Le "informazioni sul volume di sistema" e $ RmMetadata possono provocare la perdita di informazioni su un HDD nascosto?

Naviga le tue risposte
3

Recentemente ho messo a fuoco il mio HDD (s) tramite un programma Windows (Disk Wipe per essere precisi: link ), ora va tutto bene quando provo a recuperare le informazioni su quel disco da qualsiasi programma che riesco a trovare tranne un paio di programmi che hanno notato che la cartella $RmMetadata esiste ancora con file come $TxfLog.blf al loro interno.

Di seguito viene mostrata un'immagine di esempio:

Ho fatto un po 'di ricerche per cercare di capire esattamente quali sono questi file, ma nessuno sembra completamente sicuro.

Questi dati potrebbero ancora presentare problemi di perdita di informazioni per un disco nucleare se dovessi, diciamo, venderlo?

    
posta Sammaye 27.08.2014 - 13:36
fonte

3 risposte

4

Il nome di $TxfLog.blf è autoesplicativo: l'estensione blf indica un CLFS file di registro e TxF stand per NTFS transazionale. Si può vedere che TxF è solo un file temporaneo che esegue il backup delle transazioni per aiutare contro arresti improvvisi, proprio come precauzioni simili nei moderni database. Può esserci qualche perdita da questo file, ma sarebbe costituito solo dalle ultime transazioni.

Informazioni sul volume di sistema sembrano innocenti, ma possono contenere indici per una rapida ricerca dei file sulla partizione. La perdita è molto probabile qui.

Sebbene il metodo che hai citato distrugga la maggior parte dei dati, tracce come queste possono ancora trapelare informazioni sui dati originali. La maggior parte dei file system non può essere riempita al 100%, in modo che la scrittura di file purché sia possibile la scrittura non rimuova tutte le tracce. Se non ti piace usare direttamente linux, puoi usare DBAN .

    
risposta data 29.08.2014 - 15:43
fonte
3

Ero curioso (e forse a bordo) quindi ho appena fatto un rapido test per vedere ... Ho preso un vecchio flash drive (4GB era il mio più piccolo), ho fatto un rapido reformat (su NTFS) e ho lanciato un semplice testo file lì.

Utilizzo di FTK Imager , ho preso un'immagine prima e dopo della mia unità (solo il dump dei dati grezzi). Ho usato la pulitura del disco per pulire (usando le impostazioni di default e di pulizia di base) la mia unità di prova e poi sono andato a lavorare cercando di recuperare e rivedere ciò che era rimasto indietro.

Dopo aver esaminato i restanti file di sistema, scopro che non c'è modo di ricostruire i file originali da soli. Le cartelle $ Extend e $ RmMetadata sono semplicemente file di log di sistema necessari per il corretto funzionamento del file system e della cancellazione del disco, non vi sono utili dati di ripristino memorizzati in essi.

Ho scelto di scrivere su zeri in modo da poter valutare rapidamente ciò che viene lasciato, ma i valori casuali funzioneranno pure.

Puoi leggere su NTFS qui e recupero dati here . Qui è un post che descrive il motivo per cui i file transazionali sono presenti.

Per rispondere alla tua domanda, sì, puoi sentirti sicuro a vendere il tuo HDD cancellato in modo sicuro.

Potresti essere interessante in questo articolo come descrive il metodo Gutmann

    
risposta data 29.08.2014 - 17:29
fonte
2

Non so esattamente se Disk Wipe funziona sovrascrivendo i dati della partizione, o i dati del disco. Se sovrascrive solo i dati delle partizioni, possono esserci file lasciati su partizioni nascoste.

Se sei confortable con Linux, è molto facile distruggere un disco. Supponendo che il tuo disco sia su /dev/sdb , puoi fare ciò:

sudo dd if=/dev/zero of=/dev/sdb bs=65536 oflag=direct

Questo sovrascriverà l'intero disco con gli zeri, cancellando in modo efficace tutti i dati.

    
risposta data 27.08.2014 - 15:14
fonte

Leggi altre domande sui tag

Conservo i dati di passwordstore.org nel cloud. Le mie password sono al sicuro? Proxychains + nmap = errore di segmentazione