Если удалить файл из TrueCrypt контейнера, то?

Всем привет. Такой вопрос. Всем известно, что удалённые из под винды файлы... через SHIFT + DEL или из корзины... можно восстановить (Recuva и т.п.)

А как дела с удалением файлов из зашифрованного крипто контейнера?
>монтирую контейнер> Shift+Del удаляю файл>размонтирую

В итоге, файл можно будет восстановить той же Recuva? Или он виден не будет, т.к. находится в ячейках памяти зашифрованных трукриптом?

 

Ответ скорее всего не простой и ответить на него могут скорее всего форензики (т.е. не я..)
По идеи файл стирается, но он может оставаться где-до в локальных кэшах и темпах.
Т.е. защищает только полное шифрование всего диска, так-как тогда и кэши и темпы и все прочее тоже зашифровано.
https://security.stackexchange.com/...deleted-from-a-true-crypt-volume-be-recovered
https://support.piriform.com/hc/en-us/articles/204044084

 

Спасибо за ответ. В диалоге по ссылке... авторы тоже спорят. Но заканчивается ветка на словах:
"Следовательно, этот файл не может быть прочитан за пределами контейнера, независимо от того, находится ли он в исходной форме или в псевдоудаленной форме (перемещен в корзину)."
Что-то против никто не написал.

Я вот, как рассуждаю. Есть в файловой системе зашифрованные ячейки. Я создаю файл внутри этого контейнера... и этот файл помещается внутрь этих зашифрованных ячеек. После удаления, файл же остаётся именно в этих ячейках, а не в каких-то других?!!! Верно? А они зашифрованы.
То же самое, если взять и удалить весь крипто-контейнер целиком (сам файл). То что удалено внутри него, по идее же не будет раскрыто.... (?)

 

Дополнительные настройки: Разрешить команду TRIM для несистемного SSD/диска

 

Windows может создавать резервные копии, точки восстановления, хранить кэш иконок изображения. Отключи такие возможности, гуглится легко. В остальном, удаление из контейнера, удаляет без возможности восстановления, без доступа к контейнеру. При доступе к контейнеру, восстановить можно.

Зачем? Truecrypt если только не из под USB запускается, данная команда ничего не добавит, если контейнер на системном диске находится.

 

Если файл писался сразу в контейнер то все норм не восстановишь а вот если фаил перенесли с диска в контейнер то нужно запирать пустое пространство диска делается это несколькими способами

Для Windows
cipher /w:C: для диска C для диска D просто меняем C На D

Ну и программа Eraser
https://eraser.heidi.ie/

Для linux
apt-get install secure-delete
sfill -fiIlvz /home/test/Загрузки

Еще рекомендую прочитать про Уничтожение данных dod 5220.22-m и алгоритм Питера Гутмана

 

Я тестировал когда то, если файл был только в контейнере и не попадал в теневое копирование системное, то вне контейнера его не получится восстановить.

 

Если вы удаляете файл из зашифрованного крипто-контейнера с помощью Shift+Del, то файл фактически не удаляется, а только помечается для перезаписи. Это означает, что память, которую занимал файл, не освобождается, а перестает быть доступной для чтения. Восстановление удаленного файла с помощью Recuva или других программ восстановления данных возможно, если этот файл еще не был перезаписан другими данными. Однако, если вы используете хорошую криптографическую программу, такую как VeraCrypt, которая использует сильные алгоритмы шифрования и случайный ключ, то восстановление удаленного файла должно быть очень сложным. В любом случае, если вы хотите надежно удалить файлы из зашифрованного крипто-контейнера, рекомендуется использовать специальные программы для безопасного удаления данных, такие как Eraser, которые перезаписывают данные несколько раз, делая их невосстановимыми.

 

Дополнительные настройки: Разрешить команду TRIM для несистемного SSD/диска