电脑在使用过程中,总会产生很多痕迹,包括存储的文件、上网过程中产生的cookie、注册表信息、缓存等。这些信息并不能直接被彻底删除,这也是为什么在电子数据案件中,即便信息被删除了,也能通过取证的方式重新获取被删除信息的原因。
对于普通用户,删除信息最直接的方式有两种:一种是直接shift+delete;另一种是先删除至回收箱,再清空回收箱。然而这两种方式都不能彻底删除文件、信息等。要想弄清原由还得从数据存储和删除原理说起。
我们在硬盘上存储数据时,会先选择存储路径,然后再将文件存放进去。如果把硬盘看成一本书,我们会有目录和和实际的章节内容。我们存储文件实际就相当于添加的目录和内容。此外,我们的数据是以二进制方式存储在硬盘上的,从物理层面来说,我们并不知道硬盘的哪块区域存放了哪些内容,我们之所以能通过电脑的文件路径知晓文件存储位置,也是由于操作系统会根据硬盘的扇区数据来分配文件位置,我们所看到数据都是以文件和目录的形式展现。下次访问文件时,就可以通过操作系统所展示的路径直接访问。 而删除就相当于我们把硬盘中这个文件存放的目录给删了,我们不能通过访问这个目录找到该文件,但是这个文件内容还是存在于书中(硬盘中),只是我们不能通过电脑的文件路径找到而已。直到下一次有新的内容把原本这块被标记删除的部分覆盖时,这个文件才会被彻底删除。从原理上看就是修改文件头的前2个代码,就为文件作了删除标记,而真正的文件内容仍保存在数据区中,并未得以删除。要等到以后的数据写入,把此数据区覆盖掉,这样才算是彻底把原来的数据删除。根据删除原理,只需找到删除标记,就可实现对删除数据的恢复。这也是为什么同样一个文件我们复制粘贴所花的时间比我们删除起来所花的时间多多了的原因。
为了彻底删除这些数据,就需要用到数据销毁了。 数据销毁基本方式可以分为硬销毁和软销毁。硬销毁就是指接物理方式破坏硬盘,来达到销毁数据的目的,比如用锤子砸碎盘片,把硬盘放在火上烤,用刀划,用强磁铁吸等,不过这也意味着这块硬盘报废了。即便这些方式也不能绝对保证无法恢复,因为如果损坏程度不够,还是可以恢复数据碎片的可能。
软销毁,又称逻辑销毁,是通过数据覆盖等的方法来销毁数据。即用0和1等数字将原文件所在区域重写一遍。这样就使得原文件无法被彻底删除了,无法被恢复了。 我们常用到的文件粉碎功能也是这个原理。不过这个功能还要看各厂商的开发实力。有的厂商也只是找到数据段进行擦除,即部分区域用01填写,同时为了效率,一般都没有把数据段全部擦除。此外文件的目录段也就是数据存放路径的痕迹依然是没有办法完全清除的。在没有全部擦除的数据段中,也可以通过碎片文件重组的方式找到很多文件内容痕迹。这一点在电子司法取证上应用较多。
我们知道真的销毁实际上是在文件标记删除区域进行数字01的重新填写,因此宣扬快速销毁的软件必然是不太可信的。要想保障数据的安全性建议还是先对数据进行加密处理。