Возможность восстановления файлов с заполненного нулями жесткого диска

13

У меня есть «заполненный нулями» (полностью стертый) внешний жесткий диск с использованием dd, и из того, что я слышал: люди говорили, что вы должны как минимум «заполнить нулями» 3 раза, чтобы убедиться, что данные действительно стерты и никто не может восстановить что-нибудь.

Поэтому я решил снова сканировать диск после того, как я заполнил диск нулем. Я ожидал, что на диске все еще останется какой-нибудь случайный двоичный файл. Оказалось, что в самом начале у него всего несколько последовательных байтов. Это, вероятно, тип структуры файла и другие вещи заголовков. Кроме этого, это все нули и ничего больше.

Так что, если нам нужно восстановить какой-либо файл с диска, заполненного нулями, ... как? Из того, что я слышал, даже если вы заполнили диск нулями, у вас все еще должны быть некоторые данные. ... или может действительно полностью уничтожить все данные?

10.10 data-recovery dd external-hdd Карл
источник

Ответы:

11

Как вы можете прочитать здесь , невозможно восстановить данные после того, как вы их «заполнили нулями».

Может быть шанс 56% восстановить один бит правильно, но так как вам пришлось восстанавливать 8 бит, чтобы получить только один байт, очень маловероятно, чтобы восстановить какие-либо данные.

Дэвид
источник
+1 Спасибо за ссылку. Похоже, идея «читать перезаписанные данные» - миф для современных жестких дисков, хотя это было возможно с дискетами ...
jg-faustus
Примечание: они тестировали накопители, выпущенные в 1994 - 2006 гг. В настоящее время плотность данных намного выше, поэтому вы можете смело предположить, что эти вероятности намного ниже для накопителей текущего поколения, и предположение, что 1 или 0 - это 50:50. .
htorque
И как (какое программное обеспечение) я могу попытаться восстановить эти байты?
Джек
Не могли бы вы обновить ссылку? Он мертв.
winklerrr
Связанный веб-сайт свернулся; Вот архивная копия статьи .
Лаогеодрит
8

Будьте очень осторожны с этой информацией. Я работаю в индустрии жестких дисков и могу подтвердить, что чтение с трека может восстановить перезаписанные данные.

Некоторые методы восстановления используют эту уловку, чтобы отклонить голову на +/- 10%, затем прочитать, немного сдвинуть ее с пути, затем прочитать. В какой-то момент вы сможете восстановить то, что было установлено до заполнения нуля.

Используйте случайные, когда это возможно. Ноль подходит для метаданных и удаления MBR. Я рекомендую несколько случайных проходов, чтобы стереть исходные данные.

Кроме того, ноль не означает очищенные записанные биты на жестком диске. Ноль имеет битовый паттерн, как и любой другой номер.

Дерек
источник
1
Это было особенно актуально для технологии жестких дисков в прошлом веке, фактически один проход нулей считается достаточно хорошим, теперь используются методы «вертикальной записи / чтения», хотя метод Гутмана не может повредить. На наноуровне бритье диска и сканировать диск на предмет следов все еще возможно, в зависимости от того, сколько вы готовы потратить. Таким образом, стертые электронные письма Билла Клинтона были восстановлены, но это было некоторое время назад с точки зрения технологии жестких дисков.
Маккензм
3

Да ... Но это зависит от того, насколько ты параноик.

Профессионал, вероятно, все еще может прочитать некоторые данные. Правительственные / военные стандарты для «полного стирания» предусматривают несколько проходов, включая запись случайных данных по всему диску несколько раз, с добавлением 0-заливок и 1-заливок. Это связано с тем, что существует сложное магнитное ореол, который сложное оборудование может анализировать и выводить. Это дорогой комплект, к которому у большинства людей нет доступа, и поэтому просто нанять кого-то, чтобы сделать добычу, также непомерно дорого для большинства людей.

Но нет никакой причины, по которой ddодин не может сделать эти несколько проходов. Вы можете сказать ему, где получать исходные данные, которые он записывает, так что чередование между /dev/randomнулем и однократным проходом, я думаю, квалифицирует его как наносящий довольно существенный ущерб данным.

Оли
источник
Какое программное обеспечение простого пользователя, такого как я, я могу использовать для восстановления файла, заполненного нулями?
Джек
Чрезвычайно дорогое оборудование и опытный персонал требуются для восстановления заполненных нулями, нет такого понятия, как программное обеспечение, так как вам нужно изменить работу привода. Возможно, вам удастся изменить прошивку, если вы были искушены в реинжиниринге прошивки, но модификация оборудования, вероятно, проще.
Ролл
@rolls Так это возможно? Как именно работает этот аппаратный метод?
Хашим
У вас есть источник для заявления о "магнитном призраке"? Откуда ты это знаешь? Это кажется ложным, и этот ответ и комментарий к нему - единственное свидетельство, которое я видел за годы исследований, чтобы упомянуть об этом.
Хашим
1
Вот ссылка на некоторое обсуждение, которое связывает некоторые статьи и делает вывод, что вполне вероятно, что это невозможно или возможно только в очень небольшом подмножестве случаев. Nber.org/sys-admin/overwritten-data-guttman.html
rolls
1

Обновить

Согласно статье, на которую ссылается Дэвид, восстановление перезаписанных данных было возможно с дискет, но почти невозможно с современными жесткими дисками, поэтому идею восстановления, вероятно, лучше всего считать мифом.

Я оставляю свой первоначальный ответ как миф.

ПРИМЕЧАНИЕ. «Миф» - это восстановление данных, которые были физически перезаписаны. Восстановление данных, которые были просто удалены (не перезаписаны), совсем другое обсуждение.

Насколько мне известно:

Когда вы перезаписываете данные на диске, старые данные теряются обычными системными инструментами. (В противном случае чтение вернуло бы смесь битов, принадлежащих старым и новым данным, поэтому ваши данные будут повреждены, и вам потребуется новый диск.)

Но может быть возможно восстановить перезаписанные данные, используя специальное оборудование. Причина в том, как бит записывается на магнитном диске: «бит» - это намагниченная область на диске. Область, представляющая один бит, содержит несколько сотен магнитных «зерен», и чтение бита вернет 1, если достаточное количество этих отдельных зерен имеют правильную ориентацию.

Хитрость заключается в том, что запись никогда не бывает 100% - перезапись может изменить магнитную ориентацию, возможно, 90% этих зерен, что достаточно для надежного считывания новых данных. Но в зернах остался некоторый остаточный магнетизм, который не изменил ориентацию. Этот остаток можно прочитать, если у вас есть соответствующее оборудование для него, чтобы вы могли получить (несколько шумное) представление старых, перезаписанных данных. В сочетании со статистическим анализом часто можно восстановить достаточное количество исходного материала.

Но этот вид восстановления требует специализированного оборудования, и, как упоминал Оли, это слишком дорого для большинства людей.

JG-Фауст
источник