ファイルをSSDではなくHDDに保存し、2つのストレージを移動し、ストレージからUSBに切り取り/貼り付けることで、ファイルの回復を目的としたフォレンジック分析をサポートできますか?

ファイルをSSDではなくHDDに保存し、2つのストレージを移動し、ストレージからUSBに切り取り/貼り付けることで、ファイルの回復を目的としたフォレンジック分析をサポートできますか?

ファイル(.odt、.txt、jpegなど)をHDD(SSDではない)に保存し、ごみ箱に移動してから、ごみ箱からUSBにファイルを切り取り、貼り付ける場合、これは最善のサポートですか?法医学調査後、私のハードドライブからファイルを回復しますか?

明らかに、基本的にはファイルの痕跡を残さないようにしています。また、これらのファイルを「ごみ箱/削除」して回復可能にしたくない場合は(もはや必要ない場合)、USBに移動してUSBを消去するのはどうですか? dd コマンドを使用します。 sudo dd if=/dev/urandom of=/dev/sdx bs=8192.

もしそうなら、問題はこの方法に従うなら、そのファイルがまだ私のハードドライブに残っているかどうかです。

PhotoRecを使ってテストしてみようかと思いましたが、ファイルを削除していないので、PhotoRecを使うのは実行可能なオプションではないようです。

ホームページの記事は次のとおりです。

「ファイルやフォルダを切り取ると消えずに透明になります。ファイル/フォルダを貼り付けると、新しい場所に移動して元の場所から消えます。

https://www.issco.unige.ch/en/research/tutoriel-informatique/EN/copy_cut_delete_move_and_paste.html

答え1

標準ファイルシステムからファイルを消去すると、単にデータへの参照が削除され、データを含むスペースを再利用できます。

同じファイルシステムの別の場所にファイルを移動すると、データはディスク上の同じ場所に保持されます。物を隠す目的でこれは禁止されています。

ファイルを別のファイルシステムに移動すると、システムはそのファイルをコピー/削除します。これは物を隠そうとする目的に逆効果を生み出します。元のデータは元のファイルシステムにまだ存在し、削除済みとしてマークされます。ただし、これへの参照が失われたため、ディスクの空き領域をすべて上書きしない限り上書きできません。

しかし、脅威が何であるかわからない場合は、これはすべて不可能なことです。

  • 管理者権限を持つ人
  • コンピュータまたはバックアップに物理的にアクセスできる人
  • コンピュータの別の「一般」ユーザー

1)についてできることはあまりありません。これは、ユーザーがキーロガーをインストールしたりファイルを削除したりする前にファイルのコピーを作成できるためです。

2)の場合

  • 最善の防御はファイルシステム暗号化(コンピュータとバックアップ)です。
  • shredFSタイプとパラメータが互換性がある場合は、このコマンドを使用してください。
  • 一時ファイルシステム(tmpfs)を定義し、完了したら削除します。
  • この人がアクセスできないリムーバブルデバイスにファイルを直接保存してください。

3)の場合、正しく実行されたら、ファイルアクセスが十分でなければなりません。


外付けドライブからファイルを削除する場合:

  • rmシェルで使用すると、内部ディスクには何もコピーされません。
  • ファイルマネージャを使用する場合:
    • ファイルをごみ箱に移動しない「ハード削除」コマンド(ごみ箱なし)(私のファイルマネージャのShift-Del)はありますか(直接同じrm
    • ごみ箱に移動する「一時削除」を使用する場合は、外付けドライブの設定方法によって異なります。
      • ドライブの場合独自のごみ箱フォルダがあります。、ファイルは内部ドライブにコピーされず、外部ドライブのジャンクファイルに移動されます。
      • それ以外の場合、ファイルは内部ドライブの通常のごみ箱フォルダにコピーされ、外部ドライブから削除されます。

関連情報