¿Se puede usar una máquina virtual en lugar del host?

Sí, es posible pero innecesario en tu caso.

La gente a menudo usa máquinas virtuales para aislar aplicaciones potencialmente maliciosas de su host principal y para tener algún tipo de botón de retroceso para restaurar la máquina virtual a un estado anterior en caso de que algo salga mal allí, pero parece que eso no es lo que quieres hacer .

Para derrotar a los forenses, todo lo que necesita es cifrado completo del disco con una clave segura (frase de contraseña larga o archivo de clave), que será imposible de derrotar si se hace correctamente; tenga en cuenta que solo dije forenses y forenses, si está tratando con alguien que puede alterar su máquina mientras la deja desatendida ( evil maid attack ) tendrás que buscar sellar tu clave en un TPM que solo los desbloqueará si la máquina no ha sido modificada (en Linux hay TrustedGRUB, que parece poder aprovecharse de un TPM pero no lo probé).

Su solución es un desastre tanto en términos de rendimiento (usted hace el cifrado dos veces, tanto en el host como en el invitado, 2 veces más sobrecarga con solo una ganancia de seguridad marginal) y facilidad de uso (como dije anteriormente, puede obtener el la misma seguridad al obtener un rendimiento nativo utilizando el cifrado completo del disco).

En cuanto a la eliminación de archivos confidenciales en una partición sin cifrar, puede usar shred que sobrescribe el archivo múltiple Tenga en cuenta que usarlo en un SSD es probablemente contraproducente, ya que el controlador del SSD escribirá los nuevos datos en un bloque de memoria diferente y no sobrescribirá el mismo, por lo que al final solo agotará su SSD. ; también tenga en cuenta que si bien el archivo en sí puede ser destruido, su sistema operativo puede guardar fragmentos del archivo o incluso el archivo completo en otro lugar para otros fines, como miniaturas de fotos, por ejemplo; pero ninguno si es necesario si utiliza el cifrado de disco completo suponiendo que su clave se mantiene secreta.

  

¿podría recomendarme lo que debería hacer para evitar que alguien en el análisis forense informático encuentre archivos borrados o archivos?

Borre de forma segura los archivos y borre el espacio vacío en su disco duro con un algoritmo de tres pases. Hay una gran guía para eso aquí, en AskUbuntu . Técnicamente, puedes recuperar cosas que se han pasado con menos de 51 pases, pero eso es con un equipo altamente especializado y mucha motivación. A menos que seas el mayor exportador mundial de drogas, sicarios, películas pirateadas y pornografía infantil al mismo tiempo, este tipo de ataque probablemente no se aprovechará de ti. Si lo eres, recórtalo hombre! : P

Ahora a la carne de su pregunta. Descubrí que es más fácil hacer análisis forense en máquinas virtuales porque son portátiles y las instantáneas eliminan gran parte de la logística. Sin embargo, si cifra el archivo vdmk con una frase de contraseña diferente a la del host, no guarde las instantáneas y evite que Virtualbox arroje cosas por todo el sistema de archivos, en teoría eso sería más seguro que solo un sistema operativo host.

Las máquinas virtuales también le brindan la clara ventaja de poder destruir (eliminar de manera segura) su computadora. Destruir el directorio de la máquina virtual sería más rápido que usar Darik's Boot y Nuke, y no parecería muy sospechoso a primera vista.

Como con todas las preguntas como esta, debe tener en cuenta la probabilidad de que ocurra una situación como esta. No vivas en un castillo con foso para mantener alejados a los unicornios.