尽管磁盘完全加密，但恢复已删除的文件

Question

这也许是个愚蠢的问题，但无论如何我还是会问的。

假设我在Windows上，我创建了一个名为secret_financial_plan.txt的文件，在这里我存储了我公司所有的黑市金融业务。一旦我的操作全部完成，我删除文件并清空回收站以掩盖我的踪迹。

几天后，我意识到Windows中“永久”删除的文件是相当容易恢复的。因此，我决定在我的设备上应用全磁盘加密(FDE)，方法是切换到Linux并使用LUKS，或者使用Veracrypt加密Windows中的驱动器，或者使用其他的FDE-软件。一个无法访问解密密钥的鉴证专家是否有可能在应用FDE之后恢复secret_financial_plan.txt文件？

Answer 1

简单回答:即使覆盖了整个磁盘，您也不能100%地确定所有的跟踪都被删除了。

现代硬盘通常有更多的扇区比那些显示，特别是SSD的抗磨水平的原因。根据磁盘控制器中的算法，它可能决定使用secret_financial_plan.txt数据的扇区将成为备用扇区，并将数据写入到以前的备用扇区。

接下来要注意的一点是:副本可能已经写入其他位置，如temp文件。

下一点:让我们希望它没有上传到云中。否则，你的老板可能会接到美国国家安全局(美国国家安全局)老板的电话，称以色列特勤局报告称，他们秘密入侵了一家俄罗斯反病毒供应商，并通过他们的云扫描技术上传了你的超级机密间谍病毒，因为你在你的盗版办公套件中使用了病毒感染的破解。

Answer 2

可以在转换到FDE之后恢复文件，但不能保证。关键是FDE只在打开后才提供保护。在那之前它不能保护任何东西。如果驱动器上的块在转换到FDE时没有被覆盖(加密)，那么它们仍然存在，并且可以恢复。在转换到FDE之前可以擦除驱动器，但使以前的数据不可访问的是擦除，而不是FDE。即使这样，也很难正确地擦拭驱动器。

Answer 3

全磁盘加密并不等于覆盖整个磁盘。加密前未从磁盘中删除的任何数据在加密后仍将留在磁盘上。考虑设置完整的磁盘加密，就像格式化磁盘一样:您到处写入几个新的数据块，但大部分磁盘仍然未被触及。