0

Безопасное удаление файлов без возможности восстановления

Опубликовано автором admin

Хранение конфиденциальных данных на жестком диске и съемных носителях, как правило, всегда рассматривается в контексте общей информационной безопасности. Это достаточно объемная тема, охватывающая собой множество различных аспектов из которых далеко не последним является надежное удаление файлов.

Причин тому может быть несколько – передача компьютера, жесткого диска или флеш-накопителя во временное пользование другому лицу, сдача компьютера или носителей в ремонт, а также их продажа. Простое удаление данных средствами операционной системы или даже полное форматирование носителя не обеспечивает безвозвратного удаления информации.

В большинстве случаев удаленные данные удается восстановить с помощью специальных утилит, которые беспрепятственно можно найти в Интернете. Стопроцентно гарантированное уничтожение данных может дать только размагничивание носителя или полное его физическое разрушение. Именно такие меры принимаются по отношению к данным, хранящимся под грифом “Совершенно секретно”. Для уничтожения данных меньшей степени секретности применяются утилиты использующие алгоритмы многократной перезаписи всего носителя или его определенной области.

В настоящее время существует множество программ для безопасного удаления данных. Столько же существует и мнений относительно эффективности той или иной утилиты. В реальности же утверждения что одна программа-шредер удаляет данные лучше, чем другая это – не что иное, как миф. Удаляет информацию не сама программа, а зашитый в нее алгоритм перезаписи, а алгоритмы эти во всех этих утилитах используются одни и те же, просто в одной программе может иметься более широкий набор алгоритмов, нежели в другой. По мнению специалистов, наиболее эффективным считается алгоритм Питера Гутмана, в котором используется 35 циклов перезаписи. А вот и небольшой список утилит, которые помогут вам гарантированно удалить личную информацию.

CCleaner

Этот популярнейший бесплатный чистильщик может использоваться не только для удаления файлового мусора и исправления ошибок в системном реестре, но и для гарантированного форматирования жестких дисков и съемных носителей, а также зачистки свободного дискового пространства. При этом доступно четыре метода удаления: простая перезапись в один проход, DOD 5220.22-M (три цикла), ТSA (7 циклов) и уже известный нам метод Питера Гутмана.

Программа Eraser

Простая и бесплатная программа для надежного удаления данных. С ее помощью вы можете удалять не только отдельные файлы и папки, но и целые разделы, а также зачищать свободное дисковое пространство. Несмотря на отсутствие русского языка пользоваться программкой очень просто. Удаление файлов и папок производится простым перетаскиванием на рабочее поле Eraser, кроме того удалять объекты можно из контекстного меню Проводника, куда программа встраивается при инсталляции. На выбор предоставляется 14 алгоритмов удаления, в том числе самый надежный – алгоритм Питера Гутмана.

Программа File Shredder

Еще одна бесплатная утилита, простая и удобная. Поддерживается удаление данных с жесткого диска, а также со съемных носителей. Добавление файлов в список удаляемых производится через главное меню, либо прямым перетаскиванием на рабочее окно программы. File Shredder можно использовать и для затирания свободного дискового пространства. Также имеется возможность удаления через контекстное меню Проводника. В отличие от Eraser утилита File Shredder имеет только пять встроенных методов удаления.

Программа Secure File Vault

Многофункциональная программа для защиты конфиденциальной информации. Предназначено данное приложение главным образом для шифрования данных, но может также использоваться и для безвозвратного удаления файлов и папок. Для этой цели в Secure File Vault предусмотрена встроенная утилита File Shredder. При удалении данных вы можете выбрать уровень безопасности – от 10 до 110. Secure File Vault относится к разряду коммерческих программ, причём довольно дорогих – ее стоимость составляет $49.95.

Скачать Secure File Vault: http://www.securefilevault.com/

Freeraser

Бесплатная, простая и удобная программка для удаления любых пользовательских файлов с поддержкой русского языка. В Freeraser доступно три основных режима удаления – быстрый, надежный и бескомпромиссный. Быстрый соответствует одному циклу перезаписи, надежный – трем, и бескомпромиссный – 35-ти последовательным проходам. Удаление файлов и папок производится методом перетаскивания на специальную корзину из стандартного окна “Обзор”. Утилитой поддерживается настройка внешнего вида корзины, автостарт, работа из системного трея. Имеется русский язык.

Скачать Freeraser: http://www.freeraser.com/home/82-freeraser.html

Заключение

Все эти пять программ в целом очень даже неплохо справляются со своей задачей. Если вы хотите быть уверенными, что ваши личные файлы не смогут быть восстановлены, то используйте любую из этих программ. Разумеется, этот список далеко не полный, многие утилиты для надежного удаления данных входят в состав других программ, как это имеет место в Secure File Vault. Встроенными инструментами зачистки обладают AusLogics BoostSpeed, Acronis True Image, TuneUp Utilities, Glary Utilities и многие другие приложения для работы с файловой системой.

Среди пяти вышеописанных программ первое место мы решили отвести Eraser. Эта программа несомненно заслуживает того чтобы именоваться профессиональным инструментом для эффективного уничтожения конфиденциальных данных.

Используемые программой методы перезаписи основаны на известнейших стандартах удаления магнитных следов с жесткого диска и съемных носителей.

Широкий набор инструментов, гибкие настройки, использование дополнительных “обманных” технологий, а также дружественный пользовательский интерфейс делают эту программу одним из самых удобных и востребованных инструментов для безопасного удаления файлов.

Систематически пользователю приходится удалять различные файлы. Отправка в корзину, а затем её очистка являются стандартом, но удаленные таким образом файлы несложно восстановить. Более продвинутые пользователи применяют метод перезаписи — на место старой информации несколько раз записывается другая, хотя это не всегда помогает. В данной статье рассматривается удаление файлов без возможности восстановления.

Программные способы удаления

Существует два способа. Первый заключается в использовании стороннего софта. Второй — в ручной очистке системы.

Уничтожение данных на жестком диске специальными программами.

SDelete

Программа компании Microsoft, работающая с командной строкой Windows.

  1. Скачайте и установите утилиту.
  2. Комбинацией клавиш Win+R откройте окно «Выполнить», впишите в появившуюся строку cmd или cmd.exe и нажмите «ОК» или Enter.
  3. В открывшейся командной строке введите путь к папке, в которую установлена программа. Для этого необходимо написать «cd путь», затем вновь нажмите Enter.
  4. Следующий шаг — удаление. Введите команду sdelete и через пробел укажите путь к файлам, которые необходимо уничтожить.

По окончании процесса в строке будет сообщено об успешном удалении, после чего можно будет закрыть командную строку.

Recuva

Данная утилита обычно помогает пользователю вернуть утраченные файлы, но у неё так же есть возможность удаления файлов без возможности восстановления.

  1. Первый шаг — удаление файлов через корзину. Можно пропустить этот шаг, удаляя их комбинацией клавиш Shift+Delete.
  2. Далее необходимо запустить восстановление файлов в программе.
  3. В типах файлов следует выбрать «Прочие». Затем необходимо указать папку, в которой находились файлы до удаления.
  4. Поставьте галочку напротив «углубленного анализа» и начните процесс.
  5. После обнаружения удаленных файлов перейдите в расширенный режим, затем в настройки.
  6. В первой вкладке «Общие» выберите 35 циклов в «Надежном удалении» и нажмите «ОК».
  7. Выберите файлы, кликните правой кнопкой мыши и нажмите на «Надежно удалить отмеченные». Подтвердите процесс.
  8. В конце проверьте наличие удаленных данных в программе. Если они остались — повторите предыдущие шаги.
Читайте также:  Как быстро делить и умножать в уме

Far Manager

Это файловый менеджер, который имеет функцию «уничтожение».

  1. Выберите файлы и нажмите комбинацию клавиш Alt+Delete.
  2. Подтвердите действие.

Программа действует схоже с Recuva, но несколько другим алгоритмом.

Eraser HDD

Это специальная утилита, предназначенная для полного стирания жесткого диска, так как удалить файлы с компьютера без возможности восстановления можно и другими способами. Программа выполняет строго указанное действие, поэтому необходимо загрузить её портативную версию и запустить со второго винчестера или со съемного диска. Установка не требуется.

  1. Запустите приложение
  2. Пройдите в меню Пуск в утилите, среди обнаруженных дисков выберите тот, который необходимо очистить и нажмите «применить».
  3. Появится предупреждение. Будьте уверены в своем выборе, поскольку процесс нельзя прервать, а на выходе у вас будет пустой диск, на котором невозможно будет хоть что-то восстановить.

Удаляем файл с компьютера вручную

!Рекомендуется только для опытных пользователей

1. Даже удаление изображения займет некоторое время из-за особенности ОС Windows. Она сохраняет уменьшенные копии, эскизы, всех картинок в формате JPEG в специальной папке Thumbs.db. Эта директория скрыта. Можно избежать создания эскизов изображений в данной директории. Для этого необходимо найти в реестре раздел HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesExplorer, и у ключа NoThumbnailCache поставить значение 1, после чего следует удалить все директории Thumbs.db.

2. Файлы, в течение работы с ними, могут попадать в различные части системы и даже оставлять свои копии. Например в файле подкачки — pagefile.sys. Убедиться в отсутствии данных в файле подкачки можно с помощью стороннего софта или загрузкой в другой ОС на том же устройстве. Для этого необходимо с помощью LiveCD загрузиться в другую систему, затем программой Back Track запустить утилиту Foremost. Введите следующую команду:

#foremost -i /mnt/hda1/"имя файла подкачки" -o /root/"директория для сохранения обнаруженных данных" -v -q

И запустить её. Программа обнаружит и отсортирует файлы по их расширению.

Для защиты приватных данных можно отключить файл подкачки. Зайдите в Панель управления -> Система и безопасность -> Система -> Дополнительные параметры системы -> Быстродействие -> Дополнительно -> Виртуальная память -> Изменить. Далее следует снять галочку и внизу выбрать пункт «Без файла подкачки».

3. Файлы могут не до конца стираться при дефрагментации переносного устройства для хранения данных: после процесса информация переносится в верхнюю часть диска и упорядочивается, но её копия не затирается. Даже после очистки съемного носителя их можно будет восстановить. Используйте любой из перечисленных выше способов для полного удаления файлов.

В заключение следует отметить, что безвозвратное удаление файлов не является панацеей, хотя за конфиденциальностью стоит следить. Существуют неописанные выше варианты обнаружения скрытых копий файлов. С такими принципами знакомы только эксперты, знакомые с устройством компьютера на высочайшем уровне. С перечисленными выше методами безопасность ваших данных от постороннего вмешательства ложится на ваши плечи, хотя абсолютной защиты не существует.

Содержание статьи

Для следователя, проводящего анализ компьютера подозреваемого, всегда есть данные, представляющие особый интерес. Но некоторым кажется, что если перезаписать область, где находился файл, случайными данными, то восстановить уже ничего не удастся. Это правда, но лишь отчасти. Даже после такой перестраховки данные нередко удается извлечь!

Что происходит при удалении файла? Очень просто: в файловой системе для него меняется один атрибут, и таким образом он помечается как удаленный. При этом содержание файла по-прежнему остается на жестком диске, и его можно восстановить с помощью одной из множества платных и бесплатных программ (например, R-Studio). Мы много раз писали о том, как безопасно удалить файлы без возможности восстановления. Благо для этого разработано огромное количество утилит-шредеров, которые с помощью несложных методик перезаписывают участки диска, на которых были расположены удаленные данные. Таким образом даже при использовании технологий восстановления, при которых производится считывание данных непосредственно с магнитных носителей, восстановить удаленные файлы будет невозможно. В эффективности такого подхода нас заверяли даже настоящие профессионалы в области восстановления данных. Но — лазейки для извлечения информации у гуру все-таки есть!

Файлы изображений

Начнем с рассмотрения простого случая — удаления обычной фотографии. Допустим, у нас есть папка с фотографиями, и мы избавляемся от одной из них. Причем удаляем по всем правилам, перезаписав нужную область диска несколько раз. По идее больше ничего не должно выдавать ее существования (если мы сами до этого не скопировали ее в другую папку и не забыли про это). Но тут-то как раз многие и забывают об одной особенности Windows — файле Thumbs.db. Это специальное хранилище, используемое операционной системой, в котором находятся эскизы изображений из текущей папки. Если в проводнике выбрать режим отображения "Эскизы страниц", то операционка будет брать уменьшенные превьюшки изображений как раз из этого файла. Он создается в каждой папке, в которой есть картинки, и содержит уменьшенные эскизы изображений в формате JPEG (вне зависимости от формата исходного изображения).

Проведем небольшой эксперимент — создадим папку и поместим туда три любых картинки. Теперь откроем эту директорию в проводнике — появился Thumbs.db (чтобы увидеть этот файл, надо включить отображение скрытых файлов). Мы можем просмотреть и проанализировать его с помощью утилиты Thumbnail Database Viewer. Программа, как и положено, показывает эскизы для всех трех файлов. А теперь удалим один из них с помощью программы SDelete или любой другой программы для безопасного удаления данных:

sdelete.exe -p 2 file1.jpg

Параметр р отвечает за количество проходов шредера, то есть указывает, сколько раз файл будет перезаписан перед удалением. В результате изображение будет безвозвратно стерто с жесткого диска. Но посмотрим, повлияло ли как-то это удаление на Thumbs.db? Заново открываем его, и что мы видим? Эскиз для удаленной картинки по-прежнему на месте! Получается, что файл легко может содержать эскизы уже удаленных изображений. И на этом, как мне рассказывали, попался не один умный человек…

Как этого избежать? Очень просто — нужно просто отключить кэширование эскизов в файлах Thumbs.db. На Windows XP необходимо установить для ключа DisableThumbnailCache в разделе HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionExplorerAdvanced значение "1". В Windows 7 этот ключ имеет имя NoThumbnailCache и находится в HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesExplorer. И, само собой, важно не забыть удалить все Thumbs.db.

Читайте также:  Балансирующий робот на ардуино своими руками

Файл подкачки

Подставы со стороны операционной системы на одном только файле с эскизами не заканчиваются. По мере работы с документом информация о нем попадает в различные части ОС — временную папку, реестр и так далее. Поэтому очень трудно отследить и удалить все связанные с файлом данные. Вдобавок ко всему, есть места, где копия файла может оказаться совершенно случайно (иногда такая случайность может стоить очень дорого). Я говорю о файле подкачки (pagefile.sys) и свопе памяти, используемом во время режима Hibernation (hiberfil.sys). Предсказать содержимое файла подкачки заведомо невозможно, и тут никто ничего не может гарантировать. Предлагаю еще на одном эксперименте убедиться в том, что это — опасное место.

Поскольку просмотреть или скопировать файл подкачки операционная система просто так не дает, то у нас есть два варианта: задействовать специальные утилиты или же загрузиться в другую операционку и получить доступ к файлу из нее. Мне второй способ показался более простым, так как под рукой был Back Track, начиненный различными утилитами, в том числе и для восстановления файлов. Поэтому, загрузившись с LiveCD, я смонтировал виндовый раздел и пошел в раздел "BackTrack->Forensic", откуда запустил утилиту Foremost. Эта замечательная консольная прога умеет восстанавливать файлы исходя из их заголовков и внутренней структуры. Необходимо лишь передать имя входного файла, в котором будет осуществляться поиск, и указать директорию, куда будут сохранены все найденные данные:

#foremost -i /mnt/hda1/pagefile.sys -o /root/Desktop/page_file -v -q

В качестве входного файла я указал файл подкачки /mnt/hda1/pagefile.sys, а директорию для сохранения результатов — /root/Desktop/page_file. Программа начала свою работу. За короткое время Foremost сумел найти и извлечь 524 файла.

Статистика извлеченных файлов:
jpg:= 73
gif:= 4
gif:= 19
jpg:= 77
jpg:= 95
doc:= 1
pgp:= 65
pgp:= 62
pgp:= 44
pgp:= 36
dat:= 7
lnk:= 3
cookie:= 38

Утилита удобно отсортировала все файлы по типу и разложила по разным папкам. Первым делом я полез проверять, что же попало в папку jpg. Из всех восстановленных файлов около половины отказалось отображаться, зато другая — отлично просматривалась. И чего только не было среди картинок: пара фоток, которые я не так давно удалил; много мелких изображений с веб-сайтов; аватарки друзей из Facebook и прочее. Честно сказать, я не планировал обнаружить так много изображений. Кроме картинок мне хотелось еще узнать, что за единственный doc-файл, который попал в файл подкачки. Но, к сожалению, Word лишь ругнулся, что файл попорчен и не смог его открыть. Неожиданный сюрприз ждал меня в папке cookie — бегло пролистав несколько файлов, я обнаружил адреса роликов, которые я смотрел чуть ли не год назад на YouTube. Вот и еще одно доказательство, что даже удалив в браузере все куки и историю, все равно можно проколоться.

Что тут можно сделать? Есть несколько вариантов. Первый — отключить вообще файл подкачки. Для этого надо зайти в "Control Panel-> System and Security-> System-> Advanced System Settings-> Performance-> Advanced-> Virtual Memory-> Change" и выбрать опцию "No paging file". Второй вариант — заставить операционную систему затирать все данные в файле подкачки перед выключением компьютера. Такой режим активируется, если установить для ключа ClearPageFileAtShutdown в разделе HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ControlSession ManagerMemory Management значение "1". К сожалению, второй метод очень медленный, и выключение системы будет занимать достаточно длительное время, так что применять его на практике или нет — решай сам. Аналогичная ситуация и с файлом hiberfil.sys. Его также можно попросту отключить, что сэкономит дополнительное место на диске.

Кстати, исследовать файл подкачки можно и под виндой. Но так как операционная система не дает его просмотреть и скопировать с помощью штатных средств, нам понадобится программка FTK Imager. Переходим в раздел "File-> Add Evidence Item" и указываем диск, где находится файл подкачки. На панели слева отобразится дерево каталогов, где необходимо выбрать pagefile.sys и воспользоваться функцией экспорта через контекстное меню. Файл подкачки без проблем скопируется в указанную нами папку, и никакие блокировки системы с этого момента не помешают его анализировать. Для анализа, кстати, можно воспользоваться DiskDigger или PhotoRec. Первая — проще, но вторая умеет восстанавливать более широкий круг различных форматов файлов.

Дефрагментация

Перейдем к следующей причине появления файлов-призраков. Чтобы было наглядней и понятней — опять же проведем небольшой эксперимент. Для него нам понадобится флешка и умение обращаться с WinHex’ом. Сначала обеспечим условия для опыта, удалив все данные с флешки. Для этого запустим WinHex, отдадим команду Open Disk и в появившемся окне выберем наш девайс. После открытия полностью выделяем все его содержимое (Ctrl+A) и забиваем нулями (Ctrl+L). Одно замечание — процесс перезаписи занимает достаточное количество времени, так что рекомендую взять флешку поменьше. С этого момента на драйве нет данных и, более того, нет файловой системы. Так что следующим шагом будет форматирование флешки в NTFS. По умолчанию Windows XP дает форматировать флешку только в FAT, но для наших манипуляций требуется NTFS. Чтобы операционная система позволила отформатировать устройство в нужную нам файловую систему, необходимо зайти в диспетчер устройств, найти там флешку и в параметрах установить опцию "Optimize for performance". После этого винда сможет отформатировать флешку в NTFS.

Цель нашего опыта — посмотреть, что происходит с файлами во время дефрагментации. Для этого создадим искусственную фрагментацию на нашем носителе информации. Возьмем три любых jpeg-файла и три каких-нибудь аудиофайла или видеоклипа (главное, чтобы их размер был больше jpeg’ов) и скопируем их на флешку в следующем порядке: 1.mp3, 1.jpg, 2.mp3, 2.jpg, 3.mp3, 3.jpg.

Интересно, как же они расположились на диске? Чтобы посмотреть это, воспользуемся тулзой DiskView от Марка Руссиновича. Она выводит графическую схему диска, на которой можно определить местоположение данных или узнать, какой файл занимает те или иные кластеры (для этого нужно щелкнуть на кластер мышью). Двойной щелчок позволяет получить более подробную информацию о файле, которому выделен кластер. Запускаем программу, выбираем нашу флешку и нажимаем . Сначала идет зеленая полосочка, обозначающая системные кластеры, а вот сразу за ней — область синих кластеров, представляющих наши файлы, записанные друг за другом. Теперь создадим фрагментацию, удалив все аудиофайлы. Снова нажимаем и видим, что перед каждым jpeg-файлом есть пустая область. Теперь ненадолго переключимся в WinHex. Чтобы еще раз убедиться, что на флешке нет никаких лишних графических файлов, проведем поиск по сигнатуре: ищем последовательность "jfif", присутствующую в заголовке любого jpeg-файла. В итоге редактор, как и ожидалось, нашел ровно три таких последовательности, по числу оставшихся файлов.

Читайте также:  Зимний дом для кошки своими руками

Ну что ж, пришло время навести порядок: не дело, когда файлы вот так разбросаны по диску :). Запускаем дефрагментацию, столь любимую пользователями, для нашего носителя:

C:Documents and SettingsAdministrator>defrag h:
Windows Disk Defragmenter
Copyright (c) 2001 Microsoft Corp. and Executive Software International, Inc.

Analysis Report
7,47 GB Total, 7,43 GB (99%) Free, 0% Fragmented (0% file fragmentation)

Defragmentation Report
7,47 GB Total, 7,43 GB (99%) Free, 0% Fragmented (0% file fragmentation)

Дефрагментация прошла, посмотрим, что изменилось на флешке. Жмем на в программе DiskView, и что мы видим? Файлы, которые располагались на расстоянии друг от друга, аккуратно перенесены в начало диска, и располагаются строго последовательно. А теперь внимание! Дефрагментация скопировала файлы в начало диска, расположив их последовательно, но перезаписала ли она их предыдущую копию нулями? Чтобы ответить на этот вопрос, опять обратимся к мощному шестнадцатиричному редактору. Снова проведем поиск по "jfif". Оп-па, теперь вместо трех найденных строк получаем целых шесть! И это может означать только одно — теперь каждый файл представлен в двух экземплярах. Любой из них легко восстанавливается с помощью DiskDigger’a или Photorec’a. А теперь представь, что вместо графических файлов у нас были какие-то конфиденциальные документы или файлы с данными по кредиткам. Даже если бы мы использовали утилиты типа Sdelete и переписали перед удалением эти три файла сотни раз, их призраки все равно остались бы на диске и существовали там неопределенно долгое время. До тех пор, пока не будут перезаписаны чем-либо еще. И все это время их можно будет восстановить!

Правда и мифы о магнитной микроскопии

Очень часто люди впадают в две крайности. Одни откровенно забивают на свою безопасность и хранят на винте всю компрометирующую информацию, будучи уверенными, что их спасет. Другие же, наоборот, каждый день затирают винт и заново устанавливают операционку. Быть может, я утрирую. Тем не менее, довольно часто приходится читать в Сети споры о том, сколько же раз надо перезаписать винт, чтобы информацию невозможно было восстановить. Предлагаю опытным путем выяснить, хватит ли одной полной перезаписи, чтобы безвозвратно удалить все данные. Итак, опять возьмем нашу подопытную флешку и полностью перезапишем ее нулями, после чего отформатируем в NTFS. Для проверки закинем на нее какой-нибудь файл: пусть это будет опять же JPEG. Его легко можно найти в WinHex’е по сигнатуре "jfif". У меня он расположился по смещению 274432. Ну что ж, запустим шредер (я юзал HDD Wipe Tool) и затрем весь диск. Теперь, если посмотреть в WinHex, что расположилось по смещению 274432, то мы увидим только нули. Для успокоения и большей уверенности можно попробовать восстановить данные с помощью DiskDigger, Photorec, Foremost и прочих утилит. Но это заведомо пустая трата времени — ничего у них не выйдет.

"Хорошо, — скажешь ты, — а как же насчет серьезных приборов, имеющихся у компетентных органов, которые умеют восстанавливать данные?" Ну что ж, давай поговорим о магнитной микроскопии. Суть метода в том, чтобы определить состояние каждого бита до его перезаписи. То есть, был ли он равен единице или нулю. Возьмем текст в кодировке ASCII. Каждый символ кодируется восемью битами таким образом, что если даже всего один бит восстановлен неверно — получается совсем другой символ. Например, есть последовательность символов "anti", выглядящая в бинарном виде следующим образом: 01100001011011100111010001101001. Предположим, что магнитная микроскопия правильно определила все биты, кроме последнего — в результате такого восстановления мы получаем последовательность "anth". Неувязочка получается. И это мы говорим о простейшем текстовом файле. Представь, что будет в случае со структурированными форматами — такими как архивы, файлы БД, исполняемые файлы и так далее. Вдобавок к этому метод достаточно медленный и дорогой. Так что во многих случаях использование магнитной микроскопии дает такой же точный результат, как и восстановление путем подбрасывания монетки на "орел-решка". Поэтому нет никакой необходимости по три раза перезаписывать диск.

Лучшая защита — это нападение

Что можно сделать, чтобы усложнить жизнь людям, к которым может попасть для экспертизы твой компьютер? Тут есть несколько вариантов. В случае, если на компьютере нашли "интересный" файл, время его создания будет веским доказательством против его владельца. Чтобы проследить цепь событий, эксперты опираются также на время создания/доступа/модификации файла. Так почему бы не запутать следы? На сайте metasploit.com есть такая замечательная утилита, как Timestomp, которая позволяет менять время создания, модификации или доступа для заданного файла. Основные опции для ее использования:

-m задает дату последней модификации файла
-a задает дату последнего доступа к файлу
-c задает время создания файла
-e задает время модификации файла, хранящееся в MFT
-z задает четыре вышеперечисленных параметра

Дата задается в следующем виде: DayofWeek MonthDayYear HH:MM:SS [AM|PM].

Есть еще очень интересная опция -b, которая устанавливает вышеперечисленные атрибуты таким образом, что известная в кругах компьютерных криминалистов программа EnCase их не видит и отображает пустыми :).

Таким образом, чтобы поменять атрибуты файла, достаточно выполнить в консоли команду:

c:>timestomp.exe boot.ini -z "sunday 1/12/2099 10:00:00 pm"

Легко можно набросать скриптик, который будет рекурсивно менять временные атрибуты файлов. Простейший вариант выглядит так:

for /R c:tools %i in (*) do timestomp.exe %i -z "monday 3/12/2009 10:00:00 pm"

Есть и другие способы подпортить жизнь товарищам-исследователям чужих HDD. В своей работе они используют программы, написанные обычными людьми, а потому — содержащими ошибки. Да-да, мы можем использовать уязвимости программного обеспечения, применяемого для поиска улик. Подробней об этом можно почитать в одном из докладов с конференции DefCon.

Заключение

"Безопасное удаление данных" – это не панацея. Смею тебя заверить, что описанные лазейки — не единственные в своем роде. И тот, кто по роду деятельности проводит экспертизы компьютеров на профессиональном уровне, знает, где и как найти необходимые ему данные. Теперь твоя безопасность в твоих руках — не дай "охотникам за приведениями" найти ни одного "призрака" на твоем компе. А еще лучше — не давай им повода приходить к тебе в гости :).

Post Views: 4

Похожие записи:

  1. В фотостране видно кто заходил на страницу
  2. Ваз 2115 отзывы владельцев плюсы и минусы
  3. Взлом игр с помощью лаки патчер
  4. Забыла телефон дома как сделать переадресацию

admin

More Posts

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

0

Безопасное удаление файлов без возможности восстановления

Опубликовано автором admin

Хранение конфиденциальных данных на жестком диске и съемных носителях, как правило, всегда рассматривается в контексте общей информационной безопасности. Это достаточно объемная тема, охватывающая собой множество различных аспектов из которых далеко не последним является надежное удаление файлов.

Причин тому может быть несколько – передача компьютера, жесткого диска или флеш-накопителя во временное пользование другому лицу, сдача компьютера или носителей в ремонт, а также их продажа. Простое удаление данных средствами операционной системы или даже полное форматирование носителя не обеспечивает безвозвратного удаления информации.

В большинстве случаев удаленные данные удается восстановить с помощью специальных утилит, которые беспрепятственно можно найти в Интернете. Стопроцентно гарантированное уничтожение данных может дать только размагничивание носителя или полное его физическое разрушение. Именно такие меры принимаются по отношению к данным, хранящимся под грифом “Совершенно секретно”. Для уничтожения данных меньшей степени секретности применяются утилиты использующие алгоритмы многократной перезаписи всего носителя или его определенной области.

В настоящее время существует множество программ для безопасного удаления данных. Столько же существует и мнений относительно эффективности той или иной утилиты. В реальности же утверждения что одна программа-шредер удаляет данные лучше, чем другая это – не что иное, как миф. Удаляет информацию не сама программа, а зашитый в нее алгоритм перезаписи, а алгоритмы эти во всех этих утилитах используются одни и те же, просто в одной программе может иметься более широкий набор алгоритмов, нежели в другой. По мнению специалистов, наиболее эффективным считается алгоритм Питера Гутмана, в котором используется 35 циклов перезаписи. А вот и небольшой список утилит, которые помогут вам гарантированно удалить личную информацию.

CCleaner

Этот популярнейший бесплатный чистильщик может использоваться не только для удаления файлового мусора и исправления ошибок в системном реестре, но и для гарантированного форматирования жестких дисков и съемных носителей, а также зачистки свободного дискового пространства. При этом доступно четыре метода удаления: простая перезапись в один проход, DOD 5220.22-M (три цикла), ТSA (7 циклов) и уже известный нам метод Питера Гутмана.

Программа Eraser

Простая и бесплатная программа для надежного удаления данных. С ее помощью вы можете удалять не только отдельные файлы и папки, но и целые разделы, а также зачищать свободное дисковое пространство. Несмотря на отсутствие русского языка пользоваться программкой очень просто. Удаление файлов и папок производится простым перетаскиванием на рабочее поле Eraser, кроме того удалять объекты можно из контекстного меню Проводника, куда программа встраивается при инсталляции. На выбор предоставляется 14 алгоритмов удаления, в том числе самый надежный – алгоритм Питера Гутмана.

Программа File Shredder

Еще одна бесплатная утилита, простая и удобная. Поддерживается удаление данных с жесткого диска, а также со съемных носителей. Добавление файлов в список удаляемых производится через главное меню, либо прямым перетаскиванием на рабочее окно программы. File Shredder можно использовать и для затирания свободного дискового пространства. Также имеется возможность удаления через контекстное меню Проводника. В отличие от Eraser утилита File Shredder имеет только пять встроенных методов удаления.

Программа Secure File Vault

Многофункциональная программа для защиты конфиденциальной информации. Предназначено данное приложение главным образом для шифрования данных, но может также использоваться и для безвозвратного удаления файлов и папок. Для этой цели в Secure File Vault предусмотрена встроенная утилита File Shredder. При удалении данных вы можете выбрать уровень безопасности – от 10 до 110. Secure File Vault относится к разряду коммерческих программ, причём довольно дорогих – ее стоимость составляет $49.95.

Скачать Secure File Vault: http://www.securefilevault.com/

Freeraser

Бесплатная, простая и удобная программка для удаления любых пользовательских файлов с поддержкой русского языка. В Freeraser доступно три основных режима удаления – быстрый, надежный и бескомпромиссный. Быстрый соответствует одному циклу перезаписи, надежный – трем, и бескомпромиссный – 35-ти последовательным проходам. Удаление файлов и папок производится методом перетаскивания на специальную корзину из стандартного окна “Обзор”. Утилитой поддерживается настройка внешнего вида корзины, автостарт, работа из системного трея. Имеется русский язык.

Скачать Freeraser: http://www.freeraser.com/home/82-freeraser.html

Заключение

Все эти пять программ в целом очень даже неплохо справляются со своей задачей. Если вы хотите быть уверенными, что ваши личные файлы не смогут быть восстановлены, то используйте любую из этих программ. Разумеется, этот список далеко не полный, многие утилиты для надежного удаления данных входят в состав других программ, как это имеет место в Secure File Vault. Встроенными инструментами зачистки обладают AusLogics BoostSpeed, Acronis True Image, TuneUp Utilities, Glary Utilities и многие другие приложения для работы с файловой системой.

Среди пяти вышеописанных программ первое место мы решили отвести Eraser. Эта программа несомненно заслуживает того чтобы именоваться профессиональным инструментом для эффективного уничтожения конфиденциальных данных.

Используемые программой методы перезаписи основаны на известнейших стандартах удаления магнитных следов с жесткого диска и съемных носителей.

Широкий набор инструментов, гибкие настройки, использование дополнительных “обманных” технологий, а также дружественный пользовательский интерфейс делают эту программу одним из самых удобных и востребованных инструментов для безопасного удаления файлов.

Систематически пользователю приходится удалять различные файлы. Отправка в корзину, а затем её очистка являются стандартом, но удаленные таким образом файлы несложно восстановить. Более продвинутые пользователи применяют метод перезаписи — на место старой информации несколько раз записывается другая, хотя это не всегда помогает. В данной статье рассматривается удаление файлов без возможности восстановления.

Программные способы удаления

Существует два способа. Первый заключается в использовании стороннего софта. Второй — в ручной очистке системы.

Уничтожение данных на жестком диске специальными программами.

SDelete

Программа компании Microsoft, работающая с командной строкой Windows.

  1. Скачайте и установите утилиту.
  2. Комбинацией клавиш Win+R откройте окно «Выполнить», впишите в появившуюся строку cmd или cmd.exe и нажмите «ОК» или Enter.
  3. В открывшейся командной строке введите путь к папке, в которую установлена программа. Для этого необходимо написать «cd путь», затем вновь нажмите Enter.
  4. Следующий шаг — удаление. Введите команду sdelete и через пробел укажите путь к файлам, которые необходимо уничтожить.

По окончании процесса в строке будет сообщено об успешном удалении, после чего можно будет закрыть командную строку.

Recuva

Данная утилита обычно помогает пользователю вернуть утраченные файлы, но у неё так же есть возможность удаления файлов без возможности восстановления.

  1. Первый шаг — удаление файлов через корзину. Можно пропустить этот шаг, удаляя их комбинацией клавиш Shift+Delete.
  2. Далее необходимо запустить восстановление файлов в программе.
  3. В типах файлов следует выбрать «Прочие». Затем необходимо указать папку, в которой находились файлы до удаления.
  4. Поставьте галочку напротив «углубленного анализа» и начните процесс.
  5. После обнаружения удаленных файлов перейдите в расширенный режим, затем в настройки.
  6. В первой вкладке «Общие» выберите 35 циклов в «Надежном удалении» и нажмите «ОК».
  7. Выберите файлы, кликните правой кнопкой мыши и нажмите на «Надежно удалить отмеченные». Подтвердите процесс.
  8. В конце проверьте наличие удаленных данных в программе. Если они остались — повторите предыдущие шаги.
Читайте также:  В чем измеряется начальная фаза колебаний

Far Manager

Это файловый менеджер, который имеет функцию «уничтожение».

  1. Выберите файлы и нажмите комбинацию клавиш Alt+Delete.
  2. Подтвердите действие.

Программа действует схоже с Recuva, но несколько другим алгоритмом.

Eraser HDD

Это специальная утилита, предназначенная для полного стирания жесткого диска, так как удалить файлы с компьютера без возможности восстановления можно и другими способами. Программа выполняет строго указанное действие, поэтому необходимо загрузить её портативную версию и запустить со второго винчестера или со съемного диска. Установка не требуется.

  1. Запустите приложение
  2. Пройдите в меню Пуск в утилите, среди обнаруженных дисков выберите тот, который необходимо очистить и нажмите «применить».
  3. Появится предупреждение. Будьте уверены в своем выборе, поскольку процесс нельзя прервать, а на выходе у вас будет пустой диск, на котором невозможно будет хоть что-то восстановить.

Удаляем файл с компьютера вручную

!Рекомендуется только для опытных пользователей

1. Даже удаление изображения займет некоторое время из-за особенности ОС Windows. Она сохраняет уменьшенные копии, эскизы, всех картинок в формате JPEG в специальной папке Thumbs.db. Эта директория скрыта. Можно избежать создания эскизов изображений в данной директории. Для этого необходимо найти в реестре раздел HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesExplorer, и у ключа NoThumbnailCache поставить значение 1, после чего следует удалить все директории Thumbs.db.

2. Файлы, в течение работы с ними, могут попадать в различные части системы и даже оставлять свои копии. Например в файле подкачки — pagefile.sys. Убедиться в отсутствии данных в файле подкачки можно с помощью стороннего софта или загрузкой в другой ОС на том же устройстве. Для этого необходимо с помощью LiveCD загрузиться в другую систему, затем программой Back Track запустить утилиту Foremost. Введите следующую команду:

#foremost -i /mnt/hda1/"имя файла подкачки" -o /root/"директория для сохранения обнаруженных данных" -v -q

И запустить её. Программа обнаружит и отсортирует файлы по их расширению.

Для защиты приватных данных можно отключить файл подкачки. Зайдите в Панель управления -> Система и безопасность -> Система -> Дополнительные параметры системы -> Быстродействие -> Дополнительно -> Виртуальная память -> Изменить. Далее следует снять галочку и внизу выбрать пункт «Без файла подкачки».

3. Файлы могут не до конца стираться при дефрагментации переносного устройства для хранения данных: после процесса информация переносится в верхнюю часть диска и упорядочивается, но её копия не затирается. Даже после очистки съемного носителя их можно будет восстановить. Используйте любой из перечисленных выше способов для полного удаления файлов.

В заключение следует отметить, что безвозвратное удаление файлов не является панацеей, хотя за конфиденциальностью стоит следить. Существуют неописанные выше варианты обнаружения скрытых копий файлов. С такими принципами знакомы только эксперты, знакомые с устройством компьютера на высочайшем уровне. С перечисленными выше методами безопасность ваших данных от постороннего вмешательства ложится на ваши плечи, хотя абсолютной защиты не существует.

Содержание статьи

Для следователя, проводящего анализ компьютера подозреваемого, всегда есть данные, представляющие особый интерес. Но некоторым кажется, что если перезаписать область, где находился файл, случайными данными, то восстановить уже ничего не удастся. Это правда, но лишь отчасти. Даже после такой перестраховки данные нередко удается извлечь!

Что происходит при удалении файла? Очень просто: в файловой системе для него меняется один атрибут, и таким образом он помечается как удаленный. При этом содержание файла по-прежнему остается на жестком диске, и его можно восстановить с помощью одной из множества платных и бесплатных программ (например, R-Studio). Мы много раз писали о том, как безопасно удалить файлы без возможности восстановления. Благо для этого разработано огромное количество утилит-шредеров, которые с помощью несложных методик перезаписывают участки диска, на которых были расположены удаленные данные. Таким образом даже при использовании технологий восстановления, при которых производится считывание данных непосредственно с магнитных носителей, восстановить удаленные файлы будет невозможно. В эффективности такого подхода нас заверяли даже настоящие профессионалы в области восстановления данных. Но — лазейки для извлечения информации у гуру все-таки есть!

Файлы изображений

Начнем с рассмотрения простого случая — удаления обычной фотографии. Допустим, у нас есть папка с фотографиями, и мы избавляемся от одной из них. Причем удаляем по всем правилам, перезаписав нужную область диска несколько раз. По идее больше ничего не должно выдавать ее существования (если мы сами до этого не скопировали ее в другую папку и не забыли про это). Но тут-то как раз многие и забывают об одной особенности Windows — файле Thumbs.db. Это специальное хранилище, используемое операционной системой, в котором находятся эскизы изображений из текущей папки. Если в проводнике выбрать режим отображения "Эскизы страниц", то операционка будет брать уменьшенные превьюшки изображений как раз из этого файла. Он создается в каждой папке, в которой есть картинки, и содержит уменьшенные эскизы изображений в формате JPEG (вне зависимости от формата исходного изображения).

Проведем небольшой эксперимент — создадим папку и поместим туда три любых картинки. Теперь откроем эту директорию в проводнике — появился Thumbs.db (чтобы увидеть этот файл, надо включить отображение скрытых файлов). Мы можем просмотреть и проанализировать его с помощью утилиты Thumbnail Database Viewer. Программа, как и положено, показывает эскизы для всех трех файлов. А теперь удалим один из них с помощью программы SDelete или любой другой программы для безопасного удаления данных:

sdelete.exe -p 2 file1.jpg

Параметр р отвечает за количество проходов шредера, то есть указывает, сколько раз файл будет перезаписан перед удалением. В результате изображение будет безвозвратно стерто с жесткого диска. Но посмотрим, повлияло ли как-то это удаление на Thumbs.db? Заново открываем его, и что мы видим? Эскиз для удаленной картинки по-прежнему на месте! Получается, что файл легко может содержать эскизы уже удаленных изображений. И на этом, как мне рассказывали, попался не один умный человек…

Как этого избежать? Очень просто — нужно просто отключить кэширование эскизов в файлах Thumbs.db. На Windows XP необходимо установить для ключа DisableThumbnailCache в разделе HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionExplorerAdvanced значение "1". В Windows 7 этот ключ имеет имя NoThumbnailCache и находится в HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesExplorer. И, само собой, важно не забыть удалить все Thumbs.db.

Читайте также:  Как включить панель слоев в фотошопе

Файл подкачки

Подставы со стороны операционной системы на одном только файле с эскизами не заканчиваются. По мере работы с документом информация о нем попадает в различные части ОС — временную папку, реестр и так далее. Поэтому очень трудно отследить и удалить все связанные с файлом данные. Вдобавок ко всему, есть места, где копия файла может оказаться совершенно случайно (иногда такая случайность может стоить очень дорого). Я говорю о файле подкачки (pagefile.sys) и свопе памяти, используемом во время режима Hibernation (hiberfil.sys). Предсказать содержимое файла подкачки заведомо невозможно, и тут никто ничего не может гарантировать. Предлагаю еще на одном эксперименте убедиться в том, что это — опасное место.

Поскольку просмотреть или скопировать файл подкачки операционная система просто так не дает, то у нас есть два варианта: задействовать специальные утилиты или же загрузиться в другую операционку и получить доступ к файлу из нее. Мне второй способ показался более простым, так как под рукой был Back Track, начиненный различными утилитами, в том числе и для восстановления файлов. Поэтому, загрузившись с LiveCD, я смонтировал виндовый раздел и пошел в раздел "BackTrack->Forensic", откуда запустил утилиту Foremost. Эта замечательная консольная прога умеет восстанавливать файлы исходя из их заголовков и внутренней структуры. Необходимо лишь передать имя входного файла, в котором будет осуществляться поиск, и указать директорию, куда будут сохранены все найденные данные:

#foremost -i /mnt/hda1/pagefile.sys -o /root/Desktop/page_file -v -q

В качестве входного файла я указал файл подкачки /mnt/hda1/pagefile.sys, а директорию для сохранения результатов — /root/Desktop/page_file. Программа начала свою работу. За короткое время Foremost сумел найти и извлечь 524 файла.

Статистика извлеченных файлов:
jpg:= 73
gif:= 4
gif:= 19
jpg:= 77
jpg:= 95
doc:= 1
pgp:= 65
pgp:= 62
pgp:= 44
pgp:= 36
dat:= 7
lnk:= 3
cookie:= 38

Утилита удобно отсортировала все файлы по типу и разложила по разным папкам. Первым делом я полез проверять, что же попало в папку jpg. Из всех восстановленных файлов около половины отказалось отображаться, зато другая — отлично просматривалась. И чего только не было среди картинок: пара фоток, которые я не так давно удалил; много мелких изображений с веб-сайтов; аватарки друзей из Facebook и прочее. Честно сказать, я не планировал обнаружить так много изображений. Кроме картинок мне хотелось еще узнать, что за единственный doc-файл, который попал в файл подкачки. Но, к сожалению, Word лишь ругнулся, что файл попорчен и не смог его открыть. Неожиданный сюрприз ждал меня в папке cookie — бегло пролистав несколько файлов, я обнаружил адреса роликов, которые я смотрел чуть ли не год назад на YouTube. Вот и еще одно доказательство, что даже удалив в браузере все куки и историю, все равно можно проколоться.

Что тут можно сделать? Есть несколько вариантов. Первый — отключить вообще файл подкачки. Для этого надо зайти в "Control Panel-> System and Security-> System-> Advanced System Settings-> Performance-> Advanced-> Virtual Memory-> Change" и выбрать опцию "No paging file". Второй вариант — заставить операционную систему затирать все данные в файле подкачки перед выключением компьютера. Такой режим активируется, если установить для ключа ClearPageFileAtShutdown в разделе HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ControlSession ManagerMemory Management значение "1". К сожалению, второй метод очень медленный, и выключение системы будет занимать достаточно длительное время, так что применять его на практике или нет — решай сам. Аналогичная ситуация и с файлом hiberfil.sys. Его также можно попросту отключить, что сэкономит дополнительное место на диске.

Кстати, исследовать файл подкачки можно и под виндой. Но так как операционная система не дает его просмотреть и скопировать с помощью штатных средств, нам понадобится программка FTK Imager. Переходим в раздел "File-> Add Evidence Item" и указываем диск, где находится файл подкачки. На панели слева отобразится дерево каталогов, где необходимо выбрать pagefile.sys и воспользоваться функцией экспорта через контекстное меню. Файл подкачки без проблем скопируется в указанную нами папку, и никакие блокировки системы с этого момента не помешают его анализировать. Для анализа, кстати, можно воспользоваться DiskDigger или PhotoRec. Первая — проще, но вторая умеет восстанавливать более широкий круг различных форматов файлов.

Дефрагментация

Перейдем к следующей причине появления файлов-призраков. Чтобы было наглядней и понятней — опять же проведем небольшой эксперимент. Для него нам понадобится флешка и умение обращаться с WinHex’ом. Сначала обеспечим условия для опыта, удалив все данные с флешки. Для этого запустим WinHex, отдадим команду Open Disk и в появившемся окне выберем наш девайс. После открытия полностью выделяем все его содержимое (Ctrl+A) и забиваем нулями (Ctrl+L). Одно замечание — процесс перезаписи занимает достаточное количество времени, так что рекомендую взять флешку поменьше. С этого момента на драйве нет данных и, более того, нет файловой системы. Так что следующим шагом будет форматирование флешки в NTFS. По умолчанию Windows XP дает форматировать флешку только в FAT, но для наших манипуляций требуется NTFS. Чтобы операционная система позволила отформатировать устройство в нужную нам файловую систему, необходимо зайти в диспетчер устройств, найти там флешку и в параметрах установить опцию "Optimize for performance". После этого винда сможет отформатировать флешку в NTFS.

Цель нашего опыта — посмотреть, что происходит с файлами во время дефрагментации. Для этого создадим искусственную фрагментацию на нашем носителе информации. Возьмем три любых jpeg-файла и три каких-нибудь аудиофайла или видеоклипа (главное, чтобы их размер был больше jpeg’ов) и скопируем их на флешку в следующем порядке: 1.mp3, 1.jpg, 2.mp3, 2.jpg, 3.mp3, 3.jpg.

Интересно, как же они расположились на диске? Чтобы посмотреть это, воспользуемся тулзой DiskView от Марка Руссиновича. Она выводит графическую схему диска, на которой можно определить местоположение данных или узнать, какой файл занимает те или иные кластеры (для этого нужно щелкнуть на кластер мышью). Двойной щелчок позволяет получить более подробную информацию о файле, которому выделен кластер. Запускаем программу, выбираем нашу флешку и нажимаем . Сначала идет зеленая полосочка, обозначающая системные кластеры, а вот сразу за ней — область синих кластеров, представляющих наши файлы, записанные друг за другом. Теперь создадим фрагментацию, удалив все аудиофайлы. Снова нажимаем и видим, что перед каждым jpeg-файлом есть пустая область. Теперь ненадолго переключимся в WinHex. Чтобы еще раз убедиться, что на флешке нет никаких лишних графических файлов, проведем поиск по сигнатуре: ищем последовательность "jfif", присутствующую в заголовке любого jpeg-файла. В итоге редактор, как и ожидалось, нашел ровно три таких последовательности, по числу оставшихся файлов.

Читайте также:  Как быстро делить и умножать в уме

Ну что ж, пришло время навести порядок: не дело, когда файлы вот так разбросаны по диску :). Запускаем дефрагментацию, столь любимую пользователями, для нашего носителя:

C:Documents and SettingsAdministrator>defrag h:
Windows Disk Defragmenter
Copyright (c) 2001 Microsoft Corp. and Executive Software International, Inc.

Analysis Report
7,47 GB Total, 7,43 GB (99%) Free, 0% Fragmented (0% file fragmentation)

Defragmentation Report
7,47 GB Total, 7,43 GB (99%) Free, 0% Fragmented (0% file fragmentation)

Дефрагментация прошла, посмотрим, что изменилось на флешке. Жмем на в программе DiskView, и что мы видим? Файлы, которые располагались на расстоянии друг от друга, аккуратно перенесены в начало диска, и располагаются строго последовательно. А теперь внимание! Дефрагментация скопировала файлы в начало диска, расположив их последовательно, но перезаписала ли она их предыдущую копию нулями? Чтобы ответить на этот вопрос, опять обратимся к мощному шестнадцатиричному редактору. Снова проведем поиск по "jfif". Оп-па, теперь вместо трех найденных строк получаем целых шесть! И это может означать только одно — теперь каждый файл представлен в двух экземплярах. Любой из них легко восстанавливается с помощью DiskDigger’a или Photorec’a. А теперь представь, что вместо графических файлов у нас были какие-то конфиденциальные документы или файлы с данными по кредиткам. Даже если бы мы использовали утилиты типа Sdelete и переписали перед удалением эти три файла сотни раз, их призраки все равно остались бы на диске и существовали там неопределенно долгое время. До тех пор, пока не будут перезаписаны чем-либо еще. И все это время их можно будет восстановить!

Правда и мифы о магнитной микроскопии

Очень часто люди впадают в две крайности. Одни откровенно забивают на свою безопасность и хранят на винте всю компрометирующую информацию, будучи уверенными, что их спасет. Другие же, наоборот, каждый день затирают винт и заново устанавливают операционку. Быть может, я утрирую. Тем не менее, довольно часто приходится читать в Сети споры о том, сколько же раз надо перезаписать винт, чтобы информацию невозможно было восстановить. Предлагаю опытным путем выяснить, хватит ли одной полной перезаписи, чтобы безвозвратно удалить все данные. Итак, опять возьмем нашу подопытную флешку и полностью перезапишем ее нулями, после чего отформатируем в NTFS. Для проверки закинем на нее какой-нибудь файл: пусть это будет опять же JPEG. Его легко можно найти в WinHex’е по сигнатуре "jfif". У меня он расположился по смещению 274432. Ну что ж, запустим шредер (я юзал HDD Wipe Tool) и затрем весь диск. Теперь, если посмотреть в WinHex, что расположилось по смещению 274432, то мы увидим только нули. Для успокоения и большей уверенности можно попробовать восстановить данные с помощью DiskDigger, Photorec, Foremost и прочих утилит. Но это заведомо пустая трата времени — ничего у них не выйдет.

"Хорошо, — скажешь ты, — а как же насчет серьезных приборов, имеющихся у компетентных органов, которые умеют восстанавливать данные?" Ну что ж, давай поговорим о магнитной микроскопии. Суть метода в том, чтобы определить состояние каждого бита до его перезаписи. То есть, был ли он равен единице или нулю. Возьмем текст в кодировке ASCII. Каждый символ кодируется восемью битами таким образом, что если даже всего один бит восстановлен неверно — получается совсем другой символ. Например, есть последовательность символов "anti", выглядящая в бинарном виде следующим образом: 01100001011011100111010001101001. Предположим, что магнитная микроскопия правильно определила все биты, кроме последнего — в результате такого восстановления мы получаем последовательность "anth". Неувязочка получается. И это мы говорим о простейшем текстовом файле. Представь, что будет в случае со структурированными форматами — такими как архивы, файлы БД, исполняемые файлы и так далее. Вдобавок к этому метод достаточно медленный и дорогой. Так что во многих случаях использование магнитной микроскопии дает такой же точный результат, как и восстановление путем подбрасывания монетки на "орел-решка". Поэтому нет никакой необходимости по три раза перезаписывать диск.

Лучшая защита — это нападение

Что можно сделать, чтобы усложнить жизнь людям, к которым может попасть для экспертизы твой компьютер? Тут есть несколько вариантов. В случае, если на компьютере нашли "интересный" файл, время его создания будет веским доказательством против его владельца. Чтобы проследить цепь событий, эксперты опираются также на время создания/доступа/модификации файла. Так почему бы не запутать следы? На сайте metasploit.com есть такая замечательная утилита, как Timestomp, которая позволяет менять время создания, модификации или доступа для заданного файла. Основные опции для ее использования:

-m задает дату последней модификации файла
-a задает дату последнего доступа к файлу
-c задает время создания файла
-e задает время модификации файла, хранящееся в MFT
-z задает четыре вышеперечисленных параметра

Дата задается в следующем виде: DayofWeek MonthDayYear HH:MM:SS [AM|PM].

Есть еще очень интересная опция -b, которая устанавливает вышеперечисленные атрибуты таким образом, что известная в кругах компьютерных криминалистов программа EnCase их не видит и отображает пустыми :).

Таким образом, чтобы поменять атрибуты файла, достаточно выполнить в консоли команду:

c:>timestomp.exe boot.ini -z "sunday 1/12/2099 10:00:00 pm"

Легко можно набросать скриптик, который будет рекурсивно менять временные атрибуты файлов. Простейший вариант выглядит так:

for /R c:tools %i in (*) do timestomp.exe %i -z "monday 3/12/2009 10:00:00 pm"

Есть и другие способы подпортить жизнь товарищам-исследователям чужих HDD. В своей работе они используют программы, написанные обычными людьми, а потому — содержащими ошибки. Да-да, мы можем использовать уязвимости программного обеспечения, применяемого для поиска улик. Подробней об этом можно почитать в одном из докладов с конференции DefCon.

Заключение

"Безопасное удаление данных" – это не панацея. Смею тебя заверить, что описанные лазейки — не единственные в своем роде. И тот, кто по роду деятельности проводит экспертизы компьютеров на профессиональном уровне, знает, где и как найти необходимые ему данные. Теперь твоя безопасность в твоих руках — не дай "охотникам за приведениями" найти ни одного "призрака" на твоем компе. А еще лучше — не давай им повода приходить к тебе в гости :).

Post Views:

Похожие записи:

  1. В фейсбуке возникли проблемы с
  2. Ваз 2115 отзывы владельцев плюсы и минусы
  3. Взлом игр с помощью лаки патчер
  4. Забыла телефон дома как сделать переадресацию

admin

More Posts

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *