Содержание
Добрый вечер! По аналогии с одной из прошлых статей на тему “какие программы нельзя использовать для сокрытия данных”, я решил написать ещё один обзорчик, но уже на тему безопасного стирания данных. И для наглядности хочу кое-что продемонстрировать.
Сразу немного врежусь в статью – опишу, как будет проходить эксперимент. Для наглядности, у меня будет виртуальный жёсткий диск объёмом 1 Гб (для быстроты), с файловой системой NTFS, который я буду форматировать всякий раз полностью, чтобы результаты предыдущего эксперимента не мешали проводить текущий опыт. Записывать буду 3 файла – два текстовых документа, 1,5 Кб, 63 Кб и один архив 1,7 Мб размером.
Контрольные суммы этих файлов:
- RRRRR.txt, 63 900 байт, (MD5) 7CFA660EEDF9CE9D314BD28DB1A34A10;
- SECRET.txt, 1 657 байт, (MD5) D0BDCE7F614CBEC173B43AD15C4CB994;
- Autoruns.zip, 1 728 127 байт, (MD5) 8F4DAFC3B0AFC1CD92067DBB63E0292E.
Эксперимент 1. Обычное удаление
Закидываем на раздел 3 файла.
А теперь удалим их при помощи сочетания клавиш [Shift+Del] – минуя корзину, сразу, “безвозвратно”, хе-хе…
Диск с виду чист. Но вот что мы сейчас сделаем: запустим программу R-Studio, просканируем раздел и посмотрим, что там видно:
Выберем любой файл и нажмём [Ctrl+E]:
По содержимому видно, что файлы в порядке – просто помечены как удалённые. Для их восстановления просто воспользуемся той же R-Studio и восстановим в любой каталог на ДРУГОМ разделе. Даже контрольные суммы сверять нет необходимости. Всё прекрасно открывается. Файлы могут оставаться в таком состоянии сколько угодно много времени, всё зависит только от везения.
Если операционная система решит выделить эти же кластеры под хранение другому файлу, то наши старые файлы будут, разумеется, затёрты. Но есть одно малюсенькое “но”, потом расскажу.
Мораль – удаление файлов через Delete, с очисткой корзины, равно как и через Shift+Delete фактически файлы с диска не стирает, а просто помечает, что эти кластера можно занять при необходимости.
Перед следующим экспериментом выполним полное форматирование диска (не быстрое!) и вновь скопируем наши файлы на раздел.
Эксперимент 2. Стирание через Eraser
Программ для безопасного удаления данных великое множество (десятки, если не сотни). Проверим некоторые из них.
Например Eraser. Скачать можно (тут), честно, сам не знаю получится ли, т.к. на момент написания этих строк ещё не проверил. Всё в реальном времени.
У программы есть настройки. Я выставил 1 проход псевдослучайными значениями:
Есть возможно затирания по специальным алгоритмам типа 3-хкратная перезапись, 35-кратная перезапись. Но лично я согласен с мнением, что это просто неразумное использование ресурсов и однократного прохода всегда достаточно.
Кстати, приятно порадовала возможность интеграции с проводником – удалять файлы так намного легче.
Дело сделано, проверим раздел R-Studio-ей:
И вот что мы видим: у файлов полностью уничтожено содержимое – перезаписано случайными байтами. У файлов полностью уничтожены атрибуты имени, даты. А также размер файла изменился в большую сторону – выравнен по размеру кластера (кратный 4096 байт), даже если файл занимал меньше.
Чтож, такой результат можно назвать успешным. Восстановить данные не представляется возможным. Вернёмся на исходную.
Эксперимент 3. Стирание через WipeFile
Небольшого размера программка, поддерживает русский язык. Скачать можно тут. Как обычно, множество способов уничтожения данных. Портабельная. Интеграция в контекстное меню проводника:
Главное окно выглядит вот так:
Удаляем файлы и открываем раздел в R-Studio:
Не понял О_О. Итак, у нас имена файлов затёрты случайным образом, а вот размер файлов и содержимое осталось без изменений. И это при том, что выбрал запись случайными символами.
Откроем-ка лог программы:
Да нет, заявлено, что содержимое будет затёрто.
Я сейчас повторю эксперимент на других параметрах уничтожения.
Результаты:
Лог работы:
Так, это уже не похоже на случайный баг. Я даже выбрал максимальный режим Гуттмана – 35 проходов. Но содержимое файла осталось на месте.
Кароче, я не рекомендую пользоваться этой программой в ответственных местах. Честно – не ожидал. Возьму ещё какую-нибудь программу.
Эксперимент 4. Стирание через BitKiller
Последняя на сегодня программа – BitKiller, качать можно тут. Если честно, я ещё не отошёл после испытания предыдущей программы, думаю, чашка чая меня успокоит. Надо ж так!
Итак, продолжаем. Условия те же.
Результаты стирания:
Примечательно, что и даты и размер файлов остались оригинальные. Но в содержимом реально каша – проверил спектр распределения байт, довольно таки равномерно.
P.S. на самом диске нашёл предыдущие записи в $MFT – даже имена файлов остались прежние, правда содержимое кластеров реально затёрто, так что можно восстановить только метаданные:
Выводы
- Обычное удаление файлов через Shift+Delete – данные не удаляет практически совсем, только помечает кластеры как свободные. Восстановить данные удалённые таким образом можно и довольно легко.
- Специальные программы для гарантированного удаления данных нужно проверять! Ведь даже за обилием разных алгоритмов и дружественным интерфейсом прячется полная неспособность уничтожать ваши секреты.
- WipeFile – не могу порекомендовать использовать. Нужно выяснять, что за беда.
Если понравилась статья или показалась полезной – отблагодарите меня пальцем вверх (большим) :)! Так буду видеть, что вам реально интересно такое читать. Спасибо за потраченное время.
Comments: