轉自:http://wenku.baidu.com/view/defce3eb19e8b8f67c1cb97e.html?from_page=view&from_mod=download
如何徹底刪除硬盤數據
如果僅僅依靠Windows自身所附帶的那些工具,你將無法挽回已經從“回收站”中清空的被刪除文件。但實際上還有別的辦法。即便是數據已經被覆蓋、硬盤被重新格式化、引導扇區遭到破壞或是磁盤控制器失靈,只要有專門的硬件和軟件,你就能恢復任何文件。
這是一把雙刃劍,如果你想要恢復至關重要的文件,這無疑是個好消息,但如果你想防止別人竊取你的私人數據,這將是一條壞消息。不過我們剛纔討論的只是理論上的可能性,實際上的解決方案將取決於你願意付出多少時間和金錢。
爲了理解被刪除的數據如何被恢復,你必須首先理解它們是怎樣被存儲的。硬盤是由一組盤片構成。數據被保存在盤片的同心圓上,這些同心圓被稱爲“磁道”。硬盤的讀寫頭在盤片表面上方移動從而訪問硬盤的不同部分。由於硬盤上任何地方的數據都能夠被直接訪問到,因此文件中的每一塊數據並不一定要按順序存放,它們可以保存到任何地方。
一般來說,數據在硬盤上是按照簇來進行存放的。簇的大小與操作系統以及邏輯分區的大小有關。如果硬盤的簇大小爲4K,那麼即便是1K的文件也要佔據4K的空間。而那些大文件則將由成百上千的簇來保存,這些簇遍佈在整個硬盤中。操作系統中的文件系統組件會管理和跟蹤這些分離的簇以保證文件的正確存取。
Microsoft Windows系統使用過的文件系統有三種。第一種是FAT(文件分配表),它早在DOS時代就開始被廣泛使用;FAT32是從Windows 95時代開始被採用的,而NTFS則是由Windows NT 4.0引入的。這三種文件系統的基本組織策略是一致的。每個文件夾中存放着若干個文件,每個文件則包含了一個指向文件起始簇的指針。起始簇的FAT字段中包含了指向下一個簇的指針,依此類推,直到最後一個帶有文件結束標記的簇。
數據並未消失
如果你使用通常的Windows操作來刪除某個文件,實際上這些信息並沒有被刪除。首先,如果你通過Windows資源管理器刪除文件,文件會被轉移到“回收站”。即便你清空“回收站”,該文件也只是僅僅被忽略而已。該文件名的第一個字母會被改成特殊字符,該文件原先所佔用的簇會被標記爲可用簇,但原來的數據並沒有馬上被刪除。直到下一次你保存某個文件時,如果這些簇被用到,纔會用新的數據覆蓋老的數據。在此之前,數據一直會保持完好無損。如果使用一種工具來繞過操作系統對硬盤直接進行讀取就能取回這些數據。在最近一次的數據恢復工具評測中我們考察了四個這樣的軟件(www.pcmag.com/print_article/0.3048.a=41827.00.asp)。我們把編輯選擇獎授予了Kroll Ontrack公司的EasyRecovery Lite 6.0(www.ontrack.com)。
如果你想恢復某個不小心被刪除的重要文件,就必須注意不要去覆蓋它。你應該立刻停止使用計算機並且不要往硬盤上保存任何數據,也不要試圖安裝恢復工具,因爲任何寫入硬盤的操作都有可能覆蓋你想要恢復的文件所在的簇。如果原來沒有安裝過恢復程序,就從軟盤或者光盤運行它。
如果數據被覆蓋
如果原來文件的數據被覆蓋,你就無法通過軟件來訪問它了。但這並不意味着文件數據完全不能恢復。有兩種辦法可以用來讀取硬盤上被覆蓋的數據。
當硬盤讀寫頭在硬盤上寫入一位數據時,它使用的信號強度只是用來寫入一位數據,並不會影響到相鄰位的數據。由於這個寫入信號並不是很強,因此你可以通過它寫入的數據位的絕對信號強度來判斷此前該數據位所保存的是何種數據。換句話說,如果二進制數據0被二進制數據1所覆蓋,其信號強度會比二進制數據1被覆蓋要弱一些。使用專門的硬件就可以檢測出準確的信號強度。把被覆蓋區域讀出的信號減去所覆蓋數據的標準信號強度,你就能獲得原先數據的一個副本。更令人吃驚的是,這一恢復過程可以被重複7次!因此如果你想避免別人使用這種方法來竊取你的數據,你至少要覆蓋該區域7次,而且每次還應該使用不同的隨機數據。
第2種數據恢復技術則是利用了硬盤讀寫頭的另一個特點:讀寫頭每次進行寫操作的位置並不一定對得十分精確。這就能讓專家們在磁道的邊緣偵測到原有的數據(也被稱爲影子數據)。只有重複地覆寫數據才能消除這些磁道邊緣的影子數據。
數據消除
瞭解到能夠恢復你的重要數據固然值得欣慰。但如果你希望這些數據永遠消失,恐怕就會是另一種心情了。美國國防部在《國家工業安全程序操作手冊》中對硬盤數據清除作了專門的描述,這個安全標準被稱爲DOD 5220.22-M(www.dss.mil/isec/nispom_0195.htm)。該手冊建議對所要清除的數據區進行三次覆蓋,第一次使用一個8位的字符,第二次使用該字符的互補字符(即將二進制位的0、1互換),最後再使用隨機字符進行覆蓋。
這種方法能夠達到一定的安全級別,但對於極端重要的數據,其安全性仍然是不夠的。保存有極端重要數據的硬盤應該被永久消磁或者徹底銷燬。對大多數人來說,多次覆蓋的方法已經足夠安全了,而且很多工具都提供了對這種方法的支持。
隱藏的數據
刪除和覆蓋文件並不能徹底清除硬盤上所有的敏感數據。你必須清除每一個扇區(用來構成簇的512字節單元),因爲數據有可能隱藏在你所沒有想到的地方。在大文件的最後一個簇中,常常會保存有隨機的數據。因爲文件的最後一部分寫入硬盤時並不一定能充滿整個扇區,因此係統會從內存中隨機找出一些數據進行填充,這些數據被稱爲RAM碎片。
你很難預料這些RAM碎片中到底是何種數據,它可能是電腦最後一次啓動後查看、創建或修改過的任何信息。很多安全刪除軟件都沒有正確擦除這些RAM碎片,而這些碎片中恰恰有可能包含了你的隱私信息。
在NTFS系統中(Windows NT 4.0、2000和XP所使用的文件系統),一個文件包含多個數據流。其中一個數據流包含了文件訪問權限信息,另一個則包含了實際的文件數據。另外,NTFS系統還支持附加的數據流(Alternative Data Streams,ADS),裏面可以保存任何信息。
ADS最常見的用途是保存圖像文件的快照。由於很多安全刪除程序無法擦除ADS,因此當包含圖像文件的數據流被刪除之後這些圖片快照仍然能夠被訪問到。如果想了解如何避免保存圖像快照,可以參考微軟知識庫的319300號文章(http://support.microsoft.com)。
潛在的危險
某些不法分子已經開始利用ADS在硬盤上隱藏某些數據或者病毒。除此之外,硬盤上的另一些區域也可能會隱藏着某些數據。通常硬盤的扇區在工廠進行低級格式化時就已經劃分完畢。如果某個扇區被標記爲壞扇區,那麼硬盤控制器就不會去寫入這些區域。由扇區組成的簇是在高級格式化時被定義的。如果在高級格式化期間發現壞扇區,那麼整個簇都會被標記爲壞簇。由於這個壞簇中並不是所有的扇區都無法讀寫,因此就給了不法分子可乘之機。
在更古老的硬盤中,數據還可能被隱藏在扇區間隙中。老式硬盤的每個磁道都包含相同數量的扇區,這樣一來外圈磁道的扇區顯然要比裏圈磁道的扇區大很多。因此外圈磁道的扇區之間較大的縫隙就可能被用來保存隱藏的數據。而現代的硬盤都採用了區域存取技術,每個磁道的扇區數量並不相等,從而消除了這部分浪費的硬盤空間。
如果想訪問硬盤的這些隱藏區域,你需要使用能夠繞過操作系統直接進行硬盤存取操作的工具。專業的軟件可能會相當昂貴。Guidance Software公司的EnCase Forensic Edition(www.guidancesoftware.com)的價格高達2495美元。Briggs Softworks的Directory Snoop(www.briggsoft.com/dsnoop.htm)則相當便宜,只需29美元,它能夠提供低級磁盤訪問功能,但不支持NTFS文件系統。
如何保證安全
你需要記住的關鍵一點是,恢復數據遠比徹底刪除它要簡單。如果你只是不小心刪掉了某個重要的文件,那麼你並不需要太過擔心,有很多辦法可以恢復它。但如果你想轉讓一臺用過的電腦或者硬盤的話,你最好使用安全刪除工具來覆蓋硬盤的每一個扇區。重新格式化硬盤並不能保證每個扇區都被覆蓋,那些隱私信息仍然有可能被訪問到。
附上幾個別的方法:
1. 對於個別小文件, 可以使用文件粉碎機等小工具
2. 給大家推薦一款徹底刪除硬盤數據的軟件:Darik's Boot and Nuke 1.0.7,該軟件有兩個版本,一是在軟盤或u盤下使用,下載該軟件後運行,點“install”,自動安裝程序到軟盤或u盤中(注意:如果你的軟盤或u盤裏面有數據,請把這些數據備份,安裝程序時會刪除這些數據,安裝完後,你可以把這些數據複製到軟盤或u盤),使用時,在bios裏面設置第一啓動爲軟盤或u盤,就可以進入徹底刪除硬盤數據界面;二是在CD或DVD光盤下使用,該軟件爲iso鏡像文件,下載後需要刻盤,使用時,在bios下設置第一啓動爲光驅。用軟盤、u盤或光盤啓動後,在“boot:”後輸入“autonuke”,回車就開始進行全盤數據刪除,當看到“DBAN succeeded”表示資料刪除已經完成。一般40G,7200轉的臺式機硬盤需要1小時50分鐘,60G筆記本電腦硬盤需要2小時45分鐘。操作完畢後,整個硬盤就像新買的硬盤,沒有分區,需要重新分區,當然還得安裝操作系統。(警告:請備份硬盤裏面需要的資料,否則執行autonuke後,硬盤裏面的所有資料將不能再恢復)
DBAN 軟盤或u盤版官方下載地址 文件大小:1.64M
DBAN 光盤版官方下載地址 文件大小:2.05M
3. NORTON的wipeinfo
4. Disk Redactor V1.7 可以清除所選擇硬盤驅動器上的自由空間 漢化綠色免費版軟件介紹 Disk Redactor 讓你可以清除所選擇硬盤驅動器上的自由空間,因此可以覆寫任何先前刪除的文件,使得恢復困難或者不可能。該軟件將不會刪除任何現有的文件,它只清除已經被刪除(但是能夠被數據恢復程序恢復)過的文件。Disk Redactor 會保留一個驅動器最後的16K空間,如果你正在清理一個系統驅動器(通常是 C 盤)那麼就應該選擇該選項。該軟件支持單一覆寫或者爲增強安全性雙重覆寫功能
5. 還有一種不可逆的徹底清除數據的方法就是低級格式化了。不過低格會對硬盤壽命有影響,除非有壞道,孤注一擲纔會試試低格, 但也有人說有時候低格以後還能恢復。
