Si un sistema operativo está protegido por cifrado de disco completo (FDE), ¿el software de recuperación puede recuperar los archivos eliminados del disco después de desbloquear FDE?

1. Sí y no. Sí, puede recuperar un archivo eliminado, dependiendo de cómo lo eliminó. El cifrado del disco no afecta su capacidad para recuperar archivos eliminados más que un disco no cifrado, ya que el cifrado se produce en el nivel del controlador (generalmente) cuando los datos se escriben en el disco. Por lo tanto, si elimina un archivo en Windows y el SO marca ese archivo para eliminar, aún puede recuperarlo. Si está utilizando un sistema operativo que borra el archivo con ceros (varios * sistemas operativos NIX), entonces no. Pero no tiene mucho (si acaso) que ver con FDE. Donde podría tener problemas más que un disco no cifrado es cómo su método de encriptación se ocupa de los reinicios y la configuración del cifrado después de los reinicios. Podría causar escrituras en el disco y reescrituras que podrían disminuir sus posibilidades de recuperación.

2. El espacio de intercambio se trata de la misma manera. El cifrado completo del disco es cifrado. Período. El espacio de intercambio no es diferente. Los datos están (deberían) cifrados en reposo, y solo se descifran sobre la marcha cuando se leen desde el disco.

3. La RAM no está encriptada. El espacio de direcciones para las operaciones importantes del sistema es aleatorio, pero no encriptado. Algunas partes de la memoria RAM pueden estar encriptadas, pero la totalidad no lo está (o al menos ... nunca he oído hablar de esto). La RAM siendo volátil es en gran medida suficiente protección. ¿Ninguna energía? sin datos. Es un problema diferente al almacenamiento persistente (en disco) que se puede desconectar, quitar en otro lugar y quitarle los datos. Además, la mayoría de los sistemas operativos tienen medidas preventivas que le impiden a usted (oa una aplicación de color rojo) copiar más memoria de la que le pertenece. Linux, por ejemplo, no permitirá que dd copie ciegamente el contenido de su RAM al disco. Lo detiene a 1MB. ( dd if=/dev/mem of=/mnt/ramdump.bin )

Suponiendo que no haya otras tecnologías en acción (por ejemplo, tecnología de recuperación delgada como this y this ):

  

Si se ha eliminado un archivo en un sistema con cifrado completo del disco, ¿se puede recuperar si el disco se ha desbloqueado?

1. SÍ , los archivos eliminados se pueden recuperar de los discos FDE, cuando los discos están montados correctamente (es decir, el software de recuperación tiene acceso a datos de bloques desencriptados). Esto es válido incluso después de reiniciar el equipo. sistema varias veces.

  

¿La misma pregunta, pero para información que se ha escrito para intercambiar espacio en lugar de ser eliminada?

2. Depende, en su mayoría NO . Suponiendo un intercambio encriptado, la forma más común de El cifrado para el espacio de intercambio implica tirar las claves. Así que si usted reiniciar el sistema incluso una vez, el espacio de intercambio es más probable Revueltos de manera diferente. Si se trata de un intercambio sin cifrar, la respuesta es SÍ.

  

¿La misma pregunta pero para información que se ha escrito en la RAM en lugar de en el disco?

3. Complicado porque la pregunta tiene problemas (a qué te refieres con ¿"eliminar" la información escrita en la RAM?), pero en su mayoría SÍ . RAM no es Encriptados, puede recuperar los datos que se acaban de colocar. A no ser que usted implicó un disco RAM cifrado en el que se aplican las advertencias # 1. Tampoco estoy seguro de lo que sucede con la RAM en los reinicios sin apagando.