dd zero-filled 하드 디스크에서 파일을 복구 할 가능성

13

나는 dd를 사용하여 외부 하드 디스크를 "제로 채워짐"(완전히 지워짐) 상태로 들었습니다. 아무것도.

디스크를 0으로 채운 후에 디스크를 다시 한 번 스캔하기로 결정했습니다. 디스크에 여전히 임의의 이진이 남아있을 것으로 기대했습니다. 처음에는 순차 바이트 수가 몇 개 밖에 없다는 것이 밝혀졌습니다. 이것은 아마도 파일 구조 유형과 다른 헤더 일 것입니다. 그 외에는 모두 0이며 다른 것은 없습니다.

따라서 0으로 채워진 디스크에서 파일을 복구해야하는 경우 ... 어떻게? 내가들은 바에 따르면, 디스크를 전혀 채우지 않아도 일부 데이터가 남아 있어야합니다. ... 또는 모든 데이터를 완전히 없애 버릴 수 있습니까?

10.10 data-recovery dd external-hdd

— 칼
소스

11

여기서 읽을 수 있듯이 "제로 채워진"후에는 데이터를 복구 할 수 없습니다.

단일 비트를 올바르게 복구 할 확률은 56 % 일 수 있지만 1 바이트 만 얻기 위해 8 비트를 복구해야했기 때문에 데이터를 복구 할 가능성이 거의 없습니다.

— 데이비드
소스

+1 링크 감사합니다. 플로피 디스크로 가능하더라도 "덮어 쓴 데이터 읽기"아이디어는 오늘날의 하드 드라이브에 대한 신화처럼 보입니다.

— jg-faustus

참고 : 1994-2006 년에 제조 된 드라이브를 테스트했습니다. 현재 데이터 밀도가 훨씬 높으므로 현재 Gen 드라이브의 경우 이러한 확률이 훨씬 낮으며 1 또는 0을 추측하는 것이 50:50이라고 안전하게 가정 할 수 있습니다. .

— htorque

그리고이 바이트를 어떻게 복구하려고 할 수 있습니까?

— Jack

링크를 업데이트 해 주시겠습니까? 죽었어.

— winklerrr

연결된 웹 사이트가 접혔습니다. 여기 기사의 보관 된 사본이 있습니다.

— Laogeodritt

8

이 정보에 매우주의하십시오. 나는 HDD 산업에서 일하며 오프 트랙 읽기가 덮어 쓴 데이터를 복구 할 수 있는지 확인할 수 있습니다.

일부 복구 방법은이 트릭을 사용하여 헤드 +/- 10 % 오프 트랙을 설정 한 다음 읽고, 트랙에서 조금 더 이동 한 다음, 읽습니다. 어느 시점에서 당신은 제로 채우기 전에 놓인 것을 회복 할 수 있습니다.

가능하면 무작위로 사용하십시오. 메타 데이터 및 MBR 삭제에는 0이 좋습니다. 원본 데이터를 지우려면 임의의 여러 패스를 사용하는 것이 좋습니다.

또한, 0은 HDD에서 기록 된 비트가 지워지는 것을 의미하지 않습니다. 0은 다른 숫자와 마찬가지로 비트 패턴이 있습니다.

— 데릭
소스

1

이것은 지난 세기 HDD 기술에있어 특히 사실이었다. 사실, 0의 단일 패스는 이제 "수직 쓰기 / 읽기"방법이 사용되는 것으로 간주되지만 Gutmann 방법은 아프지 않다. 나노 레벨에서는 지출하고자하는 금액에 따라 디스크를 면도하고 플래터를 추적 할 수 있습니다. Bill Clinton의 지워진 이메일은 이런 방식으로 복구되었지만 HDD 기술 측면에서 얼마 전입니다.

— mckenzm

3

그래 ... 근데 얼마나 편집증 이냐

전문가는 여전히 일부 데이터를 읽을 수 있습니다. "완전히 와이 핑"하는 정부 / 군사 표준은 전체 드라이브에 무작위 데이터를 여러 번 쓰는 것을 포함하여 여러 번의 패스를 수반하며 0 번 채우기와 1 번 채우기로 산재합니다. 정교한 하드웨어가 분석하고 끌어낼 수있는 자기 고 스팅이 있기 때문입니다. 이것은 대부분의 사람들이 접근 할 수없는 고가의 키트이므로 추출을 위해 누군가를 고용하는 것만으로도 대부분의 사람들에게 엄청나게 비쌉니다.

그러나 dd혼자서 이러한 여러 패스를 수행 할 수 없는 이유 는 없습니다. 원시 데이터를 어디에서 소스로 제공해야하는지 알 수 있으므로 /dev/random0과 1 패스 사이를 번갈아 가면서 데이터에 상당한 손상을 줄 수 있다고 생각합니다.

— 올리
소스

저와 같은 간단한 사용자가 0으로 채워진 파일을 복구하는 데 사용할 수있는 소프트웨어는 무엇입니까?

— Jack

드라이브가 작동하는 방식을 수정하는 데 필요한 소프트웨어와 같은 비용이 들지 않는 고가의 하드웨어와 숙련 된 인력이 필요합니다. 리버스 엔지니어링 펌웨어에서 정교하지만 하드웨어를 수정하는 것이 더 쉬운 경우 펌웨어를 수정할 수 있습니다.

— 롤백

@ 롤 그래서 가능합니까? 이 하드웨어 방법은 정확히 어떻게 작동합니까?

— Hashim

"자기 고스트"주장에 대한 출처가 있습니까? 당신은 그것을 어떻게 압니까? 그것은 가짜로 보이며,이 답변과 그것에 대한 의견은 수년간의 연구에서 그것을 언급 한 유일한 증거입니다.

— Hashim

1

여기에 몇 가지 서류를 연결하고 그것이 경우 매우 작은 부분 집합의 수, 또는 단지 수 없습니다 꽤 가능성이 결론 논의에 대한 링크입니다 nber.org/sys-admin/overwritten-data-guttman.html은

— 롤

1

최신 정보

데이비드가 링크 한 논문에 따르면, 플로피 디스크로 덮어 쓴 데이터를 복구 할 수 있었지만 현대식 하드 드라이브로는 거의 불가능하기 때문에 복구 아이디어는 아마도 신화로 간주 될 것입니다.

나는 신화를 대표하는 원래의 대답을 남기고 있습니다.

참고 : "신화"는 실제로 덮어 쓴 데이터를 복구하는 것입니다. 단순히 삭제 된 (덮어 쓰기되지 않은) 데이터를 복구하는 것은 완전히 다른 논의입니다.

내가 아는 한,

디스크의 데이터를 덮어 쓰면 이전 데이터가 일반 시스템 도구에서 손실됩니다. 그렇지 않은 경우 읽기는 이전 데이터와 새 데이터에 속하는 비트를 혼합하여 반환하므로 데이터가 손상되어 새 디스크가 필요합니다.

그러나 특수 장비를 사용하여 덮어 쓴 데이터를 복구 할 수 있습니다. 그 이유는 자기 플래터에 비트가 기록되는 방식입니다. "비트"는 디스크의 자화 된 영역입니다. 단일 비트를 나타내는 영역에는 수백 개의 자성 "그레인"이 포함되어 있으며 비트를 읽으면 개별 그레인 중 충분한 방향이 올바른 경우 1을 반환합니다.

비결은 글쓰기가 100 %가 아니라는 것입니다. 덮어 쓰기로 인해 그레인의 90 % 정도의 자기 방향이 변경되어 새로운 데이터를 안정적으로 읽을 수 있습니다. 그러나 방향에 영향을 미치지 않는 입자에 잔류 자기가 남아 있습니다. 이 잔류 물은 적절한 장비가있는 경우 읽을 수 있으므로 이전에 덮어 쓴 데이터를 (어떤 노이즈가있는) 표현으로 얻을 수 있습니다. 통계 분석과 함께, 상당한 양의 원본 자료를 재구성하는 것이 종종 가능합니다.

그러나 이러한 종류의 복구에는 특수 하드웨어가 필요하며 Oli가 언급 한 것처럼 대부분의 개인에게는 엄청나게 비쌉니다.

— jg-faustus
소스