主题:【原创】八卦网络安全行业的狗血故事兼科普 -- 田昭明
- 复 这个...
家园 能 FBI的标准是全盘写7次才能彻底毁尸灭迹。
一般高价值的硬盘都是直接物理粉碎的。
一般的删除就是把文件表删除。文件粉碎机的原理就是往原来文件处疯狂写东西。让你无从恢复。
一般的数据都可以拿常用的软件恢复,
你拿个easy recovery之类的就可以修复个七七八八。
还有一个俄罗斯的PC3000恢复的也不错。
软件恢复比较nb是手工恢复,你干了一次,下次不想再干了,太累了。你要找到一些残留的patern,一点点算偏移,然后重建,非常麻烦。如果人家加密了,一般人就别想了。
当然如果数据重要的一塌糊涂,可以找人直接开盘恢复数据。这个难度很大,成本很高。都是在无尘环境里搞得,国内好像有两家专门搞这个服务的。
- 复 能
家园 关于全盘写7次 FBI的标准是全盘写7次才能彻底毁尸灭迹。
开盘修复的原理是,是利用磁盘存储信息的原理,利用直接查询剩磁的方向和状态记录0,1 来直接恢复的。
据说,那个反复擦写以消除剩磁的办法,是当年针对软盘的磁特性提出来的,然后被神秘化,最后因袭至今——又据说因此,对于现在的硬盘而言,覆盖一遍也就够了。
不知道这个"据说"是否属实……
- 复 关于全盘写7次
家园 这个不确切-直接查询剩磁的方向和状态记录0,1 来直接恢 应该是利用磁头每次经过的路径有微小差异的原理。
- 复 关于全盘写7次
家园 一次不行,被演示过的某人路过。 家园 能简单介绍下嘛? 我一直对彻底删除需要重复写n次有点不理解,甚至有个算法是35次彻底删除
上面有位唐楼提到的"剩磁的方向和状态"是这个原因么?那么这种情况下的数据恢复是不是必须拆开硬盘用特殊工具来分析?
- 复 能简单介绍下嘛?
家园 看过一个比较形象的说法 就像用铅笔在纸上写字,然后用橡皮擦掉,纸上依然能看到笔尖留下的痕迹。再在原地写一个笔划较少的字也不能覆盖上一个字留下的痕迹。如果再写、再擦,多来几遍,那就很难辨认了。
那么这种情况下的数据恢复是不是必须拆开硬盘用特殊工具来分析?这个确实是要在无尘环境下拆开硬盘,用专业工具进行。家园 花谢,看来覆盖一次即可防范网络攻击,覆盖多次是 为了应付硬盘落到别人手里的情况
- 复 能简单介绍下嘛?
家园 我哪儿懂这个原理啊 只是看到用伪随机数覆盖了一遍之后然后读出原来文件的现场演示。
七遍是读不出了。
家园 唬人的吧 如果你说的真的成立,要写七遍才能抹掉原来的剩磁,那做硬盘的就都要破产了。一次就可以抹掉的。
我认为是当你第二次覆盖的时候,不一定就是你原来存软件的地方。一旦你写的物理位置和原文件的存储位置一样,永远不可能恢复了。
所谓的伪随机数,应该也不是真正的物理性的每个硬盘扇区,每个比特都覆盖吧。否则以现在的硬盘容量,可能几天都完成不了。
我的理解是越大的硬盘,两次写在同一个位置的机会就越小,可恢复的可能性应该就越大。
- 复 唬人的吧
家园 Seriously 是真正的物理性的每个硬盘扇区,每个比特都覆盖
直接操作IDE或SATA指令
160G的盘20小时左右搞定
和硬盘的性能关系很大,曾经有4G的化石盘(90年代的IDE)搞了3天
家园 硬盘的磁性是很容易被破坏的 最出名的就是perpendicular recording硬盘。也是你的160G的盘。很多硬盘厂倒闭就是因为写磁头的磁场漏到临近的磁道上,造成大量的数据丢失。为什么?因为密度大了,磁道和磁道之间的距离小了。后来三家大的成功,就是现在的三大硬盘厂,小厂好像就剩两家了。4G的是parallel的。每个比特都很大,剩磁又强,转速可能也慢,需要的时间就要长。
所以说如果真的每个比特都覆盖,一次就够了。全盘要写七次,那是唬人的。当然增加GDP和工作机会而已。
为什么有演示要全盘写了七次才可以读不出来呢?那就是没有真的做到每个比特的覆盖。我认为非常非常大的可能是软件的问题。
家园 这个我笑死了 扫黄打非办主任啊。
家园 回头告诉那个给我恢复数据的,去你家小区贴小广告。 家园 花最正义黑客的老公 送花成功。有效送花赞扬。感谢:作者获得通宝一枚。恭喜:你意外获得 4 铢钱。1通宝=16铢
家园 哈哈,笑死了 当年这事我也干过,用的也是流光。好像还是win2000流行那会,共享连密码都不要,N多机器用户名不是administrator就是自己机器名,密码还是空,一个网段里总有台把机器能共享。
记得有次还跑到我们当地的公安分局的机器里面去了,里面一堆的案情分析,最搞的是里面还有前人留的txt文件,提醒他们说自己身为警察怎么能这样不注意安全呢,要是犯罪分子看见了怎么得了,机器有漏洞赶紧去加密码去共享云云,但那些警察大爷也不知是看不懂还是没时间看,密码依然是空。