Можливість відновлення файлів з жорсткого диска, заповненого нульовим рівнем dd

13

У мене є "заповнений нуль" (повністю протертий) зовнішній жорсткий диск з використанням дд що завгодно.

Тому я вирішив ще раз просканувати диск після того, як я заповнив нуль. Я очікував, що на диску все ще залишиться кілька випадкових двійкових файлів. Виявилося, що у нього на самому початку є лише кілька послідовних байт. Це, мабуть, тип файлової структури та інші заголовки. Крім цього, це все нулі і більше нічого.

Отже, якщо нам доведеться відновити будь-який файл із заповненого нулем диска, ... як? З того, що я чув, навіть якщо ви заповнили диск, у вас все одно залишиться кілька даних. ... чи може дд дійсно повністю знищити всі дані?

10.10 data-recovery dd external-hdd

— Карл
джерело

11

Як ви можете прочитати тут , неможливо відновити дані після того, як ви "заповнили нуль".

Існує шанс 56% відновити один біт правильно, але оскільки вам довелося відновити 8-бітний, щоб отримати лише один байт, відновити будь-які дані дуже малоймовірно.

— Девід
джерело

+1 Дякуємо за посилання. Схоже, ідея "прочитати перезаписані дані" є міфом для жорстких дисків сьогодні, навіть якщо це було можливо з дискетами ...

— jg-faustus

Примітка. Вони перевіряли накопичувачі, виготовлені в 1994 - 2006 роках. В даний час щільність даних набагато вища, тому можна з упевненістю припустити, що ці ймовірності значно нижчі для поточних накопичувачів жанрів, і здогадуватися, що 1 або 0 правильно - це річ 50:50. .

— htorque

І як (яке програмне забезпечення) я можу спробувати відновити ці байти?

— Джек

Чи можете ви оновити посилання? Він мертвий.

— winklerrr

Пов'язаний веб-сайт склався; ось архівна копія статті .

— Лаогеодрітт

8

Будьте дуже обережні з цією інформацією. Я працюю в індустрії жорстких дисків і можу підтвердити, що зчитування поза треком може відновити перезаписані дані.

Деякі методи відновлення використовують цей трюк, щоб встановити голову +/- 10% поза треком, потім читати, трохи більше переміщувати її поза треком, а потім читати. В якийсь момент ви зможете відновити те, що було закладено до заповнення нуля.

Використовуйте випадкові, коли це можливо. Нуль добре для метаданих та стирання MBR. Я рекомендую кілька випадкових пропусків для видалення вихідних даних.

Також нуль не означає очищені записані біти на жорсткому диску. Нуль має бітну схему, як і будь-яке інше число.

— Дерек
джерело

1

Особливо це стосується технології HDD минулого століття, адже один прохід нулів вважається досить хорошим, тепер застосовуються методи "вертикального запису / читання", хоча метод Гутмана не може зашкодити. На нанорівні все-таки можливе гоління диска та сканування блюдо на сліди, залежно від того, скільки ви готові витратити. Стерті електронні листи Білла Клінтона були відновлені таким чином, але це було певний час тому з точки зору технології жорсткого диска.

— mckenzm

3

Так ... Але це залежить від того, який ти параноїк.

Професіонал, мабуть, ще міг прочитати деякі дані. Державні / військові стандарти "повністю витирання" тягнуть за собою кілька пропусків, включаючи записування випадкових даних протягом усього диска, кілька разів перемежованих з 0-заповненнями та 1-заливками. Це тому, що існує магнітне привидення, яке витончене обладнання може аналізувати та витягувати. Це дорогий комплект, до якого більшість людей не матиме доступу, а тому просто наймати когось, щоб зробити видобуток, також є надмірно дорогим для більшості людей.

Але жодної причини ddне може зробити ці кілька пропусків. Ви можете сказати, куди потрібно джерело вихідних даних, які вони записують, так що чергування між /dev/randomнульовим та однопрохідним, я думаю, спричинило б це зробити істотний збиток даним.

— Олі
джерело

Яке програмне забезпечення простий користувач, як я, міг би використати для відновлення файлу, заповненого нулем?

— Джек

Для відновлення заповненого нуля необхідна надзвичайно дорога апаратна техніка та досвідчений персонал, не таке програмне забезпечення, як ви повинні змінювати, як працює накопичувач. Можливо, ви зможете змінити мікропрограмне забезпечення, якби ви були досконалими в інверсійному програмному забезпеченні, але змінити апаратне забезпечення, мабуть, простіше.

— рулони

@rolls Так це можливо? Як саме працює цей апаратний метод?

— Хашим

Чи є у вас джерело для претензії на "магнітне примари"? Звідки ти це знаєш? Це здається хибним, і ця відповідь та коментар до неї - єдине свідчення, яке я бачив за роки досліджень, про що навіть згадував.

— Хашим

1

Ось посилання на деяку дискусію, яка посилається на деякі документи, і робить висновок, що цілком ймовірно, що це неможливо або можливо лише в дуже малому наборі

— згортається

1

Оновлення

Згідно з документом, на який посилається Девід, відновлення перезаписаних даних було можливо на дискетах, але майже неможливо на сучасних жорстких дисках, тому ідея відновлення, мабуть, найкраще вважається міфом.

Я залишаю свою оригінальну відповідь як репрезентацію міфу.

ПРИМІТКА: "Міф" - це відновлення даних, фізично перезаписаних. Відновлення даних, які були просто видалені (не перезаписані), - це зовсім інше обговорення.

Наскільки мені відомо:

Коли ви перезаписуєте дані на диск, старі дані втрачаються до звичайних системних інструментів. (Якби їх не було, читання повертало б суміш бітів, що належать старим і новим даним, тож ваші дані будуть пошкоджені, і вам знадобиться новий диск.)

Але можливо відновити перезаписані дані за допомогою спеціального обладнання. Причина полягає в тому, як біт записується на магнітну платівку: "біт" - це намагнічена область на диску. Область, що представляє один біт, містить декілька сотень магнітних "зерен", і, прочитавши біт, повернеться 1, якщо достатньо цих окремих зерен має правильну орієнтацію.

Хитрість полягає в тому, що запис ніколи не є 100% - перезапис може змінити магнітну орієнтацію, можливо, на 90% цих зерен, що достатньо для надійного читання нових даних. Але в зернах залишився якийсь залишковий магнетизм, який не змінив орієнтацію. Цей залишок можна прочитати, якщо у вас є відповідне обладнання для цього, щоб ви могли отримати (дещо галасливе) представлення старих перезаписаних даних. У поєднанні зі статистичним аналізом часто можна реконструювати неабияку кількість вихідного матеріалу.

Але для такого відновлення потрібне спеціалізоване обладнання, і, як згадував Олі, надто дорого коштує для більшості людей.

— jg-faustus
джерело