web-dev-qa-db-ja.com

フォレンジックを使用してハードドライブから安全に削除されたデータを回復することは可能ですか?

フォレンジックを使用して、ハードドライブから削除されたデータを安全に(または消去して)復元することはできますか?

警察がハッカーを逮捕し、ハッカーが逮捕される前に、安全な削除方法を使用して自分のPCで有罪とされるすべての情報を削除したとします。この場合、削除されたデータを警察の法医学(または任意の部門)が復元することは可能ですか?

forensics
11
user41890

あなたの質問は、その中の単語の定義に問題があります。

HDDが安全にワイプされている場合、定義上、回復は不可能です。 HDDが安全にワイプされた場合の場合、定義により、リカバリが可能です

多分あなたが意味する:ハードドライブを拭くさまざまな方法はどれくらい安全ですか? 「従来の」ドライブ(磁気回転プラッタを使用)について話し、 Darik's Boot And Nuke (別名DBAN)のような信頼できるものを使用すると仮定すると、非常に安全です。

ドライブにはメモリスペース全体に読み取りおよび書き込み操作を均等に(そして透過的に)分散する組み込み機能があるため、ソリッドステートドライブを安全に消去する方法について 懸念事項 があります。これはドライブの寿命を延ばすために行われますが、安全な消去操作を妨げることがあります。

12
scuzzy-delta

最初にドライブをフォーマットすることから安全なワイプを考える場合は、ケースを開け、プラッターの上に希土類磁石をかけ、重いハンマーとレンチで数分間作業し、最後にそれらを落とします。キャンプファイヤーに入ると、警察はデータを回復できなくなります。

「安全な消去h4xOrツール」を実行することに関して安全なワイプを考えた場合、申し訳ありませんが、あなたは運が悪いです。少なくとも、そのディスク上にあるものは何でも価値がある場合は。

磁気ストアから数十回上書きされた後でも、磁気ストアからデータを再構築することは非常に可能です(難しくはなく、ただ高価です)。これは、1970年代以降、ブラックボックスを使用して多かれ少なかれ日常的に行われていることです。確かに、それ以来データ密度は数桁増加しており、100%の復元は不可能である可能性が非常に高いですが、十分な量を復元できると期待する必要があります。
それが可能かどうかはそれほど重要ではありませんが、あなた(またはディスク上のデータ)が費用を正当化するのに十分重要であるかどうか。

さらに、最近のドライブはウェアレベリングを実行することが増えています(特に、SSDはすべての単一書き込みに対してそれを実行します)。つまり、安全な消去を行うときに実際にどのデータを上書きするかについては、ほとんどまたはまったく制御できません。 「安全な消去」を行っている可能性がありますが、完全なデータはまだディスク上にあります。
通常、SSDはウェアレベリングの効率を高めるためにすべてのデータを暗号化します(セキュリティのためではなく、データをランダム化するためです)が、法執行機関が暗号化キーを回復する方法がないとは限りません。最近のすべてのドライブには、キーを消去する非ブロック化キーシーケンスがあります。おそらく、法執行機関で使用するための秘密の、キーを消去しない非ブロック化キーシーケンスも存在します。
これは、シリンダーロックおよびストロングボックス/セキュリティコンテナーの場合です。ディスクドライブにそのようなものが存在しないと仮定するのは不合理です。

そうは言っても、ハッカーが適切なソフトウェア(完全な拒否を提供する)を使用してフルディスク暗号化を使用し、警察がデータを回復したり、そこに何かがあることを証明したりすることさえできない場合でも、それは特定のことではありません。
繰り返しますが、それはドライブ上のデータがどれほど重要であるか、誰があなたの後を追うかにのみ依存します。
それは本当にクールに感じるかもしれません"cuz愚かな警官はnuttinを証明できません"、あなたが頭に袋を持っていて殴られているとき、それはほとんどクールに感じませんゴムホースまたは水上掲示。誰かが本当にあなたの暗号化キーを知りたいのなら、あなたは彼らに言うでしょう。私を信じてください。

3
Damon

提案されているように、単純な「削除」メカニズムを使用してファイルが削除された場合、データは実際にはドライブから削除されません。ディレクトリエントリのみが削除されます。データは残り、簡単に回復できます。

代わりに、既存のデータブロックが上書きされた場合、フォレンジックリカバリは事実上不可能です。一部の統計的再構築は、小規模で膨大な労力をかけて実行できる場合がありますが、これは主に学術的な目的です。最近のドライブから数メガバイトのデータを実際にリカバリすることは、既存のラボの機能をはるかに超えています。

つまり、一部のファイルシステム(例:ZFS、BTRFS、場合によってはNTFS)および一部のメディア(例:SSD)はoverwrite既存のブロックを直接ではなく、代わりに新しい空のスペースに更新を書き込みますドライブ上で、オリジナルはそのままにしておきます。これにより、「安全な削除」手順がさらに複雑になります。

ドライブ全体を(ファイルシステムではなく)低いレベルで一度にワイプすると、これらの警告のほとんどが回避され、回復が非常に困難になります。

ゼロで完全に上書きされたハードドライブを1回のパスからフォレンジックリカバリラボに持っていった場合、0.00%のリカバリ率が得られます。実際、何が起こったのかを伝えても、ほとんどの場所ではチャレンジを受け入れられません。

3
tylerl

ハードドライブに書き込まれた磁気データは上書きされる可能性がありますが、元のデータは低い信号レベルのままです。したがって、巧妙なソフトウェアと、場合によっては特別なヘッドを使用すると、さまざまなレベルの磁化を読み取​​ることができます。また、各ビットに記録される0または1のみなので、物理的に情報を少し簡単に回復できます。

したがって、情報を本当に非表示にできる唯一の方法は、プラッターを溶かすことです。

N.B.ハイブリッドドライブを使用している場合は、フラッシュメモリチップを忘れないでください。

1
Dennis Kelly