如果我将文件(.odt、.txt、jpeg 等)保存到我的硬盘(而不是 ssd),移动到垃圾箱,然后将垃圾箱中的文件剪切/粘贴到 USB 中,这是否符合最好的取证设备之后试图从我的硬盘中恢复文件?
基本上,很明显,我试图不留下文件的痕迹。另外,我在想,如果我不想“删除/删除”文件,那么从那时起它们“是”可恢复的,那么将它们移动到 USB (在我不再需要它们之后)并擦洗 USB 怎么样使用 dd 命令:sudo dd if=/dev/urandom of=/dev/sdx bs=8192。
所以问题就变成了,如果我按照这种方法,它们是否仍然位于我的硬盘上?
我会用 PhotoRec 对其进行测试,但由于我没有删除文件,所以在这里使用 PhotoRec 似乎不是一个可行的选择。
网站文章声明如下:
“如果您剪切文件或文件夹,它不会消失,而是变得透明。当您粘贴该文件/文件夹时,它会被移动到新位置并从原始位置消失。
https://www.issco.unige.ch/en/research/tutoriel-informatique/EN/copy_cut_delete_move_and_paste.html
在标准文件系统上,擦除文件只是删除对数据的引用并使保存数据的空间可供重用。
当您将文件移动到同一文件系统上的另一个位置时,数据将保留在磁盘上的同一位置。为了隐藏东西,这是一个无操作。
当您将文件移动到另一个文件系统时,系统会执行复制/擦除。为了隐藏东西,这是适得其反的。初始数据仍然存在于原始文件系统上,只是被标记为已擦除。但是现在你已经失去了对它的引用,所以你不能覆盖它,除非你覆盖了磁盘上的所有可用空间。
但是,如果我们不知道威胁是什么,那么所有这些都是空谈:
你不能对 1) 做太多,因为这个人可以安装键盘记录器,或者在你删除文件之前复制你的文件。
对于 2)
shred命令,如果 FS 类型和参数与之兼容对于 3),如果处理得当,文件访问权限应该足够了。
如果您删除外部驱动器中的文件:
rm在外壳中使用,则不会将任何内容复制到您的内部磁盘rm)