02.05.2012
Для безвозвратного стирания файлов с винчестера требуются определенные познания, а работая с USB- и SSD-накопителями, можно попасть в ловушку.
Разные накопители предоставляют разные возможности для полного удаления файлов.
Вы считаете файл безвозвратно удаленным?
Как бы не так: большинство документов, которые вы стирали в последнее время, благополучно пребывают в первозданном виде на вашем накопителе. Это плохо, если вам нужно передать коллеге вроде бы пустую флешку или вы хотите продать свой старый ноутбук, но хорошо, если вы случайно удалили результат многодневного труда. При помощи соответствующих утилит ваши данные могут быть восстановлены всего за пару кликов мышью. Если же вам требуется , когда надежно и с гарантией удалить информацию с носителя, следует проделать немного больше операций, чем простое нажатие клавиши «Delete».
Суть проблемы в следующем: операционная система Windows чрезвычайно трепетно относится ко всем файлам, когда речь идет об их удалении. Чтобы защититься от ошибки пользователя, после нажатия им клавиши «Delete» операционная система перемещает удаляемый файл в Корзину. Из Корзины его можно стереть вручную, либо после ее переполнения происходит автоматическое удаление для начала самых старых файлов. Размер Корзины пользователь может установить самостоятельно для каждого имеющегося в системе жесткого диска. Следует помнить, что и после ее очистки, и после удаления файла минуя Корзину (сочетанием клавиш «Shift+Delete») содержимое документа все равно остается на жестком диске. Причина проста: физически файл стирается лишь после того, как занятая им область на винчестере заполняется другими данными.
Очевидно, что на подобное удаление требовалось бы столько же времени, сколько уходит на обычное копирование файла. Вот почему Windows просто помечает соответствующие стертым данным записи в главной файловой таблице (Master File Table) как удаленные. Эта таблица объединяет имена файлов с физическими блоками на жестком диске. Таким образом, содержимое файла остается записанным на винчестере, хотя операционная система про него уже «забыла».
То же самое происходит и тогда, когда вы форматируете носитель. При этом ОС полностью заменяет главную файловую таблицу и другие метаданные файловой системы чистыми версиями. В области данных все файлы остаются в неизменном виде. Единственное отличие между нормальным и быстрым форматированием заключается в том, что в последнем случае носитель не проверяется на наличие физических ошибок.
Почему Windows лишь делает вид, что стирает файлы?
Windows сохраняет информацию о каждом файле в главной таблице файлов (Master File Table). Это скрытый файл, к которому имеет доступ только операционная система. В нем содержатся имена файлов, а также метаданные, такие как имя пользователя и его полномочия по работе с файлом. Кроме того, в MFT указывается, где на винчестере хранится каждый файл и фрагментирован ли он (то есть расположен ли он несколькими блоками в разных секторах диска). Когда вы стираете файл, он всего лишь помечается в MFT как удаленный. Содержимое этого файла остается на винчестере в исходном состоянии, а специальные утилиты, исследующие жесткий диск на предмет наличия структуры известных типов файлов, позволяют восстановить его без потерь. Вот почему важно не только удалять конфиденциальные данные, но и перезаписывать диск с использованием специализированных утилит. Только это сделает восстановление невозможным.
35-кратная перезапись: в 35 раз больше, чем надо
На сегодняшний день способы уничтожения информации, разрабатывавшиеся в 1990-е годы, считаются устаревшими. Среди них, например, метод Петера Гутмана, который предусматривает 35- кратную перезапись случайными и структурированными данными. Этот алгоритм должен обеспечить многократное изменение полярности магнитного носителя в каждой точке, чтобы даже магнитный микроскоп не смог обнаружить остатков исходной полярности винчестера. Это замечательно, только вот HDD емкостью в один терабайт будет очищаться таким способом пять суток, расходуя при этом ресурсы механической и электронной систем.
Для винчестеров, изготовленных после 2001 года и обладающих емкостью более 15 Гбайт, Петер Гутман рекомендует в качестве максимально надежного метода однократную перезапись случайными данными. Ученый Крэйг Райт провел испытания в своей лаборатории, снимая показания с поверхности магнитных пластин при помощи специальных измерительных инструментов. В ходе эксперимента он выяснил, что на современных винчестерах простое перезаписывание свободного пространства нулями не позволяет восстановить удаленные файлы. Ему удалось определить с 56-процентной вероятностью первоначальное содержание удаленного бита на заранее известной позиции. Вероятность восстановления байта (то есть отдельной буквы) в текстовом документе при этом равно 0,09%. Если же позиция бита неизвестна, а размер файла большой, то вероятность восстановления файла практически равна нулю.
Вычислительные центры уничтожают старые винчестеры механическим способом
Оптические перезаписываемые накопители, такие как CD или DVDRW, должны перед утилизацией очищаться подобно винчестерам, то есть свободное пространство на них должно быть заполнено случайными данными. Если же речь идет о неперезаписываемых дисках, то они должны попросту разламываться на большое количество мелких частей (например, с помощью офисного шредера). Если же технические средства уничтожения оптических дисков отсутствуют, то можно попросту расцарапать на максимально возможную глубину и на всей поверхности ту сторону диска, на которой нанесены надписи. Дело в том, что под слоем лака на ней находится отражающий слой, который содержит записанную информацию, и его уничтожение делает невозможным считывание данных.
Для ежедневного применения требуется простая утилита, которая бы обеспечила на практике надежное удаление файлов. Разработчики программы с открытым исходным кодом под названием Eraser поставили перед собой задачу создать именно такой инструмент. После инсталляции утилита интегрируется в контекстное меню Проводника. Кликнув правой кнопкой мыши по нужному файлу, необходимо выбрать «Eraser | Erase», после чего содержание файла перезаписывается случайным набором данных. Метод удаления файла можно выбрать в меню настроек («Settings») в главном окне. Быстрый метод под названием «Pseudorandom Data (1 pass)» вполне надежен, так что даже спецслужбы вряд ли сумеют справиться с восстановлением удаленного файла.
SSD- и USB-накопители: фрагменты информации остаются
В связи с тем что ячейки памяти флеш-накопителей имеют ограниченное количество циклов перезаписи, производители интегрируют в SSD-винчестеры больший объем памяти, чем указано в паспорте. В процессе работы контроллер распределяет доступ к ячейкам таким образом, чтобы все они были задействованы равномерно. Это вводит программу Eraser в заблуждение, так как вместо нужных секторов контроллер подсовывает ей совсем другие ячейки.
В принципе, содержимое освободившихся ячеек можно стереть только в том случае, если вы зададите своему SSD-накопителю команду «Trim» в ручном режиме. Это возможно лишь при использовании утилит от производителя. Но и в этом случае вы не сможете полностью контролировать процесс. Таким образом, для окончательной ликвидации одного единственного файла вам придется очистить весь SSD-винчестер. При этом данные будут удалены не только из тех ячеек, которые видит Windows, но и из всей флеш-памяти, включая резервные области. Это удается осуществить, пользуясь утилитами от производителя SSD-винчестера, такими, например, как Intel SSD Toolbox или OCZs Firmware Update and Toolbox.
Если для вашего SSD-накопителя не существует подобной утилиты, вы можете попрактиковаться в работе с командной строкой в DOS-программе под названием HDDErase. Для этого при помощи UNetboot создайте загрузочную флешку с Free-DOS и скопируйте на нее программу HDDErase.exe. После этого в BIOS переключите SATA-контроллер в режим совместимости с IDE и запустите компьютер с созданного вами загрузочного внешнего носителя. Учтите, что загрузочная флешка будет определяться не как диск A: — буквой этого диска, скорее всего, окажется C: (но может и какая-то другая). Запустив программу HDDErase, следует указать ей правильную букву привода, который подлежит очистке. И утилита от производителя SSD-винчестера, и HDDErase передают SATA-команды на внутренние SSD-накопители и винчестеры, благодаря чему их контроллеры позволяют полностью и надежно перезаписать всю память. Побочным эффектом такого «низкоуровневого затирания» является ускорение работы старого твердотельного диска. Если ваш SSDвинчестер не оснащен технологиями поддержания высокой производительности (команды «Trim» или «Garbage Collection» — процедура сборки и удаления неиспользуемых данных), то после продолжительной работы он начинает подтормаживать. Процедура перезаписи ячеек памяти позволяет ускорить работу накопителя до уровня нового.
Если же вам хочется сохранить на SSD установленную операционную систему и (или) программы, то перед началом очистки носителя следует создать его образ. Обратите внимание, что для этой цели необходимо использовать такое приложение, которое воспринимает лишь видимые операционной системой файлы. Подойдет, например, True Image от компании Acronis (www.acronis.ru, 928 рублей). Программы для создания образов дисков, не зависящие от файловой системы, такие как утилита Linux dd, сохранили бы в образе и удаленные файлы, вернув их потом на очищенный диск, а это нам совсем ни к чему.
Итак, после очистки SSD перенесите на него созданный ранее образ и работайте как прежде. Если вы устанавливаете на твердотельный накопитель новую операционную систему, мы рекомендуем сразу же создать для конфиденциальных файлов зашифрованный контейнер — например, с помощью программы TrueCrypt.
Небольшой трюк: очищаем SSD в системе Windows
Чтобы не оставить на SSD части удаленных файлов, имеется простой, но не слишком рекомендуемый по техническим причинам способ. Он годится лишь в том случае, если ваш SSD-винчестер имеет всего один раздел, занимающий целиком весь диск, и он свободен минимум на 10%. Итак, вначале удалите все файлы нажатием комбинации «Shift+Delete». После этого запустите программу Eraser и в ее настройках установите метод затирания свободного пространства по умолчанию, то есть в три прохода. Затем в Проводнике кликните правой кнопкой по букве SSD-накопителя и выберите из контекстного меню «Eraser | Erase Free Space». После этого программа запишет случайные данные на затираемый твердотельный диск, включая рабочую память и резервные ячейки. Таким образом, многие резервные ячейки будут перезаписаны. Оставшиеся данные, которые находятся в отдельных ячейках памяти, конечно, могут быть восстановлены, однако результат этой процедуры совершенно непредсказуем. Ведь для полного восстановления файла необходимо было бы считать весь объем памяти SSD-накопителя, включая и резервные ячейки, которые контроллер старательно прячет от операционной системы. Сразу хочется предупредить, что подобный способ не стоит применять слишком часто, так как он сокращает срок службы твердотельного диска вследствие тотальной перезаписи ячеек.
Что делать с NAS или «бастующей» Windows
Наряду с описанными выше рисками имеются и другие проблемы, связанные с надежностью удаления файлов. Так, к винчестерам, установленным в домашнем сетевом хранилище (NAS), вы обращаетесь не напрямую, а через сетевой интерфейс, что затрудняет гарантированное стирание информации. Файловые системы таких хранилищ (на базе Linux) частично работают со специальными журналами восстановления данных. Таким образом, для абсолютной уверенности в надежности удаления файлов следует перед продажей извлечь диски из хранилища и очистить их любым из описанных выше способов, а затем установить обратно.
Независимо от типа носителя операционная система Windows иногда отказывается удалять некоторые файлы. В этом случае нужна осторожность, так как причиной «забастовки» ОС может быть либо потребность в этом файле самой системы, либо запущенная программа, которая обращается к удаляемому файлу. В Windows 7 сообщение об ошибке содержит информацию о том, какое приложение открыло данный файл. Если эта утилита не закрывается или же ее окно пропало с экрана монитора, то поищите в Менеджере задач (запускается сочетанием клавиш «Ctrl+Shift+Esc») функционирующий процесс и завершите его принудительно. Если и это не помогло, придется перезагрузить компьютер и попытаться удалить злополучный файл после перезапуска. В утилите Eraser для этого имеется соответствующая опция под названием «Erase on Restart».
В случае неудачи воспользуйтесь утилитой Unlocker. Кликните правой кнопкой мыши по имени удаляемого файла и выберите пункт меню «Unlocker». Программа покажет, каким процессом заблокирован удаляемый файл. Вы можете «убить» его сразу или выбрать из выпадающего списка нужное вам действие для файла (удаление, переименование или перемещение). Это действие будет выполнено немедленно после нажатия на кнопку «ОК». По умолчанию данная утилита перемещает удаляемый файл в Корзину, поэтому затем ее необходимо очистить с помощью программы Eraser.
Надежное стирание данных с HDD с помощью USB-флешки
«Стиральная машина» на базе Linux может очищать одновременно несколько винчестеров
Утилита Darik’s Boot and Nuke специализируется на очистке жестких дисков компьютера, который более не запускается по причине программного сбоя.
Когда программное обеспечение перестает функционировать, очистить жесткие диски компьютера поможет бесплатная утилита Darik’s Boot and Nuke. Для этого распакуйте архив в любую папку на рабочем ПК и запустите программу создания загрузочной флешки — Universal USB Installer. Из верхнего выпадающего меню выберите DBAN 2.2.6, а из нижнего — букву пустого USB-накопителя и нажмите кнопку «Create». После этого запустите компьютер с созданного загрузочного носителя, нажав после включения ПК клавишу «F8» или «F12». Если ничего не получается, то в настройках BIOS необходимо выбрать USB-накопитель в качестве первого загрузочного носителя. Сразу после запуска появится меню, и если вы хотите очистить сразу все имеющиеся в системе винчестеры, то задайте команду autonuke, нажмите кнопку «Enter» и позвольте программе отработать свое. Это может продлиться несколько часов.
Если вам нужно очистить лишь определенный жесткий диск, то после запуска DBAN нажмите на «Enter». Появится интерактивное меню, в котором вы мо-жете выбрать винчестеры, данные с которых должны быть полностью стерты.
Проверьте сами: действительно ли данные исчезли?
Самый лучший способ проверить действенность того или иного метода стирания файлов — это попытка восстановить удаленную информацию. Для этой цели есть очень много различных утилит.
НЕСКОЛЬКО КЛИКОВ МЫШЬЮ — И ФАЙЛЫ НА МЕСТЕ
Установите программу PC Inspector File Recovery. Затем удалите файлы с носителя (он должен иметь файловую систему FAT или NTFS), нажав комбинацию клавиш «Shift+Delete». После этого запустите PC Inspector File Recovery. Выберите в появившемся окне вкладку «Поиск потерянных данных» и запустите процедуру поиска с предустановленными параметрами. Вы будете удивлены, обнаружив, как много удаленных вами файлов можно восстановить после этого. Контрольные документы должны появиться в папке под названием «Удаленные». Восстановление нужного файла производится кликом правой кнопки мыши по нему. Во время нашего тестирования программа PC Inspector не смогла восстановить данные с отформатированного носителя, так же как и ее конкурент — NTFS Undelete (www.ntfsundelete.com).
Утилита PC Inspector умеет восстанавливать удаленные данные
Еще одна утилита под названием DiskInternals NTFS Recovery отыскала ряд файлов на отформатированном носителе, однако не определила их имена. PC Inspector является бесплатной программой, а NTFS Undelete и DiskInternals NTFS Recovery — платные, и в демоверсии только показывают имена файлов либо восстанавливают лишь файлы небольшого размера.
|