¿Por qué algunas herramientas de recuperación aún pueden encontrar archivos eliminados después de purgar la Papelera de reciclaje, desfragmentar el disco y llenar el espacio libre?

Según tengo entendido, cuando elimino (sin usar la Papelera de reciclaje) un archivo, su registro se elimina de la tabla de contenido del sistema de archivos (FAT / MFT / etc ...) pero los valores de los sectores del disco que estaban ocupados por el archivo permanece intacto hasta que estos sectores se reutilicen para escribir algo más. Cuando uso algún tipo de herramienta de recuperación de archivos borrados, lee esos sectores directamente e intenta construir el archivo original.

En este caso, lo que no puedo entender es por qué las herramientas de recuperación todavía pueden encontrar archivos eliminados (aunque con una probabilidad reducida de reconstruirlos) después de desfragmentar la unidad y sobrescribir todo el espacio libre con ceros. ¿Puede explicar esto?

Pensé que los archivos eliminados con sobrescritura cero solo se pueden encontrar por medio de un hardware especial de escaneo magnético de laboratorio forense y esos complejos algoritmos de borrado (sobrescribir espacio libre varias veces con patrones aleatorios y no aleatorios) solo tienen sentido para evitar que un escaneo físico de este tipo tener éxito, pero prácticamente parece que el relleno cero simple no es suficiente para borrar todas las pistas de los archivos eliminados. ¿Cómo puede ser esto?

ACTUALIZACIÓN, abordando las preguntas que surgieron:

• He probado las siguientes herramientas de borrado: SDelete de Sysinternal, CCLeaner y una sencilla utilidad cuyo nombre no recuerdo, que comienza desde la línea de comandos y crea un archivo creciente lleno de cero hasta que se toma todo el espacio libre y luego se elimina eso.
• He probado las siguientes herramientas de recuperación: Recuva, GetDataBack, R-Studio, EasyRecovery.
• No puedo recordar exactamente qué herramientas han dado un resultado específico (por lo que puedo recordar, las versiones de prueba de algunas de ellas solo muestran nombres de archivos y en realidad no se pueden recuperar).
• Probablemente en la mayoría de los casos (pero no en el 100%) solo han visto los nombres y no pudieron recuperar los datos, pero esto sigue siendo una amenaza de seguridad que se debe abordar ya que los nombres de los archivos pueden ser bastante informativos (por ejemplo, he visto un tipo que almacenaba contraseñas en archivos de texto que fueron nombrados como el nombre del recurso con contraseña más el nombre de inicio de sesión, mientras que los nombres de inicio de sesión también deberían estar protegidos).

Si sobrescribe los archivos borrados, no debería poder recuperar nada de ellos.

Mi mejor conjetura es que su herramienta de limpieza no ha hecho todo lo que se supone que debe hacer o tiene algún tipo de problema de caché.

actualización: si está utilizando unidades de estado sólido, es posible que las herramientas de eliminación segura no funcionen como se esperaba debido a la forma en que los datos se leen / escriben en las SSD.

No es suficiente eliminar los datos y formatear el disco duro (que elimina las tablas de direcciones). Esto solo elimina el enlace a los datos. Para que se borren los datos, se deben escribir nuevos datos encima.

Simplemente escribir sobre los datos una vez no es suficiente. Es por eso que el método más seguro de limpieza de disco escribe diferentes tipos de datos en el disco varias veces. Cuantas más veces se escriban nuevos datos en el disco, más seguro será. Para obtener más información, lea esto: http://www.headresist.com/how-computer-programs-that-wipe-hard-drive-work.htm

DBAN es un programa realmente bueno que le permite aplicar diferentes limpiezas de disco duro .

Noté que preguntaste sobre los nombres de archivo que quedan atrás, así como los datos; eso es normal, ningún limpiador de disco sobrescribirá las entradas del directorio porque la única forma de hacerlo es crear y eliminar archivos en el directorio que lo contiene hasta que se sobrescriba la entrada anterior. Dependiendo de cuán elegante sea el sistema de archivos (ext4, ntfs, reiserfs, hfs +, otros con estructuras de directorio no lineales) esto puede requerir múltiples intentos.

Otra posible sugerencia para que los datos de los archivos sean recuperables en algunos sistemas de archivos es que podrían estar en el diario. Muchas utilidades de limpieza de espacio libre en disco escribieron directamente en el dispositivo, evitando el sistema de archivos; y un diario lo suficientemente inteligente podría detectar la escritura de todos los ceros en un archivo hasta que esté lleno (más precisamente, escribir el mismo bloque de datos varias veces) y solo guardarlo una vez, dejando otras cosas en el diario todavía. Y luego, algunos sistemas de archivos inteligentes pueden introducir archivos suficientemente pequeños en los metadatos de archivos del sistema de archivos (inodo en sistemas de archivos Unix), haciendo imposible que cualquier tipo de borrado de disco toque los datos.

porque como dijo geekosaur, estas herramientas solo borran los datos del archivo y no reorganizan el índice de la tabla de archivos. si desea eliminar por completo los rastros de archivo del índice, busque una herramienta que también lo borre o haga una copia de seguridad del sistema de archivos, limpie el disco y restaure desde la copia de seguridad. Encontré algunas aclaraciones aquí: http://www.broadbandreports.com/forum/r19572516-Removing-names-of-deleted-files-from-MFT~start=40