Введение
Всем привет! Я уже писал о скрытии следов на Windows 10/11. Но тогда этого показалось мало, важно удалить следы без возможности восстановления. Безопасное удаление данных может понадобиться и для обычных действий - когда вы продаёте носитель данных. Поэтому вот 2 часть. Но в этой статье мы не будет тотально удалять какие-то данные с сохранением ОС и других файлов, мы говорим о том, если вы захотели ПОЛНОСТЬЮ удалить файлы.
Стираем информацию с жёсткого диска
Способы безвозвратного уничтожения информации зависит от типа устройства. Традиционный метод уничтожения данных - форматирование. Вот только обычного форматирования недостаточно и данные относительно просто восстановить. Тем более, если использовать быстрое форматирование. Если ценной информации на диске не было, то достаточно несколько раз отформатировать диск, используя именно полное форматирование!!!
Если всё же ценная информация хранилась на диске, то можно использовать алгоритмы гарантированного уничтожения информации.
В США использовался стандарт DoD 5220.22-M. Стандарт подразумевал трёхкратную перезапись диска. При первом выполняется запись любого символа, затем - его XOR-варианта, а после - случайной последовательности.
Такая защита не обеспечивает должной надёжности, поскольку до сих пор носители информации размагничивают или даже полностью уничтожают. Так что DoD 5220.22-M используется если на носителе небыло ценной информации.
В Канаде используют утилиту DSX. Утилита работает так: сначала перезаписывает инфу нулями, а затем - единицами, после чего записывает на диск последовательность данных, в которой закодирована информация о версии утилиты, дате и времени уничтожения информации.
В Германии для уничтожения несекретных данных используется стандарт BSI VSITR. Стандарт подразумевает от 2 до 6 проходов, на каждом из которых на диск записывается псевдослучайная последовательность и её XOR-эквивалент. Последним проходом записывается последовательность 01010101.
А какой алгоритм самый эффективный? Для всех современных жёстких дисков для окончательного удаления информации достаточно один раз перезаписать их псевдослучайной последовательность, всё что более - делается исключительно для самоуспокоения.
Приложения для безопасного удаления данных с жёстких дисков
Таких приложений для безопасного удаления достаточно - Secure Erase, DBAN и т.д. Я рекомендую выбирать только строго OpenSource-утилиты))) Важно, чтобы утилита именно делала удаление, а не шифрование информации. Приложение DBAN является OpenSourcе. Можно обойтись и вовсе без программ используя BitLocker. А после - отформатировать. При форматировании томов, BitLocker можно использовать не только для восстановления информации, но и как способ быстрого и безвозвратного их удаления. Важно только, чтобы не нашлась копия ключа. Нужно убедиться, что ключ не загрузился в OneDrive.
Удаление информации с SSD
Безвозвратно удалить данные с SSD сложнее, чем с обычного жесткого диска. Чтобы удалить её надёжно, нужно понимать, как происходит удаление именно с SSD. Микросхемы памяти, которые используются в SSD-накопителях, позволяют очень быстро считать информацию, чуть медленее записывать её в чистый блок и совсем медленно они записывают в блок, в котором уже есть данные. Больше всего нас интересует как раз теритй варинат - ибо нам нужно имеющиюся информацию перезаписать другой информацией. Чтобы записать данные в ячейку, контроллер SSD должен сначала стереть данные в этой ячейке, а затем уже записать новую. Поскольку сей процесс не очень быстрый, производители SSD разработали ряд оптимизационных алгоритмов, благодаря которым в распоряжении котроллера всегда есть нужное количество пустых ячеек, то есть в большинстве случаев при записи информации на SSD она записывается в чистую, а не в уже использованую ячейку. Именно поэтому когда SSD диск новый и пустой, он работает быстрее, чем когда уже на нём есть информация и чем больше информации на SSD, тем медленее он работает.
Что будет, если ОС захочет записать данные в ячейку с определённым адресом, но по этому адресу уже есть какие-то данные? Тогда контроллер SSD выполнит подмену адресов: нужный адрес будет назначен другой - пустой ячейке, а занятый блок или получит другой адрес или уйдёт в неадресуемый пул для последующей фоновой чистки.
Оказывается информация не удаляется с SSD. Когда-то, она конечно будет удалена, но должно пройти некоторое время. При перезаписи ячеек, мы просто забьём новые, а ячейки с данными будут также существовать. Это существенно усложняет задачу. Если мы удалим какой-нибудь файл, форматнём диск или создадим новый раздел, система передаст контроллеру инфу о том, что определённые ячейки не содержат полезных данных и могут быть очищены. Это назывется Trim. Результат работы Trim сама ОС не перезаписывает блоки, т.е не стирает информацию физически. Она просто передаёт информацию конттроллеру SSD, с этого момента начинается фоновый процесс удаления информации. Что если, хакер попытается считать данные из ячеек, на которые поступила команда Trim, но которые не очищены физически? Зависит от типа контроллера.
Существует 3 алгоритма работы контроллеров:
1. Non-deterministic trim - Контроллер может вернуть фактические данные, нули или ещё что-то, результат может отличаться между попытками. При первой - нули, второй - единицы, третьей - фактические данные.
2. Deterministic trim (DRAT) - Конроллер возвращает одно и тоже значение для всех ячеек команды Trim.
3. Deterministic Read afer Trim (DZAT) - гарантированное возвращение нулей после Trim.
В линукс тип контроллера можно узнать такой командой:
Казалось бы всё просто. Если у нас есть контроллер даже со вторым типом Trim, то для ячейки, помеченной на удаление, мы получим нули. Однако, это не совсем так.
Поддержка Trim есть только при соблюдении ряда условий:
1) Диск подключён напрямую SATA\NVME, для USB Trim не поддерживается.
2) Trim поддерживается только для NTFS-томов.
3) Trim должны поддерживать как драйвера диска, так и BIOS.
В windows тип trim можно узнать такой командой:
Значение 0 - означает, что всё хорошо работает, 1 - trim выключен.
(не обращайте внимания на Disabled)
Остановить процесс сборки мусора невозможно. Если на SSD-диск подаётся питание, то контроллер будет продолжать уничтожать данные после Trim. Но если данные очень ценные, то можно извлечь из накопителя чипы памяти и с помощью специального оборудования - считать их. Да, это сложно, да, из-за фрагментации данных, но такую задачу решить всё же возможно.
Ситуация с SSD складывается следующим образом:
Если нужно быстро, то единственный и правильный способ - физическое уничтожение микросхем SSD. Если же сжение SSD не входило в ваши планы, то нужно заранее отформатировать ячейки и повременить, пока контроллер очистит ячейки.
Если мы говорим о системном диске, то нужно иметь другой - чистый пк, на котором не будет вашей важной информации, к нему нужно будет подключить тот самый SSD, который нужно отформатировать и произвести форматирование. Система не позволит отформатировать системный диск, поэтому его надо подлючить к чистому ПК или загрузиться с загрузочной флешки и форматнуть с неё.
Если у вас много времени, пройдитесь такой програмкой как Autopsy, она покажет остаточные данные.
Заключение
В заключение могу сказать что SSD, стоит использовать только и только для ОС, а важне файлы хранить на HDD. Это база + основа. Я кстати не понимаю почему у меня в параметрах (Disabled), но в интернетах всяких сказали что это нормально и trim работает. Так ли у вас?
Всем привет! Я уже писал о скрытии следов на Windows 10/11. Но тогда этого показалось мало, важно удалить следы без возможности восстановления. Безопасное удаление данных может понадобиться и для обычных действий - когда вы продаёте носитель данных. Поэтому вот 2 часть. Но в этой статье мы не будет тотально удалять какие-то данные с сохранением ОС и других файлов, мы говорим о том, если вы захотели ПОЛНОСТЬЮ удалить файлы.
Стираем информацию с жёсткого диска
Способы безвозвратного уничтожения информации зависит от типа устройства. Традиционный метод уничтожения данных - форматирование. Вот только обычного форматирования недостаточно и данные относительно просто восстановить. Тем более, если использовать быстрое форматирование. Если ценной информации на диске не было, то достаточно несколько раз отформатировать диск, используя именно полное форматирование!!!
Если всё же ценная информация хранилась на диске, то можно использовать алгоритмы гарантированного уничтожения информации.
В США использовался стандарт DoD 5220.22-M. Стандарт подразумевал трёхкратную перезапись диска. При первом выполняется запись любого символа, затем - его XOR-варианта, а после - случайной последовательности.Такая защита не обеспечивает должной надёжности, поскольку до сих пор носители информации размагничивают или даже полностью уничтожают. Так что DoD 5220.22-M используется если на носителе небыло ценной информации.
В Канаде используют утилиту DSX. Утилита работает так: сначала перезаписывает инфу нулями, а затем - единицами, после чего записывает на диск последовательность данных, в которой закодирована информация о версии утилиты, дате и времени уничтожения информации. В Германии для уничтожения несекретных данных используется стандарт BSI VSITR. Стандарт подразумевает от 2 до 6 проходов, на каждом из которых на диск записывается псевдослучайная последовательность и её XOR-эквивалент. Последним проходом записывается последовательность 01010101.А какой алгоритм самый эффективный? Для всех современных жёстких дисков для окончательного удаления информации достаточно один раз перезаписать их псевдослучайной последовательность, всё что более - делается исключительно для самоуспокоения.
Приложения для безопасного удаления данных с жёстких дисков
Таких приложений для безопасного удаления достаточно - Secure Erase, DBAN и т.д. Я рекомендую выбирать только строго OpenSource-утилиты))) Важно, чтобы утилита именно делала удаление, а не шифрование информации. Приложение DBAN является OpenSourcе. Можно обойтись и вовсе без программ используя BitLocker. А после - отформатировать. При форматировании томов, BitLocker можно использовать не только для восстановления информации, но и как способ быстрого и безвозвратного их удаления. Важно только, чтобы не нашлась копия ключа. Нужно убедиться, что ключ не загрузился в OneDrive.
Удаление информации с SSD
Безвозвратно удалить данные с SSD сложнее, чем с обычного жесткого диска. Чтобы удалить её надёжно, нужно понимать, как происходит удаление именно с SSD. Микросхемы памяти, которые используются в SSD-накопителях, позволяют очень быстро считать информацию, чуть медленее записывать её в чистый блок и совсем медленно они записывают в блок, в котором уже есть данные. Больше всего нас интересует как раз теритй варинат - ибо нам нужно имеющиюся информацию перезаписать другой информацией. Чтобы записать данные в ячейку, контроллер SSD должен сначала стереть данные в этой ячейке, а затем уже записать новую. Поскольку сей процесс не очень быстрый, производители SSD разработали ряд оптимизационных алгоритмов, благодаря которым в распоряжении котроллера всегда есть нужное количество пустых ячеек, то есть в большинстве случаев при записи информации на SSD она записывается в чистую, а не в уже использованую ячейку. Именно поэтому когда SSD диск новый и пустой, он работает быстрее, чем когда уже на нём есть информация и чем больше информации на SSD, тем медленее он работает.
Что будет, если ОС захочет записать данные в ячейку с определённым адресом, но по этому адресу уже есть какие-то данные? Тогда контроллер SSD выполнит подмену адресов: нужный адрес будет назначен другой - пустой ячейке, а занятый блок или получит другой адрес или уйдёт в неадресуемый пул для последующей фоновой чистки.
Оказывается информация не удаляется с SSD. Когда-то, она конечно будет удалена, но должно пройти некоторое время. При перезаписи ячеек, мы просто забьём новые, а ячейки с данными будут также существовать. Это существенно усложняет задачу. Если мы удалим какой-нибудь файл, форматнём диск или создадим новый раздел, система передаст контроллеру инфу о том, что определённые ячейки не содержат полезных данных и могут быть очищены. Это назывется Trim. Результат работы Trim сама ОС не перезаписывает блоки, т.е не стирает информацию физически. Она просто передаёт информацию конттроллеру SSD, с этого момента начинается фоновый процесс удаления информации. Что если, хакер попытается считать данные из ячеек, на которые поступила команда Trim, но которые не очищены физически? Зависит от типа контроллера.
Существует 3 алгоритма работы контроллеров:
1. Non-deterministic trim - Контроллер может вернуть фактические данные, нули или ещё что-то, результат может отличаться между попытками. При первой - нули, второй - единицы, третьей - фактические данные.
2. Deterministic trim (DRAT) - Конроллер возвращает одно и тоже значение для всех ячеек команды Trim.
3. Deterministic Read afer Trim (DZAT) - гарантированное возвращение нулей после Trim.
В линукс тип контроллера можно узнать такой командой:
sudo hdparm -I /dev/sda | grep -i trimКазалось бы всё просто. Если у нас есть контроллер даже со вторым типом Trim, то для ячейки, помеченной на удаление, мы получим нули. Однако, это не совсем так.
Поддержка Trim есть только при соблюдении ряда условий:
1) Диск подключён напрямую SATA\NVME, для USB Trim не поддерживается.
2) Trim поддерживается только для NTFS-томов.
3) Trim должны поддерживать как драйвера диска, так и BIOS.
В windows тип trim можно узнать такой командой:
fsutil behavior query DisableDeleteNotifyЗначение 0 - означает, что всё хорошо работает, 1 - trim выключен.
Остановить процесс сборки мусора невозможно. Если на SSD-диск подаётся питание, то контроллер будет продолжать уничтожать данные после Trim. Но если данные очень ценные, то можно извлечь из накопителя чипы памяти и с помощью специального оборудования - считать их. Да, это сложно, да, из-за фрагментации данных, но такую задачу решить всё же возможно.
Ситуация с SSD складывается следующим образом:
- Примерно 10% ёмкости SSD отводится под резервный неадресуемый пул. В теории ячейки этого пула должны очищаться, но на практике это происходит не всегда из-за многочисленных особенностей реализации и банальных ошибок в прошивке, данные можно достать.
- Мгновенно удалить данные с SSD с включённым Trim можно путём форматирования раздела как NTFS: trim поместит блоки как неиспользуемые, а контроллер постепенно удалить информацию из них.
- Если из SSD извлечь микросхемы, то данные возможно будет считать
Если нужно быстро, то единственный и правильный способ - физическое уничтожение микросхем SSD. Если же сжение SSD не входило в ваши планы, то нужно заранее отформатировать ячейки и повременить, пока контроллер очистит ячейки.
Если мы говорим о системном диске, то нужно иметь другой - чистый пк, на котором не будет вашей важной информации, к нему нужно будет подключить тот самый SSD, который нужно отформатировать и произвести форматирование. Система не позволит отформатировать системный диск, поэтому его надо подлючить к чистому ПК или загрузиться с загрузочной флешки и форматнуть с неё.
Если у вас много времени, пройдитесь такой програмкой как Autopsy, она покажет остаточные данные.
Заключение
В заключение могу сказать что SSD, стоит использовать только и только для ОС, а важне файлы хранить на HDD. Это база + основа. Я кстати не понимаю почему у меня в параметрах (Disabled), но в интернетах всяких сказали что это нормально и trim работает. Так ли у вас?
