April 23rd, 2013

Эксперименты по стиранию данных

Провёл три эксперимента по уничтожению данных. В качестве подопытного кролика был использован жёсткий диск на 80 гигабайт (увы, меньше не нашёл). В роли программы для восстановления данных использовал демо-версию R-Studio 6.2.

Стирал данные командой dd.

Эксперимент №1: убедиться, что R-Studio нормально отрабатывает сценарий случайной потери данных. Был создан раздел NTFS, в нём создана папка "Secret stuff", в котором был создан текстовый файл BadSecret.txt с одной строчкой. Затем раздел был удалён, создан новый, и отформатирован под файловую систему exFAT.

После сканирования диска программой R-Studio старый стёртый раздел был найден, и текстовый файл был восстановлен без потерь:



Эксперимент №2: раздел NTFS с данными был затерт случайными цифрами программой dd:

dd bs=128M if=/dev/random of=/dev/sdb

После сканирования диска разделов найдено не было. Было якобы найдено несколько файлов типа tar.gz, общим размером, несколько превышающим общий объём диска где-то в четыре раза =D Внутри файлов, разумеется, мусор. Очевидно, в потоке случайных символов образовалось что-то, похожее на tar.gz формат.

Эксперимент №3: раздел NTFS был затерт нулями программой dd:

dd bs=128M if=/dev/zero of=/dev/sdb

После сканирования диска программой R-Studio не было найдено вообще ничего. Ни стёртых разделов, ни файлов любого типа. Это логично -- если на всём диске у тебя тупо нули, никаких данных, даже случайных, на нём нет.

Затирание нулями работает примерно на 25% быстрее, чем затирание случайными данными, так как компьютер гораздо шустрее генерирует тупые нули вместо случайных чисел. Конкретная разница уже зависит от производительности процессора в индивидуальной ЭВМ. На моей машине (i7 @ 2.3 GHz) затереть случайными символами 80 гигабайт заняло 2535 секунд (31.6 мегабайт/с); нулями -- 1937 секунд (41.3 мегабайт/с, упёрся в ширину пропускания USB 2.0).

Выводы:

Если ты торопишься -- затирай нулями! :) А если не торопишься -- затирай случайными данными, так как это может создать дополнительные ложные нити, которые поведут твоего противника в сторону.

Теперь по поводу восстановления затёртых данных по остаточному магнетизму, методами, например, магнитной силовой микроскопии. Это ненаучная фантастика. Это тупо нереально, ибо невозможно. Вот прекрасная статья на эту тему:

http://www.datarc.ru/articles/overwriting_hard_drive_data.html

Теперь я хочу провести эксперимент с твёрдотельным накопителем. Там есть свои тонкости.