Ist es möglich, die vorherige Byteposition auf einer Festplatte nach dem Überschreiben zu ermitteln?

639
Chad Harrison

Ich höre immer wieder von diesen Aussagen, dass "eine Festplatte wie eine Kassette ist, weil sie ein magnetisches Medium ist". Das hat mich zum Nachdenken gebracht ...

Damals, als ich als junger Bursche DJ spielte, nahm ich Musik aus dem Radio auf, während er zu jedem Song als Ansager spielte. Manchmal habe ich etwas durcheinander gebracht und musste den flubbelten Teil des Bandes neu aufzeichnen, und bei der Durchsicht gab es einen merklichen Qualitätsunterschied. Später im Leben würde ich erfahren, dass der Qualitätsunterschied auf die Tatsache zurückzuführen ist, dass die vorherige Aufnahme noch auf dem Band vorhanden war, zumindest so groß, dass der Klang verzerrt wurde. Es ist dieselbe Idee wie das Biegen einer Stahlgabel oder eines Löffels. Wenn Sie es biegen und dann zurückbiegen, haben Sie immer eine kleine Vertiefung, an der die ursprüngliche Biegung stattgefunden hat.

Gibt es diese Eigenschaft bei Festplatten mit magnetischer Basis, und wenn ja, ist sie erkennbar? Bitte beachten Sie das Szenario, dass es nur einmal überschrieben wurde.

3
Vorheriges "Bit" kann mit einem Elektronenmikroskop erfasst werden, das vorherige Bit hat keine Auswirkungen auf das Bit, das es überschreibt. Moab vor 11 Jahren 0
http://security.stackexchange.com/questions/8965/how-to-recover-securely-deleted-data Canadian Luke vor 11 Jahren 1

3 Antworten auf die Frage

6
sawdust

Gibt es diese Eigenschaft bei Festplatten mit magnetischer Basis, und wenn ja, ist sie erkennbar?

Nein, weil die von Ihnen erwähnte schlechte Re-Recording-Technik in digitalen Datengeräten wie Festplatten und Magnetbändern vollständig vermieden wird. Die Unterschiede zwischen der Aufnahme von analogen Informationen und digitalen Informationen sind nicht das Hauptproblem. Es kommt wirklich auf den Aufnahmemechanismus an.

Magnetrekorder haben mindestens zwei Köpfe: einen Löschkopf und einen Schreibkopf (oder Lese- / Schreibkopf). Der Zweck des Löschkopfs besteht darin, den Rauschpegel des magnetischen Mediums (das Band oder die Platte) vor dem Schreiben eines Signals abzusenken. Wenn Sie das Band in Ihrem Beispiel sichern, gibt es eine gewisse Länge (Abstand zwischen dem Löschkopf und den Schreibköpfen) des bespielten Bandes, die nicht vom Löschkopf beeinflusst wird, wenn Sie mit der Neuaufnahme beginnen. Sie verlassen sich ausschließlich auf den Schreibkopf, um die vorherige Aufnahme zu "löschen" und zu überschreiben. An einem bestimmten Punkt (abhängig von der Bandgeschwindigkeit und der Kopfentfernung) werden Sie auf Band aufnehmen, das vom Löschkopf gelöscht wurde.

Digitale magnetische Medien vermeiden dieses Problem vollständig, indem sie immer Daten in vollständige Datensätze schreiben . Der Bereich zwischen den Datensätzen wird als Lücke zwischen Datensätzen oder einfach als Lücke bezeichnet. Innerhalb dieser Lücke befindet sich ein spezieller Bereich, der Schreibspleiß . Die Lösch- und Schreibköpfe müssen nur innerhalb dieser Schreibspleißbereiche ein- oder ausgeschaltet werden, um niemals vorhandene aufgezeichnete Daten (einschließlich der Lückendaten unmittelbar vor und nach jedem Datensatz) zu beschädigen. Wenn Sie eine Analogie benötigen, stellen Sie sich jede Platte als Song (oder aufgenommenen Track) vor, wobei zwischen den Songs Lücken bestehen. Anstatt in der Mitte des Songs erneut aufzunehmen, würde die richtige Technik immer den gesamten Song aufnehmen, der innerhalb der Lücke beginnt. Hinweis : der Prozess vonBeim physischen Formatieren einer Festplatte werden eine Adressmarke, ein ID-Datensatz, ein (leerer) Datensatz und alle erforderlichen Lücken für jeden Sektor in jeder Spur der Festplatte geschrieben. Wenn ein Sektor "geschrieben" wird, wird nur der Datensatz des Sektors überschrieben. Die Adressmarke und der ID-Datensatz werden nach dem Format nie überschrieben .

Das Schreiben in so genannten Datensätzen und das Vorhandensein von Lücken und Schreibspleißen erfolgt nicht nur aufgrund der Entfernung zwischen den Lösch- und Schreibköpfen. Es gibt auch das Problem des korrekten Lesens der digitalen Informationen. Ihr Tonbandgerät hat Amplitudenmodulation verwendet, um das Audio auf Magnetband aufzunehmen. Digitale Datenrekorder verwenden MFM oder dessen Varianten, die auf Änderungen des Flusses (nicht der Spannungsniveaus) angewiesen sind, um Änderungen des Bitstatus anzuzeigen. Beachten Sie, dass Flussänderungen Bit zeigen Umkehrung, nicht absoluter Bitwert. Beim Start eines Lesevorgangs wird der Bitzustand somit auf eine Null initialisiert, und "0" wird eingetaktet, bis eine Flussänderung gelesen wird. Deshalb muss der Lesekopf eingeschaltet werden, wo Nullen geschrieben wurden. Dies ist die Lücke, die vor jedem Datensatz steht.

1
Godric Seer

Obwohl ich kein Experte bin, glaube ich, dass der Hauptunterschied darin besteht, dass Kassettenband ein analoges Signal aufzeichnet, während Festplatten digital sind. Es wäre viel schwieriger, die analogen Signale auf einem Band vor dem erneuten Schreiben vollständig auf Null zu setzen, während das digitale Signal viel einfacher wäre, sich dem "wahren" 0- oder 1-Signal zu nähern.

Die "Digitalität" einer Aufzeichnung oder Übertragung ist eine rein abstrakte Denkweise. Auf elektrischen oder magnetischen Medien gibt es kein digitales Signal oder digitales Bit. Die Interpretation eines solchen Signals macht es digital ... Pavel vor 9 Jahren 3
0
Benjamin Schollnick

Nun, ich glaube, das Problem besteht darin, ob magnetische Spuren noch wiederhergestellt werden können oder einen Einfluss auf die Daten haben, mit denen Sie sie überschreiben.

Wenn es mindestens zweimal überschrieben wurde, ist es sehr zweifelhaft.

Laut Godric sind Festplattendaten digital. Das Medium, auf dem es aufgenommen wird, ist magnetisch, aber wir haben es mit 0 und 1 zu tun. Sie können keine 0,5 haben. Die zuvor aufgezeichneten Daten haben also keinen Einfluss auf die aktuell aufgezeichneten Daten.

In Ihrem Beispiel Ihren Umgang mit ANALOG-Daten. Die zuvor aufgezeichneten magnetischen Daten wurden nicht gelöscht, sodass Ihre neuen Daten teilweise gelöscht oder verstärkt wurden, da sie keine neuen Medien waren.

Da es sich um digitale Daten handelt, schreibt der Antriebsmechanismus den Datenblock und eine Prüfsumme. Diese Prüfsumme wird verwendet, um zu überprüfen, dass keine Datenintegrität verloren gegangen ist. Falls erforderlich, wird sie dazu verwendet, die Daten wiederherzustellen, falls sie beschädigt wurden.

Wenn diese Prüfsumme während des Lesens nicht mit der frisch erzeugten Prüfsumme der gelesenen Daten übereinstimmt, werden die Daten mit der vorhandenen Prüfsumme stillschweigend repariert. Daher können Sie aufgrund der zuvor aufgezeichneten und überschriebenen Daten keine verzerrten Daten erhalten.

Das Problem tritt auch bei der Datenwiederherstellung auf. Sobald die Daten einmal oder zweimal überschrieben werden, ist eine Wiederherstellung nahezu unmöglich ... (Siehe http://www.schollnick.net/wordpress/2009/04/oh-my-gosh-they-are-are-stealing-my -Daten / ).

Niemand hat jemals Daten von einem Überschreiben wiederhergestellt. Moab vor 11 Jahren 1
Moab, ich würde eher zustimmen ... (Dass nie jemand Daten von einem Überschreiben wiederhergestellt hat). Aber ich denke, * niemals * reicht eine Aussage zu weit. Wenn das Laufwerk keine sensiblen Daten enthält, gehe ich in der Regel für einen einzigen Durchlauf. Wenn es sensible Daten enthält, führe ich im Allgemeinen einen 3-Pass-Löschvorgang aus. Der Zeitunterschied ist spürbar, aber im Allgemeinen nicht untragbar. Benjamin Schollnick vor 11 Jahren 0
@ BenjaminSchollnick: In den alten Tagen der schrittmotor-basierten Steuerkopfsteuerung konnte das Verlangen eines Fahrers, an einem heißen Tag die Spur # 492 zu verfolgen, dazu führen, dass sich der Kopf an eine etwas andere Stelle bewegt als an einem kalten Tag. Wenn ein Laufwerk einmal an einem kalten Tag und einmal an einem heißen Tag geschrieben wird, wird eine an einem kalten Tag beschriebene Kante der Spur möglicherweise nicht überschrieben. Wenn das spätere Schreiben 90% des ursprünglichen Titels ausmachte, würde die Tatsache, dass ein Lesen an einem kalten Tag ein Signal von 10% Stärke aus dem kalten Tag mit dem heißen Tag vermischt mit dem Hot-Day-Schreiben vermischt, keinen Ärger verursachen. . supercat vor 9 Jahren 0
... da das Hot-Day-Signal viel stärker wäre, aber jemand mit einem viel schmaleren Lesekopf könnte die früheren "kalten Tage" -Informationen extrahieren. Beachten Sie, dass ein Schreiben an einem heißen Tag die Daten nicht löschen würde. Wiederholtes Schreiben würde auch nicht helfen. Neuere Festplatten verfügen über Rückkopplungsmechanismen, mit denen der Kopf den Spuren viel genauer folgt, sodass Restinformationen weniger wahrscheinlich an den Spurgrenzen bleiben als bei älteren Festplatten. supercat vor 9 Jahren 0
@supercat, du bist technisch korrekt. In der Tat ist dies teilweise die technische Basis für Spinrite (http://www.grc.com). Aber bei modernen Antrieben bezweifle ich sehr, dass dies sehr wahrscheinlich ist. Wenn Sie besorgt sind, führen Sie erneut ein Überschreiben mit 7 Durchgängen durch. Bei jedem Durchlauf hat das Laufwerk eine andere Temperatur (aufgrund der Zeitdauer) und hilft, dieses von Ihnen beschriebene thermische Szenario zu vermeiden. Benjamin Schollnick vor 9 Jahren 0
@ BenjaminSchollnick: Ich mache mir keine Sorgen; Es ist jedoch erwähnenswert, dass einige neuere Laufwerke ein anderes Problem haben: Wenn ein Laufwerk entscheidet, dass ein Bereich der Festplatte "schlecht läuft", werden möglicherweise alle Daten aus diesem Bereich an einem anderen Ort kopiert, und der Bereich wird nie berührt unabhängig davon, wie oft der Code die betreffenden Blöcke überschreibt. supercat vor 9 Jahren 0
@supercat Richtig. In diesem Fall kann möglicherweise nur ein * TRUE * Low-Level-Format des Laufwerks dies beheben, und die meisten IDE- / SATA-Laufwerke ignorieren eine Low-Level-Formatanforderung, es sei denn, Sie verwenden die Herstellersoftware. Auf der anderen Seite wurde dieser Sektor aus einem bestimmten Grund ausgelagert. Das Wiederherstellen von Daten kann einen Dienst im Sinne von Drivesavers (oder einer speziellen Software wie Spinrite) erfordern. Benjamin Schollnick vor 9 Jahren 0
@ BenjaminSchollnick: Durch mehrmaliges Überschreiben von Sektoren soll sichergestellt werden, dass die Daten auch mit Spezialgeräten nicht wiederhergestellt werden können. Die Tatsache, dass ein Sektor schlecht lief, bedeutet nicht, dass die Daten nicht weitgehend oder sogar zu 100% wiederherstellbar sind, insbesondere wenn der Laufwerkcontroller versucht, Datenverlust zu vermeiden. supercat vor 9 Jahren 0
@supercat Wir müssen möglicherweise zustimmen, hier nicht zustimmen. Ich stimme Ihrem Kernargument zu . Wir scheinen uns nicht einig zu sein, dass Ihre Aussage, dass ein schlechter Sektor leicht lesbar ist. Mein Argument ist, dass der Sektor als schlecht markiert wurde und daher schwer zu lesen ist. 1) Da es als fehlerhaft gekennzeichnet ist, benötigen Sie zum Lesen spezielle Software oder Hardware. Ich beziehe mich darauf, dass das Laufwerk den Block falsch eingestellt hat, und nicht das Betriebssystem. Wenn das Betriebssystem es kennzeichnet, könnte es sehr wohl ein langsamer Sektor sein (und kein schlechter Sektor). Benjamin Schollnick vor 9 Jahren 0
Wenn dagegen die Antriebselektronik den Sektor als schlecht bezeichnet und in einem Ersatzsektor neu abbildet, sollte Chkdsk / r oder / f den abgebildeten Sektor nicht lesen können. Ich würde also meinen, es sei nicht trivial zu versuchen, Daten aus einem abgegrenzten Sektor wiederherzustellen. Benjamin Schollnick vor 9 Jahren 0
Die einzige wirkliche Antwort auf diese Frage wäre, die Festplatte vor der Verwendung vollständig zu verschlüsseln (oder direkt nach der Installation des Basisbetriebssystems), um eine vollständige Verschlüsselung zu ermöglichen. Wenn Sie dann das System löschen möchten, müssen Sie das Laufwerk neu partitionieren / überschreiben. Wenn das gesamte Laufwerk verschlüsselt ist, werden sogar alle zugeordneten Sektoren verschlüsselt. Wenn das Laufwerk gelöscht wurde und der Verschlüsselungsschlüssel nicht verfügbar ist, sind die Rohdaten des Laufwerks unbrauchbar, da das Laufwerk verschlüsselt wurde. Benjamin Schollnick vor 9 Jahren 0
@ BenjaminSchollnick: Die meisten Laufwerke enthalten fehlerkorrigierenden Code. Eine Spur mit behebbaren Lesefehlern ist nicht unbedingt "schwer lesbar". Wir sind uns einig, dass "normale" Mittel das Lesen der Daten nicht zulassen. Der einzige Unterschied zwischen einmaligem Überschreiben und mehrfachem Überschreiben besteht jedoch darin, ob * jemand mit Spezialausrüstung * die Daten extrahieren kann. Das Wiederherstellen von Daten mit einigen geringfügigen Randbits, die über die ECC wiederhergestellt werden konnten, ist wahrscheinlich eines der einfachsten Szenarien, wenn spezielle Geräte verwendet werden. supercat vor 9 Jahren 0
@ BenjaminSchollnick: Wenn Sie das Laufwerk mit einem anständigen Algorithmus (beispielsweise AES256) verschlüsselt haben, müssen Sie es nicht löschen. Sie müssen nur den Verschlüsselungsschlüssel "verlieren". Das Laufwerk enthält an diesem Punkt zufällige Bits. Jamie Hanrahan vor 9 Jahren 0
@ Jamie Hanrahan, du hast recht. Ich sollte sagen, dass Sie es abwischen, indem Sie den Schlüssel zerstören. Ich habe nicht so gut gearbeitet, wie ich es hätte tun sollen. Benjamin Schollnick vor 9 Jahren 0
@supercat, Wir könnten darüber debattieren, dass wir immer wieder über Minuta gehen. Stattdessen empfehle ich den Check Now-Now-Podcast Nr. 419, in dem Steve Gibson dieses Problem in Bezug auf Wear Leveling (insbesondere über SSDs) behandelt. Wenn das Laufwerk vollständig verschlüsselt ist, bevor das Abnutzungsniveau auftritt, werden die neu zugeordneten Sektoren immer noch verschlüsselt. Wenn also der Verschlüsselungsschlüssel gelöscht wird, werden die Sektoren nicht wiederhergestellt. Der Security Now Podcast 284 (https://www.grc.com/sn/sn-284.txt) behandelt auch einiges davon. Benjamin Schollnick vor 9 Jahren 0

Verwandte Probleme