我知道 Windows 有许多安全删除程序。
但是,如果有人想简单地删除一份私人文档,他们是否可以通过在记事本/写字板中打开它,删除内容或用虚假数据替换乱码文本,然后“保存”它?
这种方法有多安全?您将如何进行数据恢复?
答案1
在最好的情况下,如果您用乱码替换现有文件的确切大小并保存它,您描述的过程就会起作用。
也就是说,这是一种非常糟糕的安全删除机制,因为它可能会受到操作系统或其他应用程序的干扰,并且它使用顶级文件系统 API,而这并不总是像我们想象的那样与底层物理存储操作相匹配。特定文件系统的确切实现也可能会产生影响(例如,MS NTFS v5 和 ntfs-3g 可能不会以完全相同的方式工作)。
首先,考虑一下,我们需要安全删除的原因是,因为当 Windows(或 Linux)删除文件时,它会删除指向文件数据位置的索引,但不会删除数据本身。
这意味着有人可以读取磁盘,完全忽略索引,并立即看到文件。Windows 文件系统 API 不会显示它,但如果您可以找到它的地址,并且它没有被新文件覆盖,则可以恢复它。这就是像 photorec 这样的 scavenger/carver 实用程序的工作方式(好吧,无论如何,部分如此)。数据恢复工具在 Windows 文件系统实现下运行,因此它们不遵循相同的规则。
因此,假设您打开一个文档,删除所有文本,然后保存它。假设它保存在同一位置,您的文件系统索引将指向磁盘上的同一位置,但其长度将缩短。由于新文件占用的空间比原始文件少很多,原始文件的大部分数据仍在磁盘上。文件的一小部分可能已被更改的文件的存储结构(某种文件结束分隔符)覆盖,但您可以恢复其余大部分数据。这很复杂,所以大多数对手不会诉诸这样的操作,但这仍然是可能的。
但更大的问题是您的操作系统和应用程序特定的恢复机制。ShadowCopy 或用户持久性等功能可以将文件的副本存储在意想不到的位置。就应用程序而言,如果您正在使用 Word 文档,Word 默认每 10 分钟将文件的临时副本保存到磁盘。保存和关闭时,这些文件会被删除,但像 Recovua 这样的简单恢复实用程序可以恢复它们及其所有数据。
因此,总而言之,使用 Eraser 或擦除或粉碎,并留意您的配置文件临时文件存储。