Posibilidad de recuperar archivos de un disco duro dd con relleno cero

13

He "rellenado con cero" (borrado completo) un disco duro externo usando dd, y por lo que he escuchado: la gente dijo que debería al menos "rellenar con cero" 3 veces para asegurarse de que los datos se borren realmente y nadie pueda recuperarse cualquier cosa.

Así que decidí escanear el disco una vez más después de haber llenado el disco a cero. Esperaba que el disco todavía tuviera algo de binario aleatorio. Resultó que solo tiene unos pocos bytes secuenciales al principio. Este es probablemente el tipo de estructura de archivo y otros encabezados. Aparte de eso, es todo ceros y nada más.

Entonces, si tenemos que recuperar cualquier archivo de un disco lleno de cero, ... ¿cómo? Por lo que he escuchado, incluso si llenas el disco a cero, aún debes tener algunos datos restantes. ... ¿o podría dd realmente aniquilar completamente todos los datos?

10.10 data-recovery dd external-hdd Karl
fuente

Respuestas:

11

Como puede leer aquí , es imposible recuperar datos después de que los haya "rellenado con ceros".

Puede haber una posibilidad del 56% de recuperar un solo bit correctamente, pero dado que tuvo que recuperar 8 bits para obtener solo un byte, es muy poco probable que recupere datos.

david
fuente
+1 Gracias por el enlace. Parece que la idea de "leer datos sobrescritos" es un mito para los discos duros de hoy, a pesar de que era posible con disquetes ...
jg-faustus
Nota: probaron unidades fabricadas en 1994 - 2006. Hoy en día la densidad de datos es mucho más alta, por lo que puede suponer con seguridad que esas probabilidades son mucho más bajas para las unidades de generación actuales, y adivinar 1 o 0 es una cosa de 50:50. .
htorque
¿Y cómo (qué software) podría intentar recuperar estos bytes?
Jack
¿Podría por favor actualizar el enlace? Está muerto.
winklerrr
El sitio web vinculado se ha plegado; Aquí hay una copia archivada del artículo .
Laogeodritt
8

Ten mucho cuidado con esta información. Trabajo en la industria de HDD y PUEDO confirmar que las lecturas fuera de pista pueden recuperar datos sobrescritos.

Algunos métodos de recuperación usan este truco para poner la cabeza +/- 10% fuera de la pista, luego leer, moverla un poco más fuera de la pista, luego leer. En algún momento, podrá recuperar lo que se estableció antes del relleno cero.

Use al azar cuando sea posible. Cero está bien para el borrado de metadatos y MBR. Recomiendo varios pases aleatorios para borrar los datos originales.

Además, cero no significa bits grabados borrados en un HDD. Cero tiene un patrón de bits como cualquier otro número.

Derek
fuente
1
Esto fue especialmente cierto para la tecnología HDD el siglo pasado, de hecho, un solo paso de ceros se considera lo suficientemente bueno ahora que se utilizan métodos de "escritura / lectura vertical", aunque el método Gutmann no puede hacer daño. En el nivel nano, todavía es posible rasurar el disco y escanear el plato en busca de rastros, dependiendo de cuánto esté dispuesto a gastar. Los correos electrónicos borrados de Bill Clinton se recuperaron de esta manera, pero esto fue hace algún tiempo en términos de tecnología HDD.
mckenzm
3

Sí ... Pero depende de lo paranoico que seas.

Un profesional probablemente aún podría leer algunos de los datos. Los estándares gubernamentales / militares para "borrar completamente" implican varios pases, incluida la escritura de datos aleatorios en todo el recorrido varias veces, intercalados con 0 rellenos y 1 rellenos. Esto se debe a que hay imágenes fantasma magnéticas que el hardware sofisticado puede analizar y extraer. Este es un kit costoso al que la mayoría de las personas no tendrá acceso y, por lo tanto, solo contratar a alguien para realizar la extracción también es prohibitivamente costoso para la mayoría de las personas.

Pero no hay razón por ddsí sola no puede hacer estos pases múltiples. Puede decirle dónde obtener los datos sin procesar que escribe, por lo que alternar entre /dev/randomcero y uno pasa, creo, lo calificaría para hacer un daño bastante sustancial a los datos.

Oli
fuente
¿Qué software podría usar un usuario simple como yo para recuperar un archivo lleno de cero?
Jack
Se requiere hardware extremadamente costoso y personal experimentado para recuperar el relleno cero, no existe el software, ya que tiene que modificar cómo funciona la unidad. Es posible que pueda modificar el firmware si fuera un experto en ingeniería inversa, pero modificar el hardware probablemente sea más fácil.
lanza el
@rolls ¿Entonces es posible? ¿Cómo funciona exactamente este método de hardware?
Hashim
¿Tiene una fuente para el reclamo de "efecto fantasma magnético"? ¿Cómo lo sabes? Parece espurio, y esta respuesta y un comentario al respecto es la única evidencia que he visto en años de investigación para mencionarlo.
Hashim
1
Aquí hay un enlace a alguna discusión que vincula algunos documentos y concluye que es muy probable que no sea posible, o solo posible en un subconjunto muy pequeño de casos nber.org/sys-admin/overwritten-data-guttman.html
rolls
1

Actualizar

De acuerdo con el documento vinculado a David, la recuperación de datos sobrescritos fue posible con disquetes pero casi imposible con los discos duros modernos, por lo que la idea de recuperación probablemente se considere un mito.

Dejo mi respuesta original como representación del mito.

NOTA: El "mito" se trata de recuperar datos que se sobrescribieron físicamente. Recuperar datos que simplemente se eliminaron (no se sobrescribieron) es una discusión completamente diferente.

Según entiendo:

Cuando sobrescribe datos en el disco, los datos antiguos se pierden en las herramientas normales del sistema. (Si no lo fueran, una lectura devolvería una mezcla de los bits que pertenecen a los datos antiguos y nuevos, por lo que sus datos estarían dañados y necesitaría un nuevo disco).

Pero puede ser posible recuperar datos sobrescritos utilizando un equipo especial. La razón es la forma en que se graba un bit en una bandeja magnética: un "bit" es un área magnetizada en el disco. El área que representa un solo bit contiene unos cientos de "granos" magnéticos, y la lectura de un bit devolverá un 1 si suficientes de esos granos individuales tienen la orientación correcta.

El truco es que la escritura nunca es del 100%: la sobrescritura puede cambiar la orientación magnética de quizás el 90% de esos granos, lo cual es suficiente para una lectura confiable de los nuevos datos. Pero queda algo de magnetismo residual en los granos que no cambió de orientación. Este residuo puede leerse si tiene el equipo adecuado para él, por lo que podría obtener una representación (algo ruidosa) de los datos antiguos sobrescritos. En combinación con el análisis estadístico, a menudo es posible reconstruir una buena cantidad del material original.

Pero este tipo de recuperación requiere hardware especializado y, como mencionó Oli, es prohibitivamente costoso para la mayoría de las personas.

jg-faustus
fuente