File Shredder — программа для безвозвратного удаления файлов. Удаление файлов гарантированное


Как удалить удаленные файлы с жесткого диска

Решая очистить жесткий диск, пользователи обычно используют форматирование или ручное удаление файлов из корзины Windows. Однако эти методы не гарантируют полного стирания данных, и при помощи специальных инструментов можно восстановить файлы и документы, которые ранее хранились на HDD.

Если есть необходимость полного избавления от важных файлов, чтобы никто другой не мог их восстановить, стандартные методы операционной системы не помогут. В этих целях используются программы для полного удаления данных, в том числе и удаленных обычными методами.

Безвозвратное удаление удаленных файлов с жесткого диска

Если файлы уже были удалены с HDD, но требуется стереть их безвозвратно, то необходимо воспользоваться специальным софтом. Подобные программные решения позволяют затереть файлы так, что впоследствии их будет невозможно восстановить даже при помощи профессиональных инструментов.

Если говорить вкратце, то принцип следующий:

  1. Вы удаляете файл «Х» (например, через «Корзину»), и он скрывается из поля вашей видимости.
  2. Физически он остается на диске, но ячейка, где он хранится, помечается свободной.
  3. При записи на диск новых файлов, помеченная свободной ячейка задействуется, и происходит затирание файла «Х» новым. Если же ячейка при сохранении нового файла не использовалась, то удаленный ранее файл «Х» продолжает находиться на жестком диске.
  4. После многократной перезаписи данных на ячейке (2-3 раза) удаленный изначально файл «Х» окончательно прекращает существовать. Если файл занимает больше места, чем одна ячейка, то в таком случае речь идет только о фрагменте «Х».

Следовательно, вы и сами можете удалить ненужные файлы так, чтобы их нельзя было восстановить. Для этого надо 2-3 раза записать на все свободное пространство любые другие файлы. Однако такой вариант очень неудобен, поэтому пользователи обычно отдают предпочтение программным инструментам, которые, используя более сложные механизмы, не дают восстановить удаленные файлы.

Далее мы рассмотрим программы, которые помогают это сделать.

Способ 1: CCleaner

Известная многим программа CCleaner, предназначенная для очистки жесткого диска от мусора, еще и умеет надежно удалять данные. По желанию пользователя можно очистить весь накопитель или только свободное пространство одним из четырех алгоритмов. Во втором случае все системные и пользовательские файлы останутся нетронутыми, а вот незанятое место будет надежно затерто и недоступно для восстановления.

  1. Запустите программу, перейдите во вкладку «Сервис» и выберите параметр «Стирание дисков».

  2. В поле «Стирать» выберите вариант, который вам подходит: «Весь диск» или «Только свободное место».

  3. В поле «Способ» рекомендуется использовать DOD 5220.22-M (3 прохода). Считается, что именно после 3 проходов (циклов) происходит полное уничтожение файлов. Однако это может занять продолжительное время.

    Вы также можете выбрать метод NSA (7 проходов) или Гутманн (35 проходов), метод «простая перезапись (1 проход)» менее предпочтителен.

  4. В блоке «Диски» установите галочку рядом с тем накопителем, который желаете очистить.

  5. Проверьте правильность введенных данных и нажмите на кнопку «Стереть».

  6. По завершении процедуры вы получите винчестер, с которого будет невозможно восстановить никакие данные.

Способ 2: Eraser

Программа Eraser, как и CCleaner, проста и бесплатна для использования. Она умеет надежно удалять файлы и папки, от которых хочет избавиться пользователь, в довесок к этому очищает свободное дисковое пространство. Пользователь может выбирать один из 14 алгоритмов удаления на свое усмотрение.

Программа встраивается в контекстное меню, поэтому, кликнув по ненужному файлу правой кнопкой мыши можно сразу же отправить его на удаление в Eraser. Маленький минус — отсутствие русского языка в интерфейсе, однако, как правило, достаточно базовых знаний английского.

Скачать Eraser с официального сайта

  1. Запустите программу, нажмите по пустому блоку правой кнопкой мыши и выберите параметр «New Task».

  2. Нажмите на кнопку «Add Data».

  3. В поле «Target Type» выберите то, что хотите затереть:

    File — файл;Files on Folder — файлы в папке;Recycle Bin — корзина;Unused disk space — незанятое дисковое пространство;Secure move — перемещение файла (-ов) из одной директории в другую так, чтобы в исходном месте не осталось никаких следов переносимой информации;Drive/Partition — диск/раздел.

  4. В поле «Erasure method» выберите алгоритм удаления. Самый популярный – это DoD 5220.22-M, но вы можете воспользоваться любым другим.

  5. В зависимости от выбора объекта для удаления, блок «Settings» будет меняться. Например, если вы выбрали очистку незанятого пространства, то в блоке настроек появится выбор диска, на котором нужно провести зачистку свободного места:

    При очистке диска/раздела будут отображены все логические и физические накопители:

    Когда все настройки будут произведены, нажмите на «ОК».

  6. Создастся задача, где вам нужно будет указать время ее выполнения:

    Run manually — ручной запуск задачи;Run immediately — немедленный запуск задачи;Run on restart — запуск задачи после перезагрузки ПК;Recurring — периодический запуск.

    Если вы выбрали ручной запуск, то начать выполнение задачи можно, кликнув по ней правой кнопкой мыши и выбрав пункт «Run Now».

Способ 3: File Shredder

Программа File Shredder по своему действию похожа на предыдущую, Eraser. Через нее также можно безвозвратно удалять ненужные и конфиденциальные данные и затирать свободное место на HDD. Программа встраивается в Проводник, и может вызываться правым кликом мыши по ненужному файлу.

Алгоритмов затирания здесь только 5, но этого вполне достаточно для безопасного удаления информации.

Скачать File Shredder с официального сайта

  1. Запустите программу и в левой части выберите «Shred Free Disk Space».

  2. Откроется окно, которое предложит выбрать накопитель, нуждающийся в зачистке от хранящейся на нем информации, и метод удаления.
  3. Галочкой выберите один или несколько дисков, с которых нужно стереть все лишнее.

  4. Из методов зачистки можете воспользоваться любым желающим, например, DoD 5220-22.M.

  5. Нажмите «Next», чтобы начать процесс.

Примечание: Несмотря на то, что пользоваться подобными программами очень просто, полного удаления данных это не гарантирует, если затирается только часть диска.

Например, если есть необходимость удалить без возможности восстановления изображение, но при этом в ОС включено отображение эскизов, то простое удаление файла не поможет. Знающий человек сможет восстановить его, используя файл Thumbs.db, хранящий в себе эскизы фото. Аналогичная ситуация обстоит и с файлом подкачки, и другими системными документами, хранящими в себе копии или эскизы каких-либо данных пользователя.

Способ 4: Многократное форматирование

Обычное форматирование винчестера, естественно, не удалит никакие данные, а лишь скроет их. Надежный способ удалить все данные с жесткого диска без возможности восстановления — проведение полного форматирования со сменой типа файловой системы.

Так, если у вас используется файловая система NTFS, то необходимо проводить полное (не быстрое) форматирование в формат FAT, а затем снова в NTFS. Дополнительное можно провести разметку накопителя, поделив его на несколько разделов. После таких манипуляций шанс восстановления данных практически отсутствует.

Если работать предстоит с тем винчестером, куда установлена операционная система, то все манипуляции необходимо выполнять до загрузки. Для этого можно использовать загрузочную флешку с ОС или специальной программой для работы с дисками.

Разберем процесс многократного полного форматирования с изменением файловой системы и разбиением диска на разделы.

  1. Создайте загрузочную флешку с желаемой операционной системой или воспользуйтесь существующей. На нашем сайте вы можете найти инструкцию по созданию загрузочной flash с Windows 7, Windows 8, Windows 10.
  2. Подключите флешку к ПК и сделайте ее основным загрузочным устройством через BIOS.

    В AMI BIOS: Boot > 1st Boot Priority > Ваша flash

    В Award BIOS: > Advanced BIOS Features > First Boot Device > Ваша flash

    Нажмите F10, а затем «Y» для сохранения настроек.

  3. Перед установкой Windows 7 нажмите на ссылку «Восстановление системы».

    В Windows 7 вы попадаете в «Параметры восстановления системы», где нужно выбрать пункт «Командная строка».

    Перед установкой Windows 8 или 10 также нажмите на ссылку «Восстановление системы».

  4. В меню восстановления выберите «Поиск и устранение неисправностей».

  5. Затем «Дополнительные параметры».

  6. Выберите «Командная строка».

  7. Система может предложить выбрать профиль, а также ввести пароль от нее. Если пароль на учетную запись не установлен, пропустите ввод и нажмите «Продолжить».
  8. Если нужно узнать реальную букву накопителя (при условии, что установлено несколько HDD, или нужно отформатировать только раздел), в cmd наберите команду

    wmic logicaldisk get deviceid, volumename, size, description

    и нажмите Enter.

  9. Опираясь на размер (в таблице он в байтах), вы сможете определить, какая буква нужного тома/раздела настоящая, а не назначенная операционной системой. Это обезопасит от случайного форматирования не того накопителя.
  10. Для полного форматирования с изменением файловой системы напишите команду

    format /FS:FAT32 X: — если ваш жесткий диск сейчас имеет файловую систему NTFSformat /FS:NTFS X: — если ваш жесткий диск сейчас имеет файловую систему FAT32

    Вместо X подставьте букву вашего накопителя.

    Не дописывайте к команде параметр /q — он отвечает за быстрое форматирование, после которого восстановление файлов все еще может быть произведено. Вам необходимо провести исключительно полное форматирование!

  11. После завершения форматирования напишите команду из предыдущего шага еще раз, только с другой файловой системой. То есть, цепочка форматирования должна быть такой:

    NTFS > FAT32 > NTFS

    или

    FAT32 > NTFS > FAT32

    После этого установку системы можно отменить или продолжить.

Читайте также: Как разбить жесткий диск на разделы

Теперь вы знаете, как можно надежно и навсегда удалить важную и конфиденциальную информацию с HDD накопителя. Будьте внимательны, ведь в дальнейшем восстановить ее больше не получится даже в профессиональных условиях.

Мы рады, что смогли помочь Вам в решении проблемы. Задайте свой вопрос в комментариях, подробно расписав суть проблемы. Наши специалисты постараются ответить максимально быстро.

Помогла ли вам эта статья?

Да Нет

lumpics.ru

Как стереть данные так, чтобы их не смогли восстановить спецслужбы? / Блог компании Storelab Data Recovery / Хабр

Восстановление и уничтожение данных — две стороны одной медали. Чтобы знать, когда и как можно вернуть себе информацию, надо понимать и как она может быть уничтожена безвозвратно. А в некоторых ситуациях бывает просто необходимо: например, уничтожение корпоративной информации при утилизации оборудования, уничтожение ваших личных данных при передаче диска в пользование друзьям или продаже, а может быть вы раз и навсегда хотите удалить историю переписки с любовницей ;) Считается, что лучшие специалисты по восстановлению данных работают в спецслужбах, поэтому мы сформулировали вопрос именно таким образом: как уничтожить информацию с диска так, чтобы её не восстановили ни копы из отдела «К», ни Q из Джеймса Бонда, ни даже наши специалисты из StoreLab.

Уничтожение данных программным методом
Если вы хотите ещё использовать жёсткий диск после уничтожения данных, и никуда не тропитесь, то стоит посмотреть в сторону программных методов удаления данных.
Полная перезапись диска
Существует много алгоритмов для уничтожения данных через полную перезапись диска. Но все они сводятся к N-кратному форматированию и записи на него двоичных единиц, нулей и псевдослучайных чисел. Так как скорость записи на диск обычно не превышает 70 MB/s, то вооружившись калькулятором мы посчитаем, сколько нам потребуется времени? Формула достаточно простая: Объём диска (MB) / Скорость записи * Количество циклов = Секунды; 500000 / 70 * 7 = 50000 (сек.). Из этого мы можем сделать вывод, что диск объёмом в 500 GB будет “стираться” около 13 часов. Но стоит ли нам использовать 7 циклов перезаписи? Современные носители информации не оставляют остаточной намагниченности после перезаписи данных. Поэтому нам хватит и одного цикла. Значит времени нам понадобится не 13 часов, а всего лишь 1.5. Операционные системы имеют инструменты для полного удаления файлов.

Windows:

format c: Вместо "c:" необходимо указать букву логического раздела.Для Windows Vista и старше, предыдущие поколения Windows удаляют только служебную информацию.

Linux:

dd if=/dev/zero of=/dev/sda bs=4k Вместо "/dev/sda" необходимо указать адрес устройства для форматирования.
Частичная перезапись данных
Используя прямое подключение к жёсткому диску на нижнем уровне через API драйвера диска или собственный драйвер, можно быстро испортить информацию, перезаписывая промежутки данных псевдослучайными числами. Напрямую указывая адрес памяти, в который выполнять запись, мы не нуждаемся в полной перезаписи диска. Также через API драйвера диска можно получить адреса, в которых хранится информация, и перезаписывать только эту область памяти. Данный способ самый сложный в своём исполнении, но с другой стороны позволяет быстро уничтожить только конфиденциальную информацию, сохраняя работоспособность диска. Работа с драйвером предполагает 2 стадии. Первая — это получение адреса и длину данных, обычно один файл записан в разных местах на диске, поэтому мы получим массив адресов и массив длин. Второй шаг — это запись псевдослучайных чисел в данные области памяти, запись необходимо производить также через драйвер, для того, чтобы операционная система не заблокировала или не перенаправила запись данных в другую область диска.
Уничтожение данных вместе с диском
Усложним задачу: представим, что у нас нет времени на безопасное для диска уничтожение данных. В таком случае единственное что вам может помочь — уничтожение самого диска. А если быть точным, то нужно уничтожить только блины, на которые записывается информация.
Механическое уничтожение данных
На картинке показан жёсткий диск после помещения его в устройство для давления жётских дисков (EDR Solutions). Раз и навсегда уничтожить данные получится, если испортить блины жёсткого диска. Сложно и зачастую невозможно восстановить данные с поцарапанных дисков, не забудьте держать рядом с собой отвёртку, ведь вам придётся снять крышку жёсткого диска и ею же можно жёсткий диск поцарапать. Естественно, данные будут стёрты в тех местах, где была проведена царапина и смежных с ней. В остальных местах данные можно будет восстановить в лаборатории. Не жалейте свои силы на царапины, лёгкие полоски не уничтожат данные даже в местах, где побывала ваша отвёртка. А если погнуть блин, как показано на картинке, то ваши данные уже точно никем никогда не будут восстановлены.

Но уронить диск на пол будет недостаточно. Да, он не определится компьютером, но данные успешно восстановят в лаборатории. HDD диск не переживёт падения со стола, причём в выключенном состоянии высота безопасного падения больше, чем во время работы диска. SSD были разработаны с расчётом на такой случай, даже падение из окна первого-второго этажа не убьёт диск. Это достигается за счёт того, что в SSD нет подвижных элементов, все действия выполняет контроллер. Информация по прежнему может быть прочитана программным или непрограммным способом.

Современные диски сделаны из стекла с магнитным напылением. Достаточно снять крышку диска, вытащить магнитный диск и сломать его. Диск из стекла лёгко ломается, но стоит соблюдать меры безопасности, дабы не порезаться. Слом диска приведёт к разрушению всего слоя напыление и восстановить данные уже не представится возможным.

Физически
«То, что не убивает нас, делает нас сильнее.» Логично будет предположить и обратное: то, что не делает нас сильнее, убивает нас. Из предыдущей статьи вы могли узнать, что охлаждение диска отрицательно влияет на его работу. Но можно ли его так убить? Положив в морозильную камеру ваш носитель важной информации, вы его не убиваете. В ваших руках “бомба” замедленного действия — диск будет работать и с него можно будет прочитать информацию программным способом. Когда же диск сломается, то все данные без особого труда восстанавливаются в “чистой комнате”. А что диски думают о нагревании? Среди всех устройств диска нас интересуют только блины. Материал, которым покрыт блин, способен размагничиваться при температуре 450 °C. При нагревании магнитный слой должен окисляться и становиться зелёного цвета. Ещё один негативный для диска, но положительный для нас результат даёт температура более 660 °C. При такой температуре начинает плавиться алюминий — основа блина жёсткого диска. Температуру в 750 °C в домашних условиях можно получить от пламени свечи или горящей спички. Для достижения максимальной температуры необходимо пламя подставить самым краем к блину. Также размагнитить диск можно с помощью электромагнита, воздействуя на блин переменным магнитным полем с увеличением расстояния от магнита до диска. Для таких целей было разработано специальное оборудование «Устройства уничтожения информации». Воздействуя импульсами на жёсткие диски, они полностью размагничивают диск, что приводит к невозможности восстановить какие-либо данные на нём. Данные устройства уничтожают всё за 2-3 секунды.
Химически
Как вы уже, наверное, поняли, чтобы уничтожить данные — нужно уничтожить магнитный слой блина жёсткого диска. На диск достаточно вылить любой жидкости, которая способна изменять свойства ферромагнетиков. Чтобы изменить строение оксида хрома (ферромагнетик, которым покрывают блины жёстких дисков, — магнитный слой диска), необходимо вылить на него соляную кислоту или воду при температуре 100 °C.
Что ещё важно?
  • Если вам не требуется длительное хранение конфиденциальных данных — записывайте их на энергозависимую (оперативную) память, тогда вам не придётся беспокоиться об уничтожении.
  • Убедитесь, что с других носителей, на которых когда-либо была записана копия, нельзя восстановить ваши данные.
  • Будьте бдительны при передаче данных по сети. Используйте устройства криптографической защиты. Если ваша информация останется на сервере, то уничтожение её с вашего носителя никак не защитит её. В этом случае имеет смысл шифровать хранимую в облаке информацию специальным софтом.
Читайте так же: Надеемся, ваши данные всегда будут в безопасности!

habr.com

Гарантированное удаление файлов. - 10 Апреля 2014

Программа  Free File Wiper.

Не далее как вчера, по ссылке здесь я рассказал о программе Recuva, чьё предназначение – восстановление ранее удалённых или потерянных файлов. Программа Recuva справляется с этой задачей на оценку «отлично». И вот сегодня с утра получил на почту, аж два письма от посетителей сайтов, где они просили рассказать о программах, которые гарантированно удаляют файлы, без возможности их восстановления программами, подобными программе Recuva. Я выбрал для обзора программу под названием Free File Wiper. Почему? По трём причинам. Во-первых, программа Free File Wiper бесплатная, во-вторых, портативная, то есть, её не нужно устанавливать на компьютер. Она запускается без установки. В третьих, программу Free File Wiper удобно использовать, она встраивается в контекстное меню. Для того чтобы удалить какой-либо файл или папку, Вам нужно кликнуть по удаляемым файлу или папке правой кнопкой мыши, выбрать в контекстном меню пункт «Отправить» и далее кликнуть по значку прораммы Free File Wiper. Быстро и удобно.

Использование программы Free File Wiper.

Скачиваем программу Free File Wiper на официальном сайте разработчика по ссылке здесь.

Программа в архиве. Распаковываем её любым архиватором и папку с распакованной программой помещаем в удобное для Вас место, например, на Рабочий стол. Можно перенести программу и на флешку, повторюсь, программа Free File Wiper портативная, её можно запускать на любом компьютере без установки. Она может пригодиться Вам, например, на работе, для удаления компрометирующих файлов на служебном компьютере.Итак, запускаем программу. Она встраивается в контекстное меню.

О том что программа Free File Wiper запущена подскажет появившийся значок программы в трее.Теперь, если Вам понадобиться безвозвратно удалить какой-либо файл или целую папку, кликните по папке или файлу правой кнопкой мыши и выберите в контекстном меню пункт «Отправить», далее выбираем пункт «Free File Wiper»

Подтверждаем своё действие. После этого, выбранные файл или папка будут безвозвратно удалены.

Я решил провести эксперимент. Создал папку с файлами и удалил из папки созданные файлы программой Free File Wiper, после чего попытался их восстановить программой Recuva. Восстановить удалённые файлы не удалось. Программа Free File Wiper справилась со своей задачей.

Да, чуть не забыл, в программе Free File Wiper можно настроить количество проходов  (затираний). Для настройки количества затираний, кликните по значку программы Free File Wiper в трее (в правом нижнем углу экрана монитора, рядом с часами) правой кнопкой и в контекстном меню настройте количество проходов, как показано ниже.

 

<p>Подпишитесь на обновления RSS заголовков от: <a href="http://feeds.feedburner.com/http/halyavinru"></a><br/>Создано FeedBurner</p>

 

 

 

 

halyavin.ru

File Shredder — программа для безвозвратного удаления файлов

Если вы удалили файл из корзины, то это не значит, что его нельзя восстановить — существует большое количество специальных программ, позволяющих это сделать. Конечно, степень восстановления будет зависеть от того, как давно вы удалили файл, какого он размера, но все же теоретическая существует возможность 100% восстановления файла даже после форматирования жесткого диска. Поэтому для гарантированного, безвозвратного удаления файлов тоже нужно использовать специальные программы, безвозвратно уничтожающие данные без возможности их восстановления. Одной из таких программ является File Shredder.

File Shredder разработана несколько лет назад, как по мне, так она имеет уже устаревший интерфейс, но она работает, и работает хорошо, гарантируя 100% удаление любого файла. Для удаления файлов достаточно добавить их в окно программы, и запустить удаление.

В программе предусмотрено несколько вариантов удаления, использующих разные алгоритмы работы, от простейшего стирания файлов и удаления информации о файлах из файловой таблицы, и до многопроходного затирания кластеров, гарантирующего безвозвратное удаление. Чем сложнее алгоритм удаления, тем медленнее работает программа, но за то тем выше и гарантия безвозвратности восстановления.

File Shredder так же имеет возможность очистки свободного пространства всего логического раздела на жестком диске, что гарантирует, что ни один файл, удаленный до этого момента, не сможет быть восстановлен.

При очистке логического раздела вы так же можете использовать несколько алгоритмов удаления.

В настройках программы вы можете добавить пункт безвозвратного удаления в контекстное пеню проводника, указать алгоритм удаления, который будет использоваться по-умолчанию, настроить некоторые визуальные опции, сопровождающие работу программы.

Программа File Shredder работает в 32/64-битных версиях Windows XP, Windows Vista, Windows 7 и Windows 8, распространяется бесплатно.

Скачать File Shredder

123-box.ru

Гарантированное удаление ненужных файлов. Навсегда! - 23 Марта 2016

Программа Secure File Deleter.

Если Вы хотите удалить файл или папку с файлами без возможности их восстановить, то для этого нужно применять специальные программы, шредеры файлов. Ведь при удалении файлов через обычную «Корзину», они легко восстанавливаются программами для восстановления удаленных файлов, например, программой Recuva. Подробности об этой программе по ссылке здесь.Недавно «погонял» очередную программу для безвозвратного удаления файлов под названием Secure File Deleter. Понравилась. Спешу поделиться информацией о ней с посетителями сайта.Чем понравилась программа Secure File Deleter? В первую очередь, простотой в использовании, гибкими понятными настройками, относительным быстродействием и, конечно, эффективностью. Программа Secure File Deleter справляется со своей задачей на «отлично».Программа Secure File Deleter «затирает» содержимое удаляемого файла так, что при этом никто не сможет его восстановить даже с помощью специальных инструментов. Содержание удаленного файла перезаписывается, с использованием случайных данных. Алгоритм «перезаписи» можно выбрать в настройках программы (12 криптографических алгоритмов для обеспечения максимальной безопасности).Для большей надежности Вы можете повторять перезапись 1-50 раз (если вам нужна максимальная конфиденциальность), переименовать файл, используя случайное имя, сделать удаляемый файл «пустым», удаляя цепочку блоков MFT.

Программа Secure File Deleter умеет даже удалить информацию о времени создания, модификации и последнего доступа к удаляемому файлу.Последние дополнительные инструменты, думаю, для особо мнительных. На мой взгляд, достаточно и стандартных настроек удаления файлов.Скачать программу Secure File Deleter рекомендую на официальном сайте разработчика по ссылке здесь.

После скачивания установочного файла, запускаем установку программы Secure File Deleter.Установка стандартная.После установки программы, запускаем ее в работу. Да, рекомендую ярлык с адресом сайта разработчика удалить, иметь лишние ярлыки на Рабочем столе, ни к чему.

Ну, а как пользоваться программой, разберетесь и без меня. Она, повторюсь, очень простая. К тому же, изобилует кучей подсказок и интуитивно понятная.

Или.При желании, в настройках.

 

 

<p>Подпишитесь на обновления RSS заголовков от: <a href="http://feeds.feedburner.com/http/halyavinru"></a><br/>Создано FeedBurner</p>

 

halyavin.ru

Программа для безвозвратного удаления файлов и папок

Сегодня под мой «программный микроскоп» имела неосторожность попасть бесплатная программа для безвозвратного удаления файлов и папок под названием Alternate File Shredder.

Так ли она хорошо и надёжно распыляет различные компьютерные файлы на атомы, без возможности их восстановления любыми способами, методами и специальными программами, как заявляют производители? Давайте проверим.

Как полностью и надёжно удалить файл или папку

Несколько раз на страницах этого сайта я Вам описывал специальные программы для восстановления случайно удалённых файлов. С их помощью можно было вернуть данные даже после форматирования диска.

Но что если стоит задача полностью удалить файл или папку, без единого шанса на восстановление (плохими дядями и злыми тётями)… так, чтобы никакая Recuva, Hetman Partition Recovery или ФотоДОКТОР не смог воскресить их? Неужели нет таких программ?

Авторы Alternate File Shredder уверяют, что их суровый алгоритм полностью, надёжно и безвозвратно затрёт на диске любые данные, не оставив каких-либо следов и хвостиков. Проверяем это утверждение.

Запускаем программу и указываем файлы или папки для надёжного удаления…

«Число итераций» — это количество проходов. На ssd-дисках не советую злоупотреблять этой цифрой (хватит и одного прохода).

Facebook

Twitter

Мой мир

Вконтакте

Одноклассники

Google+

...

Жмём на кнопку «Уничтожить файлы» и подтвердив полное удаление…

(Упс, скрин с удалением другого файла)

…идём подавать документы в любую шпионскую организацию мира…

Проверяем надёжность удаления данных…

…программа Recuva ничего даже похожего на мой удалённый файл не нашла, но зато отыскала огромную кучу удалённых пару лет назад.

Другими реаниматорами данных проверять не стал — уверен, что результат будет тем же.

Скачать Alternate File Shredder

Программа для безвозвратного удаления файлов и папок Alternate File Shredder живёт по этому адресу — http://www.alternate-tools.com/

Её размер 909 кб. Вирусов и сложностей с установкой нет. Имеет многоязычный интерфейс (английский, испанский, французский, итальянский, русский, немецкий, корейский, чешский…). Работает в абсолютно любых версиях операционной системы Windows.

И последнее — не путайте Alternate File Shredder с удалялками программ. Это разные вещи. Герой этой статьи удаляет именно отдельные файлы и папки, а не деинсталлирует установленные ранее в компьютер программы.

P.S. Ещё прошу не разводить в комментариях холивар про то, что есть другие программы с подобной функцией надёжного безвозвратного удаления — конечно есть, но именно в этой статье была речь о Alternate File Shredder.

До новых полезных компьютерных программ и не забывайте удалять файлы за собой.

С уважением, Сергей Трофимов (не певец).

Поделитесь с друзьями в социальных сетях...

Facebook

Twitter

Мой мир

Вконтакте

Одноклассники

Google+

Рекомендую ещё посмотреть...

Я только обозреваю программы! Любые претензии - к их производителям!

Сообщения с ссылками проходят модерацию и публикуются с задержкой.

optimakomp.ru

Файлы-призраки: как криминалисты восстанавливают надежно удаленные данные?

Содержание статьи

Для следователя, проводящего анализ компьютера подозреваемого, всегда есть данные, представляющие особый интерес. Но некоторым кажется, что если перезаписать область, где находился файл, случайными данными, то восстановить уже ничего не удастся. Это правда, но лишь отчасти. Даже после такой перестраховки данные нередко удается извлечь!

Что происходит при удалении файла? Очень просто: в файловой системе для него меняется один атрибут, и таким образом он помечается как удаленный. При этом содержание файла по-прежнему остается на жестком диске, и его можно восстановить с помощью одной из множества платных и бесплатных программ (например, R-Studio). Мы много раз писали о том, как безопасно удалить файлы без возможности восстановления. Благо для этого разработано огромное количество утилит-шредеров, которые с помощью несложных методик перезаписывают участки диска, на которых были расположены удаленные данные. Таким образом даже при использовании технологий восстановления, при которых производится считывание данных непосредственно с магнитных носителей, восстановить удаленные файлы будет невозможно. В эффективности такого подхода нас заверяли даже настоящие профессионалы в области восстановления данных. Но — лазейки для извлечения информации у гуру все-таки есть!

 

Файлы изображений

Начнем с рассмотрения простого случая — удаления обычной фотографии. Допустим, у нас есть папка с фотографиями, и мы избавляемся от одной из них. Причем удаляем по всем правилам, перезаписав нужную область диска несколько раз. По идее больше ничего не должно выдавать ее существования (если мы сами до этого не скопировали ее в другую папку и не забыли про это). Но тут-то как раз многие и забывают об одной особенности Windows — файле Thumbs.db. Это специальное хранилище, используемое операционной системой, в котором находятся эскизы изображений из текущей папки. Если в проводнике выбрать режим отображения «Эскизы страниц», то операционка будет брать уменьшенные превьюшки изображений как раз из этого файла. Он создается в каждой папке, в которой есть картинки, и содержит уменьшенные эскизы изображений в формате JPEG (вне зависимости от формата исходного изображения).

Проведем небольшой эксперимент — создадим папку и поместим туда три любых картинки. Теперь откроем эту директорию в проводнике — появился Thumbs.db (чтобы увидеть этот файл, надо включить отображение скрытых файлов). Мы можем просмотреть и проанализировать его с помощью утилиты Thumbnail Database Viewer. Программа, как и положено, показывает эскизы для всех трех файлов. А теперь удалим один из них с помощью программы SDelete или любой другой программы для безопасного удаления данных:

sdelete.exe -p 2 file1.jpg

Параметр р отвечает за количество проходов шредера, то есть указывает, сколько раз файл будет перезаписан перед удалением. В результате изображение будет безвозвратно стерто с жесткого диска. Но посмотрим, повлияло ли как-то это удаление на Thumbs.db? Заново открываем его, и что мы видим? Эскиз для удаленной картинки по-прежнему на месте! Получается, что файл легко может содержать эскизы уже удаленных изображений. И на этом, как мне рассказывали, попался не один умный человек…

Как этого избежать? Очень просто — нужно просто отключить кэширование эскизов в файлах Thumbs.db. На Windows XP необходимо установить для ключа DisableThumbnailCache в разделе HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionExplorerAdvanced значение «1». В Windows 7 этот ключ имеет имя NoThumbnailCache и находится в HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesExplorer. И, само собой, важно не забыть удалить все Thumbs.db.

 

Файл подкачки

Подставы со стороны операционной системы на одном только файле с эскизами не заканчиваются. По мере работы с документом информация о нем попадает в различные части ОС — временную папку, реестр и так далее. Поэтому очень трудно отследить и удалить все связанные с файлом данные. Вдобавок ко всему, есть места, где копия файла может оказаться совершенно случайно (иногда такая случайность может стоить очень дорого). Я говорю о файле подкачки (pagefile.sys) и свопе памяти, используемом во время режима Hibernation (hiberfil.sys). Предсказать содержимое файла подкачки заведомо невозможно, и тут никто ничего не может гарантировать. Предлагаю еще на одном эксперименте убедиться в том, что это — опасное место.

Поскольку просмотреть или скопировать файл подкачки операционная система просто так не дает, то у нас есть два варианта: задействовать специальные утилиты или же загрузиться в другую операционку и получить доступ к файлу из нее. Мне второй способ показался более простым, так как под рукой был Back Track, начиненный различными утилитами, в том числе и для восстановления файлов. Поэтому, загрузившись с LiveCD, я смонтировал виндовый раздел и пошел в раздел «BackTrack->Forensic», откуда запустил утилиту Foremost. Эта замечательная консольная прога умеет восстанавливать файлы исходя из их заголовков и внутренней структуры. Необходимо лишь передать имя входного файла, в котором будет осуществляться поиск, и указать директорию, куда будут сохранены все найденные данные:

#foremost -i /mnt/hda1/pagefile.sys -o /root/Desktop/page_file -v -q

В качестве входного файла я указал файл подкачки /mnt/hda1/pagefile.sys, а директорию для сохранения результатов — /root/Desktop/page_file. Программа начала свою работу. За короткое время Foremost сумел найти и извлечь 524 файла.

Статистика извлеченных файлов:jpg:= 73gif:= 4gif:= 19jpg:= 77jpg:= 95doc:= 1pgp:= 65pgp:= 62pgp:= 44pgp:= 36dat:= 7lnk:= 3cookie:= 38

Утилита удобно отсортировала все файлы по типу и разложила по разным папкам. Первым делом я полез проверять, что же попало в папку jpg. Из всех восстановленных файлов около половины отказалось отображаться, зато другая — отлично просматривалась. И чего только не было среди картинок: пара фоток, которые я не так давно удалил; много мелких изображений с веб-сайтов; аватарки друзей из Facebook и прочее. Честно сказать, я не планировал обнаружить так много изображений. Кроме картинок мне хотелось еще узнать, что за единственный doc-файл, который попал в файл подкачки. Но, к сожалению, Word лишь ругнулся, что файл попорчен и не смог его открыть. Неожиданный сюрприз ждал меня в папке cookie — бегло пролистав несколько файлов, я обнаружил адреса роликов, которые я смотрел чуть ли не год назад на YouTube. Вот и еще одно доказательство, что даже удалив в браузере все куки и историю, все равно можно проколоться.

Что тут можно сделать? Есть несколько вариантов. Первый — отключить вообще файл подкачки. Для этого надо зайти в «Control Panel-> System and Security-> System-> Advanced System Settings-> Performance-> Advanced-> Virtual Memory-> Change» и выбрать опцию «No paging file». Второй вариант — заставить операционную систему затирать все данные в файле подкачки перед выключением компьютера. Такой режим активируется, если установить для ключа ClearPageFileAtShutdown в разделе HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ControlSession ManagerMemory Management значение «1». К сожалению, второй метод очень медленный, и выключение системы будет занимать достаточно длительное время, так что применять его на практике или нет — решай сам. Аналогичная ситуация и с файлом hiberfil.sys. Его также можно попросту отключить, что сэкономит дополнительное место на диске.

Кстати, исследовать файл подкачки можно и под виндой. Но так как операционная система не дает его просмотреть и скопировать с помощью штатных средств, нам понадобится программка FTK Imager. Переходим в раздел «File-> Add Evidence Item» и указываем диск, где находится файл подкачки. На панели слева отобразится дерево каталогов, где необходимо выбрать pagefile.sys и воспользоваться функцией экспорта через контекстное меню. Файл подкачки без проблем скопируется в указанную нами папку, и никакие блокировки системы с этого момента не помешают его анализировать. Для анализа, кстати, можно воспользоваться DiskDigger или PhotoRec. Первая — проще, но вторая умеет восстанавливать более широкий круг различных форматов файлов.

 

Дефрагментация

Перейдем к следующей причине появления файлов-призраков. Чтобы было наглядней и понятней — опять же проведем небольшой эксперимент. Для него нам понадобится флешка и умение обращаться с WinHex’ом. Сначала обеспечим условия для опыта, удалив все данные с флешки. Для этого запустим WinHex, отдадим команду Open Disk и в появившемся окне выберем наш девайс. После открытия полностью выделяем все его содержимое (Ctrl+A) и забиваем нулями (Ctrl+L). Одно замечание — процесс перезаписи занимает достаточное количество времени, так что рекомендую взять флешку поменьше. С этого момента на драйве нет данных и, более того, нет файловой системы. Так что следующим шагом будет форматирование флешки в NTFS. По умолчанию Windows XP дает форматировать флешку только в FAT, но для наших манипуляций требуется NTFS. Чтобы операционная система позволила отформатировать устройство в нужную нам файловую систему, необходимо зайти в диспетчер устройств, найти там флешку и в параметрах установить опцию «Optimize for performance». После этого винда сможет отформатировать флешку в NTFS.

Цель нашего опыта — посмотреть, что происходит с файлами во время дефрагментации. Для этого создадим искусственную фрагментацию на нашем носителе информации. Возьмем три любых jpeg-файла и три каких-нибудь аудиофайла или видеоклипа (главное, чтобы их размер был больше jpeg’ов) и скопируем их на флешку в следующем порядке: 1.mp3, 1.jpg, 2.mp3, 2.jpg, 3.mp3, 3.jpg.

Интересно, как же они расположились на диске? Чтобы посмотреть это, воспользуемся тулзой DiskView от Марка Руссиновича. Она выводит графическую схему диска, на которой можно определить местоположение данных или узнать, какой файл занимает те или иные кластеры (для этого нужно щелкнуть на кластер мышью). Двойной щелчок позволяет получить более подробную информацию о файле, которому выделен кластер. Запускаем программу, выбираем нашу флешку и нажимаем <Refresh>. Сначала идет зеленая полосочка, обозначающая системные кластеры, а вот сразу за ней — область синих кластеров, представляющих наши файлы, записанные друг за другом. Теперь создадим фрагментацию, удалив все аудиофайлы. Снова нажимаем <Refresh> и видим, что перед каждым jpeg-файлом есть пустая область. Теперь ненадолго переключимся в WinHex. Чтобы еще раз убедиться, что на флешке нет никаких лишних графических файлов, проведем поиск по сигнатуре: ищем последовательность «jfif», присутствующую в заголовке любого jpeg-файла. В итоге редактор, как и ожидалось, нашел ровно три таких последовательности, по числу оставшихся файлов.

Ну что ж, пришло время навести порядок: не дело, когда файлы вот так разбросаны по диску :). Запускаем дефрагментацию, столь любимую пользователями, для нашего носителя:

C:Documents and SettingsAdministrator>defrag h:Windows Disk DefragmenterCopyright (c) 2001 Microsoft Corp. and Executive Software International, Inc.

Analysis Report7,47 GB Total, 7,43 GB (99%) Free, 0% Fragmented (0% file fragmentation)

Defragmentation Report7,47 GB Total, 7,43 GB (99%) Free, 0% Fragmented (0% file fragmentation)

Дефрагментация прошла, посмотрим, что изменилось на флешке. Жмем на <Refresh> в программе DiskView, и что мы видим? Файлы, которые располагались на расстоянии друг от друга, аккуратно перенесены в начало диска, и располагаются строго последовательно. А теперь внимание! Дефрагментация скопировала файлы в начало диска, расположив их последовательно, но перезаписала ли она их предыдущую копию нулями? Чтобы ответить на этот вопрос, опять обратимся к мощному шестнадцатиричному редактору. Снова проведем поиск по «jfif». Оп-па, теперь вместо трех найденных строк получаем целых шесть! И это может означать только одно — теперь каждый файл представлен в двух экземплярах. Любой из них легко восстанавливается с помощью DiskDigger’a или Photorec’a. А теперь представь, что вместо графических файлов у нас были какие-то конфиденциальные документы или файлы с данными по кредиткам. Даже если бы мы использовали утилиты типа Sdelete и переписали перед удалением эти три файла сотни раз, их призраки все равно остались бы на диске и существовали там неопределенно долгое время. До тех пор, пока не будут перезаписаны чем-либо еще. И все это время их можно будет восстановить!

 

Правда и мифы о магнитной микроскопии

Очень часто люди впадают в две крайности. Одни откровенно забивают на свою безопасность и хранят на винте всю компрометирующую информацию, будучи уверенными, что <Shift+Delete> их спасет. Другие же, наоборот, каждый день затирают винт и заново устанавливают операционку. Быть может, я утрирую. Тем не менее, довольно часто приходится читать в Сети споры о том, сколько же раз надо перезаписать винт, чтобы информацию невозможно было восстановить. Предлагаю опытным путем выяснить, хватит ли одной полной перезаписи, чтобы безвозвратно удалить все данные. Итак, опять возьмем нашу подопытную флешку и полностью перезапишем ее нулями, после чего отформатируем в NTFS. Для проверки закинем на нее какой-нибудь файл: пусть это будет опять же JPEG. Его легко можно найти в WinHex’е по сигнатуре «jfif». У меня он расположился по смещению 274432. Ну что ж, запустим шредер (я юзал HDD Wipe Tool) и затрем весь диск. Теперь, если посмотреть в WinHex, что расположилось по смещению 274432, то мы увидим только нули. Для успокоения и большей уверенности можно попробовать восстановить данные с помощью DiskDigger, Photorec, Foremost и прочих утилит. Но это заведомо пустая трата времени — ничего у них не выйдет.

«Хорошо, — скажешь ты, — а как же насчет серьезных приборов, имеющихся у компетентных органов, которые умеют восстанавливать данные?» Ну что ж, давай поговорим о магнитной микроскопии. Суть метода в том, чтобы определить состояние каждого бита до его перезаписи. То есть, был ли он равен единице или нулю. Возьмем текст в кодировке ASCII. Каждый символ кодируется восемью битами таким образом, что если даже всего один бит восстановлен неверно — получается совсем другой символ. Например, есть последовательность символов «anti», выглядящая в бинарном виде следующим образом: 01100001011011100111010001101001. Предположим, что магнитная микроскопия правильно определила все биты, кроме последнего — в результате такого восстановления мы получаем последовательность «anth». Неувязочка получается. И это мы говорим о простейшем текстовом файле. Представь, что будет в случае со структурированными форматами — такими как архивы, файлы БД, исполняемые файлы и так далее. Вдобавок к этому метод достаточно медленный и дорогой. Так что во многих случаях использование магнитной микроскопии дает такой же точный результат, как и восстановление путем подбрасывания монетки на «орел-решка». Поэтому нет никакой необходимости по три раза перезаписывать диск.

 

Лучшая защита — это нападение

Что можно сделать, чтобы усложнить жизнь людям, к которым может попасть для экспертизы твой компьютер? Тут есть несколько вариантов. В случае, если на компьютере нашли «интересный» файл, время его создания будет веским доказательством против его владельца. Чтобы проследить цепь событий, эксперты опираются также на время создания/доступа/модификации файла. Так почему бы не запутать следы? На сайте metasploit.com есть такая замечательная утилита, как Timestomp, которая позволяет менять время создания, модификации или доступа для заданного файла. Основные опции для ее использования:

-m <date> задает дату последней модификации файла-a <date> задает дату последнего доступа к файлу-c <date> задает время создания файла-e <date> задает время модификации файла, хранящееся в MFT-z <date> задает четыре вышеперечисленных параметра

Дата задается в следующем виде: DayofWeek MonthDayYear HH:MM:SS [AM|PM].

Есть еще очень интересная опция -b, которая устанавливает вышеперечисленные атрибуты таким образом, что известная в кругах компьютерных криминалистов программа EnCase их не видит и отображает пустыми :).

Таким образом, чтобы поменять атрибуты файла, достаточно выполнить в консоли команду:

c:>timestomp.exe boot.ini -z "sunday 1/12/2099 10:00:00 pm"

Легко можно набросать скриптик, который будет рекурсивно менять временные атрибуты файлов. Простейший вариант выглядит так:

for /R c:tools %i in (*) do timestomp.exe %i -z "monday 3/12/2009 10:00:00 pm"

Есть и другие способы подпортить жизнь товарищам-исследователям чужих HDD. В своей работе они используют программы, написанные обычными людьми, а потому — содержащими ошибки. Да-да, мы можем использовать уязвимости программного обеспечения, применяемого для поиска улик. Подробней об этом можно почитать в одном из докладов с конференции DefCon.

 

Заключение

«Безопасное удаление данных» – это не панацея. Смею тебя заверить, что описанные лазейки — не единственные в своем роде. И тот, кто по роду деятельности проводит экспертизы компьютеров на профессиональном уровне, знает, где и как найти необходимые ему данные. Теперь твоя безопасность в твоих руках — не дай «охотникам за приведениями» найти ни одного «призрака» на твоем компе. А еще лучше — не давай им повода приходить к тебе в гости :).

 

Программы для безопасного удаления данных:

xakep.ru