Isso tornaria um arquivo irrecuperável (sistema operacional Windows)?
- Exclua o arquivo (ou seja, envie-o para a lixeira).
- Esvazie a lixeira (ou seja, remova a referência de onde os dados estão armazenados na memória).
- Substitua a memória por dados diferentes (suponha que você conhecesse os blocos de memória usados e os forçasse a serem usados com novos dados).
Eu li que apenas uma vez substituídos várias vezes os dados são realmente irrecuperáveis. Isso é verdade? Como os dados poderiam ser recuperados se a memória onde estavam armazenados contém algo mais armazenado?
Responder1
Para unidades magnéticas, cada disco é composto de uma partição (contêiner grande), cada partição tem um formato (contêineres menores). Esses contêineres menores vêm em tamanhos variáveis, porém uma partição só pode ter um contêiner pequeno de tamanho único. As escolhas são; 512, 1024, 2048, 4096, etc.
Cada pequeno contêiner possui uma localização (setor), cada setor existe em um cluster e cada cluster existe em uma trilha. Cada um desses setores (id de contêiner pequeno) é indexado, na maioria das vezes esse índice existe na trilha mais interna com MBR (Master Boot Record).
Quando alguém exclui um arquivo, o ID do índice é marcado como gravável, o arquivo não é realmente excluído, apenas esquecido. Digamos, para especulação, que alguém escreva um novo arquivo e ele tenha escrito naquele setor, isso seria uma (primeira passagem). Tecnicamente, o arquivo não foi excluído, apenas um setor foi removido. É possível reconstruir facilmente o arquivo e descobrir os bytes ausentes da mesma forma que as unidades RAID.
Digamos que cada setor foi sobrescrito, isso seria considerado uma primeira passagem completa, pois cada setor foi sobrescrito uma vez. Cada setor tem um limite de leitura/gravação. Uma vez atingido esse limite, o setor ficará ruim e bloqueado pelo índice. Um setor ficará ruim porque mudar um campo magnético de positivo para negativo e definir um bit de 1 para 0 em um único setor acabará por polarizar a área do disco, criando um setor não legível.
A maioria dos softwares de recuperação de dados comerciais e disponíveis ao público podem ler algumas passagens profundas – pense em ver a página abaixo dele através de um caderno – e o software forense pode ler até a limitação da sensibilidade da cabeça de um disco rígido. As operações profissionais de recuperação de dados retirarão os discos da unidade e os colocarão em uma máquina que possui cabeçotes muito mais sensíveis e, como último recurso, umMicroscopia de tunelamento de varredura de força magnéticapoderia ler variações de campo de até 10-20 nm.
Todos os itens acima são o aspecto físico do armazenamento de um arquivo virtual. Ainda existem arquivos que compõem sistemas operacionais e programas. Um dos programas de sistema operacional da Microsoft é a cópia de sombra; é um banco de dados que armazena passagens de setores em seus dados. Ele permite que você se mova em uma direção e volte para um período de tempo específico para recuperar arquivos.
Então, em resposta, o arquivo nunca é excluído, apenas é esquecido e desaparece lentamente.