Możliwość odzyskiwania plików z dysku twardego wypełnionego zerami dd

13

Mam „wypełniony zerem” (całkowicie wyczyszczony) zewnętrzny dysk twardy za pomocą dd i z tego, co słyszałem: ludzie mówili, że powinieneś „zerować zero” 3 razy, aby mieć pewność, że dane są naprawdę wyczyszczone i nikt nie będzie mógł odzyskać byle co.

Postanowiłem więc przeskanować dysk ponownie po tym, jak go zapełniłem. Spodziewałem się, że na dysku pozostanie jeszcze trochę losowych plików binarnych. Okazało się, że na początku ma tylko kilka kolejnych bajtów. Prawdopodobnie jest to typ struktury pliku i inne nagłówki. Poza tym są to zera i nic więcej.

Więc jeśli musimy odzyskać dowolny plik z dysku wypełnionego zerem, ... jak? Z tego, co słyszałem, nawet ty nie wypełniasz dysku, powinieneś nadal mieć trochę danych. ... lub czy dd naprawdę może całkowicie unicestwić wszystkie dane?

10.10 data-recovery dd external-hdd Karl
źródło

Odpowiedzi:

11

Jak możesz przeczytać tutaj , nie można odzyskać danych po ich „zerowaniu”.

Istnieje 56% szans na prawidłowe odzyskanie jednego bitu, ale ponieważ trzeba było odzyskać 8 bitów, aby uzyskać tylko jeden bajt, bardzo mało prawdopodobne jest odzyskanie jakichkolwiek danych.

David
źródło
+1 dzięki za link. Wygląda na to, że pomysł „odczytaj zastąpione dane” jest mitem dla dzisiejszych dysków twardych, mimo że było to możliwe w przypadku dyskietek ...
jg-faustus
Uwaga: przetestowali dyski wyprodukowane w latach 1994–2006. Obecnie gęstość danych jest znacznie wyższa, więc można bezpiecznie założyć, że te prawdopodobieństwa są znacznie niższe dla obecnych napędów genowych, a zgadywanie 1 lub 0 po prawej to 50:50. ,
htorque
I w jaki sposób (jakie oprogramowanie) mogę spróbować odzyskać te bajty?
Jack
Czy możesz zaktualizować link? Nie żyje.
winklerrr
Połączona witryna została złożona; tutaj jest zarchiwizowana kopia artykułu .
Laogeodritt
8

Bądź bardzo ostrożny z tymi informacjami. Pracuję w branży dysków twardych i MOGĘ potwierdzić, że odczyty pozadrogowe mogą odzyskać nadpisane dane.

Niektóre metody odzyskiwania wykorzystują tę sztuczkę, aby ustawić głowicę +/- 10% poza ścieżką, a następnie czytać, przesunąć ją nieco poza ścieżkę, a następnie czytać. W pewnym momencie będziesz w stanie odzyskać to, co zostało określone przed wypełnieniem zerowym.

Użyj losowo, jeśli to możliwe. Zero jest odpowiednie dla usuwania metadanych i MBR. Polecam kilka losowych przejść, aby zatrzeć oryginalne dane.

Również zero nie oznacza wyczyszczonych nagranych bitów na dysku twardym. Zero ma trochę wzór, jak każda inna liczba.

Derek
źródło
1
Było to szczególnie prawdziwe w przypadku technologii HDD w ubiegłym stuleciu, w rzeczywistości pojedyncze przejście zer jest uważane za wystarczająco dobre teraz, gdy stosowane są metody „zapisu / odczytu w pionie”, jednak metoda Gutmanna nie może zaszkodzić. Na poziomie nano golenie dysku i skanowanie talerza w poszukiwaniu śladów jest nadal możliwe, w zależności od tego, ile chcesz wydać. Usunięte w ten sposób e-maile Billa Clintona zostały odzyskane w ten sposób, ale było to jakiś czas temu pod względem technologii HDD.
mckenzm
3

Tak ... Ale to zależy od tego, jak jesteś paranoikiem.

Specjalista prawdopodobnie nadal może odczytać niektóre dane. Standardy rządowe / wojskowe dotyczące „całkowitego wyczyszczenia” obejmują kilka przebiegów, w tym kilkakrotne zapisywanie losowych danych na całym dysku, przeplatane zerami i 1-wypełnieniami. Dzieje się tak, ponieważ istnieje zjawisko duchów magnetycznych, które zaawansowany sprzęt może analizować i wyciągać. Jest to drogi zestaw, do którego większość ludzi nie będzie miała dostępu, dlatego też zatrudnienie kogoś do wydobycia jest również zbyt drogie dla większości ludzi.

Ale nie ma żadnego powodu dd, dla którego nie można wykonać tych wielu przejść. Możesz powiedzieć mu, skąd ma pochodzić surowe dane, które zapisuje, tak więc naprzemienne /dev/randomzera i zera i jednoprzebiegowe, moim zdaniem, kwalifikowałyby go do znacznego uszkodzenia danych.

Oli
źródło
Jakiego oprogramowania zwykły użytkownik, taki jak ja, mógłbym użyć do odzyskania pliku wypełnionego zerem?
Jack
Niezwykle drogi sprzęt i doświadczony personel są w stanie odzyskać wypełnione zerami, nie trzeba nic takiego jak oprogramowanie, aby modyfikować sposób działania dysku. Możesz być w stanie zmodyfikować oprogramowanie, jeśli jesteś zaawansowanym w oprogramowaniu do inżynierii odwrotnej, ale modyfikacja sprzętu jest prawdopodobnie łatwiejsza.
rzuca
@rolls Więc to jest możliwe? Jak dokładnie działa ta metoda sprzętowa?
Hashim
Czy masz źródło roszczenia „duchów magnetycznych”? Skąd o tym wiesz? Wydaje się to nieprawdziwe, a ta odpowiedź i komentarz na jej temat to jedyny dowód, jaki widziałem w latach badań, żeby o tym wspomnieć.
Hashim
1
Oto link do dyskusji, która łączy niektóre dokumenty i konkluduje, że jest całkiem prawdopodobne, że nie jest to możliwe lub możliwe tylko w bardzo małej części przypadków nber.org/sys-admin/overwritten-data-guttman.html
rolki
1

Aktualizacja

Według artykułu powiązanego z Davidem odzyskiwanie nadpisanych danych było możliwe na dyskietkach, ale prawie niemożliwe na nowoczesnych dyskach twardych, więc pomysł odzyskiwania jest prawdopodobnie najlepiej uważany za mit.

Pierwszą odpowiedź pozostawiam jako reprezentującą mit.

UWAGA: „Mit” dotyczy odzyskiwania danych, które zostały fizycznie nadpisane. Odzyskiwanie danych, które zostały zaledwie usunięte (a nie zastąpione) to zupełnie inna dyskusja.

Na tyle na ile wiem:

Po zastąpieniu danych na dysku stare dane są tracone do normalnych narzędzi systemowych. (Gdyby tak nie było, odczyt zwróciłby mieszankę bitów należących do starych i nowych danych, więc dane byłyby uszkodzone i potrzebny byłby nowy dysk.)

Ale może być możliwe odzyskanie zastąpionych danych za pomocą specjalnego sprzętu. Powodem jest sposób, w jaki bit jest zapisywany na talerzu magnetycznym: „bit” to namagnesowany obszar na dysku. Obszar reprezentujący pojedynczy bit zawiera kilkaset „ziaren” magnetycznych, a odczytanie go zwróci 1, jeśli wystarczająca liczba tych pojedynczych ziaren ma prawidłową orientację.

Sztuka polega na tym, że pisanie nigdy nie jest w 100% - nadpisywanie może zmienić orientację magnetyczną być może 90% tych ziaren, co jest wystarczające do niezawodnego odczytu nowych danych. Ale w ziarnach pozostaje trochę magnetyzmu, który nie zmienił orientacji. Pozostałość można odczytać, jeśli masz do niej odpowiedni sprzęt, aby uzyskać (nieco głośną) reprezentację starych, zastąpionych danych. W połączeniu z analizą statystyczną często można zrekonstruować sporą ilość oryginalnego materiału.

Ale ten rodzaj odzyskiwania wymaga specjalistycznego sprzętu, a jak wspomniał Oli, jest zbyt kosztowny dla większości osób.

jg-faustus
źródło