Заметаем следы

Жесткие диски

Заметаем следы. Как уничтожить данные быстро и безвозвратно

Содержание статьи

  • Как уничтожить информацию на жестком диске
  • Алгоритмы гарантированного уничтожения информации
  • Приложения для безопасного удаления данных с магнитных носителей
  • Диски с аппаратным шифрованием
  • Самое надежное удаление данных
  • Особенности BitLocker
  • Твердотельные накопители
  • Заключение

Скажу банальность: в разных типах устройств способы хранения информации сильно различаются. Более того, отличаются и способы удаления записанных данных. У пользователей «обычных дисков» — с вращающимися магнитными пластинами и без шифрования — именно удаление (перезапись) данных с других типов носителей часто вызывает удивление и непонимание. Поэтому начнем с магнитных дисков.

Как уничтожить информацию на жестком диске

В этом разделе под термином «жесткий диск» мы будем понимать классическое устройство с вращающимися пластинами и движущимися электромагнитными головками чтения-записи. Информация, записанная на пластину, так и остается на ней вплоть до момента, когда данные будут перезаписаны.

Традиционный способ удаления данных с магнитных дисков — форматирование. К сожалению, при использовании Windows даже полное форматирование диска может привести к разным — и временами неожиданным — результатам.

Так, если используется ОС на Windows XP (или еще более старая версия Windows), при полном форматировании диска система вовсе не запишет нули в каждый сектор. Вместо этого ОС всего лишь произведет поиск плохих секторов с помощью последовательного чтения данных. Поэтому, если ты собираешься выбросить старый компьютер, работающий под управлением Windows XP, форматируй диск в командной строке, задав параметр /p: . В этом случае команда format перезапишет содержимое диска нулями столько раз, сколько задано параметром . Пример:

Начиная с Windows Vista разработчики Microsoft изменили логику работы команды полного форматирования. Теперь форматирование диска действительно перезаписывает данные нулями, и параметр /p становится избыточным.

Собственно, для обычного пользователя, не страдающего паранойей, на том все и заканчивается. Пользователи же, более обычного озабоченные безопасностью удаленных данных, могут вспомнить о существовавших пару десятилетий назад методах (кстати, очень дорогих), которыми на специальном оборудовании можно попробовать восстановить данные, анализируя остаточную намагниченность дорожек. Теоретическая идея метода в том, чтобы обнаружить следы информации, которая была ранее записана на дорожке, анализируя слабую остаточную намагниченность (вариация метода — анализ краевой намагниченности, когда считывать пытаются данные из промежутков между дорожками). Метод прекрасно работал для накопителей размером со шкаф и электромагнитами, которые могли сорвать с военного кокарду. Заметно худшие результаты метод показывал на дисках с объемом в десятки мегабайт и совсем плохо работал с накопителями, объем которых приближался к гигабайту (нет, это не ошибка, здесь речь именно о мегабайтах и гигабайтах).

В теории следы остаточной намагниченности можно попробовать восстановить из областей, показанных желтым (источник: www.anandteth.com)

В теории следы остаточной намагниченности можно попробовать восстановить из областей, показанных желтым (источник: www.anandteth.com)

Для современных накопителей с высокой плотностью записи, объем которых измеряется в терабайтах, подтвержденных случаев успешного применения данного метода нет, а для дисков, использующих «черепичную» запись SMR, подход невозможен в принципе.

В современных накопителях плотность записи данных слишком высока для того, чтобы метод сработал (источник: www.anandteth.com)

В современных накопителях плотность записи данных слишком высока для того, чтобы метод сработал (источник: www.anandteth.com)

Впрочем, чтобы исключить даже теоретическую возможность его использования, достаточно перезаписать диск не нулями, а некоторой последовательностью данных — иногда не один раз.

Алгоритмы гарантированного уничтожения информации

Во многих организациях используются специальные процедуры для утилизации устройств хранения информации, подразумевающие их санацию (безвозвратное уничтожение информации). Для уничтожения действительно секретной информации применяют деструктивные методы, но для данных, не представляющих особой ценности, допустимо использовать и программные алгоритмы. Таких алгоритмов существует великое множество.

Начнем, пожалуй, с широко известного, но неверно интерпретируемого американского стандарта DoD 5220.22-M. Большинство бесплатных и коммерческих приложений, которые поддерживают этот стандарт, ссылаются на старую (действовавшую до 2006 года) его ревизию. Действительно, с 1995-го по 2006-й «военный» стандарт уничтожения информации разрешал использовать метод перезаписи данных. Стандарт подразумевал трехкратную перезапись диска. Первым проходом выполнялась запись любого символа, затем — его XOR-комплимента и, наконец, в последнем проходе — случайной последовательности. Например, так:

В настоящее время военными этот алгоритм не используется; для санации носители физически уничтожают или полностью размагничивают, что называется, «в горниле ядерного взрыва». Однако для уничтожения несекретной информации этот алгоритм до сих пор применяется в различных государственных учреждениях США.

Канадская полиция уничтожает несекретную информацию при помощи утилиты DSX собственной разработки. Утилита перезаписывает данные нулями, затем — единицами, после чего записывает на диск последовательность данных, в которой закодирована информация о версии утилиты, дате и времени уничтожения данных. Секретная информация все так же уничтожается вместе с носителем.

Похожим образом предлагает уничтожать информацию известный специалист в области криптографии Брюс Шнайер. Предложенный им алгоритм отличается от канадской разработки лишь тем, что третьим проходом записывается не предопределенная последовательность данных, а псевдослучайная. В момент публикации этот алгоритм, использующий генератор случайных чисел для перезаписи, подвергался критике как более медленный в сравнении с алгоритмами, которые записывали предопределенную последовательность данных. На сегодняшний (а также вчерашний и позавчерашний) день трудно себе представить процессор, который способна хоть как-нибудь нагрузить такая простая задача, но на момент публикации алгоритма в 1993 году в ходу были процессоры класса i486, работавшие на частотах порядка 20–66 МГц…

В Германии для уничтожения несекретных данных принят несколько другой подход. Стандарт BSI Verschlusssachen-IT-Richtlinien (VSITR) позволяет использовать от двух до шести проходов (в зависимости от классификации информации), записывающих поочередно псевдослучайную последовательность и ее XOR-комплимент. Последним проходом записывается последовательность 01010101.

Наконец, в качестве технического курьеза приведем алгоритм Питера Гутмана, предложившего перезапись в 35 проходов. Опубликованный в 1996 году алгоритм был основан на теоретическом предположении уровня остаточного магнетизма в 5% и уже на момент публикации выглядел всего лишь теоретическим изыском. Тем не менее и этот алгоритм поддерживается многими приложениями для уничтожения информации. Фактически же его использование избыточно и совершенно бессмысленно; даже трехкратная перезапись информации по любому из описанных выше алгоритмов даст точно такой же результат.

Какой алгоритм использовать? Для современных (не старше 10–15 лет) жестких дисков однократной перезаписи псевдослучайной последовательностью более чем достаточно для надежного уничтожения информации. Все, что делается сверх этого, способно лишь успокоить внутреннюю паранойю, но никак не уменьшить вероятность успешного восстановления информации.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

Олег Афонин

Олег Афонин

Эксперт по мобильной криминалистике компании «Элкомсофт»

Безвозвратное удаление файлов

Систематически пользователю приходится удалять различные файлы. Отправка в корзину, а затем её очистка являются стандартом, но удаленные таким образом файлы несложно восстановить. Более продвинутые пользователи применяют метод перезаписи — на место старой информации несколько раз записывается другая, хотя это не всегда помогает. В данной статье рассматривается удаление файлов без возможности восстановления.

Удаление файлов без возможности восстановления

Программные способы удаления

Существует два способа. Первый заключается в использовании стороннего софта. Второй — в ручной очистке системы.

Уничтожение данных на жестком диске специальными программами.

SDelete

Программа компании Microsoft, работающая с командной строкой Windows.

  1. Скачайте и установите утилиту.
  2. Комбинацией клавиш Win+R откройте окно «Выполнить», впишите в появившуюся строку cmd или cmd.exe и нажмите «ОК» или Enter.
  3. В открывшейся командной строке введите путь к папке, в которую установлена программа. Для этого необходимо написать «cd путь», затем вновь нажмите Enter.
  4. Следующий шаг — удаление. Введите команду sdelete и через пробел укажите путь к файлам, которые необходимо уничтожить.

По окончании процесса в строке будет сообщено об успешном удалении, после чего можно будет закрыть командную строку.

Recuva

Данная утилита обычно помогает пользователю вернуть утраченные файлы, но у неё так же есть возможность удаления файлов без возможности восстановления.

  1. Первый шаг — удаление файлов через корзину. Можно пропустить этот шаг, удаляя их комбинацией клавиш Shift+Delete.
  2. Далее необходимо запустить восстановление файлов в программе.
  3. В типах файлов следует выбрать «Прочие». Затем необходимо указать папку, в которой находились файлы до удаления.
  4. Поставьте галочку напротив «углубленного анализа» и начните процесс.
  5. После обнаружения удаленных файлов перейдите в расширенный режим, затем в настройки.
  6. В первой вкладке «Общие» выберите 35 циклов в «Надежном удалении» и нажмите «ОК».
  7. Выберите файлы, кликните правой кнопкой мыши и нажмите на «Надежно удалить отмеченные». Подтвердите процесс.
  8. В конце проверьте наличие удаленных данных в программе. Если они остались — повторите предыдущие шаги.

Far Manager

Это файловый менеджер, который имеет функцию «уничтожение».

  1. Выберите файлы и нажмите комбинацию клавиш Alt+Delete.
  2. Подтвердите действие.

Программа действует схоже с Recuva, но несколько другим алгоритмом.

Eraser HDD

Это специальная утилита, предназначенная для полного стирания жесткого диска, так как удалить файлы с компьютера без возможности восстановления можно и другими способами. Программа выполняет строго указанное действие, поэтому необходимо загрузить её портативную версию и запустить со второго винчестера или со съемного диска. Установка не требуется.

  1. Запустите приложение
  2. Пройдите в меню Пуск в утилите, среди обнаруженных дисков выберите тот, который необходимо очистить и нажмите «применить».
  3. Появится предупреждение. Будьте уверены в своем выборе, поскольку процесс нельзя прервать, а на выходе у вас будет пустой диск, на котором невозможно будет хоть что-то восстановить.

Удаляем файл с компьютера вручную

!Рекомендуется только для опытных пользователей

1. Даже удаление изображения займет некоторое время из-за особенности ОС Windows. Она сохраняет уменьшенные копии, эскизы, всех картинок в формате JPEG в специальной папке Thumbs.db. Эта директория скрыта. Можно избежать создания эскизов изображений в данной директории. Для этого необходимо найти в реестре раздел HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesExplorer, и у ключа NoThumbnailCache поставить значение 1, после чего следует удалить все директории Thumbs.db.

2. Файлы, в течение работы с ними, могут попадать в различные части системы и даже оставлять свои копии. Например в файле подкачки — pagefile.sys. Убедиться в отсутствии данных в файле подкачки можно с помощью стороннего софта или загрузкой в другой ОС на том же устройстве. Для этого необходимо с помощью LiveCD загрузиться в другую систему, затем программой Back Track запустить утилиту Foremost. Введите следующую команду:

#foremost -i /mnt/hda1/»имя файла подкачки» -o /root/»директория для сохранения обнаруженных данных» -v -q

И запустить её. Программа обнаружит и отсортирует файлы по их расширению.

Для защиты приватных данных можно отключить файл подкачки. Зайдите в Панель управления -> Система и безопасность -> Система -> Дополнительные параметры системы -> Быстродействие -> Дополнительно -> Виртуальная память -> Изменить. Далее следует снять галочку и внизу выбрать пункт «Без файла подкачки».

3. Файлы могут не до конца стираться при дефрагментации переносного устройства для хранения данных: после процесса информация переносится в верхнюю часть диска и упорядочивается, но её копия не затирается. Даже после очистки съемного носителя их можно будет восстановить. Используйте любой из перечисленных выше способов для полного удаления файлов.

В заключение следует отметить, что безвозвратное удаление файлов не является панацеей, хотя за конфиденциальностью стоит следить. Существуют неописанные выше варианты обнаружения скрытых копий файлов. С такими принципами знакомы только эксперты, знакомые с устройством компьютера на высочайшем уровне. С перечисленными выше методами безопасность ваших данных от постороннего вмешательства ложится на ваши плечи, хотя абсолютной защиты не существует.

https://xakep.ru/2018/04/23/howto-data-sweep/
https://hddiq.ru/obshhee-po-teme/udalenie-fajlov-bez-vozmozhnosti-vosstanovleniya

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Related Posts