清空废纸篓无法真正”删除”文件,如何彻底删除以抵制任何取证工具?

iyouport
·
·
IPFS
  • 可以做到,但是仍有局限性

以下大部分说明仅适用于传统的磁盘驱动器,不适用于现代计算机中标准的固态硬盘(SSD)、USB密钥/ USB拇指驱动器或SD卡/闪存卡。

要想安全地删除SSD、USB闪存驱动器和SD卡是非常困难的!

这是因为这些类型的驱动器使用一种被称为损耗平衡​​的技术。这里有一些做法介绍以及这里对此后面会有更多解释

您是否知道,当您将计算机上的文件扔到回收站文件夹中并清空回收站时,该文件不会被完全擦除;

计算机通常不“删除”文件;当您将文件移至回收站时,计算机只会使此文件不可见,并允许将来其占用的空间被其他东西覆盖

因此,可能要花数周、数月、甚至数年的时间,才能覆盖该文件 —— 如果在这期间,您的设备被警察抢走,就麻烦了。

在这种情况发生之前,您认为那个“已删除”的文件仍在磁盘上。它只是正常操作不可见而已。

只需少量工作和正确的工具 —— 尤其是当前流行全球的各种所谓的取证工具 —— 即可检索到那些“已删除”的文件。

那么,永久删除文件的最佳方法是什么?—— 确保立即将其覆盖。这会使得很难检索到那里曾经写过什么东西。

您的操作系统可能已经具有可以为您执行此操作的软件 —— 该软件可以用乱码来覆盖磁盘上的所有“空”空间,从而保护已删除数据的机密性。

在 Linux 上,我们目前建议使用 BleachBit,这是一种适用于Linux和Windows的开源安全删除工具。

BleachBit 可用于快速,轻松地针对单个文件进行安全删除,或实施定期的安全删除策略。也可以编写自定义文件删除指令。

以下是它的用法介绍。

安装 BleachBit

使用 Ubuntu 安装

您可以在 Ubuntu 上获取 BleachBit。如果已安装,那么现在就打开它。

或者单击屏幕左下方的应用程序按钮,然后使用搜索。

在搜索栏中输入“软件”,然后单击“ Ubuntu 软件”图标。

默认情况下,不会列出 BleachBit。为了确保它被列出,请通过单击顶部菜单中的 “Ubuntu Software”,然后单击“软件和更新”来启用社区维护的软件包。

在新窗口中,确保选中 “社区维护的免费和开源软件(Universe)”的那个框,然后单击“关闭”和“重新加载”。

如果已经选中,则可以单击“关闭”。

现在就可以搜索了。通过单击窗口右上角的放大镜来使用搜索。

然后在搜索字段中输入“ BleachBit”。

单击 BleachBit,然后单击“安装”按钮。

Ubuntu 将要求您输入密码以获取许可。输入密码,然后单击身份验证按钮。

Ubuntu 软件中心将安装 BleachBit 并显示一个小的进度条。安装完成后,您将看到“启动”和“删除”按钮。

从终端安装

您也可以使用终端获取 BleachBit。单击屏幕左下方的应用程序按钮,然后使用搜索。

在搜索字段中键入“ terminal”,然后单击“ Terminal”图标。

键入“ sudo apt-get install bleachbit”,然后按 Enter。

系统将要求您输入密码以确认您要安装 BleachBit。输入密码,然后按 Enter。

现在,您将看到 BleachBit 的安装进度,安装完成后,您应该回到开始的命令行。

将 BleachBit 添加到侧边栏

单击屏幕左下方的应用程序按钮,然后使用搜索。

在搜索字段中输入“bleach”,将出现两个选项:BleachBit 和 BleachBit (as root)。

⚠️请注意:除非您明确知道自己在做什么时才使用BleachBit(as root)选项,因为如果将其用于删除操作系统所需的文件,则可能会造成无法弥补的危害。

右键单击 BleachBit,然后选择“添加到收藏夹”。

使用 BleachBit

从屏幕左侧的收藏夹中单击 BleachBit 图标。

BleachBit 主窗口将打开,BleachBit 将为您提供首选项的概述。

建议选中“覆盖文件内容以防止恢复”选项。

点击“关闭”按钮。BleachBit 将检测几个常用安装程序,并为每个程序显示特殊选项。

Using Presets

一些软件留下了何时以及如何使用它的记录。仅仅用于说明这一普遍问题的两个重要示例是“最近使用的文档”和 Web浏览器历史记录。

跟踪最近编辑的文档的软件会保留您正在使用的文件名的记录,即使这些文件本身已被删除也是如此!

网络浏览器通常会保留有关您最近访问过的网站的详细记录,甚至会保留来自这些网站的页面和图像的缓存副本,以使它们在您下次访问时加载速度更快。但你知道这有多危险《浏览历史记录曝光你的内心全景图:开源调查演示》。

BleachBit 提供了“presets”,可以根据 BleachBit 作者对计算机上倾向于揭示您先前活动的记录的研究,为您删除其中的一些记录。

以下是2个例子,以便您了解它的原理。

选中“系统”旁边的框,请注意,这会标记“系统”类别下的所有复选框。取消其他被选中的框,最终选中以下框:最近的文档列表、和废纸篓。点击“清洁”按钮。

BleachBit 现在将要求您确认。单击删除按钮。

BleachBit 现在将清理某些文件并向您显示进度。

如何安全删除文件夹

点击“文件”菜单,然后选择 Shred Folders”。

这将打开一个小窗口。选择要粉碎的文件夹。

BleachBit 将要求您确认是否要永久删除所选文件。点击“删除”按钮。

BleachBit 将显示删除的文件。请注意,BleachBit 将删除文件夹中的每个文件,然后删除文件夹。

如何安全删除文件

单击文件菜单,然后选择粉碎文件。

这将打开一个文件选择窗口。选择要粉碎的文件。

BleachBit 将要求您确认是否要永久删除所选文件。点击“删除”按钮。

BleachBit 具有许多其他功能。其中最有用的一种可能是擦除可用空间。

这将尝试删除所有已删除文件的痕迹。这很重要!

Linux 通常会将已删除文件中的全部或部分数据留在硬盘驱动器上剩余的可用空间中。擦除可用空间将使用随机数据覆盖硬盘驱动器上这些空的部分。

擦除可用空间可能需要很多时间,具体取决于驱动器有多少备用容量。

关于安全删除工具的局限性的警告

请记住,以上建议仅会删除您正在使用的计算机磁盘上的文件。

它们不会删除在其他地方的所有备份、另一个磁盘或USB驱动器、“时光机”、电子邮件服务器上、所谓的云中、或发送给您的联系人的东西。

此外,文件一旦存储在云端(例如,通过 Dropbox 或其他文件共享服务),通常就无法再永久删除!

而且。不幸的是,安全删除工具还有另一个限制。

即使您遵循上述建议,并且已经删除了文件的所有副本,删除的文件仍有一定痕迹可能会保留在您的计算机上,这不是因为文件本身没有被正确删除,而是,因为某些部分操作系统或某些其他程序故意保留了它们的记录。

发生这种情况的方式有很多,但是两个例子足以说明这种可能性。

在 Windows 或 macOS 上,即使已删除文件,仍会在“最近的文档”菜单中保留对文件名的引用(Office有时甚至会保留包含文件内容的临时文件)。

很难知道如何应对这个问题。可以肯定地说,即使文件已被安全删除,其名称在您的计算机上也可能会继续存在一段时间。

覆盖整个磁盘是100%确保名称消失的唯一方法。

有些人可能会想:“我可以在磁盘上搜索原始数据以查看是否有任何数据副本吗?” 答案是可以也不可以。

搜索磁盘(例如,在 Linux 上使用 grep -ab / dev / 之类的命令)将告诉您数据是否以纯文本形式存在,但不会告诉您某些程序是否已对其进行了压缩或其他编码引用。

文件内容仍被保留的可能性较低,但并非不可能。覆盖整个磁盘并安装新的操作系统是确保100%删除文件记录的唯一方法。

丢弃旧硬件前的安全删除

如果要扔掉一个硬件或在eBay上出售它,则要首先确保没有人可以从中检索数据。

研究反复发现,计算机所有者通常无法做到这一点 —— ⚠️硬盘驱动器经常被转售,其中充斥着高度敏感的信息。

因此,在出售或丢弃计算机之前,请务必先用乱码覆盖其存储介质。

而且,如果您的计算机使用寿命已到,那么在将计算机存放在角落或其他地方之前擦拭硬盘也是很有必要的。

Darik 的 Boot and Nuke 是为此目的而设计的工具,并且有许多关于如何使用它的教程。

某些全盘加密软件具有销毁主密钥的能力,从而使硬盘驱动器的加密内容永久无法破解

由于密钥仅包含极少量的数据,几乎可以立即销毁,因此这是使用上述软件进行覆盖的一种更快的替代方法,覆盖对于大型驱动器而言可能非常耗时。

但是,⚠️仅仅在始终对硬盘驱动器进行了加密的情况下此选项才可行。如果您未提前使用全盘加密,则需要先覆盖整个驱动器,然后再删除它。

丢弃CD或 DVD-ROM

对于 CD-ROM 或 DVD-ROM,应该使用与处理文件相同的方法 —— 将它们粉碎。

有便宜的切碎机可以使用,除非您可以确认没有任何敏感内容能被找到了,否则切勿扔掉它们。

安全删除固态硬盘(SSD)、USB闪存驱动器和SD卡

不幸的是,由于SSD,USB闪存驱动器和SD卡的工作方式,很难安全地删除单个文件和可用空间(即使不是不可能的话)。

就保护而言,最好的选择是使用加密。

这样,即使文件仍在磁盘上,对持有该文件并且不能强迫您对其解密的任何人来说,它至少看起来都是一堆不知所云的东西。

如上所述,SSD和USB闪存驱动器使用一种称为损耗平衡​​的技术。在较高级别,损耗平衡的工作原理如下。

每个磁盘上的空间都分为多个区,类似于书籍的页。将文件写入磁盘后,它会分配给某个区或一组区。如果要覆盖文件,那么您要做的就是告诉磁盘覆盖这些区。

但是在SSD和USB驱动器中,擦除和重写相同的区可能会使它磨损。

每个区只能擦除并重写有限的次数,然后该区就不再起作用(这就像如果您继续用铅笔在纸上书写和擦除,最终这张纸可能会破掉不可再用)。

为了解决这个问题,SSD和USB驱动器将尝试确保每个区被擦除和重写的次数大致相同,以便使其尽可能长时间可用。

副作用是,驱动器有时不会删除和写入最初存储文件的区,而是将其留为单独的区,将其标记为无效,然后将修改后的文件写入另一个区。这有点像使书中的页面保持不变,将修改后的文字写入其他页面,然后仅更新书的目录以指向新页面。

这意味着,即使您尝试覆盖文件,也可能无法保证驱动器是否真的会覆盖它,这就是为什么对SSD进行安全删除要困难得多的原因

如果您不知道该怎么做,那就尽可能不要将重要的资料放在SSD设备和USB上,否则警察擅长的取证工具有可能对你非常不利。⚪️

CC BY-NC-ND 2.0 授权

喜欢我的作品吗?别忘了给予支持与赞赏,让我知道在创作的路上有你陪伴,一起延续这份热忱!

iyouportMatters是IYP(iyouport)的备份站点。 我们的新项目在这里:https://iyouport.notion.site/aa93a0b99cb94c81aa3177827785beb2
  • 来自作者
  • 相关推荐

不“民豆”…… 转载“天安门广场起义35周年”电子书评论

在社会同类相食的岁月里,奋力的互助和抵抗

IYP 开启新项目 - iYouPort - Initiatives & Tactics