как стереть файл без вожмоности восстановления ?
Собственно вопрос из любопытства. Чистый хдд – создал раздел,закинул немного файлов(заполнил процентов на 10). Удалил раздел. Создал раздел,отформатировал. Затер данные с помощью cipher. Запустил восстановление файлов – некоторые файлы нашел даже неповрежденными. Как полностью переписанная информация сохранилась? И реально ли вообще чем то стереть данные программно ? :)
комментариев: 1079 документов: 58 редакций: 59
Из бесплатных – WipeFile и WipeDisk http://www.gaijin.at/en/dlwipefile.php
http://www.gaijin.at/en/dlwipedisk.php
Стирают хорошо, в том числе файлы менее 1Кб в размере, которые хранятся непосредственно в MFT (так называемые резидентные файлы).
Размер, имя и дата файлов также затираются без возможности восстановления.
Ничего лучше нет, хотя это тоже не гарантия.
Если Windows, можно воспользоваться HDDErase (не зависит от ОС)
комментариев: 1079 документов: 58 редакций: 59
Я так понял WipeFile удаляет файлы которые еще не удалены (с этим вроде фар справляется). WipeDisk затирает диск целиком ?
Попробовал EraserFreeSpace (бесплатна, на русском,якобы подчищает куски мфт ,гарантирует всякие госты- вообщем подозрения вызывает) – быстрое удаление вообще бес толку, полное удаление – кусок мфт нашелся но в нем один файл всего восстановился мелкий. Видимо надо пошерстить разными прогами для восстановления.Как то слабо вериться что инструмент который почти нигде не упоминается так хорошо может работать. Кто нибудь этим чудом пользовался ?
Точно, ещё только хардварные проприетарные интерфейсы использовать здесь не советовали, а так уже всё было.
man hdparm
Номинально она перезаписывает файл в том месте, где он находится, но это ничего не гарантирует. Во-первых, файл может перемещаться по ФС (хинт: фрагментация), и вы не знаете, где он раньше был записан. Может, в старом месте файловой системы он остался. Во-вторых, структура директорий (а, соответственно, имён файлов) так легко не переписывается. В частиности, shred'ом не затереть никакую директорию, только файлы. В-третьих, в современных ФС есть журналирование как данных, так и метаданных, что ещё сильнее затрудняет процесс их надёжного удаления.
shred'ом можно пользоваться, но стоит помнить, что больших гарантий он не даёт. Даже забитие нулями всего свободного пространства после этого тоже не даёт. Даёт только убийство слота при условии, что все данные были на крипторазделе LUKS. Это подразумевает переформатирование раздела диска/LVM, установку новой пассфразы и повторное форматирование под ФС.
Список программ проваливших тест:
CyberShredder
Blank and Secure
Moo0 File Shredder
DP Wipe
DP Shredder
Privazer 2.18
Все они не справились с файлами менее 1Кб на NTFS.
Разрабы Privazer`а вроде как пофиксили это в следующих версиях после моего bug-report`а, но проверять не стал. Если надо-тестируйте сами.
Спецификация на ATA-интерфейс открыта, хотя реализация может варьироваться в зависимости от производителя. Работу Erase можно проверить hexdump, который должен показывать нули. Стандартная низкоуровневая команда заведомо лучше, чем всё вышеперечисленное, т.к. очищает всё возможное и не нужно думать о всяких HPA и дефектных секторах. После Erase для подстраховки полезно пройтись рандомом, заодно это подготовит диск к шифрованию и протестирует возможные дефекты.
Шреды, вайпфайлы и т.п. по сравнению с Erase это как пофайловое шифрование в сравнении с полнодисковым. Нужно помнить о множестве тонкостей, чтобы предотвратить сохранение важных данных открытым текстом и всё-равно это не даст 100% гарантии, как в случае шифрования диска целиком. По соотношению затрат к безопасности даже сравнивать не стоит.
Пароль дополняется нулями, поэтому достаточно одного символа, как и для имени пользователя. Некоторые устройства окирпичиваются при задании пустого пароля – Erase не запускается, а пароль сбрасывается только после Erase. Получается замкнутый круг, поэтому задавать пустой пароль не рекомендуется.
HPA актуально только для SSD, а дефектные сектора на то и дефектные, что переписать их система уже физически не может.
Это намекает на то, что пароль там всегда 32 байта, хотя должен бы быть минимум 128.
Вы доверяете их встроенному хардварному шифрованию с 32-битными паролями? [1], [2].
Только мало кто знает, как это делать правильно [3], [4].
комментариев: 9796 документов: 488 редакций: 5664
На сколько я представляю, там уровней абстракции несколько больше. Есть «совсем дефектные», а есть такие, которые ненадёжно записываются/читаются. «Ненадёжные» (или как их там правильно) сектора замещаются секторами из резервной области (если есть запас), но доступ к ним может перекрываться на железном уровне «не совсем железно» — более низкоуровневой командой (от)туда можно попытаться произвести чтение/запись, игнорируя ошибки.
В SSD и прочих более современных носителях слоёв абстракции и команд для их обхода м.б. гораздо больше, а всё это запрятано в проприетарных протоколах, которые могут полностью не раскрываться производителям стандартных драйверов, а к примеру, продаваться форенсикам под NDA.
Давно не интересовался вопросом, возможно в написанном далее есть неточности. Насколько помню, дефектные сектора могут быть восстановимыми (recoverable) и невосстановимыми (unrecoverable). Не все они правильно читаются, но все можно попытаться перезаписать, что Secure Erase и делает. Чтение более чувствительно к дефектам чем запись, поэтому полагаю что если блок читаем, то он наверняка перезаписывается. Кроме этого, в SSD много резервных блоков, которые периодически включаются в LBA адресацию и выключаются ради экономии ресурса диска. Таких блоков порядка трети от общей ёмкости.
32 символа по 8 бит дают 256 бит. Но в данном случае это несущественно, т.к. пароль устанавливается только для того чтобы сразу выполнить очистку диска, после которой пароль сбрасывается.
Если вы о "продвинутых" дисках с аппаратным шифрованием, то комадна Secure-Erase-Enhanced действительно может сводиться только к перезаписи ключа. Это занимает миллисекунды и разница с обычным Erase, который занимает несколько часов, сразу видна. Кроме этого, если очистка сводится только к замене ключа, то полагаю что после команды диск будет читаться как заполненный случайными битами, а не нулями.
Такое возможно, но вряд ли перечисленные здесь программы способны получить доступ к областям предназначеных для "форензиков". Сомневаюсь, что это вообще имеет место, т.к. в современных дисках благодаря конкуренции производителей ёмкость выжимается по максимуму и закладывать дополнительную ёмкость для форензиков никому не выгодно.
После WipeFile, WipeDisk имена файлов тоже не восстанавливались ?
https://img.bi/#/Ghw7i9G!VUP0V.....fjmgyL9T5V8KHD52hTXD
На системном и загрузочном диске очистку производить не рекомендую – всё равно операционная система постоянно что-то будет дозаписывать на диск, и 100% гарантии всё равно не будет. Системный диск лучше полностью шифровать DiskCryptor`ом или TrueCrypt`ом, тогда и очищать свободное место не понадобится.