自由空间粉碎

Question

我对文件系统取证很感兴趣，但到目前为止我还是个业余爱好者。我一直在阅读NTFS的取证，我注意到，有时您可以知道某个文件是否位于某个卷上，即使它被删除了，可用的空间也被工具撕碎了。您可以在USN日志(如果存在)或索引块的松弛中找到它。

我不知道的是，用于粉碎的任何算法是否是可逆的。也就是说，如果它只是写到空闲空间，随机值，或者它只是逐个簇乱乱，无论它在那里找到什么。

此外，是否有一种方法来确定哪种算法被用来证明粉碎是故意的？有图案吗？

事先谢谢你的回答。

Answer 1

NTFS元数据

考虑到ntfs，如果您用任何数据覆盖一个块，则此块将不可逆转地被覆盖，但是，

• NTFS将名称、大小和其他一些信息(元数据)保存在数据以外的另一个位置。所以覆盖数据不会掩盖这一点。
• 如果所写入的数据完全是随机的或仅为零，那么数据的来源肯定是不可确定的。

低水平

如果您对磁盘或分区进行了完全覆盖，多次使用随机数据，而最终使用的是零，那么您的磁盘将看起来像从未使用过的那样干净。

维基百科: Zeroisation

但是如果你真的想知道磁盘发生了什么，你可以尝试使用法医硬件，比如白房间和磁力显微镜来重建一些新一代的数据

维基百科:数据剩余

SSD和flash

警告！这种材料的工作时间有限。这意味着:每一代数据都会在闪存上使用另一个物理空间！

野生粉碎只会缩短生命时间，但不会为法医实验室隐藏任何东西！

维基百科:闪存

Answer 2

如果您在现代驱动器上执行一次全磁盘擦除操作，那么一次1次擦拭就足够了(从技术上讲，是用现代硬盘，偶数一次就够了)。您不需要复杂的算法，或者PRNG生成的数据。您的磁盘将看起来像是新的，您可以否认您删除了它。

如果您正在擦除空闲空间或特定文件，请不要费心。您的文件的副本将位于缓存、临时文件、索引文件等磁盘上的某个位置。因此，您有两个选项：

• 使用类似于TrueCrypt的全磁盘加密。但是如果你的目标是完全合理的否认，你必须知道你的磁盘上会有随机的数据，你会找到一个解释。
• 全磁盘擦除与零，使用类似于WipeDisk。磁盘将看起来是新的，您只需说它是一个未使用的磁盘。

Answer 3

一般说来，自由空间分解只是用(伪随机)数据覆盖未使用的集群的行为。如果使用中的PRNG是好的，就不应该把切碎和随机噪声区分开来。关于碎片的一个有趣的注意是，大多数全新的驱动器读起来就好像所有的位都设置为0 --所以一个没有使用过的、充满“随机噪音”的驱动器很可能已经被粉碎了。