¿Cómo se pueden recuperar los datos eliminados incluso cuando se sobrescriben?

Question

Para las unidades magnéticas, cada disco se compone de una partición (contenedor grande). Cada partición tiene un formato (contenedores más pequeños). Esos contenedores más pequeños vienen en tamaños variables; sin embargo, una partición solo puede tener un contenedor pequeño de un solo tamaño. Las opciones son; 512, 1024, 2048, 4096, etc.

Cada contenedor pequeño tiene una ubicación (sector), cada sector existe en un grupo y cada grupo existe en una pista. Cada uno de esos sectores (ID de contenedor pequeño) está indexado, la mayoría de las veces este índice existe en la pista más interna con MBR (Master Boot Record).

Cuando uno elimina un archivo, la identificación del índice se marca como grabable, el archivo en realidad no se elimina, solo se olvida. Digamos que, a modo de especulación, uno escribe un archivo nuevo y lo ha escrito en ese sector. Esto sería un (primer paso). Técnicamente, el archivo no se elimina, solo se ha eliminado un sector. Se puede reconstruir fácilmente el archivo y descubrir los bytes que faltan de la misma manera que lo hacen las unidades RAID.

Digamos que se sobrescribió cada sector, esto se consideraría un primer paso completo ya que cada sector se sobrescribió una vez. Cada sector tiene un límite de lectura/escritura. Una vez que se haya alcanzado este límite, el sector se volverá defectuoso y quedará bloqueado por el índice. Un sector se estropeará porque cambiar un campo magnético de positivo a negativo y establecer un bit de 1 a 0 en un solo sector eventualmente polarizará el área del disco, creando un sector no legible.

La mayoría del software de recuperación de datos que es comercial y está disponible para el público puede leer unos cuantos pases de profundidad (piense en ver a través de un cuaderno la página que hay debajo) y el software forense puede leer hasta la limitación de la sensibilidad del cabezal de un disco duro. Las operaciones profesionales de recuperación de datos sacarán los discos de la unidad y los colocarán en una máquina que tiene cabezales mucho más sensibles y, como último recurso, unMicroscopía de efecto túnel de barrido de fuerza magnéticaPodría leer variaciones de campo de hasta 10-20 nm.

Todo lo anterior es el aspecto físico del almacenamiento de un archivo virtual. Uno todavía tiene archivos que componen los sistemas operativos y programas. Uno de los programas del sistema operativo de Microsoft es la instantánea; es una base de datos que almacena pases de sectores en sus datos. Le permite moverse en una dirección y volver a un período de tiempo específico para recuperar archivos.

Entonces, en respuesta, el archivo nunca se elimina, solo se olvida y se desvanece lentamente.

Answer 1

Para las unidades magnéticas, cada disco se compone de una partición (contenedor grande). Cada partición tiene un formato (contenedores más pequeños). Esos contenedores más pequeños vienen en tamaños variables; sin embargo, una partición solo puede tener un contenedor pequeño de un solo tamaño. Las opciones son; 512, 1024, 2048, 4096, etc.

Cada contenedor pequeño tiene una ubicación (sector), cada sector existe en un grupo y cada grupo existe en una pista. Cada uno de esos sectores (ID de contenedor pequeño) está indexado, la mayoría de las veces este índice existe en la pista más interna con MBR (Master Boot Record).

Cuando uno elimina un archivo, la identificación del índice se marca como grabable, el archivo en realidad no se elimina, solo se olvida. Digamos que, a modo de especulación, uno escribe un archivo nuevo y lo ha escrito en ese sector. Esto sería un (primer paso). Técnicamente, el archivo no se elimina, solo se ha eliminado un sector. Se puede reconstruir fácilmente el archivo y descubrir los bytes que faltan de la misma manera que lo hacen las unidades RAID.

Digamos que se sobrescribió cada sector, esto se consideraría un primer paso completo ya que cada sector se sobrescribió una vez. Cada sector tiene un límite de lectura/escritura. Una vez que se haya alcanzado este límite, el sector se volverá defectuoso y quedará bloqueado por el índice. Un sector se estropeará porque cambiar un campo magnético de positivo a negativo y establecer un bit de 1 a 0 en un solo sector eventualmente polarizará el área del disco, creando un sector no legible.

La mayoría del software de recuperación de datos que es comercial y está disponible para el público puede leer unos cuantos pases de profundidad (piense en ver a través de un cuaderno la página que hay debajo) y el software forense puede leer hasta la limitación de la sensibilidad del cabezal de un disco duro. Las operaciones profesionales de recuperación de datos sacarán los discos de la unidad y los colocarán en una máquina que tiene cabezales mucho más sensibles y, como último recurso, unMicroscopía de efecto túnel de barrido de fuerza magnéticaPodría leer variaciones de campo de hasta 10-20 nm.

Todo lo anterior es el aspecto físico del almacenamiento de un archivo virtual. Uno todavía tiene archivos que componen los sistemas operativos y programas. Uno de los programas del sistema operativo de Microsoft es la instantánea; es una base de datos que almacena pases de sectores en sus datos. Le permite moverse en una dirección y volver a un período de tiempo específico para recuperar archivos.

Entonces, en respuesta, el archivo nunca se elimina, solo se olvida y se desvanece lentamente.

¿Cómo se pueden recuperar los datos eliminados incluso cuando se sobrescriben?

Respuesta1

información relacionada