我知道要完全删除某些内容,我们将不得不使用一个程序来覆盖已删除的文件,使其无法恢复。
无论如何,有没有说这已经发生了?还是结果状态如此随机以至于没有人知道它刚刚被“清理”过?
好的,所以我们有一个 100GB 的 C:\drive 并且所有数据都被“清理”了。在“清洗”之后,如果有人试图做一个反转而做不到,他会怀疑它之前被“清洗”过。所以我所做的是复制“随机文件”并删除它们,这样如果他进行逆转,他就会得到“随机文件”。现在的问题是,如果我只有 50GB 的“随机文件”,剩余的 50GB 是否会显示“清理”的证据?我是否需要填充所有 100GB 的“随机文件”(并删除它们)以清除所有“清理”痕迹?
您是对的,为了删除文件,必须覆盖它以前所在的实际磁盘块。这通常是用随机数据完成的;例如,Windows 工具“密码”用 0、1 和随机数据覆盖未使用的(例如,以前使用的)磁盘空间。
如果法医检查您的计算机磁盘,并且您以这种方式擦除了已删除的文件,他会注意到磁盘上的“空闲空间”充满了随机数据,并且几乎没有删除文件。假设您删除了“readme.txt”并且没有擦除它;他会找到以前文件的内容,然后说“好的,这是一个已删除的文本文件”。因此,如果他找不到任何类型的已删除文件,那么他必须得出以下结论:a)您从未删除过文件或 b)您已擦除空闲空间以覆盖已删除的文件。显然 b) 比 a) 更有可能。
换句话说:如果擦除的结果状态是随机的,那么正是这种随机性告诉调查人员磁盘已被“清理”。
某些工具(例如 PGP shred)会覆盖您指定的单个文件,而不是清理磁盘上的所有空闲空间。如果敏感文件被粉碎,正常文件像往常一样被删除,那么调查人员就更难证明文件擦除已经发生了。
gowenfawr 说的是完全正确的,但是,我想补充一点。
根据文件系统,可能会有一些剩余。在 NTFS 上,擦除/删除文件时不会删除文件索引。因此,尽管您无法恢复文件的内容,但总会有文件的痕迹。
有关更多信息,请参阅 sans forensics 的这篇博文
在这种情况下,最简单的解决方案是使用truecrypt。使用是合法的,很容易证明需要,没有人知道你曾经拥有多少数据,那里有什么文件等等。