La máquina virtual generalmente almacena su disco duro virtual como un archivo normal en el sistema de archivos del sistema operativo host.
Piense en un sistema de archivos como un almacén. El almacén contiene una gran cantidad de cajas (archivos) y un manifiesto que enumera todas las cajas (la tabla de archivos). Cuando borra un archivo, en realidad no destruye los datos, simplemente elimina la entrada del manifiesto. Cuando la siguiente casilla entra en el almacén, se comprueba el manifiesto y el archivo se coloca en una ubicación libre. Si esa ubicación ya tiene una caja, esa caja vieja se desecha. Como tal, si puede escanear a través del almacén en lugar del manifiesto, puede marcar las casillas que no están en el manifiesto, lo que le permite extraer el contenido de las casillas aunque las haya "borrado".
Por lo tanto, si elimina el archivo del disco virtual de la máquina virtual, los datos permanecerán en el disco. Dado que el archivo del disco virtual está estructurado en términos de sus propios encabezados y el sistema de archivos interno, no debería ser difícil encontrar y extraer datos de archivos desde el sistema de archivos de la máquina virtual. El formato a menudo no resuelve este problema, ya que solo sobrescribe la tabla de archivos con una vacía, los datos aún están allí.
Hay dos formas de destruir archivos correctamente:
- Sobrescriba los sectores del disco que contienen los datos con ceros.
- Cifre los datos del archivo en tiempo de ejecución, luego destruya la clave cuando desee eliminar el archivo.
La primera opción toma más tiempo cuando se quiere destruir los datos, y pone más énfasis en el disco, ya que tiene que sobrescribir todos los sectores. La segunda opción proporciona una eliminación rápida y segura, y una mayor protección durante el uso diario, pero tiene un impacto en el rendimiento de la CPU. De hecho, los SSD utilizan la segunda opción para reducir el desgaste de escritura en los dispositivos flash durante un nuevo formateo: almacenan una clave maestra, cifran todo lo que se encuentra en la unidad con ella, luego destruyen y vuelven a generar la clave cuando se les da una nueva comando de formato.
Por lo tanto, si desea destruir los datos de forma segura, realice un borrado adecuado de bajo nivel con shred
, o cifre el disco con TrueCrypt y deseche la clave cuando desee deshacerse de la unidad.