我很想知道如何完全擦除 Windows 7 中所有可能的文件痕迹。
例如,假设我有一个子文件夹,其中包含五个在工作中被视为敏感的不同文件(文档、视频文件、RAR、图像和文本文件)。
如果我想完全擦除这些文件的所有痕迹而不重新格式化或做类似的事情,我必须采取哪些步骤?
我只能想到几件事:
我假设简单地“粉碎”一个文件夹不会完全擦除所述子文件夹中文件的所有痕迹是否正确?
假设使用诸如 CCleaner 之类的软件会充分删除所述子文件夹的所有痕迹(如果使用“安全删除”选项)是否安全?
我怎样才能达到一种自信的状态,我可以删除这些文件的所有痕迹,并将我的工作笔记本电脑带回家,知道这些文件和这些文件的所有痕迹都已完全消失?(或者我可以完全自信吗?)
诚实的真相答案:
除非您通过金属粉碎机将驱动器物理销毁,否则无法完全防止该信息有机会被熟练的个人恢复。如果政府级别的参与者将您的威胁模型考虑在内,那么您需要物理销毁驱动器。
足够好的答案:
如果美国国家安全局、联邦调查局、中国情报局等不考虑您的威胁模型,那么您可以使用 CCleaner 等应用程序。对于除了最复杂的威胁参与者之外的所有威胁参与者,在 HDD 上进行 25 次以上的重写就足够了。
由于磨损均衡(正如 Rory 已经说过的),SSD 完全是另一回事,大约 30% 以上的 SSD 行业没有遵循如何处理重写那些“坏”内存块的既定标准做法。这让我回到了诚实的真相答案,切碎了驱动器。
这里有很多incorrect tinfoil hat solutions。请允许我提出一个correct tinfoil hat solution适合您的“无格式”要求的内容。
如果文件被正确删除,即使是磁力显微镜也无法取回文件。刻录驱动器是一个极端的tinfoil hat选择,完全没有必要。
如果我想完全擦除这些文件的所有痕迹而不重新格式化或做类似的事情,我必须采取哪些步骤?
FolderA连同最近的项目和快捷方式一起移动到另一个文件夹。FolderA.Private Health Information.csv? Secret Chinese Dissident List.pdf? 你把它们切碎了,对吧?是的,文件名仍然可以搜索,即使在大多数情况下都无法恢复,即使在粉碎它们之后也是如此。在许多国家,仅仅拥有违禁材料就会使您被捕和/或被处决。宗教文件,反政府宣传等等,只要找到一个文件名,他们就可以强迫你捐献器官。使用像 Recuva 这样的工具来验证这一点。即使它被安全删除,列出文件名也会让人们意识到你已经拥有这些文件。使其类似于“derp.exe”。cipher /w:drive letter 2 次为好测量。 请记住,如果您的驱动器/文件在删除开始之前已被其他人复制,那么如果他们找到您的Chinese Dissident List.pdf. 一个简单diff的驱动内容就会暴露出来,你最终会慷慨地向当地干部捐赠器官。
你会因此而有生命危险吗?或者,使用超长密码加密驱动器,然后格式化,dban boot and nuke,然后重新格式化。
否则,切碎驱动器。
对于 HDD,Shred 实用程序将完全删除该子文件夹中文件的所有痕迹,是的。
您不需要多次通过或“安全删除”
对于 SSD,情况并非如此,因为使用了磨损均衡 SSD。
不过,您很可能在其他地方有这些文件的痕迹,例如交换空间、休眠文件等。
我们已经在这里有很多问题,所以请仔细看看。
我只是随风吐痰;但可以肯定的是,我会使用两个硬盘驱动器。首先,以管理员身份运行命令提示符。
然后,输入:cipher /w:drive letter并运行。这将覆盖驱动器上的所有可用空间以及所有标记为删除的文件。我相信它可以通过三遍。
在删除/覆盖有问题的文件(clonezilla、Acronis 等)后,使用实用程序将数据逐字克隆到另一个硬盘驱动器。然后将驱动器克隆回来并钻取/销毁第二个硬盘驱动器。
还有一些程序可以从Master File中删除条目T。这只是这些文件的位置数据库;但有些文件(.txt 等)直接存储在 MFT 中。取消删除程序在主文件表上查找整体。我确信这可以递归完成,如果是这样,请使用一个程序首先覆盖主文件表中的条目。页面文件是一个不同的野兽;但在当今世界,很少需要硬盘驱动器。为了安全起见,在克隆驱动器之前删除页面文件 (pagefile.sys)。
不过,再次确定的唯一方法是摧毁它。大多数被删除的文件都被恢复了,因为它们只是简单地标记为删除而不是删除,即使它们可能已损坏,但正常使用中有很大一部分没有被覆盖,并且该条目仍然保留在 MFT 中,便于挑选。
只是我的 0.02 美元。