Можно ли обнаружить предыдущую позицию байта на жестком диске после того, как он был перезаписан?

564
Chad Harrison

Я продолжаю слышать об этих утверждениях, что «жесткий диск похож на кассету, потому что он является магнитным носителем». Это заставило меня задуматься ...

В те времена, когда я играл юного диджея, я записывал музыку по радио, пока выступал в роли диктора для каждой песни. Иногда я ошибался, и мне приходилось перезаписывать разбухшую часть ленты, и после просмотра была заметная разница в качестве. Позже я узнал, что разница в качестве произошла из-за того, что предыдущая запись все еще существовала на ленте, по крайней мере, настолько, чтобы искажать звук. Это та же идея, что гнуть стальную вилку или ложку; если вы согнете его, а затем согнете обратно, у вас всегда будет небольшое углубление, в котором произошел первоначальный изгиб.

Существует ли эта характеристика в жестких дисках с магнитным основанием, и если да, то обнаруживается ли она? Пожалуйста, рассмотрите сценарий, что он был перезаписан только один раз.

3
Предыдущий «бит» можно обнаружить с помощью электронного сканирующего микроскопа, предыдущий бит не влияет на бит, который его перезаписывает. Moab 11 лет назад 0
http://security.stackexchange.com/questions/8965/how-to-recover-securely-deleted-data Canadian Luke 11 лет назад 1

3 ответа на вопрос

6
sawdust

Существует ли эта характеристика в жестких дисках с магнитным основанием, и если да, то обнаруживается ли она?

Нет, потому что плохая техника перезаписи, о которой вы упоминаете, полностью исключается в цифровых устройствах данных, таких как жесткие диски и магнитная лента. Различия между записью аналоговой информации и цифровой информации не являются главной проблемой. Это действительно сводится к механизму записи.

Магнитные регистраторы имеют как минимум две головки: стирающую головку и пишущую (или считывающую / пишущую) головку. Целью стирающей головки является снижение минимального уровня шума магнитного носителя (ленты или диска) до записи сигнала. Когда вы создаете резервную копию ленты в вашем примере, имеется некоторая длина (расстояние между стирающей головкой и головками записи) записанной ленты, которая не будет затронута стирающей головкой, когда вы начнете перезапись. Вы полагаетесь исключительно на пишущую головку, чтобы «стереть» и перезаписать предыдущую запись. В какой-то момент (в зависимости от скорости ленты и расстояния до головки) вы будете записывать на ленту, которая была стерта стирающей головкой.

Цифровые магнитные носители полностью избегают этой проблемы, всегда записывая данные в полные записи . Область между записями называется разрывом между записями или просто разрывом. В этом промежутке есть специальная область, называемая соединением записи . Головки стирания и записи должны включаться или выключаться только в этих областях соединения записи, чтобы никогда не повредить существующие записанные данные (включая данные о пропусках непосредственно перед и после каждой записи). Если вам нужна аналогия, думайте о каждой записи как о песне (или записанной дорожке) с промежутками между каждой песней. Вместо перезаписи в середине песни, надлежащая техника будет всегда записывать всю песню, начиная с промежутка. Примечание : процесс(физически) форматирование жесткого дискаэто процесс записи адресной метки, записи идентификатора, (пустой) записи данных и всех необходимых промежутков для каждого сектора на каждой дорожке жесткого диска. Когда сектор «записывается», перезаписывается только запись данных сектора. Адресная метка и идентификационная запись никогда не переписываются после формата.

Запись частями, называемыми записями, с пробелами и сращиваниями записи не выполняется исключительно из-за расстояния между головками стирания и записи. Существует также проблема правильного чтения цифровой информации. Ваш магнитофон использовал амплитудную модуляцию для записи звука на магнитную ленту. Цифровые регистраторы данных используют MFM или его варианты, которые полагаются на изменения потока (не уровни напряжения), чтобы указать изменения в битовом состоянии. Обратите внимание, что изменения потока указывают бит инверсию, а не абсолютное значение бита. Таким образом, в начале чтения состояние бита инициализируется равным нулю, и "0" будут синхронизироваться до тех пор, пока не будет прочитано изменение потока. Поэтому считывающая головка должна быть включена там, где были записаны нули, что является промежутком, который предшествует каждой записи.

1
Godric Seer

Хотя я не эксперт, я считаю, что главное отличие заключается в том, что кассетная лента записывает аналоговый сигнал, а жесткие диски - цифровые. Аналоговые сигналы на ленте было бы намного сложнее полностью обнулить перед перезаписью, в то время как цифровой сигнал было бы намного проще приблизить к «истинному» 0 или 1 сигналу.

«Цифровость» любой записи или передачи является чисто абстрактной мысленной конструкцией. На электрических или магнитных носителях не существует цифрового сигнала или цифрового бита. Интерпретация такого сигнала _makes_ это цифровой ... Pavel 9 лет назад 3
0
Benjamin Schollnick

Теперь я полагаю, что проблема здесь в том, могут ли магнитные следы все еще быть восстановлены или иметь влияние на данные, которые вы перезаписываете?

Если он был перезаписан хотя бы дважды, это очень сомнительно.

Как утверждает Годрик, данные на жестком диске являются цифровыми. Носитель, на котором он записан, магнитный, но мы имеем дело с нулями и единицами. Вы не можете иметь 0,5. Таким образом, ранее записанные данные не влияют на текущие записанные данные.

В вашем примере вы имеете дело с данными АНАЛОГА. Ранее записанные магнитные данные не были стерты, поэтому они частично отменили или усилили ваши новые данные, поскольку они не были первичными носителями.

Поскольку мы имеем дело с цифровыми данными, механизм привода записывает порцию данных и контрольную сумму. Эта контрольная сумма используется для проверки того, что целостность данных не была потеряна, и при необходимости используется для восстановления данных, если они были повреждены.

Если во время чтения эта контрольная сумма не совпадает с недавно сгенерированной контрольной суммой прочитанных данных, то данные автоматически восстанавливаются с использованием существующей контрольной суммы. Таким образом, вы не можете получить искаженные данные из-за ранее записанных и перезаписанных данных.

Проблема также возникает с восстановлением данных. Как только данные будут перезаписаны один или два раза, их почти невозможно восстановить ... (См. Http://www.schollnick.net/wordpress/2009/04/oh-my-gosh-they-are-stealing-my -данные / ).

Никто никогда не восстанавливал данные из 1 перезаписи. Moab 11 лет назад 1
Моав, я склонен согласиться ... (что никто никогда не восстанавливал данные с 1 перезаписи). Но я думаю, что "никогда" не слишком далеко до утверждения. Как правило, если диск не содержит конфиденциальных данных, я выполняю стирание за один проход. Если он содержит конфиденциальные данные, я обычно выполняю стирание в 3 прохода. Разница во времени заметна, но, как правило, не запредельная. Benjamin Schollnick 11 лет назад 0
@BenjaminSchollnick: В древние времена, когда управление головным двигателем осуществлялось с помощью шагового двигателя, запрос на движение, чтобы перейти на трек № 492 в жаркий день, может привести к тому, что голова переместится в немного другое место, чем в холодный день. Если диск записывается один раз в холодный день и один раз в жаркий день, один край дорожки, написанный в холодный день, может не быть перезаписан. Если более поздняя запись покрывает 90% исходного трека, то тот факт, что чтение в холодный день может иметь 10% -ный сигнал от записи холодного дня, смешанный с записью горячего дня, не вызовет проблем. , supercat 9 лет назад 0
... поскольку сигнал жаркого дня будет намного сильнее, но кто-то с гораздо более узкой читающей головкой сможет извлечь более раннюю информацию о "холодном дне". Обратите внимание, что если одна запись в жаркий день не сотрет данные, повторные записи также не помогут. Более новые жесткие диски имеют механизмы обратной связи, которые помогают их головам отслеживать треки гораздо более точно, поэтому остаточная информация с меньшей вероятностью останется на границах треков, чем на старых дисках. supercat 9 лет назад 0
@supercat, ты технически прав. Фактически, это частично техническая основа для Spinrite (http://www.grc.com). Но в современных дисках я очень сомневаюсь, что это очень вероятно. Еще раз, если вы беспокоитесь, затем выполните перезапись в 7 проходов, при каждом проходе диск будет иметь разную температуру (из-за продолжительности работы), что поможет предотвратить описанный вами тепловой сценарий. Benjamin Schollnick 9 лет назад 0
@ BenjaminSchollnick: я не волнуюсь; Тем не менее, стоит отметить, что у некоторых новых дисков может быть другая проблема: если диск решает, что область диска кажется «испорченной», он может скопировать все данные из этой области в другое место, а затем никогда не трогать эту область. опять же, независимо от того, сколько раз код просит перезаписать блоки, о которых идет речь. supercat 9 лет назад 0
@supercat Правда. В этом случае только формат диска низкого уровня * TRUE * может решить эту проблему, и большинство дисков IDE / SATA будут игнорировать запрос формата низкого уровня, если только вы не используете программное обеспечение производителя. С другой стороны, этот сектор был заменен по причине. Восстановление данных из этого может занять некоторое обслуживание по типу Drivesavers (или специализированное программное обеспечение, как Spinrite). Benjamin Schollnick 9 лет назад 0
@BenjaminSchollnick: Цель многократной перезаписи секторов состоит в том, чтобы гарантировать, что данные не будут восстановлены даже с помощью специального оборудования. Тот факт, что сектор казался плохим, не означает, что данные не будут в значительной степени или даже восстановлены на 100%, особенно если контроллер накопителя пытается избежать потери данных. supercat 9 лет назад 0
@supercat Мы можем согласиться не соглашаться здесь. Я согласен с вашим основным аргументом . Мы не согласны с тем, что вы заявляете, что плохой сектор может быть легко читаемым. Я утверждаю, что сектор был помечен как плохой, поэтому его будет трудно читать. 1) Поскольку он помечен как плохой, вам потребуется специальное программное или аппаратное обеспечение для его чтения. Я имею в виду плохую настройку диска, а не ОС. Если ОС пометила его, то это вполне может быть медленный сектор (и не плохой сектор). Benjamin Schollnick 9 лет назад 0
Принимая во внимание, что если электроника привода помечала сектор как неисправный и переназначенный в заменяющем секторе, Chkdsk / r или / f не должны быть в состоянии прочитать намеченный сектор. Поэтому я считаю, что нетривиально пытаться восстановить данные из намеченного сектора. Benjamin Schollnick 9 лет назад 0
Единственным реальным ответом на это будет полное шифрование жесткого диска до его использования (или сразу после установки базовой ОС), что позволит полностью его зашифровать. А затем, когда вы хотите стереть систему, переразбейте / перезаписайте диск. Если весь диск зашифрован, то будут зашифрованы даже все отображенные секторы, и когда диск был очищен, а ключ шифрования недоступен, то необработанные данные диска бесполезны из-за того, что они были зашифрованы. Benjamin Schollnick 9 лет назад 0
@BenjaminSchollnick: большинство дисков содержат код, исправляющий ошибки. Дорожка с исправимыми ошибками чтения не обязательно будет «трудной для чтения»; мы согласны с тем, что «нормальные» средства не позволяют считывать данные, но единственная потенциальная разница между перезаписью один раз и многократным состоит в том, сможет ли * кто-то со специальным оборудованием * извлечь данные. Восстановление данных, которые имеют несколько маргинальных битов, которые можно было восстановить с помощью ECC, возможно, является одним из самых простых сценариев, если использовать специализированное оборудование. supercat 9 лет назад 0
@ BenjaminSchollnick: Если вы зашифровали диск с помощью достойного алгоритма (скажем, AES256), вам не нужно его стирать. Все, что вам нужно сделать, это «потерять» ключ шифрования. Диск содержит случайные биты в этой точке. Jamie Hanrahan 9 лет назад 0
@JamieHanrahan, ты прав. Я должен был сказать, что вы уничтожите его, уничтожив ключ. Я не разработал так хорошо, как следовало бы. Benjamin Schollnick 9 лет назад 0
@supercat, мы могли бы обсудить это навсегда, возвращаясь к минутам. Вместо этого я рекомендую проверить подкаст Security Now № 419, на котором Стив Гибсон обсуждает эту проблему в отношении выравнивания износа (особенно для твердотельных накопителей). Смысл в том, что если диск полностью зашифрован до того, как произойдет выравнивание износа, то переназначенные секторы все еще шифруются, и, таким образом, когда ключ шифрования «стирается» / стирается и т. Д., Сектора не восстанавливаются. Security Now Podcast 284 (https://www.grc.com/sn/sn-284.txt) также покрывает часть этого. Benjamin Schollnick 9 лет назад 0

Похожие вопросы