Если удалить файл из TrueCrypt контейнера, то?

Discussion in 'Безопасность и Анонимность' started by orioshka, 4 Feb 2022.

  1. orioshka

    orioshka New Member

    Joined:
    4 Feb 2022
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Всем привет. Такой вопрос. Всем известно, что удалённые из под винды файлы... через SHIFT + DEL или из корзины... можно восстановить (Recuva и т.п.)

    А как дела с удалением файлов из зашифрованного крипто контейнера?
    >монтирую контейнер> Shift+Del удаляю файл>размонтирую

    В итоге, файл можно будет восстановить той же Recuva? Или он виден не будет, т.к. находится в ячейках памяти зашифрованных трукриптом?
     
  2. fandor9

    fandor9 Reservists Of Antichat

    Joined:
    16 Nov 2018
    Messages:
    631
    Likes Received:
    1,050
    Reputations:
    47
    Ответ скорее всего не простой и ответить на него могут скорее всего форензики (т.е. не я..)
    По идеи файл стирается, но он может оставаться где-до в локальных кэшах и темпах.
    Т.е. защищает только полное шифрование всего диска, так-как тогда и кэши и темпы и все прочее тоже зашифровано.
    https://security.stackexchange.com/...deleted-from-a-true-crypt-volume-be-recovered
    https://support.piriform.com/hc/en-us/articles/204044084
     
    Baskin-Robbins likes this.
  3. orioshka

    orioshka New Member

    Joined:
    4 Feb 2022
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Спасибо за ответ. В диалоге по ссылке... авторы тоже спорят. Но заканчивается ветка на словах:
    "Следовательно, этот файл не может быть прочитан за пределами контейнера, независимо от того, находится ли он в исходной форме или в псевдоудаленной форме (перемещен в корзину)."
    Что-то против никто не написал.

    Я вот, как рассуждаю. Есть в файловой системе зашифрованные ячейки. Я создаю файл внутри этого контейнера... и этот файл помещается внутрь этих зашифрованных ячеек. После удаления, файл же остаётся именно в этих ячейках, а не в каких-то других?!!! Верно? А они зашифрованы.
    То же самое, если взять и удалить весь крипто-контейнер целиком (сам файл). То что удалено внутри него, по идее же не будет раскрыто.... (?)
     
  4. GoodGoogle

    GoodGoogle Moderator

    Joined:
    5 Aug 2011
    Messages:
    1,160
    Likes Received:
    366
    Reputations:
    226
    Дополнительные настройки: Разрешить команду TRIM для несистемного SSD/диска
     
  5. John Ron

    John Ron New Member

    Joined:
    9 Feb 2022
    Messages:
    10
    Likes Received:
    2
    Reputations:
    0
    Windows может создавать резервные копии, точки восстановления, хранить кэш иконок изображения. Отключи такие возможности, гуглится легко. В остальном, удаление из контейнера, удаляет без возможности восстановления, без доступа к контейнеру. При доступе к контейнеру, восстановить можно.
    Зачем? Truecrypt если только не из под USB запускается, данная команда ничего не добавит, если контейнер на системном диске находится.
     
  6. Ruslan7st

    Ruslan7st Member

    Joined:
    10 Apr 2019
    Messages:
    86
    Likes Received:
    48
    Reputations:
    1
    Если файл писался сразу в контейнер то все норм не восстановишь а вот если фаил перенесли с диска в контейнер то нужно запирать пустое пространство диска делается это несколькими способами

    Для Windows
    cipher /w:C: для диска C для диска D просто меняем C На D

    Ну и программа Eraser
    https://eraser.heidi.ie/

    Для linux
    apt-get install secure-delete
    sfill -fiIlvz /home/test/Загрузки

    Еще рекомендую прочитать про Уничтожение данных dod 5220.22-m и алгоритм Питера Гутмана

    [​IMG]
     
    #6 Ruslan7st, 13 Mar 2022
    Last edited: 13 Mar 2022
  7. GAiN

    GAiN Elder - Старейшина

    Joined:
    2 Apr 2011
    Messages:
    2,547
    Likes Received:
    168
    Reputations:
    99
    Я тестировал когда то, если файл был только в контейнере и не попадал в теневое копирование системное, то вне контейнера его не получится восстановить.
     
  8. sherxan-g

    sherxan-g Member

    Joined:
    6 Jan 2016
    Messages:
    70
    Likes Received:
    18
    Reputations:
    0
    Если вы удаляете файл из зашифрованного крипто-контейнера с помощью Shift+Del, то файл фактически не удаляется, а только помечается для перезаписи. Это означает, что память, которую занимал файл, не освобождается, а перестает быть доступной для чтения. Восстановление удаленного файла с помощью Recuva или других программ восстановления данных возможно, если этот файл еще не был перезаписан другими данными. Однако, если вы используете хорошую криптографическую программу, такую как VeraCrypt, которая использует сильные алгоритмы шифрования и случайный ключ, то восстановление удаленного файла должно быть очень сложным. В любом случае, если вы хотите надежно удалить файлы из зашифрованного крипто-контейнера, рекомендуется использовать специальные программы для безопасного удаления данных, такие как Eraser, которые перезаписывают данные несколько раз, делая их невосстановимыми.
     
Loading...