Искусство надежного удаления данных Часть 1. Носители HDD и SSD

Тема восстановления утерянных данных с информационных носителей освещена достаточно широко, поскольку большое количество пользователей цифровой техники нередко сталкивается с данной проблемой. Однако, гораздо меньшее число людей в той же степени переживает о том, насколько надежно удалены файлы, отправленные ими в корзину. Да и удалены ли они вообще?

разбитый hddЗапись и удаление информации

Процессы записи, удаления и последующего восстановления информации очень тесно связаны друг с другом, поскольку при осуществлении этих процедур задействованы по большому счету одни и те же механизмы. В связи с этим, не только специалисты в области информационной безопасности, но и опытные пользователи компьютера знают, что удаление информации далеко не всегда означает ее уничтожение. С одной стороны, это не так уж плохо, ведь, согласитесь, было бы обидно, например, потерять стертые по ошибке семейные фотографии. С другой стороны, если пользователь намеренно удаляет информацию, не предназначенную для посторонних глаз, он надеется, что она исчезнет навсегда. Именно этой задаче и будет посвящена дальнейшая беседа.

Как уже было отмечено, процедуры удаления и восстановления данных тесно взаимосвязаны, соответственно, если понимать, каким образом происходит восстановление, мы сможем узнать, как усложнить этот процесс, а еще лучше сделать его невозможным. Прежде всего, необходимо знать, что многое зависит от типа информационного носителя. Так, например, при работе с магнитными жесткими дисками придется столкнуться с тонкостями организации файловой системы, в случае с флеш-накопителями и SSD-носителями – со сложностями прямого доступа к данным и т.д. Попытаемся разобраться, как нужно действовать в каждом конкретном случае.

стираниеУдаление информации

Несмотря на появление новых технологий и средств хранения информации, подавляющее большинство пользователей по-прежнему использует надежно зарекомендовавшие себя традиционные магнитные жесткие диски (HDD). Для специалиста в области информационной безопасности работа с таким носителем информации представляется наиболее простой, поскольку в этом случае имеется возможность прямого доступа к физически записанным данным. Дело в том, что файловая система представляет собой таблицу, в которой хранится информация о типе того или иного файла и адресном пространстве, в котором этот файл записан. Таким образом, когда при выполнении команды пользователя операционная система якобы удаляет файл, на самом деле он всего лишь помечается в таблице как удаленный и не более того. Иными словами, пользователь просто больше не видит его, и при случае адресное пространство, в котором записан удаленный файл, может быть перезаписано, однако до того момента информация целехонька.

shddВосстановление информации с HDD

Рассмотрим процесс восстановления информации с жесткого диска на примере использования бесплатной утилиты Recuva, при этом не вдаваясь в нюансы работы с интерфейсом программы, поскольку особенности использования специализированных программных средств восстановления данных выходят за рамки нашей статьи. Итак, на первом этапе программа сканирует файловую систему с целью выявления в таблице размещения файлов записей, помеченных как удаленные (кнопка «Анализ»). Однако, записи об удаленном файле может и вовсе не оказаться в таблице – в этом случае программе придется анализировать битовый поток с целью обнаружения так называемых заголовков файлов (кнопка «Глубокий анализ»). Смысл данного метода заключается в том, что все файлы имеют в своем начале фрагменты, хранящие информацию об их типе — это и есть заголовок файла, — а значит, велика вероятность того, что вслед за ним идет поток бит, представляющих собой непосредственно тело удаленного файла или, проще говоря, его содержимое. В том случае, если файл слишком сильно фрагментирован, большинство программ для восстановления информации становятся бессильны. Особенностью Recuva является возможность поиска фрагментов удаленного файла в предыдущих таблицах размещения, информация о которых доступна даже после неоднократного переформатирования жесткого диска. Чтобы воспользоваться этой возможностью, следует установить флажок «Поиск не удаленных файлов».

Перезапись информации

Самым простым и вместе с тем надежным способом удаления данных с HDD без повреждения работоспособности носителя является перезапись адресного пространства жесткого диска, на котором размещался удаленный файл. С этой задачей превосходно справляется программа Eraser, позволяющая надежно удалять файлы методом Гутмана, предполагающим 35-кратную перезапись адресного пространства удаляемого файла. Загвоздка заключается в том, что необходимо перезаписать абсолютно все (!) данные об удаленном файле, что не так-то просто, поскольку всегда имеется вероятность наличия альтернативных потоков данных, обязательных для файловой системы NTFS. Эти потоки можно стереть лишь одним способом – нужно полностью переписать неиспользуемое дисковое пространство.
Совсем иначе обстоит дело с твердотелыми накопителями и флеш-памятью, которыми управляет SSD контроллер, а не операционная система, которая в данном случае не имеет прямого доступа к записанным данным. Например, при попытке воспользоваться уже знакомой нам программой Eraser, SSD контроллер пометит удаляемый файл в главной файловой таблице (MFT – Master File Table) как удаленный, а свободное место будет заполнять данными, полученными от программы Eraser.

ssdВосстановление информации с SSD

В общем виде процесс восстановления данных с SSD-носителей подчинятся тем же принципам, что и с обычных жестких дисков, с той лишь разницей, что твердотелые накопители имеют так называемую резервную память (Spare Area), которая попросту невидима для операционной системы, а значит и для программ-восстановителей. Она используется устройством для замены испорченных блоков, и получить доступ к ней обычному пользователю не так то просто, в то время как специалисты по информационной безопасности при помощи специальных эмуляторов SSD-контроллеров делают это без особого труда.

Что касается надежности удаления информации с твердотелого носителя, то его нужно полностью переписать, причем вместе с резервной областью. А сделать это можно, лишь передав ATA-команду “Secure Erase” контроллеру, предварительно подключив носитель к интерфейсу SATA. Чтобы выполнить эту команду, можно воспользоваться, например, специальным дистрибутивом Live-USB Parted Magic на базе ОС Linux, загрузившись с которого следует запустить утилиту Disk Eraser и выбрать вариант «Internal: Secure Erase Command», указав соответствующий информационный носитель. В этом случае можно быть абсолютно уверенным в том, что данные удалены надежно.

НОВОСТИ ПО ТЕМЕ

Добавить комментарий

Имя
E-mail

 

Комментарии к записи Искусство надежного удаления данных Часть 1. Носители HDD и SSD