Windows ลบไฟล์ไปแล้วล้างถังขยะไปแล้ว ทำไมยังกู้ข้อมูลได้ และต้องทำอย่างไรให้ลบข้อมูลโดยที่ไม่สามารถกู้ได้

หลักการทำงานของการลบข้อมูลต่างๆใน HDD หรือ SSD ของ Windows

ในระบบ Windows เมื่อคุณลบไฟล์และแม้กระทั่งล้างถังขยะไปแล้ว ข้อมูลที่คุณเคยเห็นในระบบก็ยังสามารถกู้คืนได้ในบางกรณี เพราะการ “ลบ” ไฟล์ในระบบปฏิบัติการนั้นไม่ได้หมายความว่าข้อมูลนั้นถูกลบออกจากฮาร์ดดิสก์ทันที แต่เป็นเพียงการทำเครื่องหมายให้พื้นที่ที่ไฟล์นั้นเคยอยู่พร้อมสำหรับการเขียนข้อมูลใหม่ในอนาคตเท่านั้น นี่คือรายละเอียดและเหตุผลเบื้องหลัง พร้อมกับแนวทางการทำให้การลบข้อมูลนั้นปลอดภัยและไม่สามารถกู้คืนได้

1. หลักการทำงานของการลบไฟล์ใน Windows

1.1 การลบไฟล์และถังขยะ

• การลบไฟล์: เมื่อคุณลบไฟล์จาก Windows ไม่ว่าจะผ่านการกดปุ่ม Delete หรือจากคำสั่งอื่น ๆ ระบบจะทำการย้ายไฟล์นั้นไปยังถังขยะ (Recycle Bin) ซึ่งเป็นที่เก็บไฟล์ที่ถูกลบเพื่อให้คุณสามารถกู้คืนได้ในกรณีที่เกิดข้อผิดพลาด
• การล้างถังขยะ: เมื่อคุณล้างถังขยะ ระบบจะทำการลบการอ้างอิงของไฟล์เหล่านั้นออกจากระบบไฟล์ แต่ข้อมูลจริง ๆ ที่อยู่บนฮาร์ดดิสก์จะยังคงอยู่ในพื้นที่ที่ถูก “ปล่อยว่าง” เพื่อรอการเขียนทับในอนาคต

1.2 การทำเครื่องหมายเป็นพื้นที่ว่าง

• ระบบไฟล์: ระบบไฟล์ของ Windows (เช่น NTFS) เมื่อมีการลบไฟล์จะไม่ลบข้อมูลจริงในทันที แต่จะทำการเปลี่ยน “ตารางการจัดเก็บ” (File Allocation Table) หรือ “Master File Table” (MFT) ให้ข้อมูลไฟล์นั้นถูกมองว่าเป็นพื้นที่ว่าง ซึ่งรอการบันทึกข้อมูลใหม่เข้าไปแทนที่ข้อมูลเดิม
• ผลกระทบ: การที่ข้อมูลยังคงอยู่บนดิสก์ทำให้สามารถใช้โปรแกรมกู้ข้อมูล (Data Recovery Software) ในการสแกนและดึงข้อมูลเดิมที่ยังไม่ถูกเขียนทับได้

2. เหตุผลที่ข้อมูลที่ถูกลบยังสามารถกู้คืนได้

2.1 การไม่ถูกลบออกจริง

• ข้อมูลยังคงอยู่: เมื่อข้อมูลถูก “ลบ” โดย Windows จะไม่ได้ลบข้อมูลออกจากฮาร์ดดิสก์ทันที แต่เพียงแต่เปลี่ยนสถานะในตารางการจัดเก็บเท่านั้น
• รอการเขียนทับ: ถ้าหากไม่มีข้อมูลใหม่ถูกบันทึกในพื้นที่นั้น ข้อมูลเก่ายังคงสามารถเข้าถึงได้ด้วยเครื่องมือกู้คืนข้อมูล

2.2 การทำงานของโปรแกรมกู้ข้อมูล

• การสแกนแบบเจาะลึก: โปรแกรมกู้ข้อมูลจะทำการสแกนพื้นที่ว่างในดิสก์และพยายามเรียงลำดับและวิเคราะห์ลักษณะของไฟล์เดิมเพื่อทำการกู้คืนข้อมูล
• การวิเคราะห์ส่วนของข้อมูล: ด้วยการตรวจจับ file signature โปรแกรมสามารถระบุประเภทของไฟล์และดึงข้อมูลที่เกี่ยวข้องออกมาได้

3. การป้องกันไม่ให้ข้อมูลถูกกู้คืน

3.1 การเขียนทับข้อมูล (Data Overwriting)

• วิธีการทำงาน: การเขียนทับข้อมูลคือการที่ระบบทำการบันทึกข้อมูลใหม่ทับที่ข้อมูลเดิมในพื้นที่ว่าง ทำให้ข้อมูลเดิมไม่สามารถเรียกคืนได้
• เครื่องมือที่ใช้: มีโปรแกรมหลายตัวที่ออกแบบมาเพื่อการเขียนทับข้อมูลอย่างปลอดภัย เช่น Eraser, CCleaner, DBAN (Darik’s Boot and Nuke) ซึ่งจะทำการเขียนทับหลายรอบตามมาตรฐานที่กำหนด (เช่น DoD 5220.22-M หรือ Gutmann method)

3.2 การใช้ฟังก์ชัน “Secure Delete”

• Secure Delete: ฟังก์ชันนี้จะทำงานในลักษณะคล้ายกับการเขียนทับข้อมูลเพื่อให้แน่ใจว่าไฟล์ที่ถูกลบจะไม่สามารถกู้คืนได้ สำหรับผู้ใช้งานขั้นสูง การใช้เครื่องมือจาก Microsoft Sysinternals อย่าง SDelete จะช่วยลบไฟล์อย่างปลอดภัยด้วยการเขียนทับข้อมูล
• ระบบไฟล์และฮาร์ดแวร์: ในบางระบบ (เช่น SSD) อาจมีคำสั่ง TRIM ที่จะช่วยให้การลบไฟล์มีประสิทธิภาพมากขึ้น โดยจะทำการลบข้อมูลในระดับฮาร์ดแวร์ ซึ่งอาจลดโอกาสในการกู้คืนได้ แต่ก็ขึ้นอยู่กับการทำงานของตัวควบคุม SSD ด้วย
• สำหรับ SSD ระบบจะมีคำสั่ง TRIM ที่ช่วยจัดการพื้นที่ที่ไม่ได้ใช้งาน แต่ก็มีข้อจำกัดในการทำงาน ทำให้การกู้ข้อมูลในบางกรณีอาจเป็นไปได้ยากกว่า HDD ดังนั้นควรใช้เครื่องมือหรือโปรแกรมที่รองรับการทำงานกับ SSD

  สำหรับ SSD นั้น คำสั่ง TRIM มีบทบาทสำคัญในการช่วยให้ SSD ทำงานได้อย่างมีประสิทธิภาพและช่วยลบข้อมูลที่ไม่ได้ใช้งานออกจากพื้นที่จัดเก็บ ซึ่งต่างจากฮาร์ดดิสก์แบบ HDD ที่การลบไฟล์จะเป็นเพียงการทำเครื่องหมายว่าพื้นที่นั้นว่างอยู่

  ขั้นตอน ในการตรวจสอบว่า TRIM เปิดใช้งานหรือไม่

  1. เปิด Command Prompt ด้วยสิทธิ์ Administrator

     • คลิกขวาที่ปุ่ม Start แล้วเลือก “Command Prompt (Admin)” หรือ “Windows PowerShell (Admin)”

  2. พิมพ์คำสั่งตรวจสอบ TRIM:

     • พิมพ์คำสั่งต่อไปนี้แล้วกด Enter:
       fsutil behavior query DisableDeleteNotify


  3. ตรวจสอบผลลัพธ์:

     • หากผลลัพธ์แสดงว่า DisableDeleteNotify = 0 หมายความว่า TRIM ได้เปิดใช้งานแล้ว
     • หากผลลัพธ์แสดงว่า DisableDeleteNotify = 1 หมายความว่า TRIM ถูกปิดใช้งาน

  การลบข้อมูลหรือการทำความสะอาด SSD ควรใช้ซอฟต์แวร์ที่ถูกออกแบบมาสำหรับ SSD โดยเฉพาะ เช่น Samsung Magician หรือ Intel SSD Toolbox ซึ่งสามารถส่งคำสั่ง Secure Erase ให้กับ SSD ได้ตรงตามความต้องการและเหมาะสมกับวิธีการจัดการข้อมูลของ SSD เนื่องจากการทำงานของ SSD มีลักษณะเฉพาะและการใช้งานคำสั่ง TRIM ควรเป็นส่วนหนึ่งของกระบวนการซอฟต์แวร์นั้น เพื่อให้แน่ใจว่าการลบข้อมูลและการจัดการพื้นที่ทำได้อย่างถูกต้องและมีประสิทธิภาพ

  การตรวจสอบ TRIM และการใช้ซอฟต์แวร์ที่เหมาะสมช่วยให้ SSD ของคุณมีอายุการใช้งานที่ยาวนานและข้อมูลถูกจัดการอย่างมีประสิทธิภาพมากขึ้น

3.3 การเข้ารหัสข้อมูล

• การเข้ารหัส: หนึ่งในวิธีที่ดีที่สุดในการป้องกันข้อมูลจากการกู้คืนคือการเข้ารหัสข้อมูลทั้งหมดบนฮาร์ดดิสก์ (Full Disk Encryption) ด้วยเครื่องมืออย่าง BitLocker ของ Windows หรือโปรแกรมเข้ารหัสอื่น ๆ
• ผลลัพธ์: แม้ข้อมูลจะถูกกู้คืนในกรณีที่มีการลบไฟล์ แต่ถ้าไฟล์นั้นถูกเข้ารหัสอย่างถูกต้อง ผู้กู้คืนจะไม่สามารถเข้าถึงข้อมูลที่มีการเข้ารหัสได้

การ Format กับการ Secure Delete

เกี่ยวกับเรื่องการ Format ที่หลายคนมองว่าเป็นการลบข้อมูลอย่างหนึ่งและน่าจะเป็นวิธีที่ช่วยให้ลบข้อมูลอย่างปลอดภัยหรือถาวรได้แต่จริงๆแล้วไม่ใช่เลย การ Format ฮาร์ดดิสก์หรือพาร์ทิชันใน Windows (ไม่ว่าจะเป็น Quick Format หรือ Full Format) นั้น แม้จะลบข้อมูลออกจากตารางไฟล์ แต่ข้อมูลจริง ๆ ยังคงอยู่ในพื้นที่ว่าง และสามารถกู้คืนได้ด้วยโปรแกรมกู้ข้อมูล ซึ่งแตกต่างจากวิธีการเขียนทับข้อมูลเพื่อให้แน่ใจว่าข้อมูลจะไม่สามารถกู้คืนได้แบบ Secure Delete

• การ Format

  • สิ่งที่เกิดขึ้น:เมื่อคุณ Format ฮาร์ดดิสก์หรือพาร์ทิชัน ระบบจะลบการอ้างอิงของไฟล์ (เช่นตารางไฟล์) ทำให้ไฟล์เหล่านั้นหายไปจากการแสดงผล แต่ข้อมูลจริงๆ ยังอยู่ในพื้นที่ว่างของดิสก์
  • ข้อจำกัด:ผู้กู้คืนข้อมูลสามารถใช้โปรแกรมสแกนเพื่อดึงข้อมูลที่เหลืออยู่ในพื้นที่ว่างได้ ดังนั้นการ Format จึงไม่ถือว่าเป็นการลบข้อมูลอย่างปลอดภัย

• การ Secure Delete (การเขียนทับข้อมูล)

  • สิ่งที่เกิดขึ้น:การ Secure Delete จะทำการเขียนทับข้อมูลเดิมด้วยข้อมูลใหม่หลายรอบ ทำให้ข้อมูลเก่าไม่สามารถถูกกู้คืนได้
  • ความปลอดภัย:วิธีนี้เป็นที่ยอมรับในวงการความปลอดภัยข้อมูลว่าเป็นการลบข้อมูลอย่างถาวรและมีความแน่นอนมากกว่า