Секреты надежного удаления и восстановления данных

02.04.2013

Если знать, как происходит восстановление данных, можно удалить конфиденциальную информацию совершенно безвозвратно.

Если знать, как происходит восстановление данных, можно удалить конфиденциальную информацию совершенно безвозвратно.

CHIP раскроет секреты надежного удаления и восстановления данных Удалено не значит уничтожено — так звучит мантра всех специалистов по восстановлению данных. Для вас у этого факта есть как достоинства, так и недостатки. В первом случае представьте, например, что вы случайно стерли нужный файл и очистили Корзину. Несмотря на то что с помощью собственных средств Windows восстановить информацию не удастся, специальные программы справятся с этой задачей. Недостаток проявляется тогда, когда вы собираетесь подарить, продать или утилизировать старый носитель. В таких случаях необходимо следовать принципу всех «уничтожителей» данных: только перезапись гарантирует надежное удаление. Для этого вам потребуется особое ПО, исключающее последующее восстановление информации.

Восстановление и удаление взаимосвязаны

Эти процедуры тесно связаны друг с другом. Если знать принцип действия программ для реанимации данных, можно понять, какие способы удаления следует применять. Ответы на многие вопросы — например, поможет ли обычное ПО, в какой момент следует прибегнуть к помощи специалистов по восстановлению и насколько сложно будет надежно удалить все личные данные — зависят от типа накопителя.

Все дело в цифровых носителях

В случае с магнитными жесткими дисками прежде всего необходимо справиться с «коварством» файловой системы. На твердотельных решениях и других типах накопителей, созданных на базе флеш-памяти, конструкция оборудования не позволяет осуществлять прямой доступ к данным, что в первую очередь затрудняет процесс удаления. Особые сложности ожидают владельцев смартфонов и планшетов на базе Андроид, поскольку сброс настроек до заводского состояния на этих устройствах не означает автоматическое переписывание данных. Для удаления необходимо напрямую обращаться к внутренней памяти, а сделать это из Windows не так-то просто. Ниже мы объясним вам, как все же справиться с этой задачей, и расскажем о соответствующих программах для удаления и восстановления данных.

Жесткий диск: невидимая информация

Исчезнувшие разделы и скрытые данные усложняют восстановление и удаление информации на магнитных дисках, но все же это выполнимо.

Магнитные носители — прекрасный материал для специалистов по восстановлению и удалению информации, поскольку в случае с ними существует возможность прямого доступа к физически записанным битам и байтам. В этих целях задействуется файловая система, которая ведет центральную таблицу, где записаны место размещения и тип сохраненных файлов. В системе FAT она называется File Allocation Table (таблица размещения файлов), а в NTFS — Master File Table (MFT — главная файловая таблица). При удалении файла Windows не избавляется от его записи, а лишь отмечает его как удаленный. Таким образом, сам файл не стирается.

Возврат данных

Такие бесплатные программы для восстановления, как Recuva, после клика по кнопке
«Анализ» начинают поиск в таблице MFT и создают список всех записей, отмеченных как удаленные. И это только первый этап поиска. Если даже Windows удалила запись о файле из таблицы, Recuva может провести RAW-сканирование («Глубокий анализ»), которое доступно из раздела «Настройки». При этом утилита ищет в битовом потоке заголовки файлов, отмечающие их начало. У каждого типа файла они похожи. К примеру, файл JPEG всегда будет начинаться значениями битов для букв JFIF. Если жесткий диск сильно фрагментирован и фотография разбита на множество отдельных блоков, обычные утилиты для восстановления, как правило, не справляется. А вот у программы Recuva есть еще одна возможность: если она не находит запись в актуальной MFT, то начинает поиск следов предыдущей таблицы. Они сохраняются даже в случае переформатирования жесткого диска. При этом создается новая, пустая MFT, однако старая не перезаписывается. Бесплатная утилита TestDisk обнаруживает все прежние таблицы благодаря поиску исчезнувших разделов. Recuva использует информацию из ранних MFT, если установлен флажок напротив записи «Поиск неудаленных файлов».

Сканирование удаленных данных программой Recuva. Бесплатное ПО для восстановления использует функцию «Поиск неудаленных файлов», чтобы обнаруживать пропавшие данные в старых таблицах разделов. «Глубокий анализ» позволяет осуществлять поиск на диске по сигнатурам файлов.

 

Надежное удаление

Уничтожение данных — не слишком сложный процесс, поскольку один раз переписанные биты и байты не смогут восстановить даже специалисты. Однако существует проблема: необходимо перезаписать абсолютно все данные. Такие программы, как Eraser, не способны на это. Всегда существует риск сохранения связанной скрытой информации: альтернативные потоки данных (Alternate Data Streams), обязательные для NTFS, Windows создает каждый раз при загрузке из Сети исполняемого файла. Эти потоки можно стереть лишь в том случае, если полностью переписать утилитой для удаления неиспользуемое пространство раздела на диске («Unused disk space»).

Разыскиваем старые разделы с помощью TestDisk. Эта утилита предназначена для восстановления структуры диска. Кроме того, функция «Analyse» отобразит исчезнувшие разделы, таблицы которых также используются программами для восстановления данных.

    Перезапись данных с помощью программы Eraser. Программа Eraser удаляет данные быстрее, если в разделе «Settings» выбрать обычную перезапись (1) . После этого необходимо еще раз запустить процесс для «Unused Disk Space» (2).

  Флеш-память: потеря контроля

Чтением и записью на флеш-накопителях управляет не Windows, а контроллер SSD. Он «знает» и команду на удаление.

С появлением твердотельных накопителей изменились правила восстановления и удаления файлов, поскольку ОС больше не имеет прямого доступа к битам и байтам. Контроллер SSD сам решает, какие флеш-ячейки заполнять и очищать. В случае с восстановлением данных мало что изменилось, однако такие утилиты для удаления, как Eraser, больше не могут целенаправленно переписывать информацию. Вместо этого подлежащий перезаписи файл помечается в таблице MFT как удаленный, а контроллер заполняет другие ячейки флеш-памяти случайными значениями, получаемыми от программы Eraser. Таким образом, содержимое файла остается нетронутым.

Восстановление информации

При реанимации данных с твердотельных накопителей действуют те же правила, что и в случае с магнитными дисками. Такие утилиты, как Recuva, легко восстанавливают всю удаленную, но не переписанную информацию. Только к одной области у них нет доступа: у дисков SSD существует резервная память, Spare Area, невидимая для операционной системы. Ее размер можно оценить при изучении информации о типах установленных Flash-модулей и их количестве. В среднем резервная область занимает 7% от общего объема памяти. Она используется контроллером, к примеру, для замены испорченных блоков. Специалисты лабораторий по восстановлению данных без проблем получают доступ к Spare Area, так как для этой операции они эмулируют контроллер SSD, определив его образ действия с помощью принципа обратной разработки (Reverse Engineering). Другим препятствием для восстановления является функция TRIM, которая поддерживается Windows начиная с седьмой версии. С помощью этой команды операционная система сообщает, какие файлы действительно удалены, чтобы контроллер также знал, какие ячейки он должен очистить.

С помощью консольной команды «fsutil behavior query DisableDeleteNotify» проверяется, включена ли функция «Trim» в Windows. Если да, отобразится значение «0». Это усложняет работу восстановителей данных.

 

Надежное стирание

SSD-накопители можно лишь полностью переписать, лучше всего вместе с резервной областью Spare Area. Для этого необходимо передать ATA-команду «Secure Erase» фирменному ПО контроллера. Поскольку речь идет об ATA-команде, твердотельный накопитель должен быть подключен по интерфейсу SATA. Внешние USB-диски обязаны поддерживать преобразование SCSI-команд (использующих USB) в ATA. Для выполнения «Secure Erase» подходит утилита Live-USB Parted Magic на базе Linux. Систему Parted Magic можно создать на USB-накопителе с помощью программы для Windows под названием Unetbootin. После этого загрузите компьютер с данного носителя и на Рабочем столе запустите Disk Eraser. Выберите вариант «Internal: Secure Erase command», а в следующем диалоговом окне — SSD-накопитель.

Создание системы для удаления с помощью UNetbootin. Программа UNetbootinзагружает из Сети различные дистрибутивы Linux и устанавливает их на загрузочный USB-накопитель. Для удаления данных с SSD мы рекомендуем использовать Parted Magic.

    Перезапись SSD командой «Secure Erase». Инструмент Disk Eraser в дистрибутиве Parted Magic выполняет команду «Secure Erase» (1). При появлении сообщения о зависании перезагрузите компьютер с помощью «Sleep» (2) . После этого снова введите внутренний пароль и продолжите выполнение задачи (3).

 

Мобильные устройства: обходной путь через ПК

У системы Андроид нет подходящих инструментов для восстановления удаленных данных. Это можно сделать лишь с помощью компьютера.

Каждое устройство на базе мобильной ОС от Google оснащено функцией сброса с восстановлением заводских настроек. Если вы думаете, что после этого можно спокойно продавать свой смартфон или планшет, то вы ошибаетесь. Несмотря на то что при возврате в заводское состояние вся личная информация стирается, она не перезаписывается, а следовательно, ее можно восстановить.

  При восстановлении заводских настроек на устройстве Андроид личные данные удаляются, но не переписываются. Их можно восстановить, используя всего пару утилит для Windows и Linux Устройства с Андроид используют два типа носителей данных — внешнюю SD-карту и внутреннюю память. Первая не обуславливает никаких сложностей при восстановлении и удалении данных. Как правило, она отформатирована в файловую систему FAT, и для этих операций достаточно таких Windows-программ, как Recuva и Eraser. Кроме того, вы можете воспользоваться приложениями для Андроид — например, Hexamob Recovery-Lite для восстановления и Forever Gone для перезаписи данных. Несколько сложнее обстоит ситуация с удалением информации с внутренней памяти eMMC. Зачастую эти модули бывают отформатированы в файловую систему Linux — ext4, а для прямого доступа к памяти необходимы права администратора. Относительно простой способ — удалить все личные данные и целиком заполнить память, например, перекинув большие видеофайлы с ПК, а затем сбросить настройки до заводского состояния.

 

Подготовка к реанимации данных

При подключении планшета на базе ОС Андроид, например Nexus 7, к компьютеру с Windows вы  легко можете переносить файлы с устройства на устройство. Это происходит не напрямую, а через протокол MTP (Media Transfer Protocol), однако программы для восстановления данных должны непосредственно взаимодействовать с файловой системой, что реализуемо лишь через инструмент Android Debug Bridge (ADB). Он позволяет с помощью комбинации утилит для систем Андроид и Windows перенести физический образ внутренней памяти на ПК, где его считают программы для анализа.

Для начала вам нужно получить права суперпользователя (root). На устройствах Google, таких как Nexus 7, это относительно легко сделать с помощью соответствующей программы Toolkit. При этом вы автоматически получаете набор служебных программ — BusyBox (есть в Play Market). Для следующего шага потребуется приложение терминала — например, Android Terminal Emulator (есть в Play Market). С помощью команды «su» залогиньтесь в качестве администратора и введите «ls», чтобы выяснить, где находится раздел с данными пользователя. В Nexus 7 интерес представляет раздел «mmcblk0p9», поскольку именно здесь хранится пользовательская информация (UDA). После этого активируйте опцию «Отладка USB» в самой системе Андроид в разделе «Настройки | Параметры разработчика».

Обнаружение раздела с данными пользователя. Этот раздел находится с помощью приложения-терминала. Запустите от имени администратора («su») команду для создания соответствующего списка («ls»). На устройстве Nexus 7 такая информация (UDA) хранится в разделе «mmcblk0p9».