade que utiliza a tecnologia de codificação X, precisará executar apenas os passes específicos para X, e você nunca precisa executar todas as 35 passagens. Para qualquer unidade PRML / EPRML moderna, algumas passagens de lavagem aleatória são o melhor que você pode fazer. Como o artigo diz, "Uma boa limpeza com dados aleatórios funcionará tão bem quanto o esperado". Isso era verdade em 1996 e ainda é verdade agora.

O espaço alocado para arquivos excluídos é liberado para que outros arquivos possam substituí-los. Mas até que isso aconteça, seus arquivos permanecem no disco rígido.

Normalmente, não é possível acessar esses arquivos, mas existem ferramentas diferentes para encontrar esses arquivos excluídos, mas ainda não substituídos. Ainda assim, você perde toda a meta informação sobre o arquivo, como caminho e nome do arquivo. Se você restaurar esse arquivo, ele obterá um nome enigmático como FILE004 em um diretório específico.