use*_*own 24 hard-drive data-recovery secure-erase
如果您在最近的普通硬盘上有私人数据 - 您需要多少次删除数据才能使其无法恢复?
不是从某种意义上说,一个由 20 名专家组成的法医团队,预算为 1 亿欧元或美元,需要 10 年的时间以 80% 的准确率从已知地址恢复几个字节,但很少有人拥有 1000 欧元/ $ 预算,谁不会在工作上花费超过两周的时间,谁不知道他们正在寻找的驱动器上的哪个位置。
Linux/GNUshred在手册中说:
-n, --iterations=N
overwrite N times instead of the default (3)
但一方面我听说 NSA 建议覆盖 27 次,另一方面专业的数据恢复公司无法从只擦除一次的驱动器中恢复数据。
证据、文件、证明?
注意:这个问题不是什么:
Kro*_*mey 54
一次。
现代磁性介质非常有效,并且几乎没有留下以前位位置的证据。留下的东西需要电子显微镜和/或高科技磁力计(或它们所谓的任何名称)扫描仪。所有这些设备都非常昂贵,即使使用最好的设备和最熟练的专家,也需要大量的时间(想想单个盘片需要数年时间;所有硬盘都有多个盘片)并且故障率非常高。
如果您正在处理政府机密(就像 NSA 一样),那么一次写入可能还不够好,因为中国在获取和使用这些设备方面没有问题,也没有聘请数百名专业专家组成的团队来使用它们。
另一方面,如果您只是在处理个人银行密码和您的秘密 pr0n 存储,那么一次传递就足以使数据完全无法通过任何实际方法恢复。
也就是说,现代磁盘速度非常快,除非您要擦除整个硬盘驱动器,否则多次通过所需的时间太短,以至于没有理由不这样做。因此,虽然您必须使用复杂的传递模式多次覆盖的谬论已经足够普遍,以至于所有“安全删除”软件都默认为多次传递,但覆盖这些默认值确实没有什么意义。当我使用shred(默认传递次数:3)时,我让它进行 3 次传递;当我在 Windows 上使用橡皮擦时(文件的默认传递次数:35),我让它执行 35 次传递。(在删除硬盘驱动器上的可用空间时,橡皮擦默认仅通过一次;这也是,我让其在默认情况下运行。)
所以你的问题(需要多少次传球?)的答案是:“一次。” 您隐含的问题(我应该覆盖 shred 的默认 3 次传递吗?)的答案是:“不。”
另一方面,如果你是一名秘密政府特工,那么,一张通行证真的不够,因为你的数据确实有中国。但是,如果是这种情况,您应该询问您的上级/处理人员您的机构关于安全删除敏感数据的规定是什么,而不是 SU。;-)
警告:基于闪存的媒体采用称为“磨损均衡”的系统来延长设备的使用寿命。无需深入了解该术语的含义或其背后的原因,这意味着您确实无法安全地删除基于闪存的媒体上的文件,除非您安全地擦除整个媒体,即使这样也不能始终保证磨损均衡算法不会留下无法写入的未擦除数据。对于基于闪存的媒体,最好的办法是使用强密码简单地加密其中的所有敏感数据。
TrueCrypt 的文档包括对这个问题的一个很好的讨论,以及解决它的方法。
Wes*_*eed 20
这是一个老问题,但鉴于我有法医数据恢复经验,我觉得有必要投入两分钱。
提出的问题纯粹是学术性的,所以这个答案也纯粹是学术性的。实际上,接受的答案是正确的;一次就足以使驱动器上的数据无法恢复。但是,政府强制要求多次通行是有原因的。
人们认为硬盘是一种数字设备;磁位以紧密的模式排列,并被驱动器磁头“翻转”打开或关闭。但实际上,就磁介质的物理学而言,硬盘驱动器是一种模拟设备。盘片表面涂有一个充满磁偶极子的基板,这些磁偶极子小于它们编码的数字“位”。一个方向与另一个方向上足够数量的这些偶极子构成了单个位级的净电阻。这是电阻的阈值,其确定一个位是否被解释为一个1或0,而不是数字“接通”或“断开”的极性。
就驱动器的电子设备而言,来自磁头的电信号是调制正弦波,而不是 1 和 0 的位流。这正是几十年前磁带记录音频信号的方式——只是现在基底更加密集,我们正在使用数学从模拟“噪音”中提取数字信号。
现在,在物理上不可能制造 100% 完美的盘片,即使可以,操作环境也永远不会 100% 完美。在现代硬盘驱动器运行的物理范围内,实际上有数百个因素合力在信号中产生微观缺陷,并且它们造成的问题足够严重,典型驱动器上多达 1-2% 的空间是“浪费”在纠错上来处理它们。你的硬盘是从字面上错误中恢复所有的时间。正常的硬盘驱动器操作实际上是一种概率游戏,其中“好”扇区仅仅是编码在那里的数据准确的 n% 概率。
现在让我们看一下坏扇区的情况,您会看到如何将相同的技术应用于好的扇区。
如果一个扇区被标记为“坏”(由控制器,而不是由操作系统),这意味着特定扇区内所有数据位的概率,作为一个整体,已降至数学可恢复性阈值以下通过驱动器的纠错算法。但这并不意味着位实际上是死的; 只是控制器无法确定它们是正确的。
但是,您可以通过读取数百次或可能数千次来恢复坏扇区,具体取决于损坏的严重程度。随着磁头每次越过“坏”扇区,该扇区的读取方式略有不同。盘片抖动、温度、振动、时钟偏差等都可能略有不同。但是,如果您将每次传递与之前的数千次传递进行足够次数的比较,您可以恢复(略低于绝对确定性)坏扇区在它变坏之前包含的数据。这正是 SpinRite 等数据恢复软件的工作原理。
现在让我们将该逻辑应用于“好”部门。当您一次擦除驱动器时,控制器 100% 确定每个扇区包含您填充驱动器的任何位模式。但是这些读取中仍然存在错误,并且控制器仍在纠正它们。 其中一些错误是环境错误,但很有可能其中许多也是扇区被覆盖之前存在的任何数据的残余。
请记住,我们在这里谈论的是几十年来我们在录音带上使用的相同技术。并非所有这些磁偶极子都在单次通过中翻转,因此噪声中仍然存在“鬼”信号。
引用 Adam Savage(流言终结者的):“我拒绝你的现实并用我自己的来代替。” 如果您将驱动器的控制器(具有擦除数据模式的数学确定性)排除在等式之外,只看驱动器电子设备发出的正弦波,理论上可能可以重建驱动器上存在的数据在它被擦除之前——就像我们过去处理被“擦除”的录音带一样。
或者可能不是。它对尼克松水门事件丢失的 18 分钟录音无济于事......或者是吗?;-)
现在,这实用吗?这样的设备真的存在吗?也许。也许不吧。如果是这样,那肯定是国家机密。但既然理论上是可能的,那你就得从理论上提防了。这意味着使用多个位模式进行多次传递以尽可能地加扰该重影信号。
如果您是一个试图清除机密数据的政府,那么考虑这一点很重要。如果这是您的秘密 pr0n 藏匿处,则可能不是(除非您的妻子为 NSA 工作)。
| 归档时间: |
|
| 查看次数: |
16619 次 |
| 最近记录: |