::香农::青岛数据恢复中心::
作者:香农青岛数据恢复中心 2005-04-16 18:53
从磁盘上清除文件的方法包括:
“删除(Delete)”是清除数据最快速和最方便的方法。所有的操作系统都有类似于“Delete/Erase/Remove”等的删除命令。这些命令大部分并没有真正的将数据从硬盘上删除,它们只不过是将文件的索引删除而已,让操作系统认为文件已经删除,所占用的空间又可以分配给其它的文件。
这种方法是非常不安全的,只能欺骗一些电脑新手。现在已经有许多的工具可以恢复被删除的文件。
还有一些高级的Delete程序可以将文件所占用的扇区上的数据通过覆写的方法删除,这种方法对于以前的删除命令来说是一种改进,但是仍然是不安全的。
有时有些数据位或数据碎片不属于任何文件——这样这些数据在覆写的时候就会被漏掉。例如,大多数应用程序(包括许多操作系统)在运行时会使用缓冲或缓存文件。当关闭程序或退出程序后,应用程序会“删除”这些临时文件,所以尽管原始文件可以通过覆写的方法清除,而硬盘上被“删除"的临时文件中还是会保存有原始文件的部分数据。
“格式化”有许多不同的含义:物理的或低级格式化,操作系统的格式化,快速格式化,分区格式化,等等...
根据硬盘所使用的技术,和格式化程序所使用的方法,“格式化”可能会执行不同的操作。大多数情况下,格式化不会影响到硬盘上的数据。格式化仅仅是为操作系统创建一个全新的空的文件索引,将所有的扇区标记为“未使用”的状态,让操作系统认为硬盘上没有文件。
除非你完全清楚某一硬盘是如何执行格式化命令的,并且知道格式化程序如何进行操作,否则,使用格式化清除数据也是不安全的。
“消磁”是指使用专门的消磁设备来减弱磁盘表面磁介质的磁通量。它是通过交变的电流来产生电磁场来磁化磁盘表面的磁介质。
“消磁”是一种有效的可以接受的销毁数据的方法——不过,它更适合于磁带,软盘,或者可移动介质,而不是硬盘。
http://www.shannon.net.cn
硬盘的盘片安装于一个密封体内,这个密封体可以抵抗一定强度的磁场,抵消消磁设备的影响。试验表明,即使使用非常强的磁场——磁场的强度完全可以破坏数英尺之内的软盘或其它磁介质,一个完好的硬盘上的数据仍然没有被清除。
要成功的对硬盘进行消磁,就不得不将硬盘拆解并取出盘片——不过,既然已经将盘片取出暴露于灰尘当中,是否还用得着使用消磁的方法来销毁硬盘上的数据呢?
另外,大多数现在的硬盘要依靠磁盘上的伺服信息来控制磁头的读/写运动和盘片的旋转速度。如果“消磁”后将伺服信息也破坏的话,那么硬盘也就完全损坏了。
将一个硬盘拆解或“随机”的移除某一盘片,是销毁数据的最有效的方法。现有的技术还不能将硬盘的盘片放到其它的设备上来读取盘片上的数据。
现在的硬盘的生产技术,控制信号(伺服信息)是在硬盘装配完毕后写入的硬盘上的。如果盘片的相对位置和精确的排列或磁头改变的话,就无法再使用这些控制信号(伺服信息)来读取盘片上的数据了。
一些数据恢复公司(包括香农数据)花费了很大的投入来研究如何克服这种问题。我们可以通过将盘片移动到其它盘体上的方法来恢复数据——但是在移动盘片的过程中需要精确的测量和保持盘片的相对位置。如果盘片的定位发生了偏移,就不能从盘片上恢复数据了。
许多数据恢复公司吹嘘可以随意的移动盘片然后恢复数据,或者拥有独门的技术,但是当问到他们的成功率案例他们又宣称属于商业机密。
当然,当盘片被取出后,还是应该将盘片表面划伤,这可以避免万一将盘片安装到其它的盘体上而两者恰好相匹配时,数据被读出。
覆写是指使用预先定义的格式——无意义的信息来代替硬盘上原先存储的数据。这时销毁数据的有效的和可以接受的方法,不过也要正确的理解这一操作的过程并且谨慎的实施。
如果数据已被“成功”的覆写,即使只覆写一次,也可以认为数据是不可恢复的了。
盘片上的数据以一定的格式代表二进制的“1”和“0”。硬盘读取这些1和0然后经过解码成为字节或字符。例如,字母“A”的二进制形式为“01000001”,字母“B”的二进制形式为“01000010“,字母“C”的二进制形式为“01000011”,等等...如果使用随机的数据(例如“0000000011111111循环”)来覆写,那么磁头在读取数据时只能获得“0000000011111111”,而原先的数据就被“清除”了。
使用磁显微镜(原子显微镜)观察到的磁盘表面的bit图样
在过去的一些时间,我看到有许多资料谈到了这个问题:是否可以通过磁信号的痕迹来恢复被覆盖的数据。一般认为如果只覆写一次或两次那么数据是可以恢复的,只有覆写10次以上,才可以保证数据被完全销毁。
如果一个磁头定位系统不是足够精确,那么在进行覆写时,新的数据不会完全精确的覆盖原先的数据。由于磁道的偏移,可以将原先的数据从当前磁道的旁边辨别出来。(至少高容量的软盘驱动器是这样的——软盘驱动器使用的是落后的定位机制。由于新硬盘使用的定位系统和极高的数据密度,也会是这样的结果)
被覆写的磁道的痕迹
如果使用电子显微镜理论上是可以来读取和解码没有被完全覆盖的数据,不过实际上这近乎一个神话。
电子显微镜已经被用来检测和辨识200MByte硬盘上的磁数据。不幸的是,这种方法每秒只能处理1个bit。另外,由于现在硬盘使用两个或更多磁力线(取决于R.L.L技术)来记录一个bit,因此速度会更慢。
每512字节的扇区包含4096个bit,而每百Mbyte的硬盘有200,000以上的扇区,因此要有820Mbit的数据需要读取。
如果可以1 bit/秒的速度恢复数据——要恢复100 MB的数据就需要9,259天的时间(超过25年)——这还要假设可以正确的读取和解码每一个bit。如果数据没有被覆盖,那么可以正确的恢复的比例为30-40%——这不是说可以恢复30-40%的数据,而只是30-40%的bit。
数据“10101011”可能被识别为“?010?01?”,硬盘上的字符可能按照相似的方式被扰乱,对这种数据进行解码的可能是非常小的。
http://www.shannon.net.cn
我们可以宣称在“bit级”从世界上任意一块硬盘恢复数据的成功率为 50%。这听起来很有趣,如果你将整个硬盘使用全“0”或全“1”进行覆写,由于硬盘上的数据原先只有“0”和“1”,那么对每个bit你有50%的概率是可以正确识别的——但是很明显没有任何有用的数据可以恢复。
所以结论是,被覆盖的数据使用现有的技术是不可恢复的。
尽管被覆写的数据在真实世界是不可恢复的,仍然有一些复杂的因素会阻止成功的销毁数据:
尽管会有上面的这些意外,覆写数据到某前为止,仍然是最安全的和最经济的销毁硬盘数据的正确方法。