誰かがあなたが削除されたファイルを削除したかどうかを知ることができますか?
何かを完全に削除するには、削除したファイルを上書きできないようにプログラムを使用する必要があることを認識しています。
とにかくこれが起こったと言うことはありますか?または、結果の状態が非常にランダムなため、「クリーンアップ」されたばかりだと誰も知ることができませんか?
100 GBのC:\ドライブがあり、すべてのデータが「クリーンアップ」されています。 「クリーニング」の後、誰かがリバーサルを実行しようとして失敗した場合、彼はそれが「クリーニング」されたことを疑います。だから私がすることは、「ランダムファイル」をコピーして削除し、彼が逆転すると彼が「ランダムファイル」を取得するようにすることです。ここで問題は、単に50GBの「ランダムファイル」がある場合、残りの50 GBに「クリーニング」の証拠が表示されるのでしょうか。 「クリーニング」のすべての痕跡を消去するために、100GBの「ランダムファイル」(およびそれらを削除)をすべて埋める必要がありますか?
正解です。ファイルを削除するには、以前に存在していた実際のディスクブロックを上書きする必要があります。これは通常、ランダムデータで行われます。たとえば、Windowsツールの「暗号」は、未使用の(以前に使用されたなどの)ディスク領域を0、1、およびランダムデータで上書きします。
法医学捜査官がコンピューターのディスクを見て、この方法で削除されたファイルをワイプした場合、ディスクの「スラックスペース」がランダムなデータでいっぱいになり、削除されたファイルがほとんどまたはまったくないことに気づくでしょう。 「readme.txt」を削除して、ワイプしなかったとします。彼はその元のファイルの内容を見つけて、「さて、ここに削除されたテキストファイルがあります」と言います。したがって、削除されたファイルが見つからない場合は、a)ファイルを一度も削除したことがないか、b)削除されたファイルを上書きするためにスラックスペースをワイプしたかを判断する必要があります。明らかにb)はa)よりも可能性が高いです。
別の言い方をすると、ワイプの結果の状態がランダムである場合、その非常にランダムなことが、ディスクが「クリーンアップ」されたことを調査者に伝えます。
PGPシュレッドなどの一部のツールは、ディスク上のすべてのスラックスペースをクリーンアップするのではなく、指定した単一のファイルを上書きします。機密ファイルを細断処理し、通常のファイルを通常どおりに削除すると、調査者がファイルのワイプが発生したことを証明することが難しくなります。
Gowenfawrの言うことは完全に正しいですが、それに何かを追加したいと思います。
ファイルシステムによっては、一部が残っている場合があります。 NTFSでは、ファイルのワイプ/削除時にファイルのインデックスは削除されません。したがって、ファイルの内容を回復することはできませんが、常にファイルの痕跡が残ります。
詳細については、sans forensicsからのこのブログ投稿を参照してください
そのような場合、最も簡単な解決策は truecrypt を使用することです。使用することは合法であり、必要性を正当化するのは簡単であり、誰があなたが以前使用していたデータの量、そこにどのファイルがあったかなどは誰にもわかりません。