¿Dónde van los elementos eliminados en el disco duro?

23

Después de leer la cita a continuación sobre el juicio de Casey Anthony (CNN), tengo curiosidad acerca de dónde realmente van los archivos eliminados en un disco duro, cómo se pueden ver después de ser eliminados y en qué medida los datos se pueden recuperar (total, parcialmente , etc.)

"Anteriormente en el juicio, los expertos declararon que alguien realizó las búsquedas de palabras clave en una computadora de escritorio en el hogar que Casey Anthony compartió con sus padres.

Las búsquedas se encontraron en una parte del disco duro de la computadora que indicaba que habían sido eliminadas, la detective Sandra Osborne de la Oficina del Sheriff del Condado de Orange testificó el miércoles en el juicio por asesinato capital de Anthony ".

Conozco algunas de las preguntas aquí sobre el software de terceros de direcciones de Superusuario que se pueden usar para este tipo de cosas, pero estoy más interesado en cómo se pueden ver estos datos después de la eliminación, dónde residen en el disco duro, etc. encuentra todo el tema interesante, por lo que cualquier información adicional es bienvenida.

windows mac hard-drive data-recovery alemán
fuente
Recientemente estaba descargando algunos torrents y cuando intenté obtener una vista previa de ellos, reproduje videos que había eliminado varios días antes, ya que asignó esa ubicación de memoria al torrent pero aún no descargué nada. Pensé que un ejemplo podría ayudar :)
Skeith

Respuestas:

33

En general, los archivos eliminados no van a ninguna parte. Permanecen en el disco exactamente como estaban hasta que se sobrescriben. Cuando se eliminan, un enlace a él simplemente se elimina de la estructura del sistema de archivos.

jncraton
fuente
39

Imagina una biblioteca en 1970. Tenías todos los estantes con los libros en ellos y tenías cajones con tarjetas que podían decirte dónde estaba ubicado el libro que estabas buscando.

En un disco duro, tiene una mesa (los cajones) que está separada de los archivos (los libros).

Su sistema operativo hace referencia a esta tabla cuando necesita encontrar datos. Luego va a la ubicación del libro con su cabeza lectora o lo que sea que el dispositivo use y lea los datos allí.

Cuando un usuario decide eliminar un archivo, la computadora simplemente borra el contenido de la tabla para esa ubicación, esto básicamente pone una tarjeta en blanco para ese archivo en la tabla. porque tomaría más tiempo y energía para que la computadora vaya a cada ubicación y realmente borre el archivo, simplemente lo deja allí.

Luego, debido a que el libro todavía está físicamente en la biblioteca, a pesar de que no está en sus registros, es posible que un software especial lea todos los libros y descubra lo que se ha eliminado recientemente (siempre que no se haya reescrito desde entonces ¡luego!)

Tyler Faile
fuente
1
+ 2 Muy buena analogía.
Jerry
5

Depende de lo que quieras decir con eliminado. en la mayoría de los sistemas operativos, los archivos se "eliminan" al ser enviado a la carpeta de basura, especialmente por lo que pueden ser recuperados más tarde por el usuario. Una vez que el contenido de la Papelera se "elimina", los bloques que contienen los datos se marcan como disponibles, pero con su contenido intacto. Para que los datos no se puedan leer, el usuario debe "Eliminar de forma segura" el archivo o la carpeta Papelera que lo contiene, si el SO ofrece esa opción. De lo contrario, esos bloques eventualmente serán reutilizados y sobrescritos por nuevos datos, pero eso podría llevar mucho tiempo, y mientras tanto, los datos en esos bloques podrían ser encontrados y leídos.

JRobert
fuente
1
Debe tenerse en cuenta que "eliminar" o "mover" un archivo de una carpeta a otra o incluso a la papelera solo afecta la información del enlace del archivo (es decir, el nombre), no el contenido del archivo en el disco.
Chris Nava
@ Chris es por eso que es mucho más rápido cortar un archivo más grande que copiarlo?
Skeith
1
Sí, mover un enlace pequeño es mucho más rápido que copiar el contenido del archivo.
JRobert
5

La analogía de Tyler Faile es genial.

Los datos no van a ninguna parte. La dirección se marca simplemente como espacio libre y luego se sobrescribe cuando los nuevos datos necesitan un lugar adonde ir. Tan pronto como se sobrescribe, desaparece permanentemente.

Si desea eliminar algo para que no sea recuperable, puede sobrescribirlo directamente o sobrescribir todo el espacio libre en su disco duro. Sin embargo, debe tener cuidado de simplemente sobrescribir archivos, ya que el sistema operativo mueve los archivos durante el uso normal. Si esto sucede, la copia anterior no se sobrescribirá de forma segura.

Un buen programa para sobrescribir archivos y sobrescribir todo el espacio libre es Eraser. http://eraser.heidi.ie/

Un buen programa para sobrescribir discos duros completos (quizás antes de venderlos) es Darik's Boot and Nuke. Ten mucho cuidado con este programa. Su nombre es bastante exacto. No lo use a menos que esté seguro de que no desea ningún dato en una computadora.

A menudo hay debates sobre si los datos aún se pueden recuperar después de una sola sobrescritura. El hecho es que esto nunca se ha hecho públicamente en un disco moderno. Peter Gutmann escribió un artículo sobre esto, y uno de los métodos lleva su nombre. Puedes leer su artículo aquí: http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html

Esto es lo que tiene que decir sobre el exceso de pases múltiples:

En el tiempo transcurrido desde que se publicó este documento, algunas personas han tratado la técnica de sobrescritura de 35 pases que se describe más como una especie de encantamiento vudú para desterrar espíritus malignos que el resultado de un análisis técnico de las técnicas de codificación de unidades. Como resultado, abogan por aplicar el vudú a las unidades PRML y EPRML a pesar de que no tendrá más efecto que un simple lavado con datos aleatorios. De hecho, realizar la sobrescritura completa de 35 pasadas no tiene sentido para cualquier unidad, ya que apunta a una combinación de escenarios que involucran todos los tipos de tecnología de codificación (normalmente utilizada), que cubre todo hasta los métodos MFM de más de 30 años (si no lo hace) No entiendo esa declaración, vuelva a leer el documento). Si está utilizando una unidad que utiliza la tecnología de codificación X, solo necesita realizar los pases específicos de X, y nunca necesita realizar los 35 pases. Para cualquier unidad PRML / EPRML moderna, lo mejor que puede hacer es realizar algunas pasadas de depuración aleatoria. Como dice el artículo, "Un buen fregado con datos aleatorios funcionará tan bien como se puede esperar". Esto fue cierto en 1996, y sigue siendo cierto ahora.

DaleSwanson
fuente
1
Sin embargo, debe tenerse en cuenta que la sobrescritura múltiple puede no ser segura en unidades SSD. Comparar superuser.com/q/22238/33973
sum1stolemyname
También hay que señalar que sobrescribir los archivos individuales (en contraposición a una partición entera / disco) es a menudo no es suficiente: superuser.com/questions/157931/foss-wipe-free-space-7-35-passes~~V~~singular~~3rd
sleske
Esta es una buena respuesta, pero el OP no estaba interesado en el software real que borra sino dónde reside, del cual no proporciona una nueva visión. No voté en contra, pero realmente no puedo justificar un voto en contra.
James Mertz
3

El espacio asignado para los archivos eliminados se libera para que otros archivos puedan sobrescribirlos. Pero hasta que eso suceda, sus archivos permanecerán en su disco duro.

Por lo general, no es posible acceder a estos archivos, pero existen diferentes herramientas para encontrar dichos archivos eliminados pero aún no sobrescritos. Aún así, pierde toda la metainformación sobre el archivo, como la ruta y el nombre de archivo. Si restaura un archivo de este tipo, obtiene un nombre críptico como FILE004 en un directorio específico.

ayckoster
fuente