清空廢紙簍無法真正”刪除”文件，如何徹底刪除以抵制任何取證工具？

• 可以做到，但是仍有局限性

以下大部分說明僅適用於傳統的磁盤驅動器，不適用於現代計算機中標準的固態硬盤（SSD）、USB密鑰/ USB拇指驅動器或SD卡/閃存卡。

要想安全地刪除SSD、USB閃存驅動器和SD卡是非常困難的！

這是因為這些類型的驅動器使用一種被稱為損耗平衡​​的技術。 這裡有一些做法介紹； 以及這裡；對此後面會有更多解釋。

您是否知道，當您將計算機上的文件扔到回收站文件夾中並清空回收站時，該文件不會被完全擦除；

計算機通常不“刪除”文件；當您將文件移至回收站時，計算機只會使此文件不可見，並允許將來其占用的空間被其他東西覆蓋。

因此，可能要花數週、數月、甚至數年的時間，才能覆蓋該文件—— 如果在這期間，您的設備被警察搶走，就麻煩了。

在這種情況發生之前，您認為那個“已刪除”的文件仍在磁盤上。它只是正常操作不可見而已。

只需少量工作和正確的工具—— 尤其是當前流行全球的各種所謂的取證工具—— 即可檢索到那些“已刪除”的文件。

• 《 數字取證正在氾濫：政府可以從你的手機中提取哪些數據？ 》

那麼，永久刪除文件的最佳方法是什麼？ —— 確保立即將其覆蓋。這會使得很難檢索到那裡曾經寫過什麼東西。

您的操作系統可能已經具有可以為您執行此操作的軟件—— 該軟件可以用亂碼來覆蓋磁盤上的所有“空”空間，從而保護已刪除數據的機密性。

在Linux 上，我們目前建議使用BleachBit ，這是一種適用於Linux和Windows的開源安全刪除工具。

BleachBit 可用於快速，輕鬆地針對單個文件進行安全刪除，或實施定期的安全刪除策略。也可以編寫自定義文件刪除指令。

以下是它的用法介紹。

安裝BleachBit

使用Ubuntu 安裝

您可以在Ubuntu 上獲取BleachBit。如果已安裝，那麼現在就打開它。

或者單擊屏幕左下方的應用程序按鈕，然後使用搜索。

在搜索欄中輸入“軟件”，然後單擊“ Ubuntu 軟件”圖標。

默認情況下，不會列出BleachBit。為了確保它被列出，請通過單擊頂部菜單中的“Ubuntu Software”，然後單擊“軟件和更新”來啟用社區維護的軟件包。

在新窗口中，確保選中“社區維護的免費和開源軟件（Universe）”的那個框，然後單擊“關閉”和“重新加載”。

如果已經選中，則可以單擊“關閉”。

現在就可以搜索了。通過單擊窗口右上角的放大鏡來使用搜索。

然後在搜索字段中輸入“ BleachBit”。

單擊BleachBit，然後單擊“安裝”按鈕。

Ubuntu 將要求您輸入密碼以獲取許可。輸入密碼，然後單擊身份驗證按鈕。

Ubuntu 軟件中心將安裝BleachBit 並顯示一個小的進度條。安裝完成後，您將看到“啟動”和“刪除”按鈕。

從終端安裝

您也可以使用終端獲取BleachBit。單擊屏幕左下方的應用程序按鈕，然後使用搜索。

在搜索字段中鍵入“ terminal”，然後單擊“ Terminal”圖標。

鍵入“ sudo apt-get install bleachbit”，然後按Enter。

系統將要求您輸入密碼以確認您要安裝BleachBit。輸入密碼，然後按Enter。

現在，您將看到BleachBit 的安裝進度，安裝完成後，您應該回到開始的命令行。

將BleachBit 添加到側邊欄

單擊屏幕左下方的應用程序按鈕，然後使用搜索。

在搜索字段中輸入“bleach”，將出現兩個選項：BleachBit 和BleachBit (as root)。

⚠️請注意：除非您明確知道自己在做什麼時才使用BleachBit(as root)選項，因為如果將其用於刪除操作系統所需的文件，則可能會造成無法彌補的危害。

右鍵單擊BleachBit，然後選擇“添加到收藏夾”。

使用BleachBit

從屏幕左側的收藏夾中單擊BleachBit 圖標。

BleachBit 主窗口將打開，BleachBit 將為您提供首選項的概述。

建議選中“覆蓋文件內容以防止恢復”選項。

點擊“關閉”按鈕。 BleachBit 將檢測幾個常用安裝程序，並為每個程序顯示特殊選項。

Using Presets

一些軟件留下了何時以及如何使用它的記錄。僅僅用於說明這一普遍問題的兩個重要示例是“最近使用的文檔”和Web瀏覽器歷史記錄。

跟踪最近編輯的文檔的軟件會保留您正在使用的文件名的記錄，即使這些文件本身已被刪除也是如此！

網絡瀏覽器通常會保留有關您最近訪問過的網站的詳細記錄，甚至會保留來自這些網站的頁面和圖像的緩存副本，以使它們在您下次訪問時加載速度更快。但你知道這有多危險《 瀏覽歷史記錄曝光你的內心全景圖：開源調查演示》。

BleachBit 提供了“presets”，可以根據BleachBit 作者對計算機上傾向於揭示您先前活動的記錄的研究，為您刪除其中的一些記錄。

以下是2個例子，以便您了解它的原理。

選中“系統”旁邊的框，請注意，這會標記“系統”類別下的所有復選框。取消其他被選中的框，最終選中以下框：最近的文檔列表、和廢紙簍。點擊“清潔”按鈕。

BleachBit 現在將要求您確認。單擊刪除按鈕。

BleachBit 現在將清理某些文件並向您顯示進度。

如何安全刪除文件夾

點擊“文件”菜單，然後選擇Shred Folders”。

這將打開一個小窗口。選擇要粉碎的文件夾。

BleachBit 將要求您確認是否要永久刪除所選文件。點擊“刪除”按鈕。

BleachBit 將顯示刪除的文件。請注意，BleachBit 將刪除文件夾中的每個文件，然後刪除文件夾。

如何安全刪除文件

單擊文件菜單，然後選擇粉碎文件。

這將打開一個文件選擇窗口。選擇要粉碎的文件。

BleachBit 將要求您確認是否要永久刪除所選文件。點擊“刪除”按鈕。

BleachBit 具有許多其他功能。其中最有用的一種可能是擦除可用空間。

這將嘗試刪除所有已刪除文件的痕跡。這很重要！

Linux 通常會將已刪除文件中的全部或部分數據留在硬盤驅動器上剩餘的可用空間中。擦除可用空間將使用隨機數據覆蓋硬盤驅動器上這些空的部分。

擦除可用空間可能需要很多時間，具體取決於驅動器有多少備用容量。

關於安全刪除工具的局限性的警告

請記住，以上建議僅會刪除您正在使用的計算機磁盤上的文件。

它們不會刪除在其他地方的所有備份、另一個磁盤或USB驅動器、“時光機”、電子郵件服務器上、所謂的雲中、或發送給您的聯繫人的東西。

此外，文件一旦存儲在雲端（例如，通過Dropbox 或其他文件共享服務），通常就無法再永久刪除！

而且。不幸的是，安全刪除工具還有另一個限制。

即使您遵循上述建議，並且已經刪除了文件的所有副本，刪除的文件仍有一定痕跡可能會保留在您的計算機上，這不是因為文件本身沒有被正確刪除，而是，因為某些部分操作系統或某些其他程序故意保留了它們的記錄。

發生這種情況的方式有很多，但是兩個例子足以說明這種可能性。

在Windows 或macOS 上，即使已刪除文件，仍會在“最近的文檔”菜單中保留對文件名的引用（Office有時甚至會保留包含文件內容的臨時文件）。

很難知道如何應對這個問題。可以肯定地說，即使文件已被安全刪除，其名稱在您的計算機上也可能會繼續存在一段時間。

覆蓋整個磁盤是100％確保名稱消失的唯一方法。

有些人可能會想：“我可以在磁盤上搜索原始數據以查看是否有任何數據副本嗎？” 答案是可以也不可以。

搜索磁盤（例如，在Linux 上使用grep -ab / dev / 之類的命令）將告訴您數據是否以純文本形式存在，但不會告訴您某些程序是否已對其進行了壓縮或其他編碼引用。

文件內容仍被保留的可能性較低，但並非不可能。覆蓋整個磁盤並安裝新的操作系統是確保100％刪除文件記錄的唯一方法。

丟棄舊硬件前的安全刪除

如果要扔掉一個硬件或在eBay上出售它，則要首先確保沒有人可以從中檢索數據。

研究反復發現，計算機所有者通常無法做到這一點—— ⚠️硬盤驅動器經常被轉售，其中充斥著高度敏感的信息。

因此，在出售或丟棄計算機之前，請務必先用亂碼覆蓋其存儲介質。

而且，如果您的計算機使用壽命已到，那麼在將計算機存放在角落或其他地方之前擦拭硬盤也是很有必要的。

Darik 的Boot and Nuke是為此目的而設計的工具，並且有許多關於如何使用它的教程。

某些全盤加密軟件具有銷毀主密鑰的能力，從而使硬盤驅動器的加密內容永久無法破解。

由於密鑰僅包含極少量的數據，幾乎可以立即銷毀，因此這是使用上述軟件進行覆蓋的一種更快的替代方法，覆蓋對於大型驅動器而言可能非常耗時。

但是，⚠️僅僅在始終對硬盤驅動器進行了加密的情況下此選項才可行。如果您未提前使用全盤加密，則需要先覆蓋整個驅動器，然後再刪除它。

丟棄CD或DVD-ROM

對於CD-ROM 或DVD-ROM，應該使用與處理文件相同的方法—— 將它們粉碎。

有便宜的切碎機可以使用，除非您可以確認沒有任何敏感內容能被找到了，否則切勿扔掉它們。

安全刪除固態硬盤（SSD）、USB閃存驅動器和SD卡

不幸的是，由於SSD，USB閃存驅動器和SD卡的工作方式，很難安全地刪除單個文件和可用空間（即使不是不可能的話）。

就保護而言，最好的選擇是使用加密。

這樣，即使文件仍在磁盤上，對持有該文件並且不能強迫您對其解密的任何人來說，它至少看起來都是一堆不知所云的東西。

如上所述，SSD和USB閃存驅動器使用一種稱為損耗平衡​​的技術。在較高級別，損耗平衡的工作原理如下。

每個磁盤上的空間都分為多個區，類似於書籍的頁。將文件寫入磁盤後，它會分配給某個區或一組區。如果要覆蓋文件，那麼您要做的就是告訴磁盤覆蓋這些區。

但是在SSD和USB驅動器中，擦除和重寫相同的區可能會使它磨損。

每個區只能擦除並重寫有限的次數，然後該區就不再起作用（這就像如果您繼續用鉛筆在紙上書寫和擦除，最終這張紙可能會破掉不可再用）。

為了解決這個問題，SSD和USB驅動器將嘗試確保每個區被擦除和重寫的次數大致相同，以便使其盡可能長時間可用。

副作用是，驅動器有時不會刪除和寫入最初存儲文件的區，而是將其留為單獨的區，將其標記為無效，然後將修改後的文件寫入另一個區。這有點像使書中的頁面保持不變，將修改後的文字寫入其他頁面，然後僅更新書的目錄以指向新頁面。

這意味著，即使您嘗試覆蓋文件，也可能無法保證驅動器是否真的會覆蓋它，這就是為什麼對SSD進行安全刪除要困難得多的原因。

如果您不知道該怎麼做，那就盡可能不要將重要的資料放在SSD設備和USB上，否則警察擅長的取證工具有可能對你非常不利。 ⚪️