Destrucción de espacio libre

Metadatos de datos NTFS

Considerando ntfs , si sobrescribe un bloque con algún dato, este bloque se sobrescribe de manera irreversible pero,

• NTFS conserva el nombre, el tamaño y otra información ( metadatos ) en un lugar diferente a los datos. Así que sobrescribir los datos no ocultará esto.
• Si los datos escritos en el lugar son totalmente aleatorios o solo de cero, el origen de los datos seguramente no se podrá determinar.

Nivel bajo

Si realiza una sobrescritura completa de su disco o partición, muchas veces con datos aleatorios, que finalmente con cero, su disco parecerá como si no se usara nunca.

wikipedia: Zeroisation

Pero si realmente quieres saber qué pasa con un disco, puedes intentar usar hardware forense, como white room y un microscopio de fuerza magnética para reconstruir una generación de datos

wikipedia: Remanencia de datos

SSD y flash

¡Advertencia! Este tipo de material funciona con un tiempo de vida limitado. esto significa: ¡cada generación de datos usará otro espacio físico en las memorias flash!

La destrucción salvaje simplemente reduce el tiempo de vida, pero no oculta nada para los laboratorios forenses.

wikipedia: Memoria flash

Si está haciendo un borrado completo del disco en una unidad moderna, una sola pasada de unas y luego una sola pasada de ceros es suficiente (técnicamente hablando, con discos duros modernos, incluso one el pase es suficiente ). No necesita un algoritmo complicado, o datos generados por PRNG. Su disco se verá como si fuera nuevo, y puede negar que lo borró.

Si está borrando espacio libre o archivos específicos, no se moleste. Una copia de su archivo estará en algún lugar del disco en la memoria caché, archivos temporales, archivos de indexación, etc. Así que tiene dos opciones:

• Cifrado de disco completo con algo como TrueCrypt . Pero si su objetivo es la negación plausible, debe saber que habrá datos de apariencia aleatoria en su disco, y encontrará una explicación para eso.

• Borrado completo del disco con ceros, usando algo como WipeDisk . El disco se verá nuevo, y puede decir que es un disco no utilizado.

En términos generales, la destrucción de espacio libre es simplemente el hecho de sobrescribir clústeres no utilizados con datos (pseudo) aleatorios. Si el PRNG en uso es bueno, no debería ser posible diferenciar la destrucción del ruido aleatorio. La única nota interesante acerca de la destrucción es que la mayoría de las unidades nuevas se leerán como si tuvieran todos los bits establecidos en 0, por lo que es probable que una unidad con todos los grupos no utilizados llenos de "ruido aleatorio" haya sido triturada.

Es una pregunta muy interesante. En el sistema de archivos no triturado (después de un trabajo real) podemos "recuperar" algunos archivos. Es por eso que para "trituración invisible" necesitamos escribir en el espacio libre partes de archivos reales (copia de archivos existentes o archivos de otro HDD). De otra manera, para determinar si el HDD () estaba destrozado o no, solo necesitamos ejecutar cualquier programa para "recuperar" archivos. Si el programa no puede encontrar nada, podemos estar casi seguros de que el disco duro está destruido o es nuevo. Si el espacio libre no es cero y el programa no puede recuperar archivos, quizás :) el disco duro se destruyó. Si el espacio libre contiene el mismo byte en general, tal vez fue uno de los algoritmos. )) Y, por último, si la MFT fragmentada y el espacio libre solo tienen cero, se destruyó la HDD (¿o se clonó?) + Si el volumen tiene muchos archivos fragmentados y espacio libre más de lo que se usó y se llenó en cero, la HDD se eliminó (o se clonó). p>