it-swarm.com.de

Möglichkeit der Wiederherstellung von Dateien von einer mit dd zero gefüllten Festplatte

Ich habe eine externe Festplatte mit dd mit "null gefüllt" (vollständig gelöscht), und nach dem, was ich gehört habe, sollten Sie mindestens dreimal "null gefüllt" haben, um sicherzustellen, dass die Daten wirklich gelöscht werden und niemand sie wiederherstellen kann etwas.

Deshalb habe ich mich entschlossen, die Festplatte erneut zu scannen, nachdem ich die Festplatte mit Null gefüllt habe. Ich hatte erwartet, dass auf der Festplatte noch zufällige Binärdateien vorhanden sind. Es stellte sich heraus, dass es am Anfang nur wenige sequentielle Bytes hat. Dies ist wahrscheinlich der Dateistrukturtyp und andere Kopfzeilen. Ansonsten sind es nur Nullen und sonst nichts.

Wenn wir also eine Datei von einer mit Null gefüllten Festplatte wiederherstellen müssen, ... wie? Nach allem, was ich gehört habe, sollten Sie noch einige Daten übrig haben, selbst wenn Sie die Festplatte mit Null füllen. ... oder könnten dd wirklich alle daten komplett vernichten?

12
Karl

Wie Sie lesen können hier , ist es unmöglich, Daten wiederherzustellen, nachdem Sie sie mit "Null" gefüllt haben.

Es kann eine Chance von 56% geben, ein einzelnes Bit korrekt wiederherzustellen. Da Sie jedoch 8 Bit wiederherstellen mussten, um nur ein Byte zu erhalten, ist es sehr unwahrscheinlich, dass Daten wiederhergestellt werden.

12
david

Gehen Sie mit diesen Informationen sehr vorsichtig um. Ich arbeite in der HDD-Branche und KANN bestätigen, dass durch Off-Track-Lesevorgänge überschriebene Daten wiederhergestellt werden können.

Einige Wiederherstellungsmethoden verwenden diesen Trick, um den Kopf um +/- 10% von der Spur abzuheben, ihn dann zu lesen, ein wenig von der Spur abzuheben und dann zu lesen. Irgendwann werden Sie in der Lage sein, das wiederherzustellen, was vor der Nullfüllung festgelegt wurde.

Verwenden Sie nach Möglichkeit zufällig. Null ist in Ordnung für die Löschung von Metadaten und MBR. Ich empfehle mehrere zufällige Durchläufe, um die ursprünglichen Daten zu verwischen.

Null bedeutet auch nicht, dass die auf einer Festplatte aufgezeichneten Bits gelöscht wurden. Null hat ein Bitmuster wie jede andere Zahl.

6
Derek

Ja ... Aber es kommt darauf an, wie paranoid du bist.

Ein Fachmann könnte wahrscheinlich noch einige der Daten lesen. Die behördlichen/militärischen Standards für das "vollständige Löschen" beinhalten mehrere Durchläufe, einschließlich des mehrmaligen Schreibens von Zufallsdaten über das gesamte Laufwerk, durchsetzt mit 0-Fills und 1-Fills. Dies liegt daran, dass es magnetische Geisterbilder gibt, die von hoch entwickelter Hardware analysiert und herausgezogen werden können. Dies ist ein teures Kit, zu dem die meisten Menschen keinen Zugang haben. Daher ist es für die meisten Menschen auch unerschwinglich, jemanden für die Extraktion zu engagieren.

Aber es gibt keinen Grund, warum dd diese mehreren Durchgänge nicht alleine schaffen kann. Sie können ihm sagen, woher er die Rohdaten bezieht, die er schreibt, so dass ein Wechsel zwischen /dev/random und Null- und Eindurchläufen ihn meiner Meinung nach dazu qualifizieren würde, ziemlich erheblichen Schaden an den Daten anzurichten.

4
Oli

pdate

Laut dem von David verlinkten Artikel war das Wiederherstellen überschriebener Daten mit Disketten möglich, mit modernen Festplatten jedoch nahezu unmöglich. Daher wird die Wiederherstellungsidee wahrscheinlich am besten als Mythos angesehen.

Ich überlasse meine ursprüngliche Antwort der Darstellung des Mythos.

HINWEIS: Der "Mythos" handelt von der Wiederherstellung von Daten, die physisch überschrieben wurden. Das Wiederherstellen von Daten, die lediglich gelöscht (nicht überschrieben) wurden, ist eine andere Diskussion.


Nach meinem besten Wissen:

Wenn Sie Daten auf der Festplatte überschreiben, gehen die alten Daten für normale Systemprogramme verloren. (Wenn dies nicht der Fall wäre, würde ein Lesevorgang eine Mischung der Bits zurückgeben, die zu den alten und neuen Daten gehören, sodass Ihre Daten beschädigt wären und Sie eine neue Festplatte benötigen würden.)

Mit speziellen Geräten können möglicherweise überschriebene Daten wiederhergestellt werden. Der Grund ist die Art und Weise, wie ein Bit auf einem magnetischen Plattenteller aufgezeichnet wird: Ein "Bit" ist ein magnetisierter Bereich auf der Platte. Der Bereich, der ein einzelnes Bit darstellt, enthält einige hundert magnetische "Körner", und das Lesen eines Bits gibt eine 1 zurück, wenn genug dieser einzelnen Körner die richtige Ausrichtung haben.

Der Trick ist, dass das Schreiben niemals zu 100% erfolgt - das Überschreiben kann die magnetische Ausrichtung von möglicherweise 90% dieser Körner ändern, was für das zuverlässige Lesen der neuen Daten ausreicht. Es ist jedoch noch ein Restmagnetismus in den Körnern vorhanden, der die Ausrichtung nicht verändert hat. Dieser Rückstand kann gelesen werden, wenn Sie die richtige Ausrüstung dafür haben, so dass Sie eine (etwas verrauschte) Darstellung der alten, überschriebenen Daten erhalten können. In Kombination mit einer statistischen Analyse ist es oft möglich, eine angemessene Menge des ursprünglichen Materials zu rekonstruieren.

Diese Art der Wiederherstellung erfordert jedoch spezielle Hardware, und wie bereits erwähnt, ist dies für die meisten Personen unerschwinglich.

2
j-g-faustus