如果我将文件保存到 HDD(不是 SSD),移动 2 个垃圾箱,然后从垃圾箱剪切/粘贴到 USB,这是否能够支持旨在恢复文件的取证分析?

如果我将文件保存到 HDD(不是 SSD),移动 2 个垃圾箱,然后从垃圾箱剪切/粘贴到 USB,这是否能够支持旨在恢复文件的取证分析?

如果我将文件(.odt、.txt、jpeg 等)保存到我的 HDD(不是 SSD),移至垃圾箱,然后将垃圾箱中的文件剪切/粘贴到 USB,这是否可以支持最好的取证设备之后尝试从我的硬盘恢复文件吗?

显然,基本上,我试图不留下文件的痕迹。另外,我在想,如果我不想“垃圾/删除”这些文件,那么它们“是”可恢复的,那么将它们移动到 USB(在我不再需要它们之后)并擦洗 USB 怎么样?使用 dd 命令: sudo dd if=/dev/urandom of=/dev/sdx bs=8192。

那么问题来了,如果我按照这种方法,它们仍然位于我的硬盘上吗?

我会使用 PhotoRec 对其进行测试,但由于我没有删除文件,因此使用 PhotoRec 似乎不是一个可行的选择。

网站文章如下:

“如果您剪切文件或文件夹,它不会消失,而是变得透明。当您粘贴该文件/文件夹时,它会被移动到新位置并从原始位置消失。

https://www.issco.unige.ch/en/research/tutoriel-informatique/EN/copy_cut_delete_move_and_paste.html

答案1

在标准文件系统上,擦除文件只是删除对数据的引用,并使保存数据的空间可供重用。

当您将文件移动到同一文件系统上的另一个位置时,数据仍保留在磁盘上的同一位置。为了隐藏事物的目的,这是一个禁止操作。

当您将文件移动到另一个文件系统时,系统会进行复制/擦除。为了隐藏事情的目的,这会适得其反。初始数据仍然存在于原始文件系统上,只是被标记为已删除。但现在您已经丢失了对它的引用,因此您无法覆盖它,除非您覆盖磁盘上的所有可用空间。

但如果我们不知道威胁是什么,那么所有这些都是废话:

  • 具有管理员权限的人
  • 能够物理访问计算机或您的备份的人
  • 计算机上的另一个“普通”用户

对于 1),您无能为力,因为此人可以安装键盘记录程序,或者在您删除文件之前复制您的文件。

对于2)

  • 最好的防御是文件系统加密(计算机和备份)
  • shred如果 FS 类型和参数与其兼容,则使用该命令
  • 定义一个临时文件系统 (tmpfs) 并在完成后销毁它。
  • 将文件直接保存到此人无权访问的可移动设备

对于3),如果处理得当,文件访问权限应该足够。


如果删除外部驱动器中的文件:

  • 如果您rm在 shell 中使用,则不会将任何内容复制到您的内部磁盘
  • 如果您使用文件管理器:
    • 可以有一个“硬删除”命令(无垃圾箱)(我的文件管理器中的 Shift-Del)不会将文件移至垃圾箱(直接相当于rm
    • 如果您使用移动到垃圾箱的“软删除”,那么这取决于外部驱动器的设置方式:
      • 如果驱动器有自己的垃圾文件夹,该文件将移至外部驱动器上的垃圾文件,而不是复制到内部驱动器。
      • 否则,该文件将被复制到内部驱动器上的常规“垃圾箱”文件夹中,并在外部驱动器上被删除。

相关内容