web-dev-qa-db-fra.com

Possibilité de récupérer des fichiers à partir d'un disque dur dd rempli de zéros

J'ai "rempli à zéro" (complètement effacé) un disque dur externe utilisant dd, et d'après ce que j'ai entendu: des gens ont dit que vous devriez au moins "remplir à zéro" 3 fois pour être sûr que les données sont vraiment effacées et que personne ne peut les récupérer. n'importe quoi.

J'ai donc décidé de numériser le disque une fois de plus après avoir rempli le disque à zéro. Je m'attendais à ce que le disque ait encore du binaire aléatoire. Il s'est avéré qu'il ne contient que quelques octets séquentiels au tout début. C’est probablement le type de structure de fichier et d’autres en-têtes. Autre que cela, c'est tous les zéros et rien d'autre.

Donc, si nous devons récupérer un fichier à partir d'un disque rempli de zéros, ... comment? D'après ce que j'ai entendu, même si vous remplissez le disque à zéro, vous devriez toujours avoir quelques données. ... ou dd pourrait-il vraiment complètement anéantir toutes les données?

12
Karl

Comme vous pouvez le lire ici , il est impossible de récupérer des données après les avoir "remplies de zéro".

Il peut y avoir une chance de 56% de récupérer un bit correctement, mais comme vous avez dû récupérer 8 bits pour obtenir un seul octet, il est très peu probable de récupérer des données.

12
david

Soyez très prudent avec cette information. Je travaille dans le secteur des disques durs et je peux confirmer que les lectures hors piste peuvent récupérer des données écrasées.

Certaines méthodes de récupération utilisent cette astuce pour définir la tête hors piste de +/- 10%, puis la lire, la décaler un peu plus loin, puis la lire. À un moment donné, vous pourrez récupérer ce qui a été défini avant le remplissage zéro.

Utilisez aléatoire si possible. Zéro convient pour les méta-données et l'effacement des MBR. Je recommande plusieurs passages aléatoires pour effacer les données d'origine.

De plus, zéro ne signifie pas que des bits enregistrés sont effacés sur un disque dur. Zéro a un motif de bits comme n'importe quel autre nombre.

6
Derek

Ouais ... Mais ça dépend à quel point tu es paranoïaque.

Un professionnel pourrait probablement encore lire certaines des données. Les normes gouvernementales/militaires en matière de "nettoyage complet" impliquent plusieurs passes, notamment l’écriture de données aléatoires sur l’ensemble du disque à plusieurs reprises, entrecoupées de 0-remplissage et de 1 remplissage. En effet, il existe des images fantômes magnétiques qu'un matériel sophistiqué peut analyser et extraire. Il s’agit d’un kit coûteux auquel la plupart des gens n’auront pas accès. Par conséquent, le simple fait de recruter une personne pour effectuer l’extraction est également onéreux pour la plupart des gens.

Mais il n'y a aucune raison que dd seul ne puisse faire ces passes multiples. Vous pouvez lui dire où trouver les données brutes qu'il écrit, alors alterner entre /dev/random et zero and one passes le qualifierait pour causer des dommages considérables aux données.

4
Oli

Mise à jour

Selon le document lié à David, la récupération de données écrasées était possible avec des disquettes, mais presque impossible avec les disques durs modernes, de sorte que l'idée de récupération est probablement mieux considérée comme un mythe.

Je laisse ma réponse originale comme représentant le mythe.

REMARQUE: le "mythe" concerne la récupération de données écrasées physiquement. La récupération de données simplement supprimées (non écrasées) est une tout autre discussion.


Au mieux de ma connaissance:

Lorsque vous écrasez des données sur le disque, les anciennes données sont perdues au profit des outils système normaux. (Sinon, une lecture renverrait une combinaison des bits appartenant à l'ancienne et à la nouvelle donnée, de sorte que vos données seraient corrompues et vous auriez besoin d'un nouveau disque.)

Mais il peut être possible de récupérer des données écrasées en utilisant un équipement spécial. La raison en est la façon dont un bit est enregistré sur un plateau magnétique: Un "bit" est une zone magnétisée sur le disque. La zone représentant un seul bit contient quelques centaines de "grains" magnétiques. La lecture d'un bit renvoie un 1 si suffisamment de grains individuels ont la bonne orientation.

Le truc, c’est que l’écriture n’est jamais à 100% - l’écriture risque de modifier l’orientation magnétique de 90% de ces grains, ce qui est suffisant pour une lecture fiable des nouvelles données. Mais il reste un peu de magnétisme résiduel dans les grains qui n'a pas changé d'orientation. Ce résidu peut être lu si vous disposez du matériel approprié. Vous pouvez ainsi obtenir une représentation (quelque peu bruyante) des anciennes données écrasées. Combiné à une analyse statistique, il est souvent possible de reconstituer une bonne partie du matériel original.

Mais ce type de récupération nécessite du matériel spécialisé et, comme Oli l’a mentionné, son coût est prohibitif pour la plupart des particuliers.

2
j-g-faustus