清空回收站后,你的数据仍然在那里

你在电脑或智能手机上"删除"了一个文件并清空了回收站。数据现在完全消失了,真的吗?在大多数情况下,数据仍然存在于你的存储设备上。

"删除"真正意味着什么

当你删除一个文件时,操作系统只是将该文件占用的空间标记为"可以被新数据覆盖"。文件的内容并没有被真正擦除。

用图书馆的类比很容易理解。从图书馆目录中移除一本书的卡片并不会从书架上移除那本书。"删除"是丢弃目录卡片的行为,而不是烧毁书本身。

这就是为什么在删除后不久,数据恢复软件通常可以找回文件。在该空间被新数据覆盖之前,原始数据仍然保留在存储设备上。

SSD 和 HDD 的工作方式不同

HDD (机械硬盘)

在 HDD 上,已删除文件的数据在被新数据覆盖之前物理上仍然存在。恢复软件有很高的概率找回它,专业服务有时甚至可以在覆盖后部分恢复数据。

SSD (固态硬盘)

SSD 有一个叫做"TRIM"的功能。TRIM 是一种机制,操作系统通知 SSD 已删除的数据区域,SSD 在内部清除这些区域。在启用了 TRIM 的 SSD 上,删除后经过一段时间恢复就变得困难了。

然而,由于 TRIM 执行时机取决于 SSD 的固件,如果在删除后立即尝试,SSD 上的恢复仍然可能成功。

智能手机上的"删除"

智能手机存储使用与 SSD 相同的闪存。此外,近年来的 iPhone 和 Android 设备对整个存储进行加密。

  • iPhone:当文件被删除时,其加密密钥被销毁。即使数据仍然保留在存储上,没有加密密钥也无法读取
  • Android:自 Android 10 起存储加密已成为强制要求。与 iPhone 一样,通过销毁加密密钥使数据实际上无法恢复

当你在出售前"恢复出厂设置"智能手机时,加密密钥被销毁,使存储上的数据实际上无法恢复。

当你真正想要擦除数据时

  • 加密擦除:加密整个存储,然后销毁加密密钥。最可靠且最快的方法
  • 覆盖擦除:用随机数据覆盖整个存储。对 HDD 有效,但旧数据可能残留在 SSD 的保留区域
  • 物理销毁:物理销毁存储设备。最确定的方法,但设备无法重复使用

处置电脑时,我们建议执行加密擦除或物理销毁,而不是简单地删除文件。

总结

"删除"只是从目录中移除卡片,书仍然在书架上。HDD 上恢复很容易,即使在 SSD 上也可能取决于 TRIM 时机。智能手机由于加密相对安全,但处置电脑的 HDD 时,不要忘记加密擦除或物理销毁。

本文相关术语

加密 智能手机存储加密在删除后保护数据方面发挥着关键作用。 VPN VPN 可以保护传输中的数据,但删除存储的数据需要不同的措施。 IP 地址 记录在网站访问日志中的 IP 地址会持续存在,除非服务器端的日志被删除。