Как удалить данные без возможности восстановления. Как удалить с компьютера данные без возможности восстановления


Удаление файлов без возможности восстановления: лучшие способы

Систематически пользователю приходится удалять различные файлы. Отправка в корзину, а затем её очистка являются стандартом, но удаленные таким образом файлы несложно восстановить. Более продвинутые пользователи применяют метод перезаписи — на место старой информации несколько раз записывается другая, хотя это не всегда помогает. В данной статье рассматривается удаление файлов без возможности восстановления.

Удаление файлов без возможности восстановления

Программные способы удаления

Существует два способа. Первый заключается в использовании стороннего софта. Второй — в ручной очистке системы.

Уничтожение данных на жестком диске специальными программами.

SDelete

Программа компании Microsoft, работающая с командной строкой Windows.

  1. Скачайте и установите утилиту.
  2. Комбинацией клавиш Win+R откройте окно «Выполнить», впишите в появившуюся строку cmd или cmd.exe и нажмите «ОК» или Enter.
  3. В открывшейся командной строке введите путь к папке, в которую установлена программа. Для этого необходимо написать «cd путь», затем вновь нажмите Enter.
  4. Следующий шаг — удаление. Введите команду sdelete и через пробел укажите путь к файлам, которые необходимо уничтожить.

По окончании процесса в строке будет сообщено об успешном удалении, после чего можно будет закрыть командную строку.

Recuva

Данная утилита обычно помогает пользователю вернуть утраченные файлы, но у неё так же есть возможность удаления файлов без возможности восстановления.

  1. Первый шаг — удаление файлов через корзину. Можно пропустить этот шаг, удаляя их комбинацией клавиш Shift+Delete.
  2. Далее необходимо запустить восстановление файлов в программе.
  3. В типах файлов следует выбрать «Прочие». Затем необходимо указать папку, в которой находились файлы до удаления.
  4. Поставьте галочку напротив «углубленного анализа» и начните процесс.
  5. После обнаружения удаленных файлов перейдите в расширенный режим, затем в настройки.
  6. В первой вкладке «Общие» выберите 35 циклов в «Надежном удалении» и нажмите «ОК».
  7. Выберите файлы, кликните правой кнопкой мыши и нажмите на «Надежно удалить отмеченные». Подтвердите процесс.
  8. В конце проверьте наличие удаленных данных в программе. Если они остались — повторите предыдущие шаги.

Far Manager

Это файловый менеджер, который имеет функцию «уничтожение».

  1. Выберите файлы и нажмите комбинацию клавиш Alt+Delete.
  2. Подтвердите действие.

Программа действует схоже с Recuva, но несколько другим алгоритмом.

Eraser HDD

Это специальная утилита, предназначенная для полного стирания жесткого диска, так как удалить файлы с компьютера без возможности восстановления можно и другими способами. Программа выполняет строго указанное действие, поэтому необходимо загрузить её портативную версию и запустить со второго винчестера или со съемного диска. Установка не требуется.

  1. Запустите приложение
  2. Пройдите в меню Пуск в утилите, среди обнаруженных дисков выберите тот, который необходимо очистить и нажмите «применить».
  3. Появится предупреждение. Будьте уверены в своем выборе, поскольку процесс нельзя прервать, а на выходе у вас будет пустой диск, на котором невозможно будет хоть что-то восстановить.

Удаляем файл с компьютера вручную

!Рекомендуется только для опытных пользователей

1. Даже удаление изображения займет некоторое время из-за особенности ОС Windows. Она сохраняет уменьшенные копии, эскизы, всех картинок в формате JPEG в специальной папке Thumbs.db. Эта директория скрыта. Можно избежать создания эскизов изображений в данной директории. Для этого необходимо найти в реестре раздел HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesExplorer, и у ключа NoThumbnailCache поставить значение 1, после чего следует удалить все директории Thumbs.db.

2. Файлы, в течение работы с ними, могут попадать в различные части системы и даже оставлять свои копии. Например в файле подкачки — pagefile.sys. Убедиться в отсутствии данных в файле подкачки можно с помощью стороннего софта или загрузкой в другой ОС на том же устройстве. Для этого необходимо с помощью LiveCD загрузиться в другую систему, затем программой Back Track запустить утилиту Foremost. Введите следующую команду:

#foremost -i /mnt/hda1/"имя файла подкачки" -o /root/"директория для сохранения обнаруженных данных" -v -q

И запустить её. Программа обнаружит и отсортирует файлы по их расширению.

Для защиты приватных данных можно отключить файл подкачки. Зайдите в Панель управления -> Система и безопасность -> Система -> Дополнительные параметры системы -> Быстродействие -> Дополнительно -> Виртуальная память -> Изменить. Далее следует снять галочку и внизу выбрать пункт «Без файла подкачки».

3. Файлы могут не до конца стираться при дефрагментации переносного устройства для хранения данных: после процесса информация переносится в верхнюю часть диска и упорядочивается, но её копия не затирается. Даже после очистки съемного носителя их можно будет восстановить. Используйте любой из перечисленных выше способов для полного удаления файлов.

В заключение следует отметить, что безвозвратное удаление файлов не является панацеей, хотя за конфиденциальностью стоит следить. Существуют неописанные выше варианты обнаружения скрытых копий файлов. С такими принципами знакомы только эксперты, знакомые с устройством компьютера на высочайшем уровне. С перечисленными выше методами безопасность ваших данных от постороннего вмешательства ложится на ваши плечи, хотя абсолютной защиты не существует.

comments powered by HyperComments

hddiq.ru

Как удалить файлы без возможности восстановления

Если вы прочли мою статью «Как восстановить удаленные файлы», то вы уже знаете, что физически удалить данные с компьютера не так то просто. Впоследствии их довольно легко восстановить. Сегодня же я научу вас удалять файлы без возможности их последующего восстановления.

У некоторых читателей может возникнуть вопрос, для чего это вообще может понадобиться. Причины могут быть самые различные. Но наиболее популярный вариант – продажа старого компьютера (или просто цифрового носителя, вроде флешки или жесткого диска). Ведь мало кому захочется, чтобы личные документы, фотографии или видеозаписи попали в руки посторонних людей.

А кое-кто из пользователей еще и хранит на компьютерах файлы с паролями от различных интернет-ресурсов. Представьте на секунду, что у кого-то оказались данные для доступа к вашему аккаунту на проекте «Яндекс.Деньги» или ему подобном.

Между тем, удалить данные так, чтобы их нельзя было восстановить, вполне можно. Для этого нам понадобится специальное программное обеспечение. Принцип его действия, как правило, заключается в том, что оно забивает кластеры с фрагментами файла, который необходимо удалить, произвольной информации. То есть, физически его перезаписывает. В итоге, если даже файл обнаружится восстанавливающей программой, восстановить его она не сможет.

Поскольку приоритетными для нас являются бесплатные программы, мы обратимся к уже знакомой нам программе Recuva, которая имеет бесплатную версию и умеет не только восстанавливать удаленные файлы, но и надежно их удаляет.

Итак, чтобы надежно стереть данные, для начала просто удаляем их. Для этого лучше всего выделить подлежащие удалению файлы и нажать комбинацию кнопок Shift+Del. Использование клавиши Shift позволяет удалить файл, без помещения его в корзину.

Теперь запускаем программу Recuva и ищем удаленные нами файлы. Как это сделать, подробно описано в статье «Как восстановить удаленные файлы». Только вот восстанавливать их мы не станем.

Выполните процедуру поиска удаленных файлов, как это описано в указанной статье (лучше искать не в конкретной папке, а по всему диску, так как файл ранее мог перемещаться). Должен получиться список удаленных файлов. Нажмите кнопку «Перейти в расширенный режим».

Окно изменит вид. Как видите, появилась кнопка «Настройки». Нажмите ее.

 

В настройках нас интересует пункт «Надежное удаление». Мы должны выбрать количество циклов перезаписи удаленных файлов. Чем этих циклов больше, тем больше гарантии, что удаленный файл невозможно будет восстановить, но это займет больше времени. На мой взгляд, лучше действовать наверняка и выбирать максимальное количество циклов. Ведь нам нужен положительный результат, иначе зачем бы мы вообще за это брались, не так ли? Выбираем устраивающие нас параметры и жмем «Ок».

 

Отмечаем файлы, которые нам необходимо надежно удалить, нажимаем правую кнопку мыши и в появившемся контекстном меню выбираем пункт «Надежно удалить отмеченные».

На вопрос, действительно ли мы хотим уничтожить эти файлы, отвечаем положительно. И ждем окончания процедуры надежного удаления файлов, после чего нажимаем «Ок».

 

Вот и все. Чтобы проверить, как все прошло, вы можете попытаться восстановить ваши данные, руководствуясь статьей «Как восстановить удаленные файлы». Более того, если вы использовали малое количество циклов перезаписи, я настоятельно рекомендую это сделать, чтобы убедиться, что ваши файлы действительно надежно удалены.

Если процесс восстановления не удался, то вы все сделали правильно. Если же какие-то файлы все же удалось восстановить, повторите процедуру заново, не скупясь на количество циклов перезаписи.

Если моя статья оказалась для вас полезной, посоветуйте пожалуйста ее своим друзьям с помощью кнопок социальных сетей или просто поделившись ссылкой.

Вы можете присылать свои вопросы для рубрики «Бесплатная помощь» по адресу: admin@cherev.ru. В теме письма пишите «Бесплатная помощь».

При перепечатке материалов активная ссылка на сайт cherev.ru обязательна.

 

cherev.ru

Как удалить данные без возможности восстановления

В этой статье Софтодром рассказывает о том, что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить.

Как происходит удаление данных

Когда вы удаляете какие-либо файлы в Windows обычным способом, т.е. путем отправки этих файлов в Корзину, они на самом деле не удаляются, а остаются на жестком диске компьютера, даже после очистки Корзины. То же самое происходит не только в Windows, но и в любой другой популярной операционной системе, включая Android и iOS.

Дело в том, что когда вы удаляете какие-либо данные, операционная система формально помечает эти данные как удаленные и вам их больше не показывает. Но на самом деле эти данные остаются в операционной системе (они так и называются: остаточные данные или остаточная информация), и их можно восстановить либо полностью, либо частично с помощью специальных приложений для восстановления данных.

По крайней мере, восстановление будет возможным до тех пор, пока операционная система не запишет какие-либо другие данные на то место, где физически расположены те данные, которые вы якобы удалили.

Зачем нужно безвозвратное удаление данных

Могут быть различные ситуации, когда вам может потребоваться удалить данные с компьютера таким образом, чтобы их невозможно было восстановить. Например, это могут быть какие-либо конфиденциальные файлы, которые необходимо уничтожить. Или же это могут быть какие-либо компрометирующие вас данные, которые вы хотите удалить так, чтобы их невозможно было восстановить.

Любая операционная система, в том числе Windows, macOS, Android и iOS, хранит огромное количество информации обо всех действиях пользователя. В том числе в системе хранится информация о том, какие приложения вы запускали, какие файлы открывали, какие фото и видео смотрели, какие тексты читали и многое другое. Помимо этого, если для просмотра сайтов вы используете не портативную версию браузера, а обычную (как это и делает большинство людей), то в операционной системе также хранится история просмотров, содержащая информацию о том, какие сайты вы посещали, какие файлы загружали и многое другое.

Даже если вы регулярно очищаете кэш браузера, удаляя историю просмотров, а также удаляете другую информацию о ваших действиях за компьютером, то, как уже отмечалось выше, на самом деле вся эта информация не удаляется и может быть восстановлена с помощью специальных приложений, позволяющих восстановить удаленные данные. Например, это можно сделать с помощью бесплатного приложения Recuva от разработчиков популярного приложения CCleaner.

Эта проблема может быть особенно актуальной в том случае, если вы используете компьютер, которым помимо вас пользуются и другие люди. Например, если это компьютер на работе, в офисе или любых других публичных местах. В этом случае любой человек, имеющий доступ к компьютеру, за которым вы работали, может использовать специальные приложения для восстановления данных и с их помощью он сможет восстановить информацию, которую вы удалили.

Чтобы этого избежать, необходимо использовать специальные приложения для безвозвратного удаления данных. Такие приложения позволяют удалить данные с компьютера таким образом, что восстановить их будет невозможно даже с помощью приложений для восстановления данных.

Приложения для безвозвратного удаления данных

Уничтожение данных сводится к тому, чтобы изменить данные таким образом, чтобы невозможно было восстановить их предыдущее состояние. Это позволяют сделать специальные приложения, которые перезаписывают информацию, содержащуюся на жестком диске компьютера, таким образом, что восстановить ее первоначальное состояние уже невозможно.

Удалить файлы без возможности восстановления позволяют, например, такие бесплатные приложения как CCleaner, Privazer и целый ряд других приложений, отличающихся своими характеристиками.

Суть безвозвратного удаления данных заключается в том, что на то место на жестком диске компьютера, где физически находятся ваши данные, многократно перезаписываются последовательности единиц и нулей таким образом, что восстановить первоначальное значение данных уже невозможно. Такое перезаписывание данных может осуществляться с использованием различных алгоритмов записи.

Одним из наиболее известных и надежных алгоритмов уничтожения данных путем многократной перезаписи является метод Гутмана, предполагающий 35-кратную перезапись информации. На практике вам вряд ли понадобится такой сложный и довольно долгий метод удаления данных, поэтому вполне достаточно будет использовать уничтожение данных по стандарту Агентства национальной безопасности США (семикратная перезапись информации) или по стандарту Министерства обороны США (трехкратная перезапись).

Обе эти возможности доступны как в CCleaner, так и в Privazer, наряду с методом Гутмана. В Privazer, помимо этого, также имеется опция удаления данных по стандарту российского ГОСТ. Соответствующая опция выбирается в настройках.

Безвозвратное удаление данных в Privazer
Безвозвратное удаление данных в CCleaner

Как еще удалить данные без возможности восстановления

Предположим, что вы удалили всю вашу секретную информацию с использованием соответствующего приложения, однако вы всё равно опасаетесь, что какие-либо данные или их часть может быть восстановлена злоумышленниками, которые охотятся за вашими секретами.

В этом случае на помощь придут другие методы удаления информации без возможности восстановления. Эти методы не ограничиваются использованием программного обеспечения, а предполагают применение специальных технических средств.

К примеру, если вы не хотите оставлять врагам совсем никаких следов своей важной информации, и если операционная система вместе с компьютером вам больше не нужны, то можно использовать специальное устройство под названием размагничиватель. Работа этого устройства основана на принципе удаления остаточной информации посредством размагничивания.

В отличие от вышеописанных программных средств, которые уничтожают данные на магнитном носителе (жестком диске компьютера) путем многократной перезаписи информации, размагничиватель никакую информацию не перезаписывает, а просто уничтожает магнитное поле, либо ослабляет его до такой степени, что осуществить считывание информации, записанной на магнитный носитель, становится практически невозможным.

Надо отметить, что процесс размагничивания, как правило, выводит жесткий диск из строя, поскольку при этом уничтожается низкоуровневое форматирование, производимое во время изготовления диска. Поэтому после размагничивания использовать жесткий диск по назначению будет невозможно и придется его выбросить.

Альтернативные способы уничтожения данных

Если полное размагничивание жесткого диска не вселяет в вас уверенность в том, что все ваши секреты надежно удалены, можно отметить, что существуют альтернативные способы удаления данных, обеспечивающие гарантированное уничтожение любых данных вместе с носителем, на котором эти данные находятся.

Речь идет о физическом уничтожении носителя, на котором записаны данные, которые необходимо уничтожить. Физическое уничтожение носителя информации может быть осуществлено с использованием целого ряда специальных технических средств. В частности, жесткий диск компьютера может быть физически уничтожен путем использования шлифовальных машин и дрелей. Надо отметить, что такой способ был использован в 2013 году сотрудниками Агентства национальной безопасности США при уничтожении жестких дисков с секретными файлами Эдварда Сноудена. При этом жесткие диски были предварительно подвергнуты размагничиванию посредством размагничивателя.

news.softodrom.ru

Как удалить файлы без возможности восстановления

удалить файлы без возможности восстановленияУдаление файлов – обычная процедура при работе с компьютером, которая применяется по нескольку раз на дню. Однако просто отправляя файлы в корзину и очищая её, вы оставляете следы данных в системе, по которым затем можно восстановить удаленную информацию. Если вас такой расклад не устраивает, то вам полезно будет узнать, как удалить файлы без возможности восстановления. 

Обычное удаление

Любой пользователь отправлял файлы в корзину: для этого нужно кликнуть но нему правой кнопкой и выбрать пункт «Удалить». После этого корзина очищается, и ненужная информация вроде бы пропадает с компьютера.

Еще один способ избавиться от ненужного файла – стереть его сразу, без предварительной отправки в корзину. Для этого нужно его выделить левой кнопкой, а затем нажать сочетание клавиш Shift+Delete.

Появится предупреждение, в котором нужно подтвердить действие, нажав «Да».Безвозвратное удаление

Можно настроить удаление таким образом, чтобы файлы в принципе не отправлялись в корзину даже без нажатия определенного сочетания клавиш.

  • Нажмите на корзину правой кнопкой и откройте её свойства.
  • Отметьте пункт «Уничтожать сразу после удаления» и нажмите «Применить».Свойства Корзина

Теперь информация будет сразу стираться с жесткого диска, минуя временное хранилище для удаленных данных.

Безвозвратное удаление

Если вы удалили файлы, а затем очистили корзину, то знайте – эту информацию можно при желании восстановить. Благо, программ для выполнения подобной операции достаточно много, как платных, так и бесплатных.

Единственный способ полностью стереть информацию – перезаписать на её место другие данные. Желательно сделать это несколько раз, чтобы окончательно уничтожить все следы удаленного файла.

Вручную сделать это не получится; но, заручившись поддержкой специального софта, вы быстро выполните нужную операцию.

SDelete

Для безвозвратного удаления данных можно использовать утилиту от Microsoft, которая называется SDelete. Эта программа действует через командную строку, перезаписывая удаленный файл случайными числами.

  1. Загрузите утилиту на свой компьютер.
  2. Запустите командную строку (нажмите Win+R, чтобы открыть меню «Выполнить», и введите в него команду «cmd.exe»).cmd exe
  3. Укажите путь к папке, в которой хранится загруженная утилита SDelete, c помощью команды вида «cd C:\downloads», и нажмите Enter.путь к утилите
  4. Используйте команду вида «sdelete путь к файлу», чтобы удалить ненужные вам данные.Путь к файлу

В командной строке должно появиться сообщение о том, что уничтожение информации прошло успешно. После этого вы можете закрыть все окна.

Recuva

Программа Recuva обычно используется для того, чтобы восстановить удаленные файлы с флешки или жесткого диска. Однако её функциональные возможности используются часто не на полную мощность, ведь с помощью этой утилиты можно также стирать информацию, не оставляя шансов на её восстановление.

Первое, что нужно сделать – стереть файлы обычным способом, отправив их в корзину и затем очистив её.

Чтобы удалить данные полностью, нужно сначала запустить процедуру их восстановления:

  1. Запустите программу Recuva.
  2. Выберите пункт «Прочее», чтобы утилита искала все типы файлов.Восстановить
  3. Укажите папку, в которой хранилась информация до того как вы её стерли.
  4. Включите углубленный анализ и нажмите «Начать».Восстановление Recuva

Итак, вы получили список файлов, которые можно восстановить. Теперь нужно уничтожить их, навсегда стерев с жесткого диска.

  1. Перейдите в окне восстановления в расширенный режим.Найденные файлы
  2. Нажмите на кнопку «Настройки».Расширенный режим
  3. На вкладке «Общие» раскройте раздел «Надежное удаление». Здесь вам нужно выбрать параметры стирания файлов.Надежное удаление

Помните: чем больше циклов перезаписи вы укажите, тем выше вероятность, что информация будет удалена полностью и безвозвратно. Поэтому выбирайте сразу 35 циклов и нажимайте «ОК».

Выделите файлы, которые хотите уничтожить, а затем кликните правой кнопкой мыши в главном окне программы. Выберите пункт «Надежно удалить отмеченные».Надежно удалить

На экране появится предупреждение, в котором вам нужно кликнуть «Да», чтобы запустить процесс безвозвратного удаления информации.Подтверждение удаления

После окончания процедуры снова запустите в Recuva поиск и восстановление файлов. Проверьте, чтобы те данные, которые вы надежно удалили, больше не отображались в списке. Если они есть – еще раз попробуйте выполнить описанные выше действия.

Far Manager

С помощью этого файлового менеджера можно не только управлять данными, которые хранятся на компьютере, но и безвозвратно их удалять с жесткого диска.

  1. Выделите объект, который вы хотите убрать со своего компьютера навсегда.
  2. Нажмите сочетание клавиш Alt+Delete или через меню «Файл» выберите пункт «Уничтожение».far manager
  3. В появившемся окне подтвердите свои намерения, кликнув по кнопке «Уничтожить».Подтверждение

Если вы удаляете один файл, то он будет сразу же уничтожен. При стирании папки появится еще одно предупреждение, в котором вам снова будет предложено подтвердить своё намерение.Уничтожение папки

Почему стирание данных с помощью утилиты Far Manager можно считать надежным? Потому что файл будет сначала затерт нулями, потом переименуется случайным образом, и лишь затем будет отправлен в небытие.

Eraser HDD

Еще одна удобная и функциональная утилита, позволяющая навсегда избавиться от ненужной информации, называется Eraser HDD и распространяется в виде портативного приложения. Единственный недостаток этой программы – она не умеет удалять отдельные файлы; очистить можно только диск целиком.

Важно: так как программа полностью очищает диск (удаляя Windows и даже саму себя), запускать её нужно со второго винчестера.

  1. Загрузите утилиту на свой компьютер и запустите её без инсталляции.EraserHDD
  2. В главном окне нажмите кнопку «Пуск». Перед вами появится перечень обнаруженных жестких дисков с присвоенными номерами. Введите номер винчестера, который вы хотите очистить, и нажмите «Применить».Номер диска
  3. На экране появится предупреждение, позволяющее вам еще раз хорошо подумать, действительно ли вы хотите стереть всю информацию из памяти компьютера. Отменить выбранное действие впоследствии будет нельзя, как и восстановить удаленные файлы.

Если вы хотите сохранить какие-то данные, сделайте резервную копию файлов и запишите их на другой носитель.

После подтверждения удаления всех данных с жесткого диска появится уведомление такого рода:Удаление завершено

Кстати, подобным способом можно удалить неудаляемые файлы без помощи других приложений типа Unlocker. Напоследок еще один способ уничтожения данных — использование программы CCleaner.

mysettings.ru

Удалить файлы без возможности восстановления очень просто

Известно, что информация имеет огромное значение. В связи с распространением IT-технологий, очень много данных пользователи хранят на компьютере, ноутбуке, съемных жестких дисках и других подобных устройствах. Но иногда важные файлы можно случайно удалить, в этом случает нужно восстановить. Как восстановить удаленные данные с жесткого диска узнаете здесь. Однако, иногда важную информацию нужно наоборот удалить, при этом надо сделать манипуляции так, чтобы восстановить данные в файлах не удалось даже самым продвинутым хакерам. Поэтому сегодня мы решили рассмотреть способы, как стереть файл без возможности восстановления данных.

Удаление файлов

Способы удаления данных без возможности восстановления

Полностью удалить информацию с любого устройства можно тремя способами. Первый из них – это механический. Он заключается в том, что устройству, с которого нужно стереть сведения, наносятся механические повреждения, из-за которых он не будет подлежать восстановлению. Суть такого способа проста – необходимо безвозвратно разрушить рабочую поверхность носителя информации. Конечно же, это самый дорогой и грубый метод.

Второй способ носит название аппаратный. В данном случае устройство подвергается воздействию магнитного поля или радиации. Такой метод также достаточно затратный, к тому же для того, чтобы провести подобную манипуляцию, понадобится специальное оборудование.

Последний, довольно эффективный, способ, который, к тому же, можно сделать в домашних условиях, — программный. Иначе говоря, используется специальное программное обеспечение. Данный метод удаления данных мы рассмотрим подробнее, так как он является самым щадящим относительно носителя информации.

Проблемы удаления файлов

Перед тем, как говорить о том, как удалить файлы с данными без возможности восстановления, следует немного сказать о том, что именно происходит при процессе стирания информации. Иногда случается так, что файл невозможно удалить, что делать в этом случае читайте в этой статье. После того, как вы удаляете файл, операционная система не делает его физического удаления с диска. Она только помечает его как удаленный, производя соответствующие с этим операции, среди которых освобождение кластеров, которые ему принадлежали, и файловых записей.

Кластер – это группа смежных секторов, с которой система проводит операции как с целым. Файловая запись описывает атрибуты файла и размещение кластеров на диске.

Итак, после того, как вы удалили файл, кластеры вновь становятся свободными, отчего используются другими, вновь создаваемыми файлами, которые со временем затирают своих предшественников. Однако, произойти это может не скоро. Кроме того могут оставаться незатертыми небольшие обрывки информации, но в некоторых случаях важно не оставить абсолютно никаких данных.

Восстановление с помощью Recuva

Обратимся к программе Recuva, которая дает возможность восстанавливать и удалять данные. Имеется как бесплатная, так и платная версия этого утилита.  Скачивайте эту программу только с надежных источников, так как при скачивании программы вы можете «подхватить» вирус. Поэтому  перед скачиванием важно установить антивирусную программу. Какие антивирусные программы бывают узнаете  тут. Итак, для начала нам понадобится просто удалить ненужные сведения. Для этого файлы выделяются, а затем используется комбинация кнопок Shift+Del. В данной ситуации Shift предназначена для того, чтобы сведения не помещались временно в корзину.

Меню расширенного поиска в программе Recuva

После манипуляций мы открываем программу Recuva и делаем поиск удаленных файлов. В появившемся окне следует нажать ссылку «Перейти в расширенный режим», откуда мы заходим в Настройки.

Меню настройки в программе Recuva

Здесь нам нужна кнопка Надежное удаление. Нужно выбрать как можно больше циклов перезаписи. Чем выше данное количество, тем более велика вероятность, что восстановить данные не удастся. Хотя, конечно же, и процедура может занять длительное время.

Проверить, насколько надежно удалена информация можно, если воспользоваться этой же программой, но сделать восстановление файлов. Если утилит выдаст сведения о том, что это невозможно, вы все сделали верно.

Программа Eraser HDD

Еще одно приложение, которое применяют для восстановления сведений – это Eraser HDD. Данная программа распространяется бесплатно. Кроме того преимущество утилита заключается в том, что его установка на компьютер не требуется. Данная программа проста в использовании, а эффективность ее довольно высокая.

Программа EraserHDD

Как именно удалять информацию – решаете вы самостоятельно, а мы вам подсказали способы, чтобы проделать подобные манипуляции. Программ, которые предназначены для полного удаления сведений, на просторах сети встречается довольно много. Они есть коммерческие и в свободном доступе. При этом они не нанесут вред устройству, выполняя все заданные действия, поэтому за сохранность своего компьютера или ноутбука можете не беспокоиться.

computerologia.ru

Файлы-призраки: как криминалисты восстанавливают надежно удаленные данные?

Содержание статьи

Для следователя, проводящего анализ компьютера подозреваемого, всегда есть данные, представляющие особый интерес. Но некоторым кажется, что если перезаписать область, где находился файл, случайными данными, то восстановить уже ничего не удастся. Это правда, но лишь отчасти. Даже после такой перестраховки данные нередко удается извлечь!

Что происходит при удалении файла? Очень просто: в файловой системе для него меняется один атрибут, и таким образом он помечается как удаленный. При этом содержание файла по-прежнему остается на жестком диске, и его можно восстановить с помощью одной из множества платных и бесплатных программ (например, R-Studio). Мы много раз писали о том, как безопасно удалить файлы без возможности восстановления. Благо для этого разработано огромное количество утилит-шредеров, которые с помощью несложных методик перезаписывают участки диска, на которых были расположены удаленные данные. Таким образом даже при использовании технологий восстановления, при которых производится считывание данных непосредственно с магнитных носителей, восстановить удаленные файлы будет невозможно. В эффективности такого подхода нас заверяли даже настоящие профессионалы в области восстановления данных. Но — лазейки для извлечения информации у гуру все-таки есть!

 

Файлы изображений

Начнем с рассмотрения простого случая — удаления обычной фотографии. Допустим, у нас есть папка с фотографиями, и мы избавляемся от одной из них. Причем удаляем по всем правилам, перезаписав нужную область диска несколько раз. По идее больше ничего не должно выдавать ее существования (если мы сами до этого не скопировали ее в другую папку и не забыли про это). Но тут-то как раз многие и забывают об одной особенности Windows — файле Thumbs.db. Это специальное хранилище, используемое операционной системой, в котором находятся эскизы изображений из текущей папки. Если в проводнике выбрать режим отображения «Эскизы страниц», то операционка будет брать уменьшенные превьюшки изображений как раз из этого файла. Он создается в каждой папке, в которой есть картинки, и содержит уменьшенные эскизы изображений в формате JPEG (вне зависимости от формата исходного изображения).

Проведем небольшой эксперимент — создадим папку и поместим туда три любых картинки. Теперь откроем эту директорию в проводнике — появился Thumbs.db (чтобы увидеть этот файл, надо включить отображение скрытых файлов). Мы можем просмотреть и проанализировать его с помощью утилиты Thumbnail Database Viewer. Программа, как и положено, показывает эскизы для всех трех файлов. А теперь удалим один из них с помощью программы SDelete или любой другой программы для безопасного удаления данных:

sdelete.exe -p 2 file1.jpg

Параметр р отвечает за количество проходов шредера, то есть указывает, сколько раз файл будет перезаписан перед удалением. В результате изображение будет безвозвратно стерто с жесткого диска. Но посмотрим, повлияло ли как-то это удаление на Thumbs.db? Заново открываем его, и что мы видим? Эскиз для удаленной картинки по-прежнему на месте! Получается, что файл легко может содержать эскизы уже удаленных изображений. И на этом, как мне рассказывали, попался не один умный человек…

Как этого избежать? Очень просто — нужно просто отключить кэширование эскизов в файлах Thumbs.db. На Windows XP необходимо установить для ключа DisableThumbnailCache в разделе HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionExplorerAdvanced значение «1». В Windows 7 этот ключ имеет имя NoThumbnailCache и находится в HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesExplorer. И, само собой, важно не забыть удалить все Thumbs.db.

 

Файл подкачки

Подставы со стороны операционной системы на одном только файле с эскизами не заканчиваются. По мере работы с документом информация о нем попадает в различные части ОС — временную папку, реестр и так далее. Поэтому очень трудно отследить и удалить все связанные с файлом данные. Вдобавок ко всему, есть места, где копия файла может оказаться совершенно случайно (иногда такая случайность может стоить очень дорого). Я говорю о файле подкачки (pagefile.sys) и свопе памяти, используемом во время режима Hibernation (hiberfil.sys). Предсказать содержимое файла подкачки заведомо невозможно, и тут никто ничего не может гарантировать. Предлагаю еще на одном эксперименте убедиться в том, что это — опасное место.

Поскольку просмотреть или скопировать файл подкачки операционная система просто так не дает, то у нас есть два варианта: задействовать специальные утилиты или же загрузиться в другую операционку и получить доступ к файлу из нее. Мне второй способ показался более простым, так как под рукой был Back Track, начиненный различными утилитами, в том числе и для восстановления файлов. Поэтому, загрузившись с LiveCD, я смонтировал виндовый раздел и пошел в раздел «BackTrack->Forensic», откуда запустил утилиту Foremost. Эта замечательная консольная прога умеет восстанавливать файлы исходя из их заголовков и внутренней структуры. Необходимо лишь передать имя входного файла, в котором будет осуществляться поиск, и указать директорию, куда будут сохранены все найденные данные:

#foremost -i /mnt/hda1/pagefile.sys -o /root/Desktop/page_file -v -q

В качестве входного файла я указал файл подкачки /mnt/hda1/pagefile.sys, а директорию для сохранения результатов — /root/Desktop/page_file. Программа начала свою работу. За короткое время Foremost сумел найти и извлечь 524 файла.

Статистика извлеченных файлов:jpg:= 73gif:= 4gif:= 19jpg:= 77jpg:= 95doc:= 1pgp:= 65pgp:= 62pgp:= 44pgp:= 36dat:= 7lnk:= 3cookie:= 38

Утилита удобно отсортировала все файлы по типу и разложила по разным папкам. Первым делом я полез проверять, что же попало в папку jpg. Из всех восстановленных файлов около половины отказалось отображаться, зато другая — отлично просматривалась. И чего только не было среди картинок: пара фоток, которые я не так давно удалил; много мелких изображений с веб-сайтов; аватарки друзей из Facebook и прочее. Честно сказать, я не планировал обнаружить так много изображений. Кроме картинок мне хотелось еще узнать, что за единственный doc-файл, который попал в файл подкачки. Но, к сожалению, Word лишь ругнулся, что файл попорчен и не смог его открыть. Неожиданный сюрприз ждал меня в папке cookie — бегло пролистав несколько файлов, я обнаружил адреса роликов, которые я смотрел чуть ли не год назад на YouTube. Вот и еще одно доказательство, что даже удалив в браузере все куки и историю, все равно можно проколоться.

Что тут можно сделать? Есть несколько вариантов. Первый — отключить вообще файл подкачки. Для этого надо зайти в «Control Panel-> System and Security-> System-> Advanced System Settings-> Performance-> Advanced-> Virtual Memory-> Change» и выбрать опцию «No paging file». Второй вариант — заставить операционную систему затирать все данные в файле подкачки перед выключением компьютера. Такой режим активируется, если установить для ключа ClearPageFileAtShutdown в разделе HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ControlSession ManagerMemory Management значение «1». К сожалению, второй метод очень медленный, и выключение системы будет занимать достаточно длительное время, так что применять его на практике или нет — решай сам. Аналогичная ситуация и с файлом hiberfil.sys. Его также можно попросту отключить, что сэкономит дополнительное место на диске.

Кстати, исследовать файл подкачки можно и под виндой. Но так как операционная система не дает его просмотреть и скопировать с помощью штатных средств, нам понадобится программка FTK Imager. Переходим в раздел «File-> Add Evidence Item» и указываем диск, где находится файл подкачки. На панели слева отобразится дерево каталогов, где необходимо выбрать pagefile.sys и воспользоваться функцией экспорта через контекстное меню. Файл подкачки без проблем скопируется в указанную нами папку, и никакие блокировки системы с этого момента не помешают его анализировать. Для анализа, кстати, можно воспользоваться DiskDigger или PhotoRec. Первая — проще, но вторая умеет восстанавливать более широкий круг различных форматов файлов.

 

Дефрагментация

Перейдем к следующей причине появления файлов-призраков. Чтобы было наглядней и понятней — опять же проведем небольшой эксперимент. Для него нам понадобится флешка и умение обращаться с WinHex’ом. Сначала обеспечим условия для опыта, удалив все данные с флешки. Для этого запустим WinHex, отдадим команду Open Disk и в появившемся окне выберем наш девайс. После открытия полностью выделяем все его содержимое (Ctrl+A) и забиваем нулями (Ctrl+L). Одно замечание — процесс перезаписи занимает достаточное количество времени, так что рекомендую взять флешку поменьше. С этого момента на драйве нет данных и, более того, нет файловой системы. Так что следующим шагом будет форматирование флешки в NTFS. По умолчанию Windows XP дает форматировать флешку только в FAT, но для наших манипуляций требуется NTFS. Чтобы операционная система позволила отформатировать устройство в нужную нам файловую систему, необходимо зайти в диспетчер устройств, найти там флешку и в параметрах установить опцию «Optimize for performance». После этого винда сможет отформатировать флешку в NTFS.

Цель нашего опыта — посмотреть, что происходит с файлами во время дефрагментации. Для этого создадим искусственную фрагментацию на нашем носителе информации. Возьмем три любых jpeg-файла и три каких-нибудь аудиофайла или видеоклипа (главное, чтобы их размер был больше jpeg’ов) и скопируем их на флешку в следующем порядке: 1.mp3, 1.jpg, 2.mp3, 2.jpg, 3.mp3, 3.jpg.

Интересно, как же они расположились на диске? Чтобы посмотреть это, воспользуемся тулзой DiskView от Марка Руссиновича. Она выводит графическую схему диска, на которой можно определить местоположение данных или узнать, какой файл занимает те или иные кластеры (для этого нужно щелкнуть на кластер мышью). Двойной щелчок позволяет получить более подробную информацию о файле, которому выделен кластер. Запускаем программу, выбираем нашу флешку и нажимаем <Refresh>. Сначала идет зеленая полосочка, обозначающая системные кластеры, а вот сразу за ней — область синих кластеров, представляющих наши файлы, записанные друг за другом. Теперь создадим фрагментацию, удалив все аудиофайлы. Снова нажимаем <Refresh> и видим, что перед каждым jpeg-файлом есть пустая область. Теперь ненадолго переключимся в WinHex. Чтобы еще раз убедиться, что на флешке нет никаких лишних графических файлов, проведем поиск по сигнатуре: ищем последовательность «jfif», присутствующую в заголовке любого jpeg-файла. В итоге редактор, как и ожидалось, нашел ровно три таких последовательности, по числу оставшихся файлов.

Ну что ж, пришло время навести порядок: не дело, когда файлы вот так разбросаны по диску :). Запускаем дефрагментацию, столь любимую пользователями, для нашего носителя:

C:Documents and SettingsAdministrator>defrag h:Windows Disk DefragmenterCopyright (c) 2001 Microsoft Corp. and Executive Software International, Inc.

Analysis Report7,47 GB Total, 7,43 GB (99%) Free, 0% Fragmented (0% file fragmentation)

Defragmentation Report7,47 GB Total, 7,43 GB (99%) Free, 0% Fragmented (0% file fragmentation)

Дефрагментация прошла, посмотрим, что изменилось на флешке. Жмем на <Refresh> в программе DiskView, и что мы видим? Файлы, которые располагались на расстоянии друг от друга, аккуратно перенесены в начало диска, и располагаются строго последовательно. А теперь внимание! Дефрагментация скопировала файлы в начало диска, расположив их последовательно, но перезаписала ли она их предыдущую копию нулями? Чтобы ответить на этот вопрос, опять обратимся к мощному шестнадцатиричному редактору. Снова проведем поиск по «jfif». Оп-па, теперь вместо трех найденных строк получаем целых шесть! И это может означать только одно — теперь каждый файл представлен в двух экземплярах. Любой из них легко восстанавливается с помощью DiskDigger’a или Photorec’a. А теперь представь, что вместо графических файлов у нас были какие-то конфиденциальные документы или файлы с данными по кредиткам. Даже если бы мы использовали утилиты типа Sdelete и переписали перед удалением эти три файла сотни раз, их призраки все равно остались бы на диске и существовали там неопределенно долгое время. До тех пор, пока не будут перезаписаны чем-либо еще. И все это время их можно будет восстановить!

 

Правда и мифы о магнитной микроскопии

Очень часто люди впадают в две крайности. Одни откровенно забивают на свою безопасность и хранят на винте всю компрометирующую информацию, будучи уверенными, что <Shift+Delete> их спасет. Другие же, наоборот, каждый день затирают винт и заново устанавливают операционку. Быть может, я утрирую. Тем не менее, довольно часто приходится читать в Сети споры о том, сколько же раз надо перезаписать винт, чтобы информацию невозможно было восстановить. Предлагаю опытным путем выяснить, хватит ли одной полной перезаписи, чтобы безвозвратно удалить все данные. Итак, опять возьмем нашу подопытную флешку и полностью перезапишем ее нулями, после чего отформатируем в NTFS. Для проверки закинем на нее какой-нибудь файл: пусть это будет опять же JPEG. Его легко можно найти в WinHex’е по сигнатуре «jfif». У меня он расположился по смещению 274432. Ну что ж, запустим шредер (я юзал HDD Wipe Tool) и затрем весь диск. Теперь, если посмотреть в WinHex, что расположилось по смещению 274432, то мы увидим только нули. Для успокоения и большей уверенности можно попробовать восстановить данные с помощью DiskDigger, Photorec, Foremost и прочих утилит. Но это заведомо пустая трата времени — ничего у них не выйдет.

«Хорошо, — скажешь ты, — а как же насчет серьезных приборов, имеющихся у компетентных органов, которые умеют восстанавливать данные?» Ну что ж, давай поговорим о магнитной микроскопии. Суть метода в том, чтобы определить состояние каждого бита до его перезаписи. То есть, был ли он равен единице или нулю. Возьмем текст в кодировке ASCII. Каждый символ кодируется восемью битами таким образом, что если даже всего один бит восстановлен неверно — получается совсем другой символ. Например, есть последовательность символов «anti», выглядящая в бинарном виде следующим образом: 01100001011011100111010001101001. Предположим, что магнитная микроскопия правильно определила все биты, кроме последнего — в результате такого восстановления мы получаем последовательность «anth». Неувязочка получается. И это мы говорим о простейшем текстовом файле. Представь, что будет в случае со структурированными форматами — такими как архивы, файлы БД, исполняемые файлы и так далее. Вдобавок к этому метод достаточно медленный и дорогой. Так что во многих случаях использование магнитной микроскопии дает такой же точный результат, как и восстановление путем подбрасывания монетки на «орел-решка». Поэтому нет никакой необходимости по три раза перезаписывать диск.

 

Лучшая защита — это нападение

Что можно сделать, чтобы усложнить жизнь людям, к которым может попасть для экспертизы твой компьютер? Тут есть несколько вариантов. В случае, если на компьютере нашли «интересный» файл, время его создания будет веским доказательством против его владельца. Чтобы проследить цепь событий, эксперты опираются также на время создания/доступа/модификации файла. Так почему бы не запутать следы? На сайте metasploit.com есть такая замечательная утилита, как Timestomp, которая позволяет менять время создания, модификации или доступа для заданного файла. Основные опции для ее использования:

-m <date> задает дату последней модификации файла-a <date> задает дату последнего доступа к файлу-c <date> задает время создания файла-e <date> задает время модификации файла, хранящееся в MFT-z <date> задает четыре вышеперечисленных параметра

Дата задается в следующем виде: DayofWeek MonthDayYear HH:MM:SS [AM|PM].

Есть еще очень интересная опция -b, которая устанавливает вышеперечисленные атрибуты таким образом, что известная в кругах компьютерных криминалистов программа EnCase их не видит и отображает пустыми :).

Таким образом, чтобы поменять атрибуты файла, достаточно выполнить в консоли команду:

c:>timestomp.exe boot.ini -z "sunday 1/12/2099 10:00:00 pm"

Легко можно набросать скриптик, который будет рекурсивно менять временные атрибуты файлов. Простейший вариант выглядит так:

for /R c:tools %i in (*) do timestomp.exe %i -z "monday 3/12/2009 10:00:00 pm"

Есть и другие способы подпортить жизнь товарищам-исследователям чужих HDD. В своей работе они используют программы, написанные обычными людьми, а потому — содержащими ошибки. Да-да, мы можем использовать уязвимости программного обеспечения, применяемого для поиска улик. Подробней об этом можно почитать в одном из докладов с конференции DefCon.

 

Заключение

«Безопасное удаление данных» – это не панацея. Смею тебя заверить, что описанные лазейки — не единственные в своем роде. И тот, кто по роду деятельности проводит экспертизы компьютеров на профессиональном уровне, знает, где и как найти необходимые ему данные. Теперь твоя безопасность в твоих руках — не дай «охотникам за приведениями» найти ни одного «призрака» на твоем компе. А еще лучше — не давай им повода приходить к тебе в гости :).

 

Программы для безопасного удаления данных:

xakep.ru

Как удалить файлы без возможности восстановления

Недавно мне на почту пришел вопрос: «Как удалить все файлы с флешки, чтобы никакими методами нельзя было восстановить?». Вопрос, конечно, интересный :-) В принципе, вариантов много, все зависит от целей и необходимой надежности…

В большинстве бытовых случаев, как с флешки, так и с жестких дисков можно удалить информацию полным форматированием (но только НЕ «быстрым форматированием», которое только удаляет оглавление диска и оставляет все файлы нетронутыми). Это вполне подойдет, если вы собираетесь отдать другу флешку, которой пользовались или продать ненужный жесткий диск, где раньше держали различный хлам. Вероятность того, что этими накопителями заинтересуются спецслужбы, которые будут восстанавливать данные на специальном оборудовании, ничтожно мала… ))

Однако если у вас мания преследования, либо нужно удалить информацию действительно государственной важности, например фотки подруги либо данные ваших счетов в швейцарском банке, то придется воспользоваться заточенными под это дело программами, которые называются «шредеры» (по аналогии с офисными «уничтожителями» бумажных документов).

Программ-шредеров есть достаточно много, в том числе и бесплатных. Однако и тут все зависит от размера вашей мании или ценности документов — если вы не доверяете бесплатным программам, воспользуйтесь платными. 😎

Рассмотрим представителей из обоих групп.

Добрый доктор Шреддер из программы Eraser HDD

Самой простой, и как утверждает ее автор, самой надежной, является программа Eraser HDD.  Это программа полного уничтожения информации на диске без возможности восстановления. Она занимает всего 56 килобайт и не нуждается в инсталляции (т.е. ее можно запускать как с жесткого диска, так и с флешки). Сайт программы смотрим здесь.

Программа  Eraser HDD обеспечивает надежное уничтожение всех данных на указанном пользователем жестком диске или флешке без возможности дальнейшего восстановления информации, которая там находилась. Программа последовательно записывает в сектора диска шестнадцатеричные нули, чем полностью перезаписывает все имеющиеся на диске файлы. Данная процедура соответсвует российскому стандарту ГОСТ Р50739-95 и в целом обеспечивает надежное уничтожение данных (хотя западные стандарты утверждают обратное, смотри ниже).

Кстати, автор программы (который, к тому же, профессионально занимается восстановлением информации с различных носителей) заявляет, что в настоящее время ни одна лаборатория мира не имеет средств для восстановления перезаписанных данных. В принципе, все бесплатные программы-шредеры работают именно по такому же принципу, поэтому придется ему поверить. :-)  

Кстати, у программы Eraser HDD, которая уничтожает данные на всей поверхности физического диска, есть собратья:

  • Eraser LogDisk — программа для гарантированного уничтожения всех данных на логическом диске, т.е. например только диске D: без удаления информации на диске С: 
  • Eraser Free Space — программа для безопасного удаления файлов без возможности их восстановления, т.е. перезапись только свободного пространства на диске

Все программы данного автора имеют русский интерфейс и легки в использовании. Скорость выполнения работы зависит от размера очищаемой поверхности, т.к. программа должна перезаписать все сектора на винчестере, что равносильно скорости записи большого файла размером с ваш винчестер.

Например, если вы хотите очистить жесткий диск размером в 500 гигабайт, то программа должна записать 500 гигабайт нулей!  Поэтому несколько часов ожидания вам обеспечено. Что же говорить о платных программах, которые используют более сложные алгоритмы западных стандартов, предусматривающие 3-х, 7-ми и даже 35-ти кратное (метод Питера Гутмана) перезаписывание поверхности!!!  

Не будем перечислять все западные стандарты уничтожения информации, т.к. наиболее распространенным является стандарт американского департамента обороны  DoD (U. S. Department of Defense), по которому данные перезаписываются 3 раза различными числовыми последовательностями. Этот метод является приемлимым для уничтожения наиболее важных данных, после которого даже ЦРУ не сможет разгадать ваши секреты.

Программа для надежного уничтожения информации с дисков O&O SafeErase 5

Одной из лучших программ, которая поможет надежно уничтожить всю вашу конфиденциальную информацию, является Safe Erase 5. Она может уничтожить все данные с диска любым из 6 методов, в том числе и параноидальным 35-кратным перезаписываанием! Программа имеет только английский интерфейс, работает под любыми версиями Win XP, Vista и Win 7 и занимает 35 мб. Полная версия стоит 29.95 USD, что, в принципе, не очень дорого как для государственных секретов. 😀 

Сайт программы, где можно скачать тестовую версию:  http://www.oo-software.com/home/en/products/oosafeerase/index.html

Популярность: 100% [?]

Еще статьи на эту тему:

freedatarecovery.ru



О сайте

Онлайн-журнал "Автобайки" - первое на постсоветском пространстве издание, призванное осветить проблемы радовых автолюбителей с привлечение экспертов в области автомобилестроения, автоюристов, автомехаников. Вопросы и пожелания о работе сайта принимаются по адресу: Онлайн-журнал "Автобайки"