削除したアイテムはハードドライブのどこに保存されますか？

Question

Casey Anthonyのトライアル（CNN）に関する以下の引用を読んだ後、削除されたファイルが実際にハードドライブに移動する場所、削除後にどのように表示されるか、データがどの程度（完全に、部分的に）回復できるかについて知りたいです。、など）。

「裁判の早い段階で、専門家は、誰かが彼女の両親と共有した家のケーシーアンソニーのデスクトップコンピューターでキーワード検索を行ったと証言しました。

捜査はコンピューターのハードドライブの一部で発見され、削除されたことが明らかになった、とオレンジ郡保安官事務所のサンドラ・オズボーン捜査官は水曜日にアンソニーの首都殺人裁判で証言した。

この種のことに使用できるスーパーユーザーアドレスサードパーティソフトウェアに関する質問の一部を知っていますが、削除後にこのデータがどのように表示されるか、ハードドライブ上の場所などに興味があります。興味のあるトピック全体を見つけてください。追加の洞察を歓迎します。

jncraton · Accepted Answer

一般に、削除されたファイルはどこにも行きません。上書きされるまで、ディスク上にそのまま残ります。それらが削除されると、ファイルシステム構造からリンクが削除されます。

Tyler Faile · Answer

1970年の図書館を想像してみてください。すべての棚に本が置かれていて、探している本がどこにあるかがわかるカード付きの引き出しがありました。

ハードドライブには、ファイル（本）とは別のテーブル（引き出し）があります。

オペレーティングシステムは、データを検索する必要があるときにこのテーブルを参照します。次に、読み取りヘッドまたはデバイスが使用するものを使用して本の場所に移動し、そこでデータを読み取ります。

ユーザーがファイルを削除することを決定した場合、コンピューターはその場所のテーブルの内容を消去するだけで、基本的にそのファイルの空白のカードがテーブルに挿入されます。コンピューターが各場所に移動して実際にファイルを消去するには、より多くの時間と電力が必要になるため、そのまま残します。

次に、本は物理的には図書館にありますが、彼らの記録には載っていませんが、特別なソフトウェアがすべての本を読んで、最近削除されたものを見つけることができます（それ以降に上書きされていない限り）その後！）

JRobert · Answer

それはあなたが削除によって何を意味するかに依存します。ほとんどのOSでは、ファイルはごみ箱フォルダに移動することによって「削除」されます。具体的には、ユーザーが後でcanを回復できるようにするためです。ごみ箱の内容が「削除」されると、データを含むブロックは使用可能としてマークされますが、内容はそのままです。データを読み取り不可能にするには、OSがそのオプションを提供している場合、ユーザーはファイルまたはそれを含むごみ箱フォルダーを「安全に削除」する必要があります。そうでない場合、これらのブロックは最終的に再利用され、新しいデータによって上書きされますが、これには長い時間がかかる可能性があり、その間、それらのブロック内のデータが検出されて読み取られる可能性があります。

DaleSwanson · Answer

タイラー・ファイルのアナロジーは素晴らしいです。

データはどこにも行きません。そのアドレスは単に空き領域としてマークされており、新しいデータの行き先が必要になると上書きされます。上書きされるとすぐに、永久に削除されます。

何かを削除して復元できないようにする場合は、直接上書きするか、ハードドライブのすべての空き領域を上書きすることができます。ただし、ファイルは通常の使用中にOSによって移動されるため、単にファイルを上書きしないように注意する必要があります。これが発生した場合、古いコピーは安全に上書きされません。

ファイルを上書きし、すべての空き領域を上書きするための優れたプログラムは、消しゴムです。 http://eraser.heidi.ie/

ハードドライブ全体を（おそらくそれらを販売する前に）上書きするための優れたプログラムは、Darik's Boot and Nukeです。このプログラムには十分注意してください。その名前は非常に正確です。コンピュータにデータが必要ないことが確実でない限り、使用しないでください。

多くの場合、1回の上書きでデータを回復できるかどうかについては議論があります。実際、これは最近のディスクで公に行われたことはありません。 Peter Gutmannがこれについて論文を書き、その方法の1つが彼にちなんで名付けられました。彼の論文はこちらで読むことができます： http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html

これは彼がマルチパスオーバーキルについて言わなければならないことです：

このペーパーが公開されて以来、一部の人々は、ドライブエンコーディングテクニックの技術的分析の結果よりも、悪霊を追放する一種のブードゥー教の呪文として、35パスの上書きテクニックを扱いました。その結果、彼らはランダムなデータを使った単純なスクラブ以上の効果はないものの、ブードゥーをPRMLおよびEPRMLドライブに適用することを提唱しています。実際、すべてのタイプの（通常使用される）エンコーディングテクノロジーを含むシナリオのブレンドを対象としているため、フルパスの35パスの上書きを実行しても、どのドライブにとっても意味がありません。その声明を理解していない、紙をもう一度読んでください）。エンコーディングテクノロジーXを使用するドライブを使用している場合は、Xに固有のパスを実行するだけでよく、35パスすべてを実行する必要はありません。最新のPRML/EPRMLドライブでは、ランダムスクラブを数回実行するのが最良の方法です。紙が言うように、「ランダムなデータを使った適切なスクラビングは、期待できるのと同じくらい効果があります」。これは1996年に当てはまりましたが、今でも当てはまります。

ayckoster · Answer

削除されたファイルに割り当てられたスペースは解放されるため、他のファイルによって上書きされる可能性があります。ただし、それが発生するまで、ファイルはハードドライブに残ります。

通常、これらのファイルにアクセスすることはできませんが、そのような削除されたがまだ上書きされていないファイルを見つけるためのさまざまなツールが存在します。それでも、パスやファイル名など、ファイルに関するメタ情報全体が失われます。このようなファイルを復元すると、特定のディレクトリにFILE004のような不可解な名前が付けられます。