Для следователя, проводящего анализ компьютера подозреваемого, удаленные файлы всегда представляют особый интерес. Некоторым кажется, что если перезаписать область, где находились данные, случайными значениями, то восстановить уже ничего не удастся. Это правда, но лишь отчасти. Даже после такой перестраховки файлы нередко удается извлечь!
Очень часто люди впадают в две крайности. Одни откровенно забивают на свою безопасность и хранят на винте всю компрометирующую информацию, будучи уверенными, что спасет, другие же, наоборот, каждый день затирают винт и заново устанавливают операционку. Быть может, я утрирую. Тем не менее, довольно часто приходится читать в сети споры о том, сколько же раз надо перезаписать винт, чтобы информацию невозможно было восстановить.
Предлагаю опытным путем выяснить, хватит ли одной полной перезаписи, чтобы безвозвратно удалить все данные. Итак, возьмем подопытную флешку и полностью перезапишем ее нулями, после чего отформатируем в NTFS. Для проверки закинем на нее какой-нибудь файл: пусть это будет JPEG. Запустим шредер (я юзал HDD WipeTooll) и затрем весь диск. Теперь, если посмотреть в WinHex, то мы увидим только нули. Для успокоения и большей уверенности можно попробовать восстановить данные с помощью DiskDigger, Photorec, Foremost и прочих утилит. Но это заведомо пустая трата времени — ничего у них не выйдет.
«Хорошо. — скажешь ты. — а как же насчет серьезных приборов, имеющихся у компетентных органов, которые умеют восстанавливать данные?» Ну что ж, давай поговорим о магнитной микроскопии.
Суть метода в том, чтобы определить состояние каждого бита до его перезаписи То есть, был ли он равен единице или нулю. Возьмем текст в кодировке ASCII, Каждый символ кодируется восемью битами таким образом, что если даже всего один бит восстановлен неверно — получается совсем другой символ. Например, есть последовательность символов \"anti\" выглядящая в бинарном виде следующим образом: 01100001011011100111010001101001. Предположим, что магнитная микроскопия правильно определила все биты, кроме последнего — в результате такого восстановления мы получаем последовательность \"anth\". Неувязочка получается. И это мы говорим о простейшем текстовом файле. Представь, что будет в случае со структурированными форматами — такими как архивы, файлы БД, исполняемые файлы и так далее.
Вдобавок к этому метод достаточно медленный и дорогой. Так что во многих случаях использование магнитной микроскопии дает такой же точный результат как и восстановление путем подбрасывания монетки на \"орел-решка\".
Поэтому нет никакой необходимости по три раза перезаписывать диск.