Comments 63
Простое забивание фейковыми данными на всю емкость в один проход работает или нужно сильнее хитрить?
Я всегда считал что честного полного (не быстрого) форматирования должно хватить.

Заполнение фейковым мусором под завязку это 100% метод, да.
«Честное форматирование» выполняет чтение поверхности, чтобы найти bad-блоки.
ccleaner это может делать или кучу проходов для самых осторожных)
Работает. Что-бы снять данные после одного прохода — нужно очень специфическое оборудование и разборка диска. Это очень сложно и дорого. Хотя с новыми плотностями записи я уже не уверен, что это все еще возможно.

Но 5 проходов даже для старых дисков было за глаза.
То было с магнитными дисками, с остаточным намагничиванием. С твердотельными накопителями и одного прохода достаточно: восстановить предыдущее распределение зарядов по ячейке памяти с достоверной точностью нереально. Если и есть какие-то остаточные эффекты, то они на уровне флуктуаций.
Их и имел ввиду. Разборка, выемка пакета пластин.

Про твердотельные это же очевидно, там вопрос многопроходной записи для стирания вообще не стоит. Плюс сборщик мусора. Плюс для них же вообще есть встроенная функция secure erase, доступная через командный интерфейс, несколько минут и кранты.
Я думаю будет достаточно dd if=/dev/urandom of=/dev/sdc
Для успокоения маленького параноика внутри я бы прошел диск два раза.
+ добавить сжигание носителя как финальную стадию.
(интрукция для суперпараноика)
Так ведь задача стоит не уничтожить, а — продать или подарить.
А так-то конечно, но тогда ее еще нужно поломать. И ломать желательно под действием переменного магнитного поля в пару тесла.
Во вьі смеетесь, а я когда заклинившую флешку Sandisk по гарантии менял — спросил, разрешили сломать в виде исключения, я ее ножницами разрезал по чипу и им отправил.
> Для успокоения маленького параноика внутри я бы прошел диск два раза.

Параноики, даже маленькие, всегда используют FDE.
В этом случае нет смысла так заморачиваться, но для успокоения можно пару-тройку первых гигабайт забить просто нулями.
Жесткий — 5 проходов, выбор параноика. badblocks -wvs /dev/sd[X]
ССД — там есть secure erase. Либо одного прохода с головой
забивание фейковыми данными на всю емкость в один проход работает
Работает. Главное — чтобы именно на всю емкость.
Данные подойдут любые неконфиденциальные — большие дистрибутивы, видео высокого разрешения и т.п.
Работает но «исследователи» похоже об этом не знают и в «исследовании» нет данных о наличии компрометирующих данных на картах.
То есть они должны были взять восстановленные файлы с флешки и пойти к владельцам, чтобы удостовериться что это их документы/фото/видео?
Достаточно просто классифицировать информацию, например скачано с инета, частное фото/видео и т.д.
В таком исследовании нужно различать не опасные утечки данных(фото цветочков, кошек...), и опасные утечки данных(пароли, пин коды, приватные фото...)
Я не думаю что корректно(особенно если делаешь исследование, которое потом общественности покажешь) вообще копаться в таких данных. Скорее они просто сканировали флешки, видели что есть какие-то фото/видео и ставили галочку «пользовательские данные есть, можно восстановить».
Так может и не восстанавливали, а проверяли возможность этого, то есть смотрели можно ли при желании это сделать.
Из статьи:
«Данные с двух карт были просто удалены — самым обычным способом. Соответственно, информацию удалось восстановить всю;»
«пользователи продавали телефоны с огромным количеством персональных данных. Тогда было обнаружено более 40 000 фотографий, включая снимки в стиле «ню», финансовые приложения с сохраненными паролями, списки контактов, фотографии детей и многое другое. „
Восстанавливать данные — корректно, а вот заглядывать в них без разрешения владельца — нет. Об этом вам скажет любой, кто профессионально занимается восстановлением данных. В таких конторах либо берут у клиента согласие, либо восстанавливают не заглядывая (ничто не запрещает отправить клиенту часть восстановленного, чтобы он проверил и подтвердил «да, это то самое, восстанавливайте оставшееся».
Восстановить данные без ведома хозяина корректно, проверить целостность данных корректно, а классифицировать некорректно?
Так вышло, что я логическим восстановлением данных занимался на полукомерческой основе. Потом один раз пришлось подымать руками для себя отформатированный reiserfs, ушло 4 часа, пришлось многое копаться в структурах разера.
Плюс писал антивирус, да и чего уж греха таить, вирусы. Тоже мммм… не совсем бесплатно. Техника пригодилась

И вот однажды 5 лет назад из-за бага в инсталляторе линуха и моей лени (не стал отсоединять рейд от матери) форматнулся рейд с ext4 и часть файлов записалась поверх. Архивный. Без бекапов. Да, дурак.

Все тулы для автоматического сканирования смогли восстановить около 30%.

Я два месяца писал свой софт и тулы. Сначала нашел старые копии файловой и уже по ним сплошной байтовый стрим винта побил на кластеры и что смог — упорядочил. Детали уже не помню.

Потом написал просто кучу разных сигнатурных парсеров, который искали сигнатуры файлов, определяли по формату окончание файла, верифицировали и выкусывали его из потока. Так я получил обратно все медиа (фото, видео, музыка, графика), все архивы и все документы.

Остаток начал втупую скармливать утилите file, которая распознавала формат и уже разгребал руками. Т.е. file сканит поток, расставляет маркеры, где он нашел сигнатуру и чего. Потом я уже отсеял руками ложные срабатывания, а под остаток дописал парсеры, как выше.

Например есть CR2, у него вначале маркер формата, а потом в первых 500 байтах заголовок, который содержит длину после заголовка. Скармливаем его туле, котрая умеет показывать размер, выкусываем этот файл. А CRW имел в хвосте специфичную сигнатуру.

Очень спасло то, что диск был архивный, большой, данные в основном дописывались. В итоге фрагментации почти не было.

Спас почти весь терабайт, кроме первых метров 120-150.

Для карт из фотоаппаратов, где фото и видео, восстановление вообще тривиально, там сигнатуры понятные. Единственное правило — не стирайте одиночные фото, только полный формат карты или полное удаление всего. Тогда в случае беды данные не будут фрагментированы и сможете восстановить минут за 20.
С другой стороны, у меня сложилось ощущение, что часть фотоаппаратов тупо не фрагментирует файлы на fat32.


Мои выводы:
1. Все коммерческие восстанавливалки помогают только в самых простых случаях.
2. Если нет фрагментации (т.е. данные дописывались и не удалялись), то данные восстановить совсем просто
3. Данные я могу поднять до тех пор, пока читаются кластеры, составлявшие некогда файлы
4. В сущности, я даже для слабо фрагментированных данных смогу написать восстановление, если есть контрольная сумма файла.

1. Все коммерческие восстанавливалки помогают только в самых простых случаях.

Но та же recuva 100 лет как именно в стриме с харда выбирала все хоть как то подходящее под сигнатуры, и потом восстанавливаешь скопом файлы: «число.расширение» и остается только имена дать вменяемые.С рейдами конечно не пробовал как в Вашем примере, но полуживые харды, флешки кушала.
Да рейд там как раз почти не внес никаких проблем, быстро и легко собрался и дал мне доступ к разделу. Вся возня была уже с блочным устройством, на него нарезало новую фс и написало немного данных.

5 лет назад все тулы, которые я пробовал, смогли мне дать только jpg/png/gif, часть архивов и немного вордовых документов.

Руками я поднял все raw images, все zip, rar, tar, tgz, документы всех офисных форматов, все видео и сорцы, блин, на пхп и джаве, но это уже был чистый фан, т.к. были архивы.

Но если не дай бог придется снова, посмотрю, что за зверь recuva, спасибо
Описанная выше задача не является чем-то особенным для серьезных сервисов восстановления данных. В принципе, если помните параметры массива, то mdadm + photorec вытащат все фотографии.
А в плане получения опыта и знаний работу проделали, конечно, очень серьезную.
mdadm + photorec вытащат все фотографии.


Ну вот фото, архивы и документы у меня и не вызвали никаких проблем. Я их не только легко обнаруживал, но и совершенно не сомневаясь выкусывал из образа, т.к. их границы отлично детектятся.

> Потом написал просто кучу разных сигнатурных парсеров, который искали сигнатуры файлов, определяли по формату окончание файла, верифицировали и выкусывали его из потока. Так я получил обратно все медиа (фото, видео, музыка, графика), все архивы и все документы.

Описанная выше задача не является чем-то особенным для серьезных сервисов восстановления данных.


Я был бы очень польщен, если бы то, что я ваял два месяца на коленке 5 лет назад, было бы «чем-то особенным для серьезных сервисов восстановления данных» ;)

Я согласен с Вами и уверен, что могут и гораздо круче.
Вместо «коммерческие» стоило написать «автоматические». Ручной подход всегда эффективнее, но и дороже.
А что делать, когда флешка умирает и становится ридонли, а у тебя на неё еще 999 месяцев гарантии?
Решать что вам дороже — деньги за новую флешку или данные, которые на неё успели к этому времени записать. И, либо, покупать новую, либо смело нести в гарантию, плюнув на оставшиеся файлы на ней. И надеяться, что их никто не будет смотреть.
если флешка полностью зашифрована каким-нить truecrypt-ом с вменяемой длинной пароля, то смело слать в Китай на обмен по гарантии
До конца убить её большим разрядом с какого либо источника питания (явно больше 5В), отнести по гарантии и надеяться, что никто не будет заморачиваться с восстановлением этой карты.
Теперь уже поздно, а вообще, хранить данные в TrueCrypt контейнере(как вариант).
флешка умирает и становится ридонли, а у тебя на неё еще 999 месяцев гарантии?
Позвольте попробую угадать: карта Transcend? Если microSD, то ещё вероятно та, которая Premium?
Она самая. И начинается дилемма, купить новую, или идти в гарантию и испытывать стыд и позор за порно с лошадьми в 4к
В США бывает, что производитель по гарантии требует фото\видео уничтожения устройства и все

Флешка то все равно не ремонтируется, а идет в утиль.

Если 999 месяцев от производителя, пишите ему напрямую и обьясняйте ситуацию
А что кто-то правда продает и покупает б/у флешки? Мне бы такое и в голову не пришло… Флешки те что есть всегда покупаю в магазине, а новые особо и не нужны, т.к. даже если меняешь телефон то флешку оставляешь и в новый телефон потом пихаешь. Да и вообще данные все больше в облаке хранятся.
В статье речь про карты памяти, обычно они идут в нагрузку к б/у технике.

Ну о чём тогда говорить если данные уже предоставлены всему интернету.

Я вот несколько раз покупал. Например, у меня в коллекции есть древний цифровой фотоаппарат Sony Mavica, который может сохранять фотки и на карты памяти Sony Memory Stick, или на дискеты. Дискету найти не проблема, а вот старую карту Memory Stick, достаточно маленькую, чтобы читалась этим фотиком — проблема. В итоге нашёл карту на 8 Мб. На 256 Мб уже не определяется, другие не пробовал. Интернет-барахолка, предоплата, заказ с доставкой почтой из другого города.

Или вот. Я до сих пор пользуюсь телефоном SonyEricsson W995, в т.ч. слушаю на нём музыку. Ну вот удобнее мне с ним, чем со смартфонами. А там сониевские карты памяти M2. Новых давно нет в продаже, а б/у можно найти примерно от 512 до 4 Гб, иногда 8. А мне 8 мало, хотя бы 16. И я нашёл-таки такую карту памяти на 16 Гб. То же самое: заказывал у частного продавца с интернет-барахолки с пересылкой по почте.

Или несколько раз покупал «для души» в коллекцию просто всякие интересные древние штуки: Microdrive на 4 Гб, карты памяти MMC, RS-MMC и SD на 32 Мб, MicroSD, CF на 8 Мб, карту MMC Micro и т.д.

Кстати да, почти на всех этих картах были старые данные владельцев — фотки, музыка, какие-то сканы и пр. Ну мне-то чужого не нужно, форматнул и забыл.
Ну флешки старого формата это отдельный разговор… Я имел ввиду microSD которые сейчас используются повсеместно от смартфонов до фотоаппаратов. Их проще купить в магазине — все равно стоят копейки.
Я покупал. Фотоаппарат — старый Кэнон на Компакт Флеш. Столкнулся с необходимостью сделать много фото — а Компакт Флеш уже в магазинах нет и ждать доставки времени не было. Нашел на местном аналоге Авито — продававшая женщина предупредила что очень религиозна (в местных реалиях это значит что до нее нельзя дотрагиваться, нельзя оставаться с ней наедине, видеть ее волосы и т.п.)
Встретились на людной площади, отдала мне флешку. Дома смотрю — а на флешке куча ее фотографий, некоторые хотя и не ню — но довольно фривольные.
Это еще ничего, моему товарищу как-то знакомый фотограф принес ноут, данные восстановить. Так мы узнали, что он фотограф не только в модных журналах.
Спасибо, буду сжигать все переставшие читаться микроSD.
Хотя вроде бы есть утилиты, помимо форматирования забивающие все нулями.
— Ведьму сжечь! — Но она такая красивая… —Хорошо… но потом всё равно сжечь!
Сначала… <шлешка>
а потом — сжечь!
Немолодой мужчина с сигарой с изучающим взглядом
Зигмунд Фрейд, цветное фото

Извините, не смог сдержаться, уж больно хороша оговорка :)
Молоток — наше все. У меня все носители покидают мой дом только или затертые многократным тестом поверхности или в виде обломков.
переставшие читаться микроSD
и
утилиты, помимо форматирования забивающие все нулями
крайне слабо совместимы друг с другом.
Некоторое время назад уже поднимали вопрос о том, что юзеры пребывают в блаженном неведении по поводу того, что пункт «Восстановление и сброс в фабричные установки» в смартфоне совсем не гарантирует полноценного стирания личной информации без возможности восстановления.
Если карточка была отформатирована как «внутреннее хранилище», то гарантирует. Потому что при этом она шифруется, а ключ хранится в памяти смартфона.

Шифруется, но вряд ли целиком. Т.е. если до этого она служила другим целям а потом стала внутренним хранилищем — старые данные еще доступны.

А какой смысл для телефона не шифровать её целиком?
Другое дело, что содержимое, вероятно, не перезаписывается полностью при шифровании, это заняло бы много времени.
Я об этом и говорю, что процесс шифрования только создает заголовок с зашифрованным мастер-ключом и потом форматирует дешифрованное блочное устройство в Ext4 или что там сейчас. Большая часть старых данных не перезаписываются и доступно для восстановления.
Ой. на ebay на БУ флешке данные.
Мой отец купил «новый» винчестер в известном магазине бытовой техники и дома обнаружил там тонну чьих-то фоток.
Карту в телефоне особо не поформатируешь стандратными средствами. Нужно разрутовать. На мой взгляд, проще всего просто стереть с нее все и записать с мобилы видео на весь размер.
Only those users with full accounts are able to leave comments. Log in, please.