Possibilité de récupérer des fichiers depuis un disque dur dd rempli à zéro

13

J'ai "zéro rempli" (effacé complet) un disque dur externe en utilisant dd, et d'après ce que j'ai entendu: les gens ont dit que vous devriez au moins "zéro remplir" 3 fois pour être sûr que les données sont vraiment effacées et que personne ne peut récupérer n'importe quoi.

J'ai donc décidé de scanner le disque une fois de plus après avoir rempli le disque à zéro. Je m'attendais à ce que le disque ait encore du binaire aléatoire. Il s'est avéré qu'il n'avait que quelques octets séquentiels au tout début. Il s'agit probablement du type de structure de fichier et d'autres éléments d'en-tête. A part ça, ce sont tous des zéros et rien d'autre.

Donc, si nous devons récupérer n'importe quel fichier à partir d'un disque rempli de zéro, ... comment? D'après ce que j'ai entendu, même si vous ne remplissez pas le disque, vous devriez toujours avoir des données. ... ou pourrait-il vraiment anéantir complètement toutes les données?

10.10 data-recovery dd external-hdd Karl
la source

Réponses:

11

Comme vous pouvez le lire ici , il est impossible de récupérer des données après l'avoir "mis à zéro".

Il peut y avoir une chance de 56% de récupérer un seul bit correctement, mais comme vous avez dû récupérer 8 bits pour obtenir un seul octet, il est très peu probable de récupérer des données.

David
la source
+1 Merci pour le lien. On dirait que l'idée de "lire les données écrasées" est un mythe pour les disques durs d'aujourd'hui, même si cela était possible avec des disquettes ...
jg-faustus
Remarque: ils ont testé des disques fabriqués en 1994 - 2006. De nos jours, la densité de données est beaucoup plus élevée, vous pouvez donc supposer en toute sécurité que ces probabilités sont beaucoup plus faibles pour les lecteurs de génération actuels, et deviner 1 ou 0 à droite est une chose de 50:50. .
htorque
Et comment (quel logiciel) pourrais-je essayer de récupérer ces octets?
Jack
Pourriez-vous mettre à jour le lien? C'est mort.
winklerrr
Le site Web lié s'est plié; voici une copie archivée de l'article .
Laogeodritt
8

Soyez très prudent avec ces informations. Je travaille dans l'industrie du disque dur et je peux confirmer que les lectures hors piste peuvent récupérer des données écrasées.

Certaines méthodes de récupération utilisent cette astuce pour mettre la tête +/- 10% hors piste, puis lire, la déplacer un peu plus hors piste, puis lire. À un moment donné, vous pourrez récupérer ce qui était prévu avant le remplissage nul.

Utilisez au hasard lorsque cela est possible. Zéro est correct pour les métadonnées et l'effacement du MBR. Je recommande plusieurs passes aléatoires pour effacer les données d'origine.

En outre, zéro ne signifie pas les bits enregistrés effacés sur un disque dur. Zéro a un motif de bits comme tout autre nombre.

Derek
la source
1
Cela était particulièrement vrai pour la technologie des disques durs du siècle dernier, en fait, un seul passage de zéros est considéré comme suffisamment bon maintenant que des méthodes "d'écriture / lecture verticales" sont utilisées, la méthode Gutmann ne peut cependant pas faire de mal. Au niveau nano, le rasage du disque et la recherche de traces sur le plateau sont toujours possibles, selon le montant que vous êtes prêt à dépenser. Les e-mails effacés de Bill Clinton ont été récupérés de cette façon, mais c'était il y a quelque temps en termes de technologie HDD.
mckenzm
3

Ouais ... Mais ça dépend à quel point tu es paranoïaque.

Un professionnel pourrait probablement encore lire certaines des données. Les normes gouvernementales / militaires pour «essuyer complètement» impliquent plusieurs passes, y compris l'écriture de données aléatoires sur l'ensemble du lecteur plusieurs fois, entrecoupées de 0-remplissages et de 1-remplissages. En effet, il existe des images fantômes magnétiques qu'un matériel sophistiqué peut analyser et extraire. C'est un kit coûteux auquel la plupart des gens n'auront pas accès et donc embaucher quelqu'un pour faire l'extraction est également prohibitif pour la plupart des gens.

Mais il n'y a aucune raison à elle ddseule de ne pas pouvoir effectuer ces multiples passes. Vous pouvez lui dire où trouver les données brutes qu'il écrit, de sorte que l'alternance entre /dev/randomzéro et un seul passage, je pense, le qualifierait pour causer des dommages assez importants aux données.

Oli
la source
Quel logiciel un simple utilisateur comme moi pourrais-je utiliser pour récupérer un fichier rempli de zéro?
Jack
Du matériel extrêmement coûteux et du personnel expérimenté sont nécessaires pour récupérer le zéro, aucun logiciel tel que vous devez modifier le fonctionnement du lecteur. Vous pourriez être en mesure de modifier le firmware si vous étiez un firmware sophistiqué en ingénierie inverse, mais la modification du matériel est probablement plus facile.
roule
@rolls C'est donc possible? Comment fonctionne exactement cette méthode matérielle?
Hashim
Avez-vous une source pour la réclamation "fantôme magnétique"? Comment le savez-vous? Cela semble faux, et cette réponse et un commentaire à ce sujet sont les seules preuves que j'ai vues au cours des années de recherche pour le mentionner.
Hashim
1
Voici un lien vers une discussion qui relie certains articles et conclut qu'il est très probable que ce n'est pas possible, ou seulement possible dans un très petit sous-ensemble de cas nber.org/sys-admin/overwritten-data-guttman.html
rolls
1

Mise à jour

Selon l'article lié à David, la récupération de données écrasées était possible avec des disquettes mais presque impossible avec des disques durs modernes, donc l'idée de récupération est probablement mieux considérée comme un mythe.

Je laisse ma réponse originale comme représentant le mythe.

REMARQUE: le «mythe» concerne la récupération de données qui ont été physiquement écrasées. La récupération de données qui ont été simplement supprimées (non écrasées) est une discussion complètement différente.

Au mieux de ma connaissance:

Lorsque vous écrasez des données sur le disque, les anciennes données sont perdues pour les outils système normaux. (Si ce n'était pas le cas, une lecture retournerait un mélange des bits appartenant aux anciennes et nouvelles données, donc vos données seraient corrompues et vous auriez besoin d'un nouveau disque.)

Mais il peut être possible de récupérer des données écrasées à l'aide d'un équipement spécial. La raison en est la façon dont un bit est enregistré sur un plateau magnétique: Un "bit" est une zone magnétisée sur le disque. La zone représentant un seul bit contient quelques centaines de "grains" magnétiques, et la lecture d'un bit retournera un 1 si suffisamment de ces grains individuels ont la bonne orientation.

L'astuce est que l'écriture n'est jamais à 100% - l'écrasement peut changer l'orientation magnétique de peut-être 90% de ces grains, ce qui est suffisant pour une lecture fiable des nouvelles données. Mais il reste du magnétisme résiduel dans les grains qui n'a pas changé d'orientation. Ce résidu peut être lu si vous disposez de l'équipement approprié, afin que vous puissiez obtenir une représentation (quelque peu bruyante) des anciennes données écrasées. Combiné à une analyse statistique, il est souvent possible de reconstruire une bonne quantité du matériel d'origine.

Mais ce type de récupération nécessite un matériel spécialisé et, comme Oli l'a mentionné, est prohibitif pour la plupart des individus.

jg-faustus
la source