Teil on õigus, faili kustutamiseks tuleb tegelikud varem asustatud kettablokid üle kirjutada. Seda tehakse tavaliselt juhuslike andmetega; näiteks kirjutab Windowsi tööriist „cipher” kasutamata (nt varem kasutatud) kettaruumi 0-de, seejärel 1-de ja seejärel juhuslike andmetega.

Kui kohtuekspertiis vaataks teie arvuti ketast ja Olete kustutanud failid sel viisil pühkinud, ta märkas, et kettal olev "tühi ruum" oli täidetud juhuslike andmetega ja kustutatud faile oli vähe või üldse mitte. Oletame, et kustutasite faili „readme.txt” ega pühkinud seda; ta leiaks selle endise faili sisu ja ütleks "Olgu, siin on kustutatud tekstifail". Seega, kui ta ei leia kustutatud faile, peab ta järeldama, et a) te pole kunagi faili kustutanud või b) olete kustutatud failide ülekirjutamiseks tühja ruumi pühkinud. Ilmselt on b) tõenäolisem kui a).

Teisisõnu öeldes: kui pühkimise tulemus on juhuslik, siis see juhuslikkus ütleb uurijale, et ketas on "puhastatud" ".

Mõni tööriist, näiteks PGP tükeldamine, kirjutab üle teie määratud ühe faili, selle asemel et koristada kogu kettal olevat tühja ruumi. Kui tundlikud failid tükeldatakse ja tavalised failid kustutatakse nagu tavaliselt, on uurijal raskem tõestada, et fail on kustutatud.

See, mida gowenfawr ütleb, on täiesti õige, kuid tahaksin sellele siiski midagi lisada.

Sõltuvalt failisüsteemist võib mõni neist jääda. NTFS-is ei kustutata failide indekseid faili pühkimisel / kustutamisel. Nii et kuigi te ei saa faili sisu taastada, on failil alati jälgi.

Lisateabe saamiseks vaadake seda kohtuekspertiisi ajaveebipostitust.

http://computer-forensics.sans.org/blog/2011/09/20/ntfs-i30- index-attributes-tõendid-kustutatud-ja-ülekirjutatud-failidest

Sellisel juhul on lihtsaim lahendus kasutada truecrypt. Selle kasutamine on seaduslik, vajadust on lihtne põhjendada ja keegi ei saa öelda, kui palju andmeid teil varem oli, millised failid seal olid jne.