如果我將文件保存到我的硬碟(不是 ssd),移動 2 個垃圾箱,然後從垃圾箱剪切/粘貼到 USB,這是否適用於旨在恢復文件的取證分析?
如果我將文件(.odt、.txt、jpeg 等)保存到我的硬碟(而不是 ssd),移動到垃圾箱,然後將垃圾箱中的文件剪切/粘貼到 USB 中,這是否符合最好的取證設備之後試圖從我的硬碟中恢復文件?
基本上,很明顯,我試圖不留下文件的痕跡。另外,我在想,如果我不想“刪除/刪除”文件,那麼從那時起它們“是”可恢復的,那麼將它們移動到 USB (在我不再需要它們之後)並擦洗 USB 怎麼樣使用 dd 命令:sudo dd if=/dev/urandom of=/dev/sdx bs=8192。
所以問題就變成了,如果我按照這種方法,它們是否仍然位於我的硬碟上?
我會用 PhotoRec 對其進行測試,但由於我沒有刪除文件,所以在這裡使用 PhotoRec 似乎不是一個可行的選擇。
網站文章聲明如下:
“如果您剪切文件或文件夾,它不會消失,而是變得透明。當您粘貼該文件/文件夾時,它會被移動到新位置並從原始位置消失。
https://www.issco.unige.ch/en/research/tutoriel-informatique/EN/copy_cut_delete_move_and_paste.html
在標准文件系統上,擦除文件只是刪除對數據的引用並使保存數據的空間可供重用。
當您將文件移動到同一文件系統上的另一個位置時,數據將保留在磁碟上的同一位置。為了隱藏東西,這是一個無操作。
當您將文件移動到另一個文件系統時,系統會執行複制/擦除。為了隱藏東西,這是適得其反的。初始數據仍然存在於原始文件系統上,只是被標記為已擦除。但是現在你已經失去了對它的引用,所以你不能覆蓋它,除非你覆蓋了磁碟上的所有可用空間。
但是,如果我們不知道威脅是什麼,那麼所有這些都是空談:
- 有管理員權限的人
- 可以物理訪問電腦的人…或您的備份
- 電腦上的另一個“普通”使用者
你不能對 1) 做太多,因為這個人可以安裝鍵盤記錄器,或者在你刪除文件之前複製你的文件。
對於 2)
- 最好的防禦是文件系統加密(電腦和備份)
- 使用該
shred命令,如果 FS 類型和參數與之兼容- 定義一個臨時文件系統 (tmpfs) 並在完成後將其銷毀。
- 將文件直接保存到此人無權訪問的可移動設備
對於 3),如果處理得當,文件訪問權限應該足夠了。
如果您刪除外部驅動器中的文件:
如果您
rm在外殼中使用,則不會將任何內容複製到您的內部磁碟如果您使用文件管理器:
可能有一個“硬刪除”命令(沒有垃圾)(我的文件管理器中的 Shift-Del)不會將文件移動到垃圾箱(直接相當於
rm)如果您使用移動到垃圾箱的“軟刪除”,那麼這取決於外部驅動器的設置方式:
- 如果驅動器有自己的垃圾文件夾,則該文件將移動到外部驅動器上的垃圾文件中,並且不會復製到您的內部驅動器。
- 否則,該文件將復製到內部驅動器上的正常垃圾箱文件夾中,並在外部驅動器上擦除。