Possibilidade de recuperar arquivos de um disco rígido cheio de zero dd

13

Eu "zero preenchido" (limpeza completa) um disco rígido externo usando dd, e pelo que ouvi dizer: as pessoas disseram que você deveria pelo menos "zero preenchimento" três vezes para garantir que os dados sejam realmente limpos e que ninguém possa se recuperar qualquer coisa.

Então, decidi verificar o disco mais uma vez depois de zero preenchê-lo. Eu estava esperando que o disco ainda tivesse algum binário aleatório restante. Descobriu-se que ele possui apenas alguns bytes seqüenciais no início. Este é provavelmente o tipo de estrutura de arquivo e outros itens de cabeçalho. Fora isso, são todos zeros e nada mais.

Então, se tivermos que recuperar qualquer arquivo de um disco com zero preenchimento, ... como? Pelo que ouvi, mesmo que você zere o disco, você ainda deve ter alguns dados. ... ou o dd poderia realmente aniquilar completamente todos os dados?

10.10 data-recovery dd external-hdd Karl
fonte

Respostas:

11

Como você pode ler aqui , é impossível recuperar dados depois de "zerá-los".

Pode haver uma chance de 56% para recuperar um único bit corretamente, mas como você teve que recuperar 8 bits para obter apenas um byte, é muito improvável recuperar quaisquer dados.

david
fonte
+1 Obrigado pelo link. Parece que a idéia de "ler dados substituído" é um mito para os discos rígidos de hoje, apesar de ter sido possível com disquetes ...
jg-faustus
Nota: eles testaram unidades fabricadas entre 1994 e 2006. Atualmente, a densidade de dados é muito maior, portanto, você pode assumir com segurança que essas probabilidades são muito menores para as unidades de geração atuais, e adivinhar 1 ou 0 é uma coisa 50:50. .
htorque
E como (qual software) eu poderia tentar recuperar esses bytes?
Jack
Você poderia atualizar o link? Está morto.
winklerrr
O site vinculado foi dobrado; Aqui está uma cópia arquivada do artigo .
Laogeodritt
8

Tenha muito cuidado com esta informação. Trabalho no setor de HDs e POSSO confirmar que leituras fora da pista podem recuperar dados sobrescritos.

Alguns métodos de recuperação usam esse truque para definir a cabeça +/- 10% fora da faixa, depois leia, mova-a para fora da faixa um pouco mais e leia. Em algum momento, você poderá recuperar o que foi estabelecido antes do preenchimento zero.

Use aleatoriamente quando possível. Zero é aceitável para meta-dados e apagamento de MBR. Eu recomendo várias passagens aleatórias para obliterar os dados originais.

Além disso, zero não significa bits gravados limpos em um HDD. Zero tem um padrão de bits como qualquer outro número.

Derek
fonte
1
Isso foi especialmente verdadeiro para a tecnologia HDD no século passado, de fato, uma única passagem de zeros é considerada suficientemente boa agora que os métodos de "gravação / leitura vertical" são usados, mas o método Gutmann não pode prejudicar. No nível nano, ainda é possível raspar o disco e verificar se há rastreamentos no prato, dependendo de quanto você está disposto a gastar. Os e-mails apagados de Bill Clinton foram recuperados dessa maneira, mas isso foi há algum tempo atrás em termos de tecnologia de disco rígido.
Mckenzm
3

Sim ... Mas depende de como você é paranóico.

Um profissional provavelmente ainda pode ler alguns dados. Os padrões governamentais / militares para "limpar completamente" envolvem várias passagens, incluindo a gravação aleatória de dados por toda a unidade várias vezes, intercaladas com preenchimentos de 0 e 1 preenchimentos. Isso ocorre porque há fantasmas magnéticos que hardware sofisticado pode analisar e retirar. Este é um kit caro que a maioria das pessoas não terá acesso e, portanto, apenas contratar alguém para fazer a extração também é proibitivamente caro para a maioria das pessoas.

Mas não há nenhuma razão por ddsi só não poder fazer essas múltiplas passagens. Você pode dizer a ele onde obter os dados brutos que ele escreve, alternando entre /dev/randomzero e uma passagem, eu acho, o qualificaria para causar danos substanciais aos dados.

Oli
fonte
Que software um usuário simples como eu eu poderia usar para recuperar um arquivo preenchido com zero?
Jack
É necessário um hardware extremamente caro e pessoal experiente para recuperar o valor zero, sem o software necessário para modificar o funcionamento da unidade. Você poderá modificar o firmware se você fosse um sofisticado em firmware de engenharia reversa, mas modificar o hardware é provavelmente mais fácil.
rola
@rolls Então é possível? Como exatamente esse método de hardware funciona?
Hashim 28/10
Você tem uma fonte para a alegação de "fantasma magnético"? Como você sabe disso? Parece falso, e essa resposta e um comentário são as únicas evidências que vi em anos de pesquisa para mencioná-lo.
Hashim 28/10
1
Aqui está um link para uma discussão que liga alguns artigos e conclui que é bem provável que isso não seja possível, ou apenas possível em um subconjunto muito pequeno de casos nber.org/sys-admin/overwritten-data-guttman.html
rolls
1

Atualizar

De acordo com o artigo vinculado por david, a recuperação de dados sobrescritos era possível com disquetes, mas quase impossível com os discos rígidos modernos; portanto, a idéia de recuperação é provavelmente melhor considerada um mito.

Estou deixando minha resposta original como representando o mito.

NOTA: O "mito" é sobre a recuperação de dados que foram substituídos fisicamente. Recuperar dados que foram apenas excluídos (não substituídos) é uma discussão completamente diferente.

Para o melhor do meu conhecimento:

Quando você substitui os dados no disco, os dados antigos são perdidos para as ferramentas normais do sistema. (Se não fossem, uma leitura retornaria uma mistura dos bits pertencentes aos dados antigos e novos, para que seus dados estivessem corrompidos e você precisasse de um novo disco.)

Mas pode ser possível recuperar dados sobrescritos usando equipamento especial. O motivo é a maneira como um bit é gravado em uma bandeja magnética: Um "bit" é uma área magnetizada no disco. A área que representa um bit único contém algumas centenas de "grãos" magnéticos e a leitura de um bit retornará 1 se um número suficiente de grãos individuais tiver a orientação correta.

O truque é que a escrita nunca é 100% - a substituição pode alterar a orientação magnética de talvez 90% desses grãos, o que é suficiente para uma leitura confiável dos novos dados. Mas há algum magnetismo residual nos grãos que não mudou a orientação. Esse resíduo pode ser lido se você tiver o equipamento adequado para obter uma representação (um tanto barulhenta) dos dados antigos substituídos. Combinado com a análise estatística, muitas vezes é possível reconstruir uma boa quantidade do material original.

Mas esse tipo de recuperação requer hardware especializado e, como Oli mencionou, é proibitivamente caro para a maioria das pessoas.

jg-faustus
fonte