Según tengo entendido, cuando elimino (sin usar la Papelera de reciclaje) un archivo, su registro se elimina de la tabla de contenido del sistema de archivos (FAT / MFT / etc ...) pero los valores de los sectores del disco que estaban ocupados por el archivo permanece intacto hasta que estos sectores se reutilicen para escribir algo más. Cuando uso algún tipo de herramienta de recuperación de archivos borrados, lee esos sectores directamente e intenta construir el archivo original.
En este caso, lo que no puedo entender es por qué las herramientas de recuperación todavía pueden encontrar archivos eliminados (aunque con una probabilidad reducida de reconstruirlos) después de desfragmentar la unidad y sobrescribir todo el espacio libre con ceros. ¿Puede explicar esto?
Pensé que los archivos eliminados con sobrescritura cero solo se pueden encontrar por medio de un hardware especial de escaneo magnético de laboratorio forense y esos complejos algoritmos de borrado (sobrescribir espacio libre varias veces con patrones aleatorios y no aleatorios) solo tienen sentido para evitar que un escaneo físico de este tipo tener éxito, pero prácticamente parece que el relleno cero simple no es suficiente para borrar todas las pistas de los archivos eliminados. ¿Cómo puede ser esto?
ACTUALIZACIÓN, abordando las preguntas que surgieron:
- He probado las siguientes herramientas de borrado: SDelete de Sysinternal, CCLeaner y una sencilla utilidad cuyo nombre no recuerdo, que comienza desde la línea de comandos y crea un archivo creciente lleno de cero hasta que se toma todo el espacio libre y luego se elimina eso.
- He probado las siguientes herramientas de recuperación: Recuva, GetDataBack, R-Studio, EasyRecovery.
- No puedo recordar exactamente qué herramientas han dado un resultado específico (por lo que puedo recordar, las versiones de prueba de algunas de ellas solo muestran nombres de archivos y en realidad no se pueden recuperar).
- Probablemente en la mayoría de los casos (pero no en el 100%) solo han visto los nombres y no pudieron recuperar los datos, pero esto sigue siendo una amenaza de seguridad que se debe abordar ya que los nombres de los archivos pueden ser bastante informativos (por ejemplo, he visto un tipo que almacenaba contraseñas en archivos de texto que fueron nombrados como el nombre del recurso con contraseña más el nombre de inicio de sesión, mientras que los nombres de inicio de sesión también deberían estar protegidos).