Kemungkinan memulihkan file dari hard disk tanpa isi nol

13

Saya telah "nol diisi" (selesai dihapus) hard disk eksternal menggunakan dd, dan dari apa yang saya dengar: orang mengatakan Anda harus setidaknya "nol mengisi" 3 kali untuk memastikan bahwa data benar-benar dihapus dan tidak ada yang dapat memulihkan apa pun.

Jadi saya memutuskan untuk memindai disk sekali lagi setelah saya nol mengisi disk. Saya mengharapkan disk masih memiliki beberapa biner acak yang tersisa. Ternyata itu hanya memiliki beberapa byte berurutan di awal. Ini mungkin jenis struktur file dan hal-hal header lainnya. Selain itu, semuanya nol dan tidak ada yang lain.

Jadi jika kita harus memulihkan file apa pun dari disk yang terisi nol, ... bagaimana? Dari apa yang saya dengar, bahkan Anda nol mengisi disk, Anda masih harus memiliki beberapa data yang tersisa. ... atau dapatkah benar-benar memusnahkan semua data?

10.10 data-recovery dd external-hdd Karl
sumber

Jawaban:

11

Seperti yang Anda baca di sini , tidak mungkin untuk memulihkan data setelah Anda "tidak mengisi" data itu.

Mungkin ada peluang 56% untuk memulihkan satu bit dengan benar, tetapi karena Anda harus memulihkan 8 bit untuk mendapatkan hanya satu byte, sangat kecil kemungkinannya untuk memulihkan data apa pun.

David
sumber
+1 Terima kasih atas tautannya. Sepertinya ide "baca data yang ditimpa" adalah mitos untuk hard drive saat ini, walaupun itu mungkin dengan floppy disk ...
jg-faustus
Catatan: mereka menguji drive yang diproduksi pada tahun 1994 - 2006. Saat ini kepadatan data jauh lebih tinggi, sehingga Anda dapat dengan aman berasumsi bahwa probabilitas tersebut jauh lebih rendah untuk drive gen saat ini, dan menebak 1 atau 0 benar adalah hal 50:50 .. .
htorque
Dan bagaimana (perangkat lunak apa) yang bisa saya coba untuk memulihkan byte ini?
Jack
Bisakah Anda memperbarui tautannya? Sudah mati.
winklerrr
Situs web yang tertaut telah dilipat; di sini adalah salinan artikel yang diarsipkan .
Laogeodritt
8

Berhati-hatilah dengan informasi ini. Saya bekerja di industri HDD dan saya BISA mengonfirmasi bahwa pembacaan di luar jalur dapat memulihkan data yang tertulis berlebihan.

Beberapa metode pemulihan menggunakan trik ini untuk mengatur head +/- 10% off-track, lalu membaca, memindahkannya keluar-track sedikit lagi, lalu membaca. Pada titik tertentu, Anda akan dapat memulihkan apa yang telah diletakkan sebelum mengisi nol.

Gunakan acak jika memungkinkan. Nol tidak apa-apa untuk meta-data dan penghapusan MBR. Saya merekomendasikan beberapa pass acak untuk melenyapkan data asli.

Juga, nol tidak berarti menghapus bit yang direkam pada HDD. Nol memiliki pola bit sama seperti nomor lainnya.

Derek
sumber
1
Hal ini terutama berlaku untuk teknologi HDD abad lalu, pada kenyataannya satu angka nol dianggap cukup baik sekarang metode "menulis / membaca" vertikal digunakan, metode Gutmann tidak ada salahnya. Di tingkat nano, mencukur disk dan memindai platter untuk mencari jejak masih dimungkinkan, tergantung pada seberapa banyak Anda bersedia menghabiskan. Email yang dihapus oleh Bill Clinton dipulihkan dengan cara ini, tetapi ini beberapa waktu yang lalu dalam hal teknologi HDD.
mckenzm
3

Ya ... Tapi itu tergantung seberapa paranoid Anda.

Seorang profesional mungkin masih bisa membaca beberapa data. Standar pemerintah / militer untuk "benar-benar menghapus" memerlukan beberapa lintasan termasuk menulis data acak pada seluruh drive beberapa kali, diselingi dengan 0-fill dan 1-fill. Ini karena ada ghosting magnetik yang dapat dianalisis dan ditarik oleh perangkat keras canggih. Ini adalah perangkat mahal yang tidak dapat diakses oleh kebanyakan orang dan karena itu hanya mempekerjakan seseorang untuk melakukan ekstraksi juga sangat mahal bagi kebanyakan orang.

Tapi tidak ada alasan ddsendiri yang tidak bisa melakukan beberapa operan ini. Anda dapat mengatakan di mana sumber data mentah yang ditulisnya sehingga berganti-ganti antara /dev/randomdan nol-dan satu-pass akan, saya pikir, memenuhi syarat untuk melakukan kerusakan data yang cukup besar.

Oli
sumber
Perangkat lunak apa yang dapat digunakan oleh pengguna sederhana seperti saya untuk memulihkan file yang tidak diisi?
Jack
Perangkat keras yang sangat mahal dan personel berpengalaman diharuskan untuk memulihkan nol-diisi, tidak ada perangkat lunak seperti Anda harus memodifikasi cara kerja drive. Anda mungkin dapat memodifikasi firmware jika Anda mahir di firmware rekayasa terbalik tetapi memodifikasi perangkat keras mungkin lebih mudah.
gulungan
@ daftar Jadi mungkin? Bagaimana tepatnya cara kerja perangkat keras ini?
Hashim
Apakah Anda memiliki sumber untuk klaim "magnetic ghosting"? Bagaimana kamu tahu itu? Tampaknya palsu, dan jawaban serta komentar tentang ini adalah satu-satunya bukti yang telah saya lihat dalam penelitian bertahun-tahun untuk bahkan menyebutkannya.
Hashim
1
Berikut adalah tautan ke beberapa diskusi yang menautkan beberapa makalah dan menyimpulkan bahwa sangat mungkin itu tidak mungkin, atau hanya mungkin dalam sebagian kecil kasus nber.org/sys-admin/overwritten-data-guttman.html
rolls
1

Memperbarui

Menurut kertas yang ditautkan oleh david, memulihkan data yang ditimpa dimungkinkan dengan floppy disk tetapi hampir tidak mungkin dengan hard drive modern, sehingga ide pemulihan mungkin dianggap mitos.

Saya meninggalkan jawaban asli saya sebagai mewakili mitos.

CATATAN: "Mitos" adalah tentang memulihkan data yang ditimpa secara fisik. Memulihkan data yang hanya dihapus (tidak ditimpa) sama sekali merupakan diskusi yang berbeda.

Sepengetahuan saya:

Ketika Anda menimpa data pada disk, data lama hilang ke alat sistem normal. (Jika tidak, pembacaan akan mengembalikan campuran bit milik data lama dan baru, sehingga data Anda akan rusak dan Anda akan memerlukan disk baru.)

Tetapi dimungkinkan untuk memulihkan data yang ditimpa menggunakan peralatan khusus. Alasannya adalah cara bit direkam pada piring magnetik: "bit" adalah area magnet pada disk. Area yang mewakili bit tunggal mengandung beberapa ratus "butir" magnetik, dan sedikit membaca akan mengembalikan 1 jika cukup dari masing-masing butir tersebut memiliki orientasi yang benar.

Kuncinya adalah bahwa menulis tidak pernah 100% - menimpa mungkin mengubah orientasi magnetik mungkin 90% dari biji-bijian itu, yang banyak untuk pembacaan yang dapat diandalkan dari data baru. Tetapi ada beberapa sisa magnet di butir yang tidak mengubah orientasi. Residu ini dapat dibaca jika Anda memiliki peralatan yang tepat untuk itu, sehingga Anda bisa mendapatkan (agak berisik) representasi dari data lama yang ditimpa. Dikombinasikan dengan analisis statistik, seringkali mungkin untuk merekonstruksi sejumlah besar bahan asli.

Tetapi pemulihan semacam ini membutuhkan perangkat keras khusus, dan seperti yang disebutkan Oli sangat mahal bagi kebanyakan orang.

jg-faustus
sumber