Tip berguna

Padam fail secara kekal

Pin
Send
Share
Send
Send


Secara sistematik, pengguna perlu memadam pelbagai fail. Menghantar ke sampah dan kemudian mengosongkannya adalah standard, tetapi fail dipadamkan dengan cara ini tidak sukar untuk pulih. Pengguna yang lebih maju menggunakan kaedah menulis semula - sebagai ganti maklumat lama, beberapa kali yang lain ditulis, walaupun ini tidak selalu membantu. Artikel ini membincangkan pemadaman fail tanpa kemungkinan pemulihan.

Kaedah penyingkiran perisian

Terdapat dua cara. Yang pertama ialah menggunakan perisian pihak ketiga. Yang kedua ialah pembersihan manual sistem.

Pemusnahan data pada cakera keras dengan program khas.

Program arahan Windows Microsoft.

  1. Muat turun dan pasang utiliti.
  2. Menggunakan gabungan Win + R, buka tetingkap Run, ketik cmd atau cmd.exe di barisan yang muncul, dan tekan OK atau Enter.
  3. Dalam command prompt yang terbuka, masukkan jalan ke folder di mana program dipasang. Untuk melakukan ini, tulis "laluan cd", kemudian tekan Enter lagi.
  4. Langkah seterusnya adalah penyingkiran. Masukkan arahan sdelete dan tentukan laluan ke fail yang ingin anda hancurkan selepas ruang.

Pada akhir proses itu, baris akan memaklumkan kepada anda tentang pemadaman yang berjaya, dan selepas itu akan dapat menutup baris arahan.

Utiliti ini biasanya membantu pengguna untuk memulihkan fail yang hilang, tetapi ia juga mempunyai keupayaan untuk memadam fail tanpa kemungkinan pemulihan.

  1. Langkah pertama adalah memadam fail melalui sampah. Anda boleh melangkau langkah ini dengan memadamnya dengan gabungan kekunci Shift + Padam.
  2. Seterusnya, anda perlu memulakan pemulihan fail dalam program.
  3. Dalam jenis fail, pilih "Lain". Kemudian anda perlu menentukan folder di mana fail terletak sebelum penghapusan.
  4. Tandakan kotak bersebelahan dengan "analisis mendalam" dan mulakan proses.
  5. Selepas penemuan fail yang dipadamkan, pergi ke mod lanjutan, kemudian ke tetapan.
  6. Dalam tab Umum yang pertama, pilih 35 kitaran dalam Pemecahan Selamat dan klik OK.
  7. Pilih fail, klik kanan dan klik pada "Hapuskan ditandakan dengan selamat". Sahkan proses itu.
  8. Akhir sekali, periksa data yang dipadam dalam program ini. Jika mereka kekal, ulangi langkah-langkah sebelumnya.

Padam fail tidak cukup

Pembaca tetap laman web kami sudah tahu bahawa hanya memotong fail sepenuhnya tidak mencukupi dari sudut pandangan keselamatan maklumat. Fail yang dipadam (dengan pengecualian yang jarang berlaku dalam bentuk SSD) boleh dipulihkan dalam masa beberapa minit. Ini disebabkan oleh hakikat bahawa apabila anda memadam fail, Windows tidak memusnahkan kandungannya, tetapi hanya membuat nota dalam sistem fail yang fail itu dihapuskan, dan ruang cakera ia menduduki adalah percuma. Oleh itu, fail yang dipadam boleh dipulihkan menggunakan alat mudah untuk digunakan - contohnya, Hetman uneraser.

Pemformatan cakera

Hakikatnya kewujudan alat seperti Pemulihan partisan Hetman, adalah petunjuk yang baik bahawa partisi diformat jauh dari jaminan keselamatan data. Malah, dengan pengecualian semua SSD yang sama, memformat partition dalam mod "cepat" (dan dalam versi lama Windows, memformat dalam mod "penuh") tidak memadamkan data, ia hanya menetapkan semula sistem fail. Sehubungan itu, data selepas pemformatan sedemikian boleh dipulihkan.

Benar, perlu diingatkan bahawa pemformatan cakera penuh menggunakan Windows Vista dan Windows 7 bagaimanapun akan menimpa kandungan cakera dengan nol, dan memformatkan SSD dalam apa jua cara dengan kebarangkalian yang tinggi (tetapi tidak 100%) juga akan menyebabkan kemusnahan data.

Program Pemusnahan Data

Terdapat satu kelas program yang direka untuk pemusnahan maklumat yang boleh dipercayai dan selamat. Program sebegini menggunakan tatasusunan nombor rawak untuk menindih secara fisik ruang cakera yang diduduki oleh fail yang dimusnahkan. Sesetengah piawai keselamatan (sebagai contoh, standard yang digunakan oleh Tentera Darat Amerika Syarikat) memerlukan beberapa siklus penulisan ulang dan mendesak menggunakan penjana nombor rawak yang kriptografi. Dalam praktiknya, sebaliknya, menembak dari meriam di burung pipit. Bagi pengguna persendirian dan kebanyakan organisasi komersil, satu siklus penulisan semula adalah cukup.

Mencari program sedemikian adalah mudah - hanya mulailah carian dengan kata kunci "penghapusan fail selamat". Begitu juga, membebaskan ruang cakera dilakukan - walaupun program yang sering digunakan adalah sama.

Perlu diingatkan bahawa kaedah ini berfungsi hanya dengan pemacu magnetik tradisional, di mana ruang cakera fizikal yang tidak jelas dapat dilakukan. Dalam kes SSD, ini tidak begitu, dan pemusnahan maklumat ke atasnya adalah topik yang berasingan dan agak dipelajari.

Pemusnahan data pada CD dan DVD

Menyingkirkan sandaran lama, jangan lupa untuk memusnahkan data. Cara paling mudah untuk memadamkan maklumat pada CD atau DVD adalah memusnahkan media secara fizikal. Menentang godaan untuk memecahkan "kosong" dengan tangan anda - anda mungkin memotong diri anda dengan serpihan, dan serpihan kecil substrat plastik dan aluminium masih akan ditemui di tempat yang paling tidak dijangka untuk masa yang lama.

Cara paling mudah untuk memadam cakera adalah menggunakan mesin pencincang pejabat yang dilengkapi dengan penerima CD dan DVD. Sebagai tambahan kepada mereka, terdapat alat khusus - dengan cara itu, mereka sama sekali tidak mahal seperti orang yang mungkin berfikir. Untuk kebanyakan tujuan, memotong cakera menjadi empat jalur dianggap normal.

Terdapat juga peranti yang membuat cakera tidak boleh digunakan oleh penggerudian beberapa lubang di dalamnya (dengan cara ini, anda boleh membuat lubang di cakera sendiri menggunakan gerudi konvensional). Pakar percaya kaedah ini kurang dipercayai berbanding menggunakan mesin pencincang.

Kita juga harus menyebutkan pengeluar peranti untuk penyimpanan maklumat yang selamat. DataTraveler dan Silicon Power menawarkan USB atau cakera keras yang menyimpan maklumat dalam bentuk yang disulitkan. Untuk menghancurkan akses kepada data peranti sedemikian, sudah cukup untuk memadamkan kunci untuk penyahsulitan. Satu program untuk memulihkan data dari cakera keras tidak akan dapat mendekripsi kandungan dan akan menjadi tidak berguna lagi.

Kita juga boleh menyebut pemanasan cakera, yang membawa kepada pemusnahan lapisan maklumat lut. Seperti kaedah lain, kaedah ini harus digunakan hanya dalam peranti khusus - cakera "panas" yang terlalu panas boleh dicairkan dengan cepat.

Kandungan artikel

Bagi penyiasat yang menganalisis komputer yang disyaki, sentiasa ada data mengenai kepentingan tertentu. Tetapi ia seolah-olah beberapa bahawa jika anda menulis ganti kawasan di mana fail terletak dengan data rawak, maka tiada apa yang akan dipulihkan. Ini benar, tetapi hanya sebahagiannya. Walaupun selepas reinsurans semacam itu, data sering boleh diambil!

Apa yang berlaku apabila fail dipadam? Sangat mudah: dalam sistem fail, satu atribut diubah untuk itu, dan dengan itu ditandakan sebagai dipadamkan. Pada masa yang sama, kandungan fail masih berada pada cakera keras, dan ia boleh dipulihkan dengan menggunakan salah satu program berbayar dan percuma (contohnya, R-Studio). Kami telah menulis banyak kali mengenai bagaimana untuk membuang fail dengan selamat tanpa kemungkinan pemulihan. Untungnya ini, sebilangan besar utiliti mesin pencincang telah dibangunkan, dengan menggunakan teknik yang mudah, menimpa bahagian cakera di mana data yang dipadam terletak. Oleh itu, walaupun menggunakan teknologi pemulihan di mana data dibaca secara langsung dari media magnetik, adalah mustahil untuk memulihkan fail yang dipadam. Malah profesional yang sebenar dalam bidang pemulihan data telah memberi jaminan kepada kita tentang keberkesanan pendekatan ini. Tetapi - guru masih mempunyai kelemahan untuk mengekstrak maklumat!

Fail imej

Mari kita mulakan dengan melihat kes mudah - memadam foto tetap. Katakan kami mempunyai folder dengan foto, dan kami akan menyingkirkan salah seorang daripada mereka. Dan kami memadamkan semua peraturan, menimpa area cakera yang dikehendaki beberapa kali. Secara teorinya, tidak ada lagi yang harus mengkhianati kewujudannya (kecuali jika kita sendiri pernah menyalinnya ke folder lain dan lupa tentangnya). Tetapi di sini, hanya ramai orang lupa tentang satu ciri Windows - fail Thumbs.db. Ini adalah storan khas yang digunakan oleh sistem pengendalian, yang mengandungi imej kecil dari folder semasa. Sekiranya anda memilih mod paparan "Halaman Thumbnail" dalam explorer, maka OS akan mengambil imej kecil imej tersebut hanya dari fail ini. Ia dibuat dalam setiap folder yang terdapat gambar, dan mengandungi imej kecil dalam format JPEG (tanpa mengira format imej asal).

Marilah melakukan percubaan kecil - buat folder dan letakkan mana-mana tiga gambar di sana. Sekarang buka direktori ini di Explorer - Thumbs.db muncul (untuk melihat fail ini, anda perlu mengaktifkan paparan fail tersembunyi). Kita boleh melihat dan menganalisis menggunakan utiliti Viewer Database Thumbnail. Program ini, seperti yang dijangkakan, menunjukkan imej kecil untuk ketiga-tiga fail tersebut. Dan sekarang kita akan memadam salah satu daripadanya menggunakan program SDelete atau program lain untuk penghapusan data yang selamat:

sdelete.exe -p 2 file1.jpg

Parameter p bertanggungjawab untuk jumlah pas mesin pencincang, iaitu, menunjukkan berapa kali fail tersebut akan ditulis ganti sebelum penghapusan. Akibatnya, imej itu akan dipadamkan secara kekal dari cakera keras. Tapi mari kita lihat apakah penyingkiran ini entah bagaimana mempengaruhi Thumbs.db? Membuka semula, dan apa yang kita lihat? Gambar kecil untuk gambar yang dihapuskan masih ada! Ternyata file tersebut dengan mudah boleh memuat imej kecil imej yang telah dipadamkan. Dan mengenai ini, seperti yang saya diberitahu, lebih daripada satu orang pintar telah ditangkap ...

Bagaimana untuk mengelakkan ini? Sangat mudah - anda hanya perlu melumpuhkan caching kecil dalam fail Thumbs.db. Pada Windows XP, anda mesti menetapkan kekunci DisableThumbnailCache dalam bahagian HKEY_CURRENT_USERSperisian MicrosoftWindowsCurrentVersionExplorerAdvanced kepada "1". Pada Windows 7, kunci ini dinamakan NoThumbnailCache dan terletak di HKEY_CURRENT_USERSoftware Microsoft WindowsCurrentVersionPoliciesExplorer. Dan, tentu saja, adalah penting untuk tidak lupa memadamkan semua Thumbs.db.

Tukar fail

Substrat di bahagian sistem pengendalian pada hanya satu fail dengan gambar kecil tidak berakhir di sana. Semasa anda bekerja dengan dokumen, maklumat tentangnya jatuh ke dalam pelbagai bahagian OS - folder sementara, pendaftaran, dan sebagainya. Oleh itu, sangat sukar untuk mengesan dan memadam semua data yang berkaitan dengan fail. Di samping itu, ada tempat di mana salinan fail boleh berlaku secara tidak sengaja (kadangkala kemalangan seperti itu boleh menjadi sangat mahal). Saya bercakap mengenai fail halaman (pagefile.sys) dan swap memori yang digunakan semasa mod Hibernation (hiberfil.sys). Adalah mustahil untuk meramalkan kandungan fail swap, dan tiada siapa yang boleh menjamin apa-apa. Saya mencadangkan dalam eksperimen lain untuk memastikan bahawa ini adalah tempat yang berbahaya.

Oleh kerana sistem operasi tidak membenarkan anda melihat atau menyalin fail swap, kami mempunyai dua pilihan: menggunakan utiliti khas atau boot ke OS lain dan akses fail dari itu. Kaedah kedua kelihatan lebih mudah bagi saya, sejak Track Back, disumbat dengan pelbagai utiliti, termasuk untuk pemulihan fail, berada di tangan. Oleh itu, setelah boot dari LiveCD, saya memasang partition Windows dan pergi ke bahagian "BackTrack-> Forensic", dari mana saya melancarkan utiliti Foremost. Program konsol yang indah ini boleh memulihkan fail berdasarkan tajuk dan struktur dalaman mereka. Ia hanya perlu untuk memindahkan nama fail input di mana carian akan dijalankan, dan nyatakan direktori di mana semua data yang didapati akan disimpan:

#foremost -i /mnt/hda1/pagefile.sys -o / root / Desktop / page_file -v -q

Sebagai fail input, saya menetapkan fail swap /mnt/hda1/pagefile.sys, dan direktori untuk menyimpan hasilnya adalah / root / Desktop / page_file. Program ini memulakan kerjanya. Dalam masa yang singkat, Foremost berjaya mencari dan mengekstrak 524 fail.

Statistik fail yang diekstrak:
jpg: = 73
gif: = 4
gif: = 19
jpg: = 77
jpg: = 95
doc: = 1
pgp: = 65
pgp: = 62
pgp: = 44
pgp: = 36
dat: = 7
lnk: = 3
cookie: = 38

Utiliti mudah disusun semua fail mengikut jenis dan menyusunnya ke dalam folder yang berbeza. Perkara pertama yang saya lakukan ialah menyemak apa yang masuk ke dalam folder jpg. Daripada semua fail yang pulih, kira-kira separuh enggan dipaparkan, tetapi yang lain kelihatan sempurna. Dan apa yang tidak termasuk dalam gambar: beberapa gambar yang baru-baru saya dipadam, banyak imej kecil dari laman web, avatar rakan dari Facebook dan banyak lagi. Secara jujur, saya tidak merancang untuk mengesan imej yang begitu banyak. Sebagai tambahan kepada gambar-gambar, saya juga ingin mengetahui apa yang hanya fail doc yang masuk ke dalam fail halaman. Tetapi, malangnya, Word hanya mengutuk bahawa fail itu rosak dan tidak dapat membukanya. Kejutan yang tidak dijangka menunggu saya dalam folder cookie - menatal melalui beberapa fail, saya dapati alamat video yang saya tonton hampir setahun yang lalu di YouTube. Berikut adalah bukti lain yang walaupun memadamkan semua kuki dan sejarah dalam penyemak imbas masih boleh ditembusi.

Apa yang boleh dilakukan di sini? Terdapat beberapa pilihan. Yang pertama adalah untuk melumpuhkan fail swap sama sekali. Untuk melakukan ini, pergi ke "Control Panel-> System and Security-> System-> Advanced System Settings-> Performance-> Advanced-> Virtual Memory-> Change" and select the "No file paging" option. Pilihan kedua ialah memaksa sistem pengendalian menindih semua data dalam fail swap sebelum mematikan komputer. Mod ini diaktifkan jika anda menetapkan kekunci ClearPageFileAtShutdown dalam kunci Pengurusan HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ControlSessionMemory Management kepada "1". Malangnya, kaedah kedua sangat perlahan, dan mematikan sistem akan mengambil masa yang agak lama, jadi sama ada untuk mempraktikkannya atau tidak, tentukan sendiri. Keadaan yang sama wujud dengan fail hiberfil.sys. Anda juga boleh melumpuhkannya, yang akan menyimpan ruang cakera tambahan.

Dengan cara ini, anda juga boleh meneroka fail swap di bawah Windows. Tetapi kerana sistem operasi tidak membenarkan melihat dan menyalin menggunakan alat standard, kita memerlukan program FTK Imager. Pergi ke bahagian "File-> Add Evidence Item" dan tunjukkan pemacu di mana fail halaman berada. Di panel sebelah kiri, pokok direktori muncul, di mana anda perlu memilih pagefile.sys dan menggunakan fungsi eksport melalui menu konteks. Fail swap akan disalin ke folder yang ditentukan oleh kami tanpa sebarang masalah, dan tiada kunci sistem dari saat ini akan menghalangnya daripada dianalisis. Untuk analisis, dengan cara itu, anda boleh menggunakan DiskDigger atau PhotoRec. Yang pertama adalah lebih mudah, tetapi yang kedua dapat memulihkan pelbagai format fail yang berbeza.

Defragmentation

Mari kita beralih kepada sebab seterusnya untuk kemunculan fail hantu. Untuk menjadikannya lebih jelas dan lebih mudah difahami - sekali lagi, kami akan menjalankan percubaan kecil. Untuknya, kita memerlukan pemacu kilat dan keupayaan untuk mengendalikan WinHex. Pertama, kami akan menyediakan syarat untuk pengalaman dengan memotong semua data dari pemacu denyar. Untuk melakukan ini, jalankan WinHex, berikan arahan Open Disk dan pilih peranti kami di tetingkap yang muncul. Selepas dibuka, pilih semua kandungannya (Ctrl + A) dan tukulnya dengan nol (Ctrl + L). Satu nota - proses penulisan semula memerlukan masa yang mencukupi, jadi saya cadangkan mengambil pemacu kilat yang lebih kecil. Dari saat ini, tiada data pada pemacu dan, lebih-lebih lagi, tiada sistem fail. Jadi langkah seterusnya ialah memformat pemacu denyar dalam NTFS. Secara lalai, Windows XP hanya membenarkan pemacu denyar USB diformatkan di FAT, tetapi NTFS diperlukan untuk manipulasi kami. Untuk sistem operasi untuk memformat peranti ke sistem fail yang kami perlukan, anda perlu pergi ke pengurus peranti, cari pemacu kilat USB di sana dan tetapkan pilihan "Optimumkan untuk prestasi" dalam parameter. Selepas itu, Windows akan dapat memformat pemacu denyar USB dalam NTFS.

Matlamat pengalaman kami adalah untuk melihat apa yang berlaku pada fail semasa defragmentasi. Untuk melakukan ini, buat pemecahan buatan pada pembawa maklumat kami. Ambil apa-apa tiga fail jpeg dan mana-mana tiga fail audio atau klip video (perkara utama adalah saiz mereka lebih besar daripada jpeg) dan salinnya ke pemacu denyar USB dalam susunan berikut: 1.mp3, 1.jpg, 2.mp3, 2.jpg , 3.mp3, 3.jpg.

Saya tertanya-tanya bagaimana mereka berada di cakera? Untuk melihat ini, kami akan menggunakan alat DiskView dari Mark Russinovich. Ia memaparkan gambarajah grafik cakera, di mana anda boleh menentukan lokasi data atau mengetahui fail mana yang diduduki oleh kluster tertentu (untuk ini anda perlu klik pada cluster dengan mouse). Klik dua kali memberikan maklumat yang lebih terperinci tentang fail yang mana kumpulan itu diperuntukkan. Kami memulakan program, pilih pemacu kilat kami dan klik. Mula-mula datang bar hijau, menunjukkan sistem cluster, tetapi betul-betul selepas itu adalah kawasan kluster biru yang mewakili fail kami ditulis satu demi satu. Sekarang buat pemecahan dengan memadam semua fail audio. Klik sekali lagi dan lihat bahawa sebelum setiap fail jpeg terdapat kawasan kosong. Kini beralih kepada WinHex secara ringkas. Untuk memastikan sekali lagi bahawa tiada fail grafik yang tidak diperlukan pada pemacu denyar, kami akan mencari dengan tandatangan: cari urutan "jfif" yang terdapat dalam tajuk sebarang fail jpeg. Akibatnya, editor, seperti yang dijangkakan, mendapati betul-betul tiga urutan tersebut, dengan jumlah fail yang tinggal.

Nah, waktunya telah tiba untuk meletakkan perkara-perkara dalam rangka: tidak mengapa apabila fail begitu tersebar di sekitar cakera :). Kami melancarkan defragmentasi, begitu disukai oleh pengguna, untuk media kami:

C: Dokumen dan TetapanAdministrator> defrag h:
Windows Disk Defragmenter
Hak cipta (c) 2001 Microsoft Corp. dan Perisian Eksekutif Antarabangsa, Inc.

Laporan analisis
7.47 GB Jumlah, 7.43 GB (99%) Percuma, 0% Fragmented (0% fragmentasi fail)

Laporan Defragmentation
7.47 GB Jumlah, 7.43 GB (99%) Percuma, 0% Fragmented (0% fragmentasi fail)

Дефрагментация прошла, посмотрим, что изменилось на флешке. Жмем на в программе DiskView, и что мы видим? Файлы, которые располагались на расстоянии друг от друга, аккуратно перенесены в начало диска, и располагаются строго последовательно. А теперь внимание! Дефрагментация скопировала файлы в начало диска, расположив их последовательно, но перезаписала ли она их предыдущую копию нулями? Чтобы ответить на этот вопрос, опять обратимся к мощному шестнадцатиричному редактору. Снова проведем поиск по "jfif". Оп-па, теперь вместо трех найденных строк получаем целых шесть! И это может означать только одно — теперь каждый файл представлен в двух экземплярах. Любой из них легко восстанавливается с помощью DiskDigger’a или Photorec’a. А теперь представь, что вместо графических файлов у нас были какие-то конфиденциальные документы или файлы с данными по кредиткам. Walaupun kita menggunakan utiliti seperti Sdelete dan menulis semula ketiga-tiga fail ini ratusan kali sebelum memadamkannya, hantu mereka masih akan kekal di cakera dan wujud di sana selama-lamanya. Sehingga ditindih oleh apa-apa lagi. Dan sepanjang masa ini mereka boleh dipulihkan!

Kebenaran dan mitos tentang mikroskop magnetik

Selalunya orang pergi ke dua ekstrem. Sesetengah tukul secara terbuka pada keselamatan mereka dan menyimpan pada skru semua maklumat yang menuduh, memastikan bahawa mereka akan disimpan. Lain-lain, sebaliknya, lap skru setiap hari dan pasang semula OS. Mungkin saya membesar-besarkan. Walau bagaimanapun, seringkali seseorang harus membaca pertikaian di Web tentang berapa kali ia perlu menulis semula skru supaya maklumat tidak dapat dipulihkan. Saya mencadangkan secara empirikal untuk mengetahui sama ada satu penulisan penuh sudah mencukupi memadamkan semua data secara kekal. Jadi, sekali lagi, mari kita mengambil pemacu kilat eksperimen kami dan tulis semula dengan nol, dan kemudian formatkannya dalam NTFS. Untuk memeriksa, mari letakkan beberapa fail di atasnya: biarkan ia menjadi JPEG lagi. Ia boleh didapati dengan mudah dalam tandatangan WinHex "jfif". Saya telah letaknya di offset 274432. Nah, mari kita mulailah mesin pencincang (saya menggunakan HDD Wipe Tool) dan padamkan seluruh cakera. Sekarang, jika anda melihat WinHex, yang terletak pada offset 274432, maka kita akan melihat hanya nol. Untuk keselesaan dan keyakinan, anda boleh cuba memulihkan data menggunakan DiskDigger, Photorec, Foremost dan utiliti lain. Tetapi ini jelas membazir masa - tiada apa yang akan datang daripada mereka.

"Baiklah," kata anda, "bagaimana dengan alat-alat yang serius yang tersedia kepada pihak berkuasa yang cekap yang boleh memulihkan data?" Nah, mari bercakap tentang mikroskop magnetik. Inti dari kaedah ini adalah untuk menentukan keadaan setiap bit sebelum menukarkannya. Iaitu, sama ada sama dengan satu atau sifar. Ambil teks yang dikodkan ASCII. Setiap watak dikodkan dalam lapan bit dengan cara yang walaupun hanya satu bit dipulihkan secara salah, watak yang sama sekali berbeza diperolehi. Sebagai contoh, terdapat urutan "anti" aksara yang kelihatan dalam bentuk binari seperti berikut: 01100001011011100111010001101001. Katakan bahawa bit magnetik telah mengesan semua bit dengan betul kecuali yang terakhir - sebagai hasil pemulihan seperti itu kita dapat urutan "anth". Masalahnya ternyata. Dan kita bercakap tentang fail teks paling mudah. Bayangkan apa yang akan berlaku dalam kes format berstruktur - seperti arkib, fail pangkalan data, fail boleh laku, dan sebagainya. Selain itu, kaedah ini agak perlahan dan mahal. Oleh itu dalam banyak kes, penggunaan mikroskop magnetik memberikan hasil yang sama seperti pemulihan dengan melambungkan duit syiling ke ekor. Oleh itu, tidak perlu menulis semula cakera tiga kali.

Pertahanan terbaik adalah serangan.

Apa yang boleh dilakukan untuk merumitkan kehidupan orang yang komputer anda boleh dapatkan untuk peperiksaan? Terdapat beberapa pilihan. Sekiranya fail "menarik" ditemui pada komputer, masa penciptaannya akan menjadi bukti kukuh terhadap pemiliknya. Untuk mengesan rangkaian peristiwa, pakar juga bergantung pada masa penciptaan / akses / pengubahsuaian fail. Jadi mengapa tidak mengelirukan jejak kaki? Terdapat satu utiliti yang hebat di metasploit.com sebagai Timestomp, yang membolehkan anda mengubah penciptaan, pengubahsuaian atau masa akses untuk fail yang diberikan. Pilihan utama untuk kegunaannya:

-m menetapkan tarikh fail terakhir diubah suai
-a menetapkan tarikh fail yang terakhir diakses
-c menetapkan masa pembuatan fail
-e menetapkan masa pengubahsuaian fail yang disimpan di MFT
-z menetapkan empat pilihan di atas

Tarikh ditetapkan seperti berikut: DayofWeek MonthDayYear HH: MM: SS [AM | PM].

Terdapat juga pilihan yang sangat menarik -b, yang menetapkan atribut-atribut di atas sedemikian rupa sehingga program EnCase yang diketahui dalam kalangan komputer forensik tidak melihatnya dan memaparkannya kosong :).

Oleh itu, untuk mengubah atribut fail, cukup untuk melaksanakan perintah di konsol:

c:> timestomp.exe boot.ini -z "sunday 1/12/2099 10:00:00 pm"

Anda boleh melukis skrip yang secara rekursif mengubah sifat-sifat sementara fail. Pilihan paling mudah adalah seperti berikut:

untuk / R c: tools% i in (*) lakukan timestomp.exe% i -z "Senin 3/12/2009 10:00:00 pm"

Ada cara lain untuk merosakkan kehidupan sesama penyelidik HDD orang lain. Dalam kerja mereka, mereka menggunakan program yang ditulis oleh orang biasa, dan dengan itu - mengandungi kesalahan. Ya, kita boleh mengeksploitasi kelemahan dalam perisian yang digunakan untuk mencari bukti. Anda boleh membaca lebih lanjut mengenai ini dalam salah satu laporan daripada persidangan DefCon.

Kesimpulannya

Pemadaman Data Selamat bukanlah sejenis muntah. Saya berani memberi jaminan bahawa kelemahan yang diterangkan bukanlah satu-satunya jenis mereka. Dan yang, dengan pekerjaan, menjalankan kepakaran komputer pada tahap profesional, tahu di mana dan bagaimana untuk mencari data yang dia perlukan. Kini keselamatan anda berada di tangan anda - jangan biarkan "ghostbusters" menemui "hantu" tunggal di komputer anda. Dan lebih baik - jangan memberi mereka alasan untuk datang melawat anda :).

Pemadam HDD

Ini adalah utiliti khas yang direka untuk menghapuskan cakera keras sepenuhnya, kerana anda boleh memadam fail dari komputer anda tanpa kemungkinan pemulihan dengan cara lain. Program ini melakukan tindakan yang ketat, jadi anda perlu memuat turun versi mudah alihnya dan menjalankannya dari pemacu keras kedua atau dari cakera yang boleh tanggal. Tiada pemasangan diperlukan.

  1. Jalankan aplikasi
  2. Pergi ke menu Mula dalam utiliti, di antara cakera yang terdapat, pilih yang anda ingin bersih dan klik "memohon."
  3. Amaran akan muncul. Pastikan pilihan anda, kerana prosesnya tidak boleh terganggu, dan pada output anda akan mempunyai cakera kosong yang tidak mungkin untuk memulihkan apa-apa.

Padamkan fail secara manual dari komputer

Disyorkan untuk pengguna canggih sahaja.

1. Walaupun memotong imej akan mengambil sedikit masa disebabkan oleh keghairahan OS Windows. Ia menyimpan imej kecil, imej kecil, semua imej dalam format JPEG dalam folder khas Thumbs.db. Direktori ini tersembunyi. Anda boleh mengelakkan membuat imej kecil dalam direktori ini. Untuk melakukan ini, cari bahagian HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesExplorer dalam registri, dan tetapkan kekunci NoThumbnailCache kepada 1, dan kemudian semua direktori Thumbs.db perlu dihapuskan.

2. Fail, semasa kerja dengan mereka, boleh masuk ke dalam pelbagai bahagian sistem dan bahkan meninggalkan salinan mereka. Sebagai contoh, dalam fail halaman, pagefile.sys. Anda boleh mengesahkan ketiadaan data dalam fail swap menggunakan perisian pihak ketiga atau memuatkan OS lain pada peranti yang sama. Untuk melakukan ini, gunakan LiveCD untuk boot ke sistem lain, kemudian gunakan program Track Back untuk menjalankan utiliti Foremost. Masukkan arahan berikut:

#foremost -i / mnt / hda1 / "nama fail paging" -o / root / "untuk menyimpan data yang dikesan" -v -q

Dan jalankannya. Program ini akan mengesan dan menyusun fail dengan sambungan mereka.

Untuk melindungi data peribadi, anda boleh mematikan fail halaman. Pergi ke Panel Kawalan -> Sistem dan Keselamatan -> Sistem -> Tetapan Sistem Lanjutan -> Prestasi -> Lanjutan -> Memori Maya -> Tukar. Seterusnya, jangan tanda kotak dan pilih "Tiada fail swap" di bawah.

3. Fail mungkin tidak dipadamkan sepenuhnya apabila defragmenting peranti penyimpanan data mudah alih: selepas proses, maklumat itu dipindahkan ke bahagian atas cakera dan diperintahkan, tetapi salinannya tidak ditimpa. Walaupun selepas membersihkan media boleh tanggal, mereka boleh dipulihkan. Gunakan mana-mana kaedah di atas untuk memadam sepenuhnya fail.

Kesimpulannya, perlu diingatkan bahawa memotong fail secara kekal bukanlah satu ubun-ubatan, walaupun privasi adalah bernilai menonton. Terdapat pilihan yang tidak dijelaskan untuk mengesan salinan fail tersembunyi. Hanya pakar yang biasa dengan prinsip-prinsip tersebut biasa dengan peranti komputer pada tahap tertinggi. Dengan kaedah yang disenaraikan di atas, keselamatan data anda dari orang luar terletak pada bahu anda, walaupun tidak ada perlindungan mutlak.

Tonton video itu: Delete Fail Dalam Komputer Tetapi Tidak Dalam Google Drive (Januari 2022).

Pin
Send
Share
Send
Send