Possibilità di recuperare file da un disco rigido pieno di zero dd

13

Ho "zero riempito" (completamente cancellato) un disco rigido esterno usando dd, e da quello che ho sentito: la gente ha detto che dovresti almeno "zero riempire" 3 volte per essere sicuro che i dati siano realmente cancellati e nessuno può recuperare nulla.

Così ho deciso di scansionare il disco ancora una volta dopo aver riempito il disco con zero. Mi aspettavo che sul disco rimanessero ancora dei binari casuali. Si è scoperto che ha solo pochi byte sequenziali all'inizio. Questo è probabilmente il tipo di struttura del file e altri elementi delle intestazioni. A parte questo, è tutto zeri e nient'altro.

Quindi, se dobbiamo recuperare qualsiasi file da un disco a zero, ... come? Da quello che ho sentito, anche se non riempi il disco, dovresti avere ancora dei dati. ... o potrebbe davvero annientare completamente tutti i dati?

10.10  data-recovery  dd  external-hdd 
Karl
fonte

Risposte:

11

Come puoi leggere qui , è impossibile recuperare i dati dopo averli "riempiti zero".

Potrebbe esserci una probabilità del 56% di recuperare correttamente un singolo bit, ma poiché è stato necessario ripristinare 8 bit per ottenere solo un byte, è molto improbabile che venga ripristinato alcun dato.

david
fonte
+1 Grazie per il link. Sembra che l'idea "leggi dati sovrascritti" sia un mito per i dischi rigidi di oggi, anche se era possibile con i floppy disk ...
jg-faustus
Nota: hanno testato unità prodotte nel 1994 - 2006. Oggi la densità dei dati è molto più alta, quindi puoi tranquillamente supporre che quelle probabilità siano molto più basse per le attuali unità gen, e indovinare 1 o 0 a destra è una cosa 50:50 .. .
htorque
E come (quale software) posso provare a recuperare questi byte?
Jack
Potresti per favore aggiornare il link? È morto.
winklerrr,
Il sito Web collegato è stato chiuso; ecco una copia archiviata dell'articolo .
Laogeodritt,
8

Stai molto attento con queste informazioni. Lavoro nel settore degli HDD e POSSO confermare che le letture off-track possono recuperare dati sovrascritti.

Alcuni metodi di recupero usano questo trucco per impostare la testa +/- 10% fuori pista, quindi leggere, spostarla un po 'fuori pista, quindi leggere. Ad un certo punto sarai in grado di recuperare ciò che è stato stabilito prima del riempimento zero.

Usa random quando possibile. Zero va bene per i metadati e la cancellazione dell'MBR. Raccomando diversi passaggi casuali per cancellare i dati originali.

Inoltre, zero non significa i bit registrati cancellati su un HDD. Lo zero ha uno schema di bit proprio come qualsiasi altro numero.

Derek
fonte
1
Ciò era particolarmente vero per la tecnologia HDD del secolo scorso, in effetti un singolo passaggio di zeri è considerato abbastanza buono ora che vengono utilizzati metodi di "lettura / scrittura verticale", tuttavia il metodo Gutmann non può far male. A livello nano, è ancora possibile radere il disco e scansionare il piatto alla ricerca di tracce, a seconda di quanto si è disposti a spendere. Le e-mail cancellate da Bill Clinton sono state recuperate in questo modo, ma questo è stato qualche tempo fa in termini di tecnologia HDD.
mckenzm,
3

Sì ... Ma dipende da quanto sei paranoico.

Un professionista probabilmente potrebbe ancora leggere alcuni dei dati. Gli standard governativi / militari per "cancellare completamente" prevedono diversi passaggi, tra cui la scrittura di dati casuali sull'intero disco più volte, intervallati da 0 riempimenti e 1 riempimenti. Questo perché esiste un ghosting magnetico che hardware sofisticato può analizzare ed estrarre. Questo kit costoso a cui la maggior parte delle persone non avrà accesso e quindi assumere solo qualcuno per eseguire l'estrazione è anche proibitivo per la maggior parte delle persone.

Ma non c'è motivo per cui ddda soli non possano fare questi passaggi multipli. Si può dire dove trovare i dati grezzi che scrive in modo tale che alternare tra /dev/randomzero e one-pass sarebbe, credo, qualificarlo per fare un danno abbastanza sostanziale ai dati.

Oli
fonte
Quale software un semplice utente come me potrebbe usare per recuperare un file a zero?
Jack,
Sono richiesti hardware estremamente costoso e personale esperto per ripristinare zero, nessun software, in quanto è necessario modificare il funzionamento dell'unità. Potresti essere in grado di modificare il firmware se tu fossi un sofisticato nel reverse engineering del firmware, ma la modifica dell'hardware è probabilmente più semplice.
lancia il
@rolls Quindi è possibile? Come funziona esattamente questo metodo hardware?
Hashim,
Hai una fonte per l'affermazione "ghosting magnetico"? Come lo sai? Sembra spuria, e questa risposta e un commento sono le uniche prove che ho visto in anni di ricerca per menzionarlo.
Hashim,
1
Ecco un link a qualche discussione che collega alcuni articoli e conclude che è molto probabile che non sia possibile, o possibile solo in un piccolo sottoinsieme di casi nber.org/sys-admin/overwritten-data-guttman.html
rolls
1

Aggiornare

Secondo l'articolo collegato da David, il recupero dei dati sovrascritti era possibile con i floppy disk ma quasi impossibile con i moderni dischi rigidi, quindi l'idea di recupero è probabilmente meglio considerata un mito.

Lascio la mia risposta originale come rappresentante del mito.

NOTA: il "mito" riguarda il recupero di dati che sono stati sovrascritti fisicamente. Il recupero di dati che sono stati semplicemente cancellati (non sovrascritti) è una discussione completamente diversa.

Al meglio delle mie conoscenze:

Quando si sovrascrivono i dati sul disco, i vecchi dati vengono persi nei normali strumenti di sistema. (Se non lo fossero, una lettura restituirebbe un mix di bit appartenenti ai vecchi e ai nuovi dati, quindi i tuoi dati sarebbero corrotti e avrai bisogno di un nuovo disco.)

Ma potrebbe essere possibile recuperare i dati sovrascritti utilizzando attrezzature speciali. Il motivo è il modo in cui un bit viene registrato su un piatto magnetico: un "bit" è un'area magnetizzata sul disco. L'area che rappresenta un singolo bit contiene alcune centinaia di "grani" magnetici e la lettura di un bit restituirà un 1 se un numero sufficiente di quei singoli grani ha l'orientamento corretto.

Il trucco è che la scrittura non è mai al 100%: la sovrascrittura potrebbe cambiare l'orientamento magnetico di forse il 90% di quei grani, il che è abbastanza per una lettura affidabile dei nuovi dati. Ma c'è un po 'di magnetismo residuo nei grani che non ha cambiato orientamento. Questo residuo può essere letto se si dispone dell'attrezzatura adeguata, in modo da poter ottenere una rappresentazione (un po 'rumorosa) dei vecchi dati sovrascritti. Combinato con l'analisi statistica, è spesso possibile ricostruire una discreta quantità del materiale originale.

Ma questo tipo di ripristino richiede hardware specializzato e, come menzionato da Oli, è proibitivo per la maggior parte delle persone.

jg-Faustus
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.