Hilfreiche Ratschläge

Dateien dauerhaft löschen

Pin
Send
Share
Send
Send


Systematisch muss der Benutzer verschiedene Dateien löschen. Das Senden in den Papierkorb und das anschließende Leeren ist Standard. Auf diese Weise gelöschte Dateien sind jedoch nicht schwer wiederherzustellen. Fortgeschrittene Benutzer verwenden die Umschreibungsmethode - anstelle alter Informationen wird mehrmals eine andere geschrieben, obwohl dies nicht immer hilfreich ist. Dieser Artikel beschreibt das Löschen von Dateien ohne die Möglichkeit der Wiederherstellung.

Methoden zum Entfernen von Software

Es gibt zwei Möglichkeiten. Die erste ist die Verwendung von Software von Drittanbietern. Die zweite ist die manuelle Reinigung des Systems.

Datenvernichtung auf der Festplatte mit speziellen Programmen.

Microsoft Windows-Befehlszeilenprogramm.

  1. Laden Sie das Dienstprogramm herunter und installieren Sie es.
  2. Öffnen Sie mit der Tastenkombination Win + R das Fenster Ausführen, geben Sie cmd oder cmd.exe in die angezeigte Zeile ein und drücken Sie OK oder die Eingabetaste.
  3. Geben Sie in der daraufhin angezeigten Eingabeaufforderung den Pfad zu dem Ordner ein, in dem das Programm installiert ist. Schreiben Sie dazu "cd path" und drücken Sie erneut die Eingabetaste.
  4. Der nächste Schritt ist das Entfernen. Geben Sie den Befehl sdelete ein und geben Sie einen Pfad zu den Dateien an, die Sie nach einem Leerzeichen löschen möchten.

Am Ende des Vorgangs werden Sie in der Zeile über den erfolgreichen Löschvorgang informiert. Anschließend kann die Befehlszeile geschlossen werden.

Dieses Dienstprogramm unterstützt den Benutzer normalerweise bei der Wiederherstellung verlorener Dateien, kann jedoch auch Dateien löschen, ohne dass eine Wiederherstellung möglich ist.

  1. Der erste Schritt ist das Löschen von Dateien im Papierkorb. Sie können diesen Schritt überspringen, indem Sie sie mit der Tastenkombination Umschalt + Entf löschen.
  2. Als nächstes müssen Sie die Dateiwiederherstellung im Programm starten.
  3. Wählen Sie in den Dateitypen "Andere". Dann müssen Sie den Ordner angeben, in dem sich die Dateien vor dem Löschen befanden.
  4. Aktivieren Sie das Kontrollkästchen neben "Detaillierte Analyse" und starten Sie den Vorgang.
  5. Wechseln Sie nach dem Erkennen gelöschter Dateien in den erweiterten Modus und anschließend in die Einstellungen.
  6. Wählen Sie auf der ersten Registerkarte Allgemein unter Sicheres Löschen 35 Zyklen aus und klicken Sie auf OK.
  7. Wählen Sie die Dateien aus, klicken Sie mit der rechten Maustaste und klicken Sie auf "Markierte sicher löschen". Bestätigen Sie den Vorgang.
  8. Überprüfen Sie abschließend das Programm auf gelöschte Daten. Wenn sie verbleiben, wiederholen Sie die vorherigen Schritte.

Datei löschen reicht nicht aus

Regelmäßige Leser unserer Website wissen bereits, dass das Löschen einer Datei aus Sicht der Informationssicherheit völlig unzureichend ist. Gelöschte Dateien (mit seltenen Ausnahmen in Form von SSDs) können innerhalb weniger Minuten wiederhergestellt werden. Dies ist darauf zurückzuführen, dass Windows beim Löschen einer Datei deren Inhalt nicht zerstört, sondern lediglich im Dateisystem feststellt, dass die Datei gelöscht wird und der von ihr belegte Speicherplatz frei ist. Dementsprechend kann eine gelöschte Datei mit einfachen Werkzeugen wiederhergestellt werden - zum Beispiel Hetman uneraser.

Festplattenformatierung

Die bloße Tatsache der Existenz von Werkzeugen wie Wiederherstellung der Hetman-Partitionist ein guter Indikator dafür, dass formatierte Partitionen keine Garantie für die Datensicherheit sind. Tatsächlich werden beim Formatieren der Partition im Modus "Schnell" (und bei älteren Windows-Versionen im Modus "Voll") mit Ausnahme aller SSDs die Daten nicht gelöscht, sondern nur das Dateisystem zurückgesetzt. Dementsprechend können Daten nach einer solchen Formatierung wiederhergestellt werden.

Es ist zu beachten, dass die vollständige Formatierung der Festplatte unter Windows Vista und Windows 7 den Inhalt der Festplatte dennoch mit Nullen überschreibt und die Formatierung der SSD mit einer hohen (aber nicht 100% igen) Wahrscheinlichkeit ebenfalls zur Zerstörung der Daten führt.

Datenvernichtungsprogramme

Es gibt eine ganze Reihe von Programmen, die für die zuverlässige und sichere Zerstörung von Informationen konzipiert sind. Solche Programme verwenden Arrays von Zufallszahlen, um den von der zerstörten Datei belegten Speicherplatz physisch zu überschreiben. Einige Sicherheitsstandards (z. B. der von der US-Armee verwendete Standard) erfordern mehrere Überschreibzyklen und bestehen auf der Verwendung kryptografisch robuster Zufallszahlengeneratoren. In der Praxis wird eher mit einer Kanone auf Spatzen geschossen. Für Privatanwender und die meisten kommerziellen Organisationen ist ein einziger Umschreibezyklus ausreichend.

Das Auffinden eines solchen Programms ist einfach - starten Sie einfach eine Suche mit den Schlüsselwörtern "Sicheres Löschen von Dateien". Ebenso wird Speicherplatz freigegeben - auch die häufig verwendeten Programme sind gleich.

Es ist zu beachten, dass diese Methoden nur mit herkömmlichen Magnetlaufwerken funktionieren, bei denen die eindeutige Adressierung des physikalischen Speicherplatzes möglich ist. Bei SSDs ist dies nicht der Fall, und die Zerstörung von Informationen auf diesen ist ein eigenständiges und eher wenig untersuchtes Thema.

Datenvernichtung auf CD und DVD

Vergessen Sie nicht, alte Backups zu löschen und die Daten zu vernichten. Der einfachste Weg, Informationen auf einer CD oder DVD zu löschen, besteht darin, das Medium physisch zu zerstören. Widerstehen Sie der Versuchung, den "Rohling" mit den Händen zu zerbrechen - wahrscheinlich schneiden Sie sich selbst mit Bruchstücken, und kleine Bruchstücke aus Kunststoff und Aluminiumsubstrat werden noch lange an den unerwartetsten Stellen gefunden.

Der einfachste Weg, Discs zu löschen, ist die Verwendung eines Aktenvernichters mit einem CD- und DVD-Receiver. Dazu kommen spezielle Geräte - übrigens sind sie gar nicht so teuer, wie man denkt. In den meisten Fällen wird das Schneiden einer Disc in vier Streifen als normal angesehen.

Es gibt auch Geräte, die Festplatten unbrauchbar machen, indem Sie mehrere Löcher in sie bohren (Sie können übrigens auch mit einem herkömmlichen Bohrer Löcher in die Festplatte bohren). Experten sind der Meinung, dass diese Methode im Vergleich zu einem Shredder weniger zuverlässig ist.

Wir sollten auch die Hersteller von Geräten zur sicheren Speicherung von Informationen erwähnen. DataTraveler und Silicon Power bieten USB- oder Festplattenlaufwerke an, auf denen Informationen verschlüsselt gespeichert werden. Um den Zugriff auf die Daten solcher Geräte zu zerstören, genügt es, den Schlüssel zur Entschlüsselung zu löschen. Ein Programm zum Wiederherstellen von Daten von einer Festplatte kann den Inhalt nicht entschlüsseln und ist völlig unbrauchbar.

Wir können auch die Erwärmung von Platten erwähnen, die zur Zerstörung einer durchscheinenden Informationsschicht führt. Wie andere Methoden sollte diese Methode nur in speziellen Geräten angewendet werden - überhitzte "Discs" können schnell schmelzen.

Artikelinhalt

Für den Ermittler, der den Computer des Verdächtigen analysiert, sind immer Daten von besonderem Interesse. Es scheint jedoch, dass nichts wiederhergestellt wird, wenn Sie den Bereich, in dem sich die Datei befand, mit zufälligen Daten überschreiben. Dies ist wahr, aber nur zum Teil. Auch nach einer solchen Rückversicherung können oft Daten abgerufen werden!

Was passiert, wenn eine Datei gelöscht wird? Ganz einfach: Im Dateisystem wird ein Attribut dafür geändert und damit als gelöscht markiert. Gleichzeitig verbleibt der Inhalt der Datei auf der Festplatte und kann mit einem der vielen kostenpflichtigen und kostenlosen Programme (z. B. R-Studio) wiederhergestellt werden. Wir haben viele Male darüber geschrieben, wie man Dateien ohne die Möglichkeit einer Wiederherstellung sicher löscht. Glücklicherweise wurde dafür eine große Anzahl von Shredder-Dienstprogrammen entwickelt, die mit einfachen Techniken die Festplattenabschnitte überschreiben, auf denen sich die gelöschten Daten befanden. Selbst bei Verwendung von Wiederherstellungstechnologien, bei denen Daten direkt von magnetischen Medien gelesen werden, ist es daher unmöglich, gelöschte Dateien wiederherzustellen. Selbst echte Profis auf dem Gebiet der Datenrettung haben uns die Wirksamkeit dieses Ansatzes versichert. Aber - die Gurus haben immer noch Lücken zum Extrahieren von Informationen!

Bilddateien

Beginnen wir mit einem einfachen Fall - dem Löschen eines normalen Fotos. Angenommen, wir haben einen Ordner mit Fotos, und wir werden einen davon los. Und wir löschen nach allen Regeln und überschreiben den gewünschten Bereich der Festplatte mehrmals. Theoretisch sollte nichts anderes seine Existenz verraten (es sei denn, wir hätten es zuvor selbst in einen anderen Ordner kopiert und vergessen). Aber hier vergessen nur viele Menschen eine Funktion von Windows - die Datei Thumbs.db. Dies ist ein spezieller Speicher, der vom Betriebssystem verwendet wird und Miniaturansichten von Bildern aus dem aktuellen Ordner enthält. Wenn Sie im Explorer den Anzeigemodus "Seitenminiaturen" auswählen, übernimmt das Betriebssystem die Miniaturansichten der Bilder nur aus dieser Datei. Es wird in jedem Ordner erstellt, in dem sich Bilder befinden, und enthält Miniaturansichten von Bildern im JPEG-Format (unabhängig vom Format des Originalbilds).

Lassen Sie uns ein kleines Experiment durchführen - erstellen Sie einen Ordner und platzieren Sie drei beliebige Bilder dort. Öffnen Sie nun dieses Verzeichnis im Explorer - Thumbs.db erscheint (um diese Datei zu sehen, müssen Sie die Anzeige von versteckten Dateien aktivieren). Wir können es mit dem Dienstprogramm Thumbnail Database Viewer anzeigen und analysieren. Das Programm zeigt erwartungsgemäß Miniaturansichten für alle drei Dateien an. Und jetzt werden wir eines von ihnen mit dem SDelete-Programm oder einem anderen Programm zum sicheren Löschen von Daten löschen:

sdelete.exe -p 2 file1.jpg

Der Parameter p ist für die Anzahl der Durchgänge des Aktenvernichters verantwortlich, das heißt, er gibt an, wie oft die Datei vor dem Löschen überschrieben wird. Infolgedessen wird das Bild dauerhaft von der Festplatte gelöscht. Aber mal sehen, ob sich diese Entfernung irgendwie auf Thumbs.db ausgewirkt hat? Wiedereröffnung, und was sehen wir? Das Vorschaubild für das gelöschte Bild ist noch vorhanden! Es stellt sich heraus, dass die Datei leicht Miniaturansichten bereits gelöschter Bilder enthalten kann. Und dabei wurde mir gesagt, dass mehr als eine kluge Person gefasst wurde ...

Wie vermeide ich das? Sehr einfach - Sie müssen nur das Zwischenspeichern von Miniaturansichten in Thumbs.db-Dateien deaktivieren. Unter Windows XP müssen Sie den DisableThumbnailCache-Schlüssel im MicrosoftWindowsCurrentVersionExplorerAdvanced-Abschnitt HKEY_CURRENT_USERSoftware auf "1" setzen. Unter Windows 7 heißt dieser Schlüssel NoThumbnailCache und befindet sich in HKEY_CURRENT_USERSoftware Microsoft WindowsCurrentVersionPoliciesExplorer. Und natürlich ist es wichtig, nicht zu vergessen, alle Thumbs.db zu löschen.

Datei tauschen

Unterstationen seitens des Betriebssystems auf nur einer Datei mit Thumbnails enden dort nicht. Während Sie mit einem Dokument arbeiten, befinden sich Informationen darüber in verschiedenen Teilen des Betriebssystems - einem temporären Ordner, einer Registrierung usw. Daher ist es sehr schwierig, alle mit einer Datei verknüpften Daten zu verfolgen und zu löschen. Hinzu kommt, dass es Stellen gibt, an denen eine Kopie einer Datei versehentlich passieren kann (manchmal kann ein solcher Unfall sehr teuer sein). Ich spreche über die Auslagerungsdatei (pagefile.sys) und den Speicheraustausch, der während des Ruhezustands (hiberfil.sys) verwendet wird. Es ist offensichtlich unmöglich, den Inhalt der Auslagerungsdatei vorherzusagen, und niemand kann etwas garantieren. Ich schlage in einem anderen Experiment vor, dass dies ein gefährlicher Ort ist.

Da das Betriebssystem das Anzeigen oder Kopieren der Auslagerungsdatei nicht zulässt, haben wir zwei Möglichkeiten: Verwenden Sie spezielle Dienstprogramme oder starten Sie ein anderes Betriebssystem, und greifen Sie von dort aus auf die Datei zu. Die zweite Methode erschien mir einfacher, da der Back Track, der mit verschiedenen Hilfsprogrammen gefüllt war, auch für die Wiederherstellung von Dateien, zur Hand war. Nachdem ich von LiveCD gebootet habe, habe ich die Windows-Partition gemountet und bin zum Abschnitt "BackTrack-> Forensic" gegangen, von wo aus ich das Foremost-Dienstprogramm gestartet habe. Dieses wunderbare Konsolenprogramm kann Dateien basierend auf ihren Headern und ihrer internen Struktur wiederherstellen. Es ist nur erforderlich, den Namen der Eingabedatei zu übertragen, in der die Suche ausgeführt wird, und das Verzeichnis anzugeben, in dem alle gefundenen Daten gespeichert werden:

#foremost -i /mnt/hda1/pagefile.sys -o / root / Desktop / page_file -v -q

Als Eingabedatei habe ich die Auslagerungsdatei /mnt/hda1/pagefile.sys angegeben, und das Verzeichnis zum Speichern der Ergebnisse war / root / Desktop / page_file. Das Programm nahm seine Arbeit auf. In kurzer Zeit gelang es Foremost, 524 Dateien zu finden und zu extrahieren.

Statistik der extrahierten Dateien:
jpg: = 73
gif: = 4
gif: = 19
jpg: = 77
jpg: = 95
doc: = 1
pgp: = 65
pgp: = 62
pgp: = 44
pgp: = 36
dat: = 7
lnk: = 3
Cookie: = 38

Das Dienstprogramm sortierte alle Dateien bequem nach Typ und sortierte sie in verschiedene Ordner. Das erste, was ich getan habe, war zu überprüfen, was in den jpg-Ordner gelangt ist. Von allen wiederhergestellten Dateien wollte etwa die Hälfte nicht angezeigt werden, die andere war jedoch perfekt sichtbar. Und was nicht unter den Bildern war: ein paar Bilder, die ich kürzlich gelöscht habe, viele kleine Bilder von Websites, Avatare von Freunden von Facebook und mehr. Ehrlich gesagt hatte ich nicht vor, so viele Bilder zu erkennen. Neben den Bildern wollte ich auch herausfinden, was die einzige doc-Datei ist, die in die Auslagerungsdatei gelangt ist. Leider verfluchte Word nur, dass die Datei beschädigt war und nicht geöffnet werden konnte. Eine unerwartete Überraschung wartete im Cookie-Ordner auf mich - beim Durchsuchen einiger Dateien fand ich die Adressen von Videos, die ich vor fast einem Jahr auf YouTube angesehen hatte. Hier ist ein weiterer Beweis dafür, dass selbst das Löschen aller Cookies und des Verlaufs im Browser noch stichhaltig sein kann.

Was kann man hier machen? Es gibt verschiedene Möglichkeiten. Die erste besteht darin, die Auslagerungsdatei vollständig zu deaktivieren. Gehen Sie dazu zu "Systemsteuerung-> System und Sicherheit-> System-> Erweiterte Systemeinstellungen-> Leistung-> Erweitert-> Virtueller Speicher-> Ändern" und wählen Sie die Option "Keine Auslagerungsdatei". Die zweite Möglichkeit besteht darin, das Betriebssystem zu zwingen, alle Daten in der Auslagerungsdatei zu überschreiben, bevor der Computer ausgeschaltet wird. Dieser Modus wird aktiviert, wenn Sie den Schlüssel ClearPageFileAtShutdown im Schlüssel HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ControlSession ManagerMemory Management auf "1" setzen. Leider ist die zweite Methode sehr langsam, und das Herunterfahren des Systems dauert ziemlich lange. Entscheiden Sie selbst, ob Sie es in die Praxis umsetzen möchten oder nicht. Eine ähnliche Situation besteht mit der Datei hiberfil.sys. Sie können es auch einfach deaktivieren, wodurch zusätzlicher Speicherplatz gespart wird.

Übrigens können Sie die Auslagerungsdatei auch unter Windows durchsuchen. Da das Betriebssystem das Anzeigen und Kopieren mit Standardwerkzeugen nicht zulässt, benötigen wir das Programm FTK Imager. Gehen Sie zum Abschnitt "Datei-> Nachweiselement hinzufügen" und geben Sie das Laufwerk an, auf dem sich die Auslagerungsdatei befindet. Im linken Bereich wird eine Verzeichnisstruktur angezeigt, in der Sie pagefile.sys auswählen und die Exportfunktion über das Kontextmenü verwenden müssen. Die Auslagerungsdatei wird ohne Probleme in den von uns angegebenen Ordner kopiert, und ab diesem Moment verhindern keine Systemsperren die Analyse. Für die Analyse können Sie übrigens DiskDigger oder PhotoRec verwenden. Das erste ist einfacher, das zweite kann jedoch eine größere Anzahl unterschiedlicher Dateiformate wiederherstellen.

Defragmentierung

Fahren wir mit dem nächsten Grund für das Erscheinen von Geisterdateien fort. Um es klarer und verständlicher zu machen, werden wir wieder ein kleines Experiment durchführen. Für ihn brauchen wir ein Flash-Laufwerk und die Fähigkeit, mit WinHex umzugehen. Zuerst werden wir die Bedingungen für das Erlebnis bereitstellen, indem wir alle Daten vom Flash-Laufwerk löschen. Führen Sie dazu WinHex aus, geben Sie den Befehl Open Disk ein und wählen Sie im angezeigten Fenster unser Gerät aus. Markieren Sie nach dem Öffnen den gesamten Inhalt (Strg + A) und hämmern Sie ihn mit Nullen (Strg + L). Eine Anmerkung: Der Umschreibevorgang dauert ausreichend lange. Ich empfehle daher, ein kleineres Flash-Laufwerk zu verwenden. Ab diesem Moment befinden sich keine Daten mehr auf dem Laufwerk und es ist auch kein Dateisystem vorhanden. Der nächste Schritt ist das Formatieren des Flash-Laufwerks in NTFS. Standardmäßig lässt Windows XP nur zu, dass das USB-Flash-Laufwerk in FAT formatiert wird. Für unsere Manipulationen ist jedoch NTFS erforderlich. Damit das Betriebssystem das Gerät auf das von uns benötigte Dateisystem formatiert, müssen Sie den Geräte-Manager aufrufen, das USB-Flash-Laufwerk dort suchen und die Option "Für Leistung optimieren" in den Parametern festlegen. Danach kann Windows das USB-Flash-Laufwerk in NTFS formatieren.

Das Ziel unserer Erfahrung ist es, zu sehen, was mit Dateien während der Defragmentierung passiert. Erstellen Sie dazu eine künstliche Fragmentierung auf unserem Informationsträger. Nehmen Sie drei beliebige JPEG-Dateien und drei beliebige Audiodateien oder Videoclips (Hauptsache, sie sind größer als JPEG-Dateien) und kopieren Sie sie in der folgenden Reihenfolge auf ein USB-Flash-Laufwerk: 1.mp3, 1.jpg, 2.mp3, 2.jpg , 3.mp3, 3.jpg.

Ich frage mich, wie sie sich auf der Festplatte befinden. Um dies zu sehen, werden wir das DiskView-Tool von Mark Russinovich verwenden. Es wird ein grafisches Diagramm der Festplatte angezeigt, auf dem Sie den Speicherort der Daten ermitteln oder herausfinden können, welche Datei von bestimmten Clustern belegt ist (dazu müssen Sie mit der Maus auf den Cluster klicken). Durch Doppelklicken erhalten Sie detailliertere Informationen zu der Datei, der der Cluster zugeordnet ist. Wir starten das Programm, wählen unser Flash-Laufwerk aus und klicken auf. Zuerst erscheint ein grüner Balken, der auf System-Cluster hinweist. Gleich danach befindet sich der Bereich der blauen Cluster, die unsere nacheinander geschriebenen Dateien darstellen. Erstellen Sie nun eine Fragmentierung, indem Sie alle Audiodateien löschen. Klicken Sie erneut und sehen Sie, dass sich vor jeder JPEG-Datei ein leerer Bereich befindet. Wechseln Sie nun kurz zu WinHex. Um sicherzustellen, dass sich keine unnötigen Grafikdateien auf dem Flash-Laufwerk befinden, wird nach der Signatur gesucht: Suchen Sie nach der Sequenz "jfif" im Header einer JPEG-Datei. Infolgedessen hat der Editor erwartungsgemäß genau drei solcher Sequenzen anhand der Anzahl der verbleibenden Dateien gefunden.

Nun, es ist an der Zeit, die Dinge in Ordnung zu bringen: Es spielt keine Rolle, wann die Dateien so auf der Festplatte verstreut sind :). Wir starten die Defragmentierung unserer Medien, die von den Benutzern so geliebt wird:

C: Documents and SettingsAdministrator> defrag h:
Windows-Defragmentierungsprogramm
Copyright (c) 2001 Microsoft Corp. und Executive Software International, Inc.

Analysebericht
7,47 GB gesamt, 7,43 GB (99%) frei, 0% fragmentiert (0% Dateifragmentierung)

Defragmentierungsbericht
7,47 GB gesamt, 7,43 GB (99%) frei, 0% fragmentiert (0% Dateifragmentierung)

Дефрагментация прошла, посмотрим, что изменилось на флешке. Жмем на в программе DiskView, и что мы видим? Файлы, которые располагались на расстоянии друг от друга, аккуратно перенесены в начало диска, и располагаются строго последовательно. А теперь внимание! Дефрагментация скопировала файлы в начало диска, расположив их последовательно, но перезаписала ли она их предыдущую копию нулями? Чтобы ответить на этот вопрос, опять обратимся к мощному шестнадцатиричному редактору. Снова проведем поиск по "jfif". Оп-па, теперь вместо трех найденных строк получаем целых шесть! И это может означать только одно — теперь каждый файл представлен в двух экземплярах. Любой из них легко восстанавливается с помощью DiskDigger’a или Photorec’a. А теперь представь, что вместо графических файлов у нас были какие-то конфиденциальные документы или файлы с данными по кредиткам. Selbst wenn wir Dienstprogramme wie Sdelete verwenden und diese drei Dateien hunderte Male neu schreiben würden, bevor wir sie löschen, würden ihre Geister immer noch auf der Festplatte bleiben und dort auf unbestimmte Zeit existieren. Bis sie von irgendetwas anderem überschrieben werden. Und die ganze Zeit können sie wiederhergestellt werden!

Wahrheit und Mythen über die magnetische Mikroskopie

Sehr oft gehen die Menschen in zwei Extreme. Einige hämmern offen auf ihre Sicherheit und speichern alle belastenden Informationen auf der Schraube, wobei sie sicher sind, dass sie gespeichert werden. Andere hingegen wischen jeden Tag die Schraube ab und installieren das Betriebssystem neu. Vielleicht übertreibe ich. Nichtsdestotrotz muss man im Web häufig Streitigkeiten darüber lesen, wie oft es erforderlich ist, eine Schraube neu zu schreiben, damit Informationen nicht wiederhergestellt werden können. Ich schlage vor, empirisch herauszufinden, ob ein vollständiges Umschreiben ausreicht, um alle Daten dauerhaft zu löschen. Nehmen wir also noch einmal unser experimentelles Flash-Laufwerk und schreiben es komplett mit Nullen neu und formatieren es dann in NTFS. Lassen Sie uns zur Überprüfung eine Datei darauf ablegen: Lassen Sie es wieder JPEG sein. Es ist leicht in der WinHex-Signatur "jfif" zu finden. Ich habe es bei Offset 274432 gefunden. Nun, lassen Sie uns den Aktenvernichter starten (ich habe das HDD Wipe Tool verwendet) und die gesamte Festplatte löschen. Wenn Sie sich WinHex ansehen, das sich am Offset 274432 befindet, sehen wir nur Nullen. Aus Gründen des Komforts und der Sicherheit können Sie versuchen, Daten mit DiskDigger, Photorec, Foremost und anderen Dienstprogrammen wiederherzustellen. Aber das ist offensichtlich Zeitverschwendung - nichts wird daraus.

"Nun", sagen Sie, "was ist mit den seriösen Geräten, die den zuständigen Behörden zur Verfügung stehen, die Daten wiederherstellen können?" Sprechen wir über die magnetische Mikroskopie. Das Wesentliche der Methode besteht darin, den Zustand jedes Bits vor dem Überschreiben zu bestimmen. Das heißt, ob es gleich eins oder null war. Verwenden Sie ASCII-codierten Text. Jedes Zeichen wird in acht Bits so codiert, dass selbst wenn nur ein Bit falsch wiederhergestellt wird, ein völlig anderes Zeichen erhalten wird. Beispielsweise gibt es eine Folge von "Anti" -Zeichen, die in binärer Form wie folgt aussieht: 01100001011011100111010001101001. Angenommen, magnetische Bits haben alle Bits mit Ausnahme des letzten korrekt erkannt. Als Ergebnis einer solchen Wiederherstellung erhalten wir die Folge "anth". Das Problem stellt sich heraus. Und wir sprechen über die einfachste Textdatei. Stellen Sie sich vor, was bei strukturierten Formaten passieren wird - wie Archiven, Datenbankdateien, ausführbaren Dateien usw. Darüber hinaus ist das Verfahren ziemlich langsam und teuer. In vielen Fällen liefert die Magnetmikroskopie das gleiche Ergebnis wie die Restauration, indem eine Münze auf den Schwanz geworfen wird. Daher muss die Disc nicht dreimal neu beschrieben werden.

Die beste Verteidigung ist ein Angriff.

Was kann getan werden, um das Leben von Menschen zu verkomplizieren, die Ihr Computer möglicherweise untersucht? Es gibt verschiedene Möglichkeiten. Für den Fall, dass eine „interessante“ Datei auf dem Computer gefunden wird, ist der Zeitpunkt ihrer Erstellung ein starker Beweis für den Besitzer. Um die Ereigniskette zu verfolgen, verlassen sich Experten auch auf die Erstellungs- / Zugriffs- / Änderungszeit der Datei. Warum also nicht die Fußabdrücke verwechseln? Auf metasploit.com gibt es so ein wunderbares Dienstprogramm wie Timestomp, mit dem Sie die Erstellungs-, Änderungs- oder Zugriffszeit für eine bestimmte Datei ändern können. Die Hauptoptionen für seine Verwendung:

-m legt das Datum fest, an dem die Datei zuletzt geändert wurde
-a legt das Datum fest, an dem zuletzt auf die Datei zugegriffen wurde
-c legt die Erstellungszeit der Datei fest
-e legt die in MFT gespeicherte Änderungszeit für Dateien fest
-z legt die vier oben genannten Optionen fest

Das Datum wird wie folgt eingestellt: Wochentag MonatTagJahr HH: MM: SS [AM | PM].

Es gibt auch eine sehr interessante Option -b, die die oben genannten Attribute so einstellt, dass das in computerforensischen Kreisen bekannte EnCase-Programm sie nicht sieht und sie leer anzeigt :).

Um die Attribute einer Datei zu ändern, genügt es, den Befehl in der Konsole auszuführen:

c:> timestomp.exe boot.ini -z "Sonntag, 12.01.2099, 22:00 Uhr"

Sie können problemlos ein Skript skizzieren, das die temporären Attribute von Dateien rekursiv ändert. Die einfachste Option lautet wie folgt:

für / R c: tools% i in (*) do timestomp.exe% i -z "Montag, 12. März 2009, 22:00 Uhr"

Es gibt andere Möglichkeiten, das Leben anderer Forscher von Festplatten anderer Leute zu verderben. In ihrer Arbeit verwenden sie Programme, die von gewöhnlichen Menschen geschrieben wurden und daher - Fehler enthalten. Ja, wir können Schwachstellen in der Software ausnutzen, mit der nach Beweisen gesucht wird. Mehr dazu erfahren Sie in einem der Berichte der DefCon-Konferenz.

Fazit

Das sichere Löschen von Daten ist kein Allheilmittel. Ich wage Ihnen zu versichern, dass die beschriebenen Lücken nicht die einzigen ihrer Art sind. Und wer beruflich Computerkenntnisse besitzt, weiß, wo und wie er die benötigten Daten findet. Jetzt liegt Ihre Sicherheit in Ihren Händen - lassen Sie "Ghostbusters" keinen einzigen "Ghost" auf Ihrem Computer finden. Und noch besser - gib ihnen keinen Grund, dich zu besuchen :).

Radiergummi HDD

Dies ist ein spezielles Dienstprogramm, mit dem die Festplatte vollständig gelöscht werden kann, da Sie Dateien von Ihrem Computer löschen können, ohne dass eine Wiederherstellung auf andere Weise möglich ist. Das Programm führt die genau festgelegte Aktion aus. Sie müssen daher die portable Version herunterladen und von einer zweiten Festplatte oder von einem Wechseldatenträger ausführen. Keine Installation erforderlich.

  1. Führen Sie die Anwendung aus
  2. Gehen Sie im Dienstprogramm zum Startmenü, wählen Sie unter den gefundenen Datenträgern den zu bereinigenden aus und klicken Sie auf "Übernehmen".
  3. Eine Warnung wird angezeigt. Achten Sie auf Ihre Wahl, da der Vorgang nicht unterbrochen werden kann und Sie am Ausgang eine leere Festplatte haben, auf der Sie nichts wiederherstellen können.

Löschen Sie die Datei manuell vom Computer

! Nur für fortgeschrittene Benutzer empfohlen.

1. Das Löschen des Images kann aufgrund der Besonderheiten des Windows-Betriebssystems einige Zeit in Anspruch nehmen. Es speichert Thumbnails, Thumbnails und alle Bilder im JPEG-Format in einem speziellen Ordner Thumbs.db. Dieses Verzeichnis ist versteckt. Sie können das Erstellen von Miniaturansichten von Bildern in diesem Verzeichnis vermeiden. Suchen Sie dazu den Abschnitt HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesExplorer in der Registrierung, und legen Sie den Schlüssel NoThumbnailCache auf 1 fest. Anschließend sollten alle Thumbs.db-Verzeichnisse gelöscht werden.

2. Dateien können während der Arbeit mit ihnen in verschiedene Teile des Systems gelangen und sogar ihre Kopien hinterlassen. Beispiel: In der Auslagerungsdatei pagefile.sys. Sie können das Fehlen von Daten in der Auslagerungsdatei mithilfe von Software von Drittanbietern oder durch Laden in ein anderes Betriebssystem auf demselben Gerät überprüfen. Verwenden Sie dazu LiveCD, um ein anderes System zu starten, und verwenden Sie dann das Back Track-Programm, um das Foremost-Dienstprogramm auszuführen. Geben Sie den folgenden Befehl ein:

#foremost -i / mnt / hda1 / "Name der Auslagerungsdatei" -o / root / "Verzeichnis zum Speichern erkannter Daten" -v -q

Und lass es laufen. Das Programm erkennt und sortiert Dateien nach ihrer Erweiterung.

Um private Daten zu schützen, können Sie die Auslagerungsdatei deaktivieren. Gehen Sie zu Systemsteuerung -> System und Sicherheit -> System -> Erweiterte Systemeinstellungen -> Leistung -> Erweitert -> Virtueller Speicher -> Ändern. Deaktivieren Sie anschließend das Kontrollkästchen und wählen Sie unten "Keine Auslagerungsdatei" aus.

3. Dateien werden möglicherweise nicht vollständig gelöscht, wenn ein tragbares Datenspeichergerät defragmentiert wird: Nach dem Vorgang werden die Informationen auf die Oberseite der Festplatte übertragen und bestellt, ihre Kopie wird jedoch nicht überschrieben. Auch nach dem Reinigen von Wechselmedien können diese wiederhergestellt werden. Verwenden Sie eine der oben genannten Methoden, um Dateien vollständig zu löschen.

Zusammenfassend sollte angemerkt werden, dass das dauerhafte Löschen von Dateien kein Allheilmittel ist, obwohl die Privatsphäre einen Blick wert ist. Es gibt unbeschriebene Optionen zum Erkennen versteckter Kopien von Dateien. Nur Experten, die mit solchen Prinzipien vertraut sind, kennen das Computergerät auf höchstem Niveau. Mit den oben aufgeführten Methoden liegt die Sicherheit Ihrer Daten vor Außenstehenden auf Ihren Schultern, obwohl es keinen absoluten Schutz gibt.

Pin
Send
Share
Send
Send