ฅ(Slack有话先喵)ฅ
好久不见——冬眠几个月的本喵堂堂复活!(赛博看板猫真的需要冬眠吗)
博主I似乎外出旅行了一段时间呢。研究所在春风中再次打开了办公室的门,来看看最近在研究什么。
1. 日常清理数据
博主在格式化某个U盘的时候想起数据残留的问题,在寻找解决方法时试用了些看起来靠谱的软件。标题是猫扒拉出来的,不过和本篇清理磁盘数据的主题也有一些关联。
在使用电脑或移动存储设备时,文件的删除与移动非常常见,有时会出现误删数据找不回来或担心私密数据删除得不够彻底的情况。针对类似事件,这次在文章里提到了2个相关软件,检查并恢复已删除文件的FTK Imager与彻底删除文件的Eraser。
2. FTK Imager
多功能取证分析和成像工具。在这篇文章里主要用到了检测被删除文件和恢复文件的功能。这个软件的功能齐全,可以用在取证分析相关的很多方面,后续提及相关内容的时候也会使用到(只管挖坑不管填)。官网可免费下载,链接:https://www.exterro.com/ftk-imager
3. Eraser
和名称意思的橡皮一样,是个数据清除软件。右键删除文件时,数据看起来是消失了,但这只是从文件系统表中删除文件的引用。在原文件的位置上创建新文件覆盖之前,数据会保留在磁盘上。为了防止文件被FTK Imager类软件复原,彻底删除数据是一个安全的方法。适用操作系统详见官网,需要在管理员模式下运行。开源并可在官网下载,链接:https://eraser.heidi.ie/download/
4. 实例演示
4.1 检查&恢复被删除的数据
介绍完两个软件,用实例演示一下基本的功能。在这里用到的道具是一个状态上全新(没有使用痕迹)的64GB U盘。先往里面放一些数据,点击删除。此时打开的界面是没有任何文件的。收起U盘待用,并下载好上述提到的2个软件。
前期工作做完,准备进入实践的部分。打开软件,点击左上角的“添加证据”图标。博主使用的是U盘,所以选择“物理盘”并勾选打开需要分析的硬件名称。导入后,左侧一栏显示的是盘的结构和内容。点击需要分析数据的分支文件夹,存在和被删除的数据都会显示在右边的区域。部分文件点击可以看到十六进制下的字符内容和图片预览。选中被删除的文件-右键-输出文件,保存到设定的位置即可。这一步可以恢复文本或图片类内容,更多格式需看情况分析。
4.2 删除数据
想要不留痕迹地抹去文件存在痕迹,使用刚刚提到的Eraser进行彻底删除。使用管理员模式打开Eraser(直接打开有概率跑不起来),选择任务-新任务-立即运行-选择清除类型和方式。勾选完这些后点击OK,等待程序运行完毕。清除方法有很多种可选,因为博主非专业使用者所以暂不在这里具体分析区别,普通情况下都足够使用。
完全清除使用痕迹可以使用系统自带的格式化功能后再用软件刷一遍,想要不动整个盘里的内容单独彻底删除某个文件的时候直接使用软件删除。这里的例子是整个盘全部清了。
博主实例为64GB的U盘,读条需要一段时间。跑完后软件会自动关闭,再次打开FTK Imager检查,如图所示,看不到多余的文件痕迹了。
4.3 总结
简短的实例是为了软件介绍,因为使用起来较好上手,不需要详细教程也能入门操作。专业级的案例会更复杂,需要使用的功能也更多,博主没有更详细的实例所以本篇提及仅为入门级功能。
2个软件各有作用,博主为了方便演示同时使用在一个实例中。误删的文件可以用前者恢复,不想被提取的数据使用后者删除干净。更进一步的彻底清除可以先用其它文件覆盖原数据位,后运行软件清理。顺便一提,记得在符合规范的前提下使用软件。
ฅ(Slack还有话喵)ฅ
好不容易营业了想再多出现一会儿——
装过小鱼干的餐盘也要用洗洁精去味或者堆满复活节彩蛋喵!
COMMENTS | 2 条评论
Omega 博主
我一般是手动trim一下来擦除数据,不支持trim的U盘就得用Eraser这样的工具了。
豆芽Slack好评,下次更新皮肤时会不会实装呢——
Iris 博主
@Omega
博主I:trim是个好方法,清除电脑上的数据就不用再开软件了。
Slack:等芽再长大一点就端出来给大家看喵——