ArchiCrypt Shredder wurde konzipiert, um Ihnen die Möglichkeit zu geben, Dateien unter den Betriebssystemen Windows 2000 und Windows XP sicher zu löschen.
Nachfolgend erfahren Sie etwas über die Besonderheiten der Microsoft Betriebssysteme, die im Zusammenhang mit dem Löschen eine Rolle spielen.
Windows 2000 und XP zeichnen sich unter anderem dadurch aus, dass Sie eine ausgefeilte Rechteverwaltung und das transaktionsorientierte Dateisystem NTFS bieten.
Die Daten werden bei allen Systemen auf Datenträgern abgelegt, die bestimmte Strukturen aufweisen. Unter Microsoft Betriebssystemen sind diese Strukturen Sektoren und Cluster. In einem Sektor wird jeweils eine bestimmte Anzahl Bytes abgelegt und in einem Cluster wird eine bestimmte Anzahl an Sektoren zusammengefasst.
Inhalte von Dateien werden durch betriebssystemspezifische Funktionen in diesen Strukturen abgelegt. Gleichzeitig führt das Betriebsystem Protokoll darüber, welche Datei wo zu finden ist. Die Art und Weise, wie das Betriebssystem die Informationen ablegt und organisiert, ist für normale Anwendungen unwichtig und teilweise auch undokumentiert. Genau dieses Wissen ist jedoch notwendig, um Dateiinhalte nicht nur scheinbar zu löschen.
Sie wissen sicher, dass Dateien beim Löschen nicht tatsächlich gelöscht werden. Lediglich der Verweis auf den Inhalt wird entfernt. (Man kann sich das wie folgt vorstellen: Eine Bibliothek führt eine Kartei, mit Karteikarten für jedes geführte Buch. Das Löschen mit Betriebssystemmitteln entfernt lediglich die Karteikarte. Das Buch ist weiterhin vorhanden. ArchiCrypt Shredder kümmert sich um das Buch!). Werden nun neue Daten auf den Datenträger geschrieben, erfolgt dieser Vorgang nicht zwingend an der Stelle, an der zuvor die andere Datei abgelegt war.
Intelligente Cache-Mechanismen verhindern auch das sichere Überschreiben. Das Betriebssystem schreibt Daten nicht unmittelbar auf den Datenträger, sondern behält die Daten zunächst im Speicher. Erfolgt der nächste Schreibvorgang, ersetzt das System diese Daten im Speicher. Wird die Datei letztlich gelöscht, wird der Inhalt im Speicher verworfen, da die Datei nicht mehr benötigt wird. Auf dem Datenträger befinden sich also immer noch die Inhalte, lediglich der Verweis wurde entfernt.
Das transaktionsorientierte Dateisystem von Windows NT speichert Informationen über Dateien in Dateien. Dadurch wird man der umfangreichen Rechteverwaltung gerecht, die vorsieht, dass man für jede Datei Zugriffsrechte vergibt. Selbst der Bootsektor ($BOOT) ist unter diesem Dateisystem als Datei abgelegt. Sehen kann man diese Dateien unter normalen Umständen nicht.
Ein weiteres Konzept von NTFS ist es, die Datei als Ansammlung von Attributen (Eigenschaftswerten) zu sehen. Selbst der eigentliche Dateiinhalt ist ein Attribut. Attribute werden in der Master File Table-Struktur ($MFT Datei) abgelegt. Ist der Dateiinhalt nicht zu umfangreich, wird auch der Inhalt in der Struktur abgelegt. Ist der Dateiinhalt zu umfangreich, enthält die MFT-Struktur einen Verweis auf den ersten Cluster, in dem der Inhalt abgelegt wird.
Für das sichere Löschen ist von Interesse, dass man lediglich gezielt auf bestimmte Cluster zugreifen kann, nicht aber auf bestimmte Records (Datensätze) der MFT-Struktur. In der MFT können Dateien bis zu einer Größe von 4KByte direkt abgelegt werden. Dies bedeutet folglich, dass man Dateien dieser Größe nicht direkt löschen kann.
Eine weitere Besonderheit des NTFS Dateisystems ist die Transaktionsorientiertheit. D.h. Änderungen werden ganz oder gar nicht übernommen. Um dies zu bewerkstelligen, führt das Betriebssystem in der Datei $LogFile alle Dateioperationen auf. In dieser werden dabei auch Inhalte der Datei mit aufgeführt. Im Falle eines notwendigen Rollbacks (Rücknahme einer Änderung) dienen diese Informationen dem Wiederherstellen des ursprünglichen Inhalts.
