我最近通过以下途径了解到了一个惊人的事实CompTIA Security+ 认证指南,Meyers 和 Jernigan,第二版。
“一名优秀的法医鉴定人员可以从被抹掉九次的硬盘中恢复原始数据”
出于好奇,我想知道这是如何实现的,因此我研究了擦除的工作原理。
乍一看,上述事实可以用“大多数文件系统只删除与数据的链接”这一事实来解释(维基百科关于文件删除的页面)然而,最让我费解的是下面这句话:“但即使用其他东西覆盖磁盘的部分内容或对其进行格式化,也不能保证敏感数据完全无法恢复”。怎么会这样呢?
答案1
很简单,从那本书写成的时候起,这种说法就是错误的。
如果彼得·古特曼 (Peter Gutmann) 和柯林·普拉姆 (Colin Plumb) 的开创性论文被误读,那么这几乎肯定是出于误解。“安全删除磁性和固态存储器中的数据”1996年7月。这篇论文定义了在不知道磁盘类型的情况下如何在1996年(22年前)安全地擦除数据。
由于所涉及的密度,一次随机数据(可能甚至不是这样 - 可能是全 0 或全 1)就足以擦除现代磁盘 - 假设您需要恢复超过 8 位(1 字节)的数据。
如果数据碎片是损坏磁盘的一部分,那么它们是可以恢复的 - 特别是如果数据已被重新定位/重新映射 - 这确实会发生。
注意:SSD 会理所当然地进行重新映射,并且很难保证数据确实被覆盖。