Поиск файлов удаленных (стертых) специальными методами (Гуттман, DOD )

@smartysergei · Регистрация: 19.11.2023

Author24 — интернет-сервис помощи студентам

Доброе время суток. Напишите пожалуйста, какой способ более эффективен для обнаружения файлов, удаленных с помощью методов Гуттмана или DOD. То есть, что лучше работает: программы или специальная техника? В этом вопросе речь идет только об обнаружении, а не о восстановлении. Предположим, что цель - прочитать текст и текстового редактора или увидеть изображение jpg.

quwy · 27.03.2024, 17:06

Сообщение от smartysergei

В этом вопросе речь идет только об обнаружении, а не о восстановлении

Сообщение от smartysergei

Предположим, что цель - прочитать текст и текстового редактора или увидеть изображение jpg

И как у вас согласуются два этих предложения? Если содержимое файла нужно увидеть на экране, значит его нужно восстановить (пусть и без сохранения на другой носитель).

Сообщение от smartysergei

удаленных с помощью методов Гуттмана или DOD. То есть, что лучше работает: программы или специальная техника?

Ничего не работает. Методы безвозвратного удаления придуманы, внезапно, для того, чтобы файл был удален безвозвратно.

ANT0NY · 27.03.2024, 17:14

smartysergei, это уже больше криминалистика и упрощённо:

Forensics = железо (комп, TPM, контролеры, носитель/модели, аппаратное шифрование...) + софт (прошивки, настройки, ОС, не/стандартное шифрование, сжатие, организация, применения...) * время * рентабельность.

Не смотря на три прохода против 30+ у Гуттмана, DOD соответствует современным требованиям, но не ГОСТам. Хотя для обычных (без секретного доступа) достаточно аппаратного шифрования и полного стирания данных самим носителем через Security Erase с удалением ключа. Знакомый в бухгалтерии начитался опусов и остановился на заполнении нулями, потом единицами, затем случайными - и SE.

quwy · 27.03.2024, 17:25

Кстати, речь про HDD или SSD?
SSD с активированным Trim-ом сам удаляет файлы так, что фиг восстановишь.

@smartysergei · 27.03.2024, 18:06 **[ТС]**

обычный HDD.

ANT0NY · 27.03.2024, 18:50

Сообщение от quwy

с активированным Trim-ом

Наоборот, триминг лишь отмечает удалённые данные до очередной перезаписи, распределяя записи так, чтобы ускорить ввод-вывод и не переписывать те же ячейки слишком часто. Возможно есть нюансы с контролерами и прошивками, но отключение трим (частая перезапись) может усложнить восстановление.

Для изысканного админа вполне достаточно встроенной технологии ISE (Instant Scramble Erase), SED (Self-Encrypting) или комбинации FIB (Federal Information Processing).

quwy · 27.03.2024, 20:06

Сообщение от ANT0NY

Наоборот, триминг лишь отмечает удалённые данные до очередной перезаписи, распределяя записи так, чтобы ускорить ввод-вывод и не переписывать те же ячейки слишком часто.

Вы путаете механизм превентивной очистки с механизмом выравнивания износа.

TRIM нужен для того, чтобы диск был в курсе, какие блоки больше не используются файловой системой. Именно для того, чтобы выполнить для них операцию стирания сразу (или как будет свободная миллисекунда), а не непосредственно перед записью туда новых данных, когда придет время.

Простейшей проверкой на TRIM является чтение физических секторов диска, находящихся под только что удаленным тестовым файлом. Если в результате читаются нули или FF-ки, то значит TRIM работает. А если читается содержимое удаленного файла, то нет.

А механизм выравнивания износа в тривиальном случае (флешка) просто записывает новые данные в те свободные блоки, которые до этого записывались реже других. В более сложном случае (SSD) контроллер в периоды простоя занимается активной перестановкой в т.ч. и занятых блоков с целью освобождения самых редко используемых для следующей операции записи.

@smartysergei 0 / 0 / 0 Регистрация: 19.11.2023 Сообщений: 8
		1
	Поиск файлов удаленных (стертых) специальными методами (Гуттман, DOD ) 27.03.2024, 12:59. Показов 239. Ответов 6 Метки стирание, удаление (Все метки) Доброе время суток. Напишите пожалуйста, какой способ более эффективен для обнаружения файлов, удаленных с помощью методов Гуттмана или DOD. То есть, что лучше работает: программы или специальная техника? В этом вопросе речь идет только об обнаружении, а не о восстановлении. Предположим, что цель - прочитать текст и текстового редактора или увидеть изображение jpg. 0

quwy Native x86 5523 / 3279 / 937 Регистрация: 13.02.2013 Сообщений: 10,442
	27.03.2024, 17:06	2
	Сообщение от smartysergei В этом вопросе речь идет только об обнаружении, а не о восстановлении Сообщение от smartysergei Предположим, что цель - прочитать текст и текстового редактора или увидеть изображение jpg И как у вас согласуются два этих предложения? Если содержимое файла нужно увидеть на экране, значит его нужно восстановить (пусть и без сохранения на другой носитель). Сообщение от smartysergei удаленных с помощью методов Гуттмана или DOD. То есть, что лучше работает: программы или специальная техника? Ничего не работает. Методы безвозвратного удаления придуманы, внезапно, для того, чтобы файл был удален безвозвратно. 0

ANT0NY 34 / 31 / 5 Регистрация: 06.01.2024 Сообщений: 300
	27.03.2024, 17:14	3
	smartysergei, это уже больше криминалистика и упрощённо: Forensics = железо (комп, TPM, контролеры, носитель/модели, аппаратное шифрование...) + софт (прошивки, настройки, ОС, не/стандартное шифрование, сжатие, организация, применения...) * время * рентабельность. Не смотря на три прохода против 30+ у Гуттмана, DOD соответствует современным требованиям, но не ГОСТам. Хотя для обычных (без секретного доступа) достаточно аппаратного шифрования и полного стирания данных самим носителем через Security Erase с удалением ключа. Знакомый в бухгалтерии начитался опусов и остановился на заполнении нулями, потом единицами, затем случайными - и SE. 0

quwy Native x86 5523 / 3279 / 937 Регистрация: 13.02.2013 Сообщений: 10,442
	27.03.2024, 17:25	4
	Кстати, речь про HDD или SSD? SSD с активированным Trim-ом сам удаляет файлы так, что фиг восстановишь. 0

@smartysergei 0 / 0 / 0 Регистрация: 19.11.2023 Сообщений: 8
	27.03.2024, 18:06 [ТС]	5
	обычный HDD. 0

ANT0NY 34 / 31 / 5 Регистрация: 06.01.2024 Сообщений: 300
	27.03.2024, 18:50	6
	Сообщение от quwy с активированным Trim-ом Наоборот, триминг лишь отмечает удалённые данные до очередной перезаписи, распределяя записи так, чтобы ускорить ввод-вывод и не переписывать те же ячейки слишком часто. Возможно есть нюансы с контролерами и прошивками, но отключение трим (частая перезапись) может усложнить восстановление. Для изысканного админа вполне достаточно встроенной технологии ISE (Instant Scramble Erase), SED (Self-Encrypting) или комбинации FIB (Federal Information Processing). Миниатюры 0

quwy Native x86 5523 / 3279 / 937 Регистрация: 13.02.2013 Сообщений: 10,442
	27.03.2024, 20:06	7
	Сообщение от ANT0NY Наоборот, триминг лишь отмечает удалённые данные до очередной перезаписи, распределяя записи так, чтобы ускорить ввод-вывод и не переписывать те же ячейки слишком часто. Вы путаете механизм превентивной очистки с механизмом выравнивания износа. TRIM нужен для того, чтобы диск был в курсе, какие блоки больше не используются файловой системой. Именно для того, чтобы выполнить для них операцию стирания сразу (или как будет свободная миллисекунда), а не непосредственно перед записью туда новых данных, когда придет время. Простейшей проверкой на TRIM является чтение физических секторов диска, находящихся под только что удаленным тестовым файлом. Если в результате читаются нули или FF-ки, то значит TRIM работает. А если читается содержимое удаленного файла, то нет. А механизм выравнивания износа в тривиальном случае (флешка) просто записывает новые данные в те свободные блоки, которые до этого записывались реже других. В более сложном случае (SSD) контроллер в периоды простоя занимается активной перестановкой в т.ч. и занятых блоков с целью освобождения самых редко используемых для следующей операции записи. 1