Secure delete – как да трием така че да не могат да извадят после изтритото.

Secure delete – как да трием така че да не могат да извадят после изтритото.

Undelete е нож с две остриета, както може да ни спаси файловете, така може и да ни разобличи. В тази статия ще гледаме на Undelete като нещото което е пречка за нас и трябва да го елиминираме на всяка цена.

Представете си що за позор, хакнали сте и сте изтеглили нещо от РС на жертвата, и ченгетата ви арестуват, ровят ви по диска и ужким изтритото нещо е там – позор, полицаите намират търсеното доказателство. Това не бива да до допускаме.

Сега да започнем с това какво представлява триенето, защо е то не е сигурно триене, и как ще ви извадят данните от диска. Ако се стигне до там да го отворят, и с хардуерни методи в лаборатории полицията да ви вадят данните – приемаме че ще го правят без да им мигне окото. Това също не бива да го допускаме.

При самото триене, натискане на клавиша делете – файла се мести в кошчето. При изпразване на кошчето – файлът ужким се изтрива. Това е най-несигурният възможен начин, на триене, тъй като следи от файла остават на 2 места – там където файлът си е бил по начало и там дето е кошчето. Ако триете директно с прескачане на кошчето – шифт+делете, оставяте една следа само там където е бил файла. Достатъчно несигурно за да ви извадят файла изпод носа.

При тези видове триене, файлът е там, ОС маркира секторите като празни въпреки че файлът е там и оставяйки записа на файла във файловата таблица почти непокътнат, само първият символ от името на файла е изтрит, и записа не може да бъде достъпен от ОС и програми. Така тя сама заблуждава себе си и програмите, че там наистина е празно и при следващото писане, тя презаписва секторите, с друг файл, което на теория прави файла невъзстановим за софтуерните методи за възстановяване, но на практика има една особеност, на която никой не обръща внимание и не и отдава значение, а точно тази особеност е важна и позволява да се възстановяват части от файлове, въпреки че е “презаписано”. Тази особеност е Slack space – пусто място. Това място, се появява когато един файл или парче от файла не може да запълни целия клъстер. Това място е мястото от края на файла до края на клъстера, или от края на парчето на файла до края на клъстера. Това място е много коварно, от него се вадят много данни, но основно непълни файлове и непълни парчета. Пак стигат като количества за да ви разобличат. Как става така? Лесно, примерно, в 4 килобайтов клъстер на хард диска, (клъстера на нтфс е с големина 4 килобайта по подразбиране) има един 4 килобайтов файл, като изтриете този файл и на негово място запишете файл с обем 1 килобайт, то ще останат 3 килобайта пусто място (slack space) само първият килобайт ще е презаписан, а останалите 3 остават непокътнати. Ако някой реши да търси данни в тези 3 непокътнати килобайта пусто място, ще намери 75% от данните на стария файл който е бил ужким изтрит. За това трябва и slack space да се прочисти. Колко точно е slack space зависи от обема на клъстера и обема на файла който се намира в клъстера, или от обема на парчето от файла което се намира в клъстера.

С хардуерни методи и изследване на профилите на магнитните полета – аномалията на магнитните полета (обяснено е по-нататък в статията) може да се извади файла, или парчета от него с различна степен на изкривяване на данните. Изкривяването зависи от множество фактори – лоши сектори, степен на съвършеност и прецизност на метода който се използва, съвършеност, чувствителност и прецизност на апаратурата, оборудване, изолация и чистота на помещението в което се възстановява, защита от външни магнитни полета които могат да попречат на апаратурата или повлияят на магнитните плочи на диска и полетата, грамотност и способности на възстановяващият и колко пъти местата са презаписани. Част от изкривяванията могат да се възстановят други не.

Софтуерно възстановяване на файлове – става със специални програми – recover my files, easy recovery и други програми като тези. Тези програми работят общо казано в два режима –

UNDELETE – търси се изтритият файл, като го намери, секторите се маркират за заети и записа във файловата таблица се коригира. Така файлът е отново видим и достъпен.

RAW READING – последователно четене на всички клъстери и сектори в клъстера, и опит за разпознаване на намереното. Този вид търсене няма нужда от данни във файловата таблица. Този начин работи по-добре при редовно подреждан диск, защото програмата няма да се чуди кое парче от кой файл е и къде във файла е парчето. Направо прочита секторите, събира информацията като един файл, създава нов файл на мястото на изтрития с намереното съдържание и информация за файла, създава нови записи за новият файл във файловата таблица, така че да е видим, за ОС и програмите. Ако диска не е редовно подреждан, възстановяването при RAW четене, ще изпитва сериозни затруднения при разпознаването на частите – коя част към кой файл принадлежи и къде точно във файла се намира тази част. Възможно е дори да ви направи един огромен файл, с всичкото съдържание, което е видяно и точно в този ред в, който е видяно. Възможно е по-грамотните алгоритми за разпознаване на парчетата, и определяне на файла към който принадлежат, и точното място на парчето във файла, да дадат по-добри резултати, но основно зависи от това какво точно е предизвикало “изчезването” на файла, и колко редовно е бил поддържан диска. Този вид възстановяване, обикновено, работи само най-яркия слой на магнитните полета в аномалията на магнитните полета тъй като за да се избегнат грешки при четене, още на ниво БИОС на хард диска, самият хард диск е инструктиран, използвайки главите си за четене, да чете само най-яркия слой и да пренебрегват всички други.

Всеки твърд диск или дискета си има едно основно магнитно поле, то е най-ярко и най-мощно, и хадр диска чете само това поле и пренебрегва всички останали. Аномалията на магнитните полета спомената по-горе се предизвиква от това че на хард дисковете, при правенето на диска когато върху плочите производителя като поставя магнитното покритие то се състои от няколко слоя, което прави така, че всеки слой на магнитното покритие, има свое магнитно поле. Тези магнитни полета резонансно си въздействат едно на друго като резултат, от което взаимно въздействие, като резултат се появяват и резонансни магнитни полета. За да се избегне объркването в тая какофония от полета, още на ниво БИОС на хард диска, самият хард диск е инструктиран, използвайки главите си за четене, да чете само най-яркото поле – слой (ще го наричам основно поле) и да пренебрегват всички други. Как диска разбира кое поле е основното, и кое поле е резонансно – това е работа на биос и електрониката на диска. Способността на диска да се ориентира бързо в тази какафония от полета определя и неговата скорост.

Ако производителят на диска пише че достъп до данни се осъществява за 9 милисекунди, то за тези 9 милисекунди диска трябва да свърши страшно много работа – да провери във файловата таблица, къде е информацията за файла и да я намери, да прочете от файловата таблица на коя пътека и в кой клъстер е файла или парчето то файла, да си намести главите на правилната пътека, да изчака сектора да мине под главите, да прочете тая какафония от полета, над сектора, от тях да отсее само основното поле от всички останали полета, и да види какви екстремуми има в това поле, за да декодира данните – реда на екстремумите представлява данните кодирани на диска, да се увери че данните са прочетени без грешка, ако има грешка да коригира грешката и да ги прати на контролера. Това е причината диска да е най-бавната част в един компютър.

Екстремум означава връхна или нижна точка в магнитно поле – ако връхната точка представлява двоична единица, то нижната точка е двоична нула. Тяхното редуване представлява кодирането на данните в хард диска.

След като разбрахме какво става под капака на диска, трябва да споменем че с това не се изчерпва аномалията на магнитните полета. Различните модели, според технологията на производство и показатели имат от 5 до 8 такива полета, част от тях основни полета от слоевете на магнитното покритие, другата част, резонансно получени от взаимодействието между основните полета. Данни може да има във всеки от тези слоеве, и хардуерните методи, които подробно изследват магнитното поле, реално изследват всички полетата в тази аномалия, за нещо което прилича на данни, и като намерят такова нещо дето прилича на данни се опитват да видят какво има там или е грешка. Заради това винаги има изкривявания по данните при хардуерно възстановяване.

При запис на данните върху магнитното покритие, се променя и най-яркото от магнитните полета, тъй като то е най-мощното, то въздейства на останалите, като на някои въздейства повече на други по-малко, като налага своят профил на останалите. При изтриване на файла, слоят остава, защото магнитното покритие е частично променено (премахнат е маркера заек клъстер и е поставен маркер свободен клъстер), но важното което ни интересува е непокътнато – кодировката на данните е същата и остава, нали секторите се маркират празни въпреки това че има нещо. Това позволява на профила с времето да се “просмуче” в другите полета. Това става за части от секундата, така че само докато помислите полето вече се е “просмукало”. Разбира се, колкото повече се “просмуква” едно поле то толкова повече отслабва. За това според това какво се записва, основното поле е е различно мощно и се “просмуква” различно в дълбочина на слоевете. Това е общо казано аномалията на магнитните полета.

За да се предпазите, от това, някой да не ви извади данните от тези полета, и от основното поле, и от останалите полета, всичките полета трябва да получат някакъв безсмислен профил, примерно само нули или само единици, или безразборно подбрани какви да е символи без каквато и да била връзка между символите. Това става със специални програми за прочистване на диска частично скрубване и пълно скрубване. Тези програми работят на принципа записват въпросният низ от символи, после го изтриват, после пак го записват после пак го изтриват, и така много пъти, 12 – 15 пъти са достатъчни да спрат каквото и да било като възстановяване, независимо хардуерно или софтуерно и независимо колко е съвършено като метод и технология и колко грамотен, способен, ловък и умел е човека който се е захванал със задачата. Това се прави с цел полето винаги да се достатъчно силно за да се “просмуче” във всички слоеве, и всички слоеве да имат еднакъв профил.

При пълното скрубване, целия диск всички клъстери и сектори биват така многократно презаписвани, безвъзвратно се унищожават всички файлове, дялове, файловата таблица, таблицата с дялове, всичката информация от нулевата пътека – абсолютно всичко от диска бива безвъзвратно изтрито. Добре е да се прави като ще продавате диска, или ще го подарявате или ако се отървавате по някакъв начин и по някаква причина от него. След такава намеса ще трябва да създадете дяловете, да ги форматирате, и чак тогава ще можете да ползвате диска. Програми които правят това са програми от сорта на Wipedrive, drivescrubber.

При тези многократни презаписвания, ще се стигна до ситуация в която програмите за възстановяване ще виждат някакви файлове, основно текстови с различни размери и безсмислено съдържание, тъй като RAW четенето ще е силно объркано от това което намира и няма да може да определи, кое какво е и къде му е мястото, и какво е било истинското съдържание или въобще да не намерят нищо – нали това е нашата цел.

При непълното скрубване, задачата е по-сложна, трябва да се изпълнят повече неща. Първо програмата трябва да прегледа диска и да установи кои клъстери и сектори в клъстера са заети и празни. После от заетите трябва да установи, кои са за скрубване и кои не са за скрубване. За да определи това, програмата трябва да прегледа файловата таблица, да види, кои записи са валидни, и кои не. Чрез файловата таблица програмата решава кои от заетите сектори ще скрубва защото съдържат изтрити данни и кои няма да пипа, защото имат файлове които са видими за ОС и програмите и потребителя може да ги ползва, да се определи свободното място на диска/дяла, След като всичко това се определи, програмата трябва да определи коя част от клъстера, да се приеме за slack space и тя също да се изчисти. Не всички програми почистват и slack space, така че при избор на програма, търсете такава, която чисти и slack space. Чак след като всички проверки са извършени, по диска, файловата таблица и файловата система, slack space, свободно място.... програмата слага всичката тази информация в рам, а не на диска, и почва да трие и презаписва, там където програмата е решила че ще трие.

При самото триене, преди всичко, познайте – изпразва се кошчето, после от файловата таблица, се премахват всички невалидни по някаква причина записи – триене, забил компютър по време на писане, повреден от бъгава програма, вирус, червей, троянски кон, мрежов експлойт, бедствие, нестабилен ток, токови удари, удари причинили физически лоши сектори, логически лоши сектори, магнити близо или върху хард диска – всякакви причини които се сетите. След това от диска се премахват всички файлове и парчета от файлове останали без описание във файловата таблица, и slack space – мястото което остава между края на файла или парчето от файла и края на клъстера, заедно с останалото празно място, се презаписва, многократно пише безсмислени низове от символи, после ги трие, после пак – и така 12 – 15 пъти са достатъчни да спрат каквото и да било като възстановяване, независимо хардуерно или софтуерно и независимо колко е съвършено като метод и технология и колко грамотен, способен, ловък и умел е човека който се е захванал със задачата. Пак по същият начин за да може профила на безсмислените символи да се просмуче в полетата от магнитната аномалия и в слоевете съставящи магнитното покритие на храд диска, за да може пак всичките да имат еднороден профил – на безсмислени глупости, за да няма възстановяване, независимо от условията и методите на възстановяване. При тези многократни презаписвания, ще се стигна до ситуация в която програмите за възстановяване ще виждат някакви файлове, основно текстови с различни размери и безсмислено съдържание, тъй като RAW четенето ще е силно объркано от това което намира и няма да може да определи, кое какво е и къде му е мястото, и какво е било истинското съдържание – нали това е нашата цел. Програми които правят това са програми от сорта на evidence eliminator, system shield, secure clean.  Правете това редовно – доволно често примерно през нощ или всяка нощ, докато спите не използвате компютъра, защо не го оставите да се почиства докато спите? Това е дълга процедура, изисква много време, за са се завърши и изпълни добре, и ако го правите през времето когато спите, това няма да ви пречи. Вие тогава не използвате компютъра и тази активност, няма да ви пречи.

Ще свършите една полезна работа. На сутринта компютъра ще е почистен от следите. Ще имате чист диск, а и за това, че диска ще се чисти редовно, ще имате предимството, че диска, ще намира файловете по-бързо, защото махайки излишната информация и боклуците с изтритите файлове от файловата таблица, вие улеснявате диска, по-малка таблица трябва да бъде преровена, щом е по-малка таблицата, значи за по-малко време ще се прерови, и въпросният файл ще бъде открит по-бързо.

Що се отнася за външните памети като USB преносими носители, флаш карти за фотоапарати и камери, memory stick и прочието такива външни памети за файлове при тези устройства не съм запознат как точно става записа и четенето на файловете, магнитно-оптични устройства, не съм и запознат как става триенето и как, къде и какви следи остават, знам само че и при тях остават следи, които трябва да се заличават.

Що се отнася до ленти, zip/jaz/jar устройства, дискети, външни твърди дискове (такива които се включват в сериен, паралелен, усб или firewire порт, инфрачервен и блутуут а не се включват на IDE/SCSI контролер) при тях, това как се пише, как се чете, как се трие и къде и какви следи остават, и как се търсят тия следи, как се възстановява е както при обикновените твърди дискове, за които е и главната част от статията. Има подобна програма за прочистване, на последните 2 групи устройства, само че тя прави само пълно прочистване на цялото устройство и заличава всички данни безвъзвратно. Програмата се казва media wiper.