Möglichkeit der Wiederherstellung von Dateien von einer mit dd zero gefüllten Festplatte

13

Ich habe eine externe Festplatte mit dd mit "null gefüllt" (vollständig gelöscht), und nach dem, was ich gehört habe, sollten Sie mindestens dreimal "null gefüllt" haben, um sicherzustellen, dass die Daten wirklich gelöscht werden und niemand sie wiederherstellen kann etwas.

Deshalb habe ich mich entschlossen, die Festplatte erneut zu scannen, nachdem ich die Festplatte mit Null gefüllt habe. Ich hatte erwartet, dass auf der Festplatte noch zufällige Binärdateien vorhanden sind. Es stellte sich heraus, dass es am Anfang nur wenige sequentielle Bytes hat. Dies ist wahrscheinlich der Dateistrukturtyp und andere Kopfzeilen. Ansonsten sind es nur Nullen und sonst nichts.

Wenn wir also eine Datei von einer mit Null gefüllten Festplatte wiederherstellen müssen, ... wie? Nach allem, was ich gehört habe, sollten Sie noch einige Daten übrig haben, selbst wenn Sie die Festplatte mit Null füllen. ... oder könnten dd wirklich alle daten komplett vernichten?

10.10 data-recovery dd external-hdd Karl
quelle

Antworten:

11

Wie Sie hier lesen können , ist es unmöglich, Daten wiederherzustellen, nachdem Sie sie "mit Nullen gefüllt" haben.

Es kann eine Chance von 56% geben, ein einzelnes Bit korrekt wiederherzustellen. Da Sie jedoch 8 Bit wiederherstellen mussten, um nur ein Byte zu erhalten, ist es sehr unwahrscheinlich, dass Daten wiederhergestellt werden.

David
quelle
+1 Danke für den Link. Es sieht so aus, als ob die Idee "überschriebene Daten lesen" ein Mythos für die heutigen Festplatten ist, obwohl dies mit Disketten möglich war ...
jg-faustus
Hinweis: Sie haben Laufwerke getestet, die in den Jahren 1994 - 2006 hergestellt wurden. Heutzutage ist die Datendichte viel höher, sodass Sie davon ausgehen können, dass diese Wahrscheinlichkeiten für aktuelle Laufwerke viel niedriger sind und die Annahme, dass 1 oder 0 richtig ist, eine 50: 50-Sache ist. .
htorque
Und wie (mit welcher Software) könnte ich versuchen, diese Bytes wiederherzustellen?
Jack
Könnten Sie bitte den Link aktualisieren? Es ist tot.
Winklerrr
Die verlinkte Website hat geklappt; Hier ist eine archivierte Kopie des Artikels .
Laogeodritt
8

Gehen Sie mit diesen Informationen sehr vorsichtig um. Ich arbeite in der HDD-Branche und KANN bestätigen, dass durch Off-Track-Reads überschriebene Daten wiederhergestellt werden können.

Einige Wiederherstellungsmethoden verwenden diesen Trick, um den Kopf um +/- 10% von der Spur abzuheben, ihn dann zu lesen, ein wenig von der Spur abzuheben und dann zu lesen. Irgendwann werden Sie in der Lage sein, das wiederherzustellen, was vor der Nullfüllung festgelegt wurde.

Verwenden Sie nach Möglichkeit zufällig. Null ist in Ordnung für die Löschung von Metadaten und MBR. Ich empfehle mehrere zufällige Durchgänge, um die ursprünglichen Daten zu verwischen.

Null bedeutet auch nicht, dass die auf einer Festplatte aufgezeichneten Bits gelöscht wurden. Null hat ein Bitmuster wie jede andere Zahl.

Derek
quelle
1
Dies galt vor allem für die HDD-Technologie im vergangenen Jahrhundert. Tatsächlich wird ein einzelner Durchgang von Nullen als ausreichend angesehen, wenn "vertikales Schreiben / Lesen" verwendet wird. Die Gutmann-Methode kann jedoch nicht schaden. Auf der Nano-Ebene ist es immer noch möglich, die Festplatte zu rasieren und den Plattenteller nach Spuren zu durchsuchen, je nachdem, wie viel Sie ausgeben möchten. Die gelöschten E-Mails von Bill Clinton wurden auf diese Weise wiederhergestellt, aber dies war vor einiger Zeit in Bezug auf die Festplattentechnologie.
McKenzm
3

Ja ... Aber es kommt darauf an, wie paranoid du bist.

Ein Fachmann könnte wahrscheinlich noch einige der Daten lesen. Die behördlichen / militärischen Standards für das "vollständige Löschen" beinhalten mehrere Durchläufe, einschließlich des mehrmaligen Schreibens von Zufallsdaten über das gesamte Laufwerk, durchsetzt mit 0-Fills und 1-Fills. Dies liegt daran, dass es magnetische Geisterbilder gibt, die von hoch entwickelter Hardware analysiert und herausgezogen werden können. Dies ist ein teures Kit, zu dem die meisten Menschen keinen Zugang haben. Daher ist es für die meisten Menschen auch unerschwinglich, jemanden für die Extraktion zu engagieren.

Aber es gibt keinen Grund, warum ddman diese mehreren Durchgänge nicht alleine machen kann. Sie können ihm sagen, woher er die Rohdaten bezieht, die er schreibt, sodass ein Wechsel zwischen /dev/randomNull- und Einsätzen meiner Meinung nach einen erheblichen Schaden an den Daten anrichten würde.

Oli
quelle
Mit welcher Software kann ein einfacher Benutzer wie ich eine mit Nullen gefüllte Datei wiederherstellen?
Jack
Extrem teure Hardware und erfahrenes Personal sind erforderlich, um eine vollständige Wiederherstellung durchzuführen, keine Software, da Sie die Funktionsweise des Laufwerks ändern müssen. Sie könnten in der Lage sein, die Firmware zu ändern, wenn Sie ein erfahrener Reverse Engineering-Firmware-Anwender waren, aber das Ändern der Hardware wahrscheinlich einfacher ist.
rollt
@rolls So ist es möglich? Wie genau funktioniert diese Hardware-Methode?
Hashim
Haben Sie eine Quelle für den Claim "Magnetic Ghosting"? Woher weißt du davon? Es scheint falsch, und diese Antwort und ein Kommentar dazu sind die einzigen Beweise, die ich in jahrelanger Forschung gesehen habe, um sie überhaupt zu erwähnen.
Hashim
1
Hier ist ein Link zu einigen Diskussionen , die einige Papiere verbinden und schließt es sehr wahrscheinlich ist es nicht möglich ist, oder nur in einem sehr kleinen Teil der Fälle nber.org/sys-admin/overwritten-data-guttman.html
Rollen
1

Aktualisieren

Laut dem von David verlinkten Artikel war das Wiederherstellen überschriebener Daten mit Disketten möglich, mit modernen Festplatten jedoch nahezu unmöglich. Daher wird die Wiederherstellungsidee wahrscheinlich am besten als Mythos angesehen.

Ich überlasse meine ursprüngliche Antwort der Darstellung des Mythos.

HINWEIS: Der "Mythos" handelt von der Wiederherstellung von Daten, die physisch überschrieben wurden. Das Wiederherstellen von Daten, die lediglich gelöscht (nicht überschrieben) wurden, ist eine andere Diskussion.

Nach meinem besten Wissen:

Wenn Sie Daten auf der Festplatte überschreiben, gehen die alten Daten für normale Systemprogramme verloren. (Wenn dies nicht der Fall wäre, würde ein Lesevorgang eine Mischung der Bits zurückgeben, die zu den alten und neuen Daten gehören, sodass Ihre Daten beschädigt wären und Sie eine neue Festplatte benötigen würden.)

Mit speziellen Geräten können möglicherweise überschriebene Daten wiederhergestellt werden. Der Grund ist die Art und Weise, wie ein Bit auf einer Magnetplatte aufgezeichnet wird: Ein "Bit" ist ein magnetisierter Bereich auf der Platte. Der Bereich, der ein einzelnes Bit darstellt, enthält einige hundert magnetische "Körner", und das Lesen eines Bits gibt eine 1 zurück, wenn genug dieser einzelnen Körner die richtige Ausrichtung haben.

Der Trick ist, dass das Schreiben niemals zu 100% erfolgt - das Überschreiben kann die magnetische Ausrichtung von möglicherweise 90% dieser Körner ändern, was für ein zuverlässiges Lesen der neuen Daten ausreicht. Es ist jedoch noch ein Restmagnetismus in den Körnern vorhanden, der die Ausrichtung nicht verändert hat. Dieser Rückstand kann gelesen werden, wenn Sie die richtige Ausrüstung dafür haben, so dass Sie eine (etwas verrauschte) Darstellung der alten, überschriebenen Daten erhalten können. In Kombination mit statistischen Analysen ist es oft möglich, eine angemessene Menge des ursprünglichen Materials zu rekonstruieren.

Diese Art der Wiederherstellung erfordert jedoch spezielle Hardware, und wie bereits erwähnt, ist dies für die meisten Personen unerschwinglich.

jg-faustus
quelle