¿Alguien puede saber si borra los archivos eliminados?

8

Soy consciente de que para eliminar algo por completo, tendremos que usar un programa que sobrescriba el archivo eliminado para que no pueda recuperarse.

¿Hay alguna forma de decir que esto ha sucedido? ¿O es el estado resultante tan aleatorio que nadie puede decir que se acaba de "limpiar"?

Bien, tenemos una unidad C: \ de 100 GB y todos los datos se "limpian". Después de "limpiar", si alguien intenta hacer una reversión y no puede, sospechará que se "limpió" antes. Entonces, lo que hago es copiar "archivos aleatorios" y eliminarlos de tal manera que si hace una reversión, obtendrá los "archivos aleatorios". Ahora la pregunta es, si simplemente tengo 50 GB de "archivos aleatorios", ¿los 50 GB restantes mostrarán evidencias de "limpieza"? ¿Necesito llenar todos los 100 GB de "archivos aleatorios" (y eliminarlos) para borrar TODOS los rastros de "limpieza"?

    
pregunta Pacerier 02.10.2011 - 03:20
fuente

3 respuestas

8

Usted tiene razón, para que un archivo se elimine, los bloques de disco reales en los que se encontraba anteriormente deben sobrescribirse. Esto generalmente se hace con datos aleatorios; por ejemplo, el 'cifrado' de la herramienta de Windows sobrescribe el espacio en disco no utilizado (por ejemplo, anteriormente utilizado) con 0, luego 1 y luego datos aleatorios.

Si un investigador forense mirara el disco de su computadora, y usted hubiera borrado los archivos eliminados de esta manera, notaría que el "espacio vacío" en el disco estaba lleno de datos aleatorios, y que había pocos o ningún archivos borrados. Digamos que eliminó "readme.txt" y no lo borró; encontraría el contenido de ese archivo anterior y diría "Está bien, aquí hay un archivo de texto eliminado". Por lo tanto, si no puede encontrar archivos eliminados de cualquier tipo, debe concluir que a) nunca ha eliminado un archivo o b) ha borrado su espacio para sobrescribir archivos eliminados. Obviamente, b) es más probable que a).

Para decirlo de otra manera: si el estado resultante de la limpieza es aleatorio, esa misma aleatoriedad es lo que le dice al investigador que el disco se ha "limpiado".

Algunas herramientas, como PGP shred, sobrescribirán el único archivo que especifique en lugar de limpiar todo el espacio de holgura del disco. Si los archivos confidenciales se destruyen y los archivos normales se eliminan de la forma habitual, a un investigador le resultaría más difícil demostrar que se había borrado el archivo.

    
respondido por el gowenfawr 02.10.2011 - 05:24
fuente
4

Lo que dice gowenfawr es completamente correcto, sin embargo, me gustaría agregar algo a eso.

Dependiendo del sistema de archivos, puede haber algunos restos. En NTFS, los índices de archivos no se eliminan al limpiar / eliminar el archivo. Entonces, aunque no puede recuperar el contenido de su archivo, siempre habrá rastros del archivo.

Consulte esta publicación de blog de sans forensics para obtener más información

enlace

    
respondido por el Henri 02.10.2011 - 23:16
fuente
2

En tal caso, la solución más sencilla es utilizar truecrypt . Es de uso legal, es fácil de justificar la necesidad y nadie puede saber la cantidad de datos que solía tener, qué archivos estaban allí, etc.

    
respondido por el Michał Šrajer 03.10.2011 - 23:58
fuente

Lea otras preguntas en las etiquetas