URAN233
Юзер
- Сообщения
- 170
- Реакции
- 585
Наверняка каждый из вас слышал, что удаленные файлы не стираются полностью и могут быть восстановлены. Эта тема особенно актуальна для нас, занимающихся не вполне законными вещами, так как в нашем случае, не до конца удаленный файл с компрометирующей информацией, может обернуться вполне реальным тюремным сроком.
Конечно же, самая идеальная защита от этого - использование полнодискового шифрования. Но, будем говорить по правде - далеко не все используют его, в силу разных причин. Кроме того не редкость, когда люди занимаются незаконной деятельностью с использованием операционных систем Windows. Поэтому мы сосредоточимся на теме удаления файлов на файловой системе NTFS, используемой во всех современных версиях Windows.
Для справки: при установке Windows, диск C форматируется под файловую систему NTFS - без вариантов. Дополнительные жесткие диски, если таковые есть в вашем компьютере - как правило тоже форматируются под NTFS. Флешки могут быть отформатированы под NTFS опционально (альтернатива - файловая система FAT32).
Я решил провести тестирование: копировать тестовые файлы на диск, удалять их различными способами, а потом - пытаться восстановить.
В качестве тестовых файлов я решил использовать изображения, почему - потому что компрометирующая информация на компьютере нередко представляет собой изображения. Например если взять деятельность, связанную с "народной" статьей 228 - то это могут быть фотографии адресов с закладками, фотографии самого товара, скриншоты переписок с магазином, и др. Для тестовых целей я использовал фотографии животных, найденные в Гугле по запросу "животные фото". Таких фотографий я взял 10 штук и присвоил им имена вида animals01.jpg ... animals10.jpg
Для восстановления удаленных файлов я использовал бесплатную программу Recuva. Выбор именно этой программы был обусловлен, прежде всего, моим позитивным опытом работы с ней. В свое время мне в руки попал б/у-шный компьютер, и именно с помощью Recuva мне удалось вытянуть из него немало интересного.
Все тесты проводились на физически существующем "железе", не в виртуальной машине - с тем чтобы получить результат, максимально приближенный к реальной ситуации - когда ваши недоброжелатели пытаются восстановить удаленные вами файлы. Отдельно тестировались восстановление файлов с жесткого диска и с флешки.
Часть 1 - жесткий диск
На диске C создаем папку Animals и копируем в нее наши тестовые файлы.
Теперь пробуем первый способ удаления - при помощи Far Manager. В настройках Far-а отключаем опцию "Удалять в Корзину"
с тем чтобы при нажатии клавиши F8, файлы сразу удалялись, типа как безвозвратно. Далее удаляем наши тестовые файлы
и сразу после этого пробуем восстановить их при помощи Recuva. При запуске Recuva, выставляем следующие параметры: тип файлов - "Pictures" (искать только картинки), местоположение - "In a specific location" - "C:\" (искать только на диске C), и включаем опцию "Enable Deep Scan" (для более углубленного сканирования диска на предмет удаленных файлов). Дожидаемся окончания сканирования диска, и получаем результат:
Восстановлено 8 из 10 файлов.
Теперь попробуем затереть эти файлы так, чтобы их больше нельзя было восстановить. Попробуем это сделать при помощи утилиты SDelete от Марка Руссиновича. Данная утилита доступна для бесплатного скачивания на официальном сайте Microsoft, и позиционируется как утилита для затирания свободного места на диске - так чтобы удаленные файлы после этого нельзя было восстановить.
Для затирания используем команду:
sdelete64.exe -p 1 -c C:\
Дожидаемся, пока SDelete завершит затирание свободного места. Это занимает довольно много времени, в моем случае потребовалось несколько часов.
После этого запускаем Recuva и опять пытаемся восстановить картинки с диска C, в точности с теми же параметрами, как описано выше. Получаем результат:
Как видим, именно наши тестовые файлы восстановить не удалось. Однако видны названия других файлов с картинками, некогда существовавших на диске C, отдельные из этих картинок даже удалось восстановить. Отсюда делаем вывод: SDelete затирает свободное место не полностью, хотя работает в целом неплохо.
Теперь протестируем другой способ удаления файлов, а именно функцию "уничтожения файлов" в Far Manager, вызываемую комбинацией клавиш Alt+Delete. Во встроенной справке Far Manager приведено описание того, как эта функция работает:
По-новой копируем наши тестовые файлы в папку C:\Animals, уничтожаем их комбинацией Alt+Delete в Far Manager.
Надо сказать, что уничтожение файлов прошло довольно быстро - где-то за одну секунду, в отличие от работы утилиты SDelete. После этого, пытаемся восстановить их при помощи Recuva, с точно теми же параметрами, что описаны выше. Результат:
Ни один из тестовых файлов восстановлен не был. Но, как мы видим, Recuva по-прежнему находит имена отдельных картинок, некогда существовавших на диске.
Теперь протестируем другую утилиту для затирания свободного места на диске, а именно - CCleaner в его бесплатной версии. В настройках CCleaner, в разделе "Параметры / Настройки", выставляем галочку напротив диска C, и включаем галочку "Очищать свободное место в MFT".
Для справки: MFT - сокращение от Master File Table (что можно перевести как "главная файловая таблица") - это часть файловой системы NTFS, представляющая собой своего рода базу данных, в которой хранится информация о файлах на диске, такая как: имена файлов, даты их создания и модификации, атрибуты файлов, а также - физическое местоположение файлов на диске. Очень маленькие файлы - размером до нескольких сотен байт - могут сохраняться в MFT целиком.
Затем переходим в раздел "Стандартная очистка". Во вкладке "Приложения" снимаем все-все-все галочки без исключения!
А во вкладке "Windows" снимаем все галочки, кроме одной - "Очистка свободного места".
Нажимаем кнопку "Очистка", затем "Продолжить", и ждем окончания очистки. Очистка свободного места занимает много времени - от одного до нескольких часов, плюс-минус сравнимо со временем работы SDelete. Когда отобразится, что очистка завершена:
закрываем CCleaner, запускаем Recuva и опять пробуем восстановить файлы с диска C. Получаем такой результат:
Не найдено вообще ни одной картинки!
Жмем кнопку "Switch to advanced mode", далее жмем кнопку "Options...", на вкладке "Actions" включаем параметры: "Show files found in hidden system directories" (Показывать файлы из скрытых/системных папок), "Show zero byte files" (Показывать файлы нулевого размера), "Show securely overwritten files" (Показывать надежно перезаписанные файлы), "Deep Scan (increases scan time)" (Глубокий анализ (более длительный)), и "Restore folder structure" (Восстанавливать структуру папок).
Жмем OK. Затем жмем на крестик так, как показано на скрине ниже:
Тем самым мы убираем шаблон поиска только картинок, и заставляем Recuva искать все-все-все файлы, какие она сможет найти. После этого жмем на кнопку "Scan".
После окончания сканирования получаем такой результат:
Как видим, Recuva смогла найти только пять файлов - два каких-то временных, созданных браузером Opera, один временный, созданный самой системой Windows, и два временных файла, созданных Paint-ом (в процессе описываемых действий, я сохранял скриншоты для этой статьи как раз в файле с названием image23.jpg, при помощи виндовского Paint-а). Имена всех остальных удаленных файлов и папок - перезаписаны "мусором" из букв Z и точек, их длины выставлены на уровне 592 и 600 байт, а даты и время последней модификации - на дату и время проведения очистки.
Ради интереса я выборочно восстановил два "мусорных" файла из букв Z и точек, и просмотрел их содержимое во встроенном просмотрщике Far Manager. Оказалось, что они забиты нулями.
Результат просто отличный - восстановить не удалось практически ничего!
Часть 2 - флешка
Как упоминалось выше, современные версии Windows позволяют форматировать флешки на выбор пользователя, либо в FAT32, либо в NTFS. С учетом тематики статьи, для тестов использовалась флешка, специально отформатированная под NTFS.
Схема проведения тестов была в точности такая же, как для жесткого диска: на флешке создавалась папка Animals, туда копировался тот же самый набор тестовых файлов, затем я пробовал удалять их различными способами, после чего пытался восстанавливать.
Для начала, обычное удаление в Far Manager - клавишей F8 при отключенной опции "Удалять в Корзину". После восстановления файлов при помощи Recuva, получаем такой результат:
Восстановлено 10 из 10 файлов.
Затираем свободное место на флешке утилитой SDelete, после чего опять пытаемся восстанавливать файлы. Получаем такой результат:
Не восстановлено ни одного из тестовых файлов. Однако Recuva увидела имена других файлов с картинками, некогда хранившихся на флешке - то есть свободное место зачищено не полностью.
Опять копируем тестовые файлы на флешку, и - уничтожаем их комбинацией Alt+Delete в Far Manager. Потом пытаемся восстановить, и получаем результат:
Не восстановлено ни одного из наших тестовых файлов.
Теперь пробуем затереть свободное место на флешке при помощи CCleaner. В разделе "Параметры / Настройки" выставляем галочку ТОЛЬКО напротив флешки, и включаем опцию "Очищать свободное место в MFT".
Затем переходим в раздел "Стандартная очистка", там во вкладке "Приложения" снимаем абсолютно все галочки, а во вкладке "Windows" все, кроме одной - "Очистка свободного места". Потом запускаем очистку и дожидаемся ее окончания. Очистка флешки шла очень долго - гораздо дольше, чем аналогичная очистка жесткого диска. Когда очистка закончилась, закрываем CCleaner, запускаем Recuva и пытаемся восстановить картинки с флешки, получаем такой результат:
Жмем "Switch to advanced mode" и пытаемся восстановить все-все-все файлы, какие можно найти. Получаем такой результат:
Результат почти такой же, как мы получили ранее при аналогичной очистке жесткого диска: восстановлено всего два файла - один лог-файл программы Chkdsk (это утилита Windows для проверки дисков), и еще какой-то временный файл от неустановленной программы. Имена всех остальных удаленных файлов - перезаписаны "мусором" из букв Z и точек.
Выводы
1. Самый лучший результат показал CCleaner, а точнее его функция "Очистка свободного места" при включенной опции "Очищать свободное место в MFT". Его можно рекомендовать к применению в ситуации, когда вы никуда не торопитесь, и можете спокойно покопаться в компьютере, удалив все компрометирующие вас файлы, а после этого нужно пройтись по диску "Очисткой свободного места" CCleaner-а. После этого вы можете быть спокойны - восстановить компромат будет уже невозможно. Как показало тестирование, такую очистку можно проводить и на диске C - операционная система Windows после этого остается полностью работоспособной.
2. Для текущего удаления палевных файлов, можно рекомендовать "уничтожение файлов" комбинацией Alt+Delete в Far Manager. Это достаточно надежно, и вместе с тем - работает гораздо быстрее, чем полная очистка диска CCleaner-ом.
Конечно же, самая идеальная защита от этого - использование полнодискового шифрования. Но, будем говорить по правде - далеко не все используют его, в силу разных причин. Кроме того не редкость, когда люди занимаются незаконной деятельностью с использованием операционных систем Windows. Поэтому мы сосредоточимся на теме удаления файлов на файловой системе NTFS, используемой во всех современных версиях Windows.
Для справки: при установке Windows, диск C форматируется под файловую систему NTFS - без вариантов. Дополнительные жесткие диски, если таковые есть в вашем компьютере - как правило тоже форматируются под NTFS. Флешки могут быть отформатированы под NTFS опционально (альтернатива - файловая система FAT32).
Я решил провести тестирование: копировать тестовые файлы на диск, удалять их различными способами, а потом - пытаться восстановить.
В качестве тестовых файлов я решил использовать изображения, почему - потому что компрометирующая информация на компьютере нередко представляет собой изображения. Например если взять деятельность, связанную с "народной" статьей 228 - то это могут быть фотографии адресов с закладками, фотографии самого товара, скриншоты переписок с магазином, и др. Для тестовых целей я использовал фотографии животных, найденные в Гугле по запросу "животные фото". Таких фотографий я взял 10 штук и присвоил им имена вида animals01.jpg ... animals10.jpg
Для восстановления удаленных файлов я использовал бесплатную программу Recuva. Выбор именно этой программы был обусловлен, прежде всего, моим позитивным опытом работы с ней. В свое время мне в руки попал б/у-шный компьютер, и именно с помощью Recuva мне удалось вытянуть из него немало интересного.
Все тесты проводились на физически существующем "железе", не в виртуальной машине - с тем чтобы получить результат, максимально приближенный к реальной ситуации - когда ваши недоброжелатели пытаются восстановить удаленные вами файлы. Отдельно тестировались восстановление файлов с жесткого диска и с флешки.
Часть 1 - жесткий диск
На диске C создаем папку Animals и копируем в нее наши тестовые файлы.
Теперь пробуем первый способ удаления - при помощи Far Manager. В настройках Far-а отключаем опцию "Удалять в Корзину"
с тем чтобы при нажатии клавиши F8, файлы сразу удалялись, типа как безвозвратно. Далее удаляем наши тестовые файлы
и сразу после этого пробуем восстановить их при помощи Recuva. При запуске Recuva, выставляем следующие параметры: тип файлов - "Pictures" (искать только картинки), местоположение - "In a specific location" - "C:\" (искать только на диске C), и включаем опцию "Enable Deep Scan" (для более углубленного сканирования диска на предмет удаленных файлов). Дожидаемся окончания сканирования диска, и получаем результат:
Восстановлено 8 из 10 файлов.
Теперь попробуем затереть эти файлы так, чтобы их больше нельзя было восстановить. Попробуем это сделать при помощи утилиты SDelete от Марка Руссиновича. Данная утилита доступна для бесплатного скачивания на официальном сайте Microsoft, и позиционируется как утилита для затирания свободного места на диске - так чтобы удаленные файлы после этого нельзя было восстановить.
Для затирания используем команду:
sdelete64.exe -p 1 -c C:\
Дожидаемся, пока SDelete завершит затирание свободного места. Это занимает довольно много времени, в моем случае потребовалось несколько часов.
После этого запускаем Recuva и опять пытаемся восстановить картинки с диска C, в точности с теми же параметрами, как описано выше. Получаем результат:
Как видим, именно наши тестовые файлы восстановить не удалось. Однако видны названия других файлов с картинками, некогда существовавших на диске C, отдельные из этих картинок даже удалось восстановить. Отсюда делаем вывод: SDelete затирает свободное место не полностью, хотя работает в целом неплохо.
Теперь протестируем другой способ удаления файлов, а именно функцию "уничтожения файлов" в Far Manager, вызываемую комбинацией клавиш Alt+Delete. Во встроенной справке Far Manager приведено описание того, как эта функция работает:
По-новой копируем наши тестовые файлы в папку C:\Animals, уничтожаем их комбинацией Alt+Delete в Far Manager.
Надо сказать, что уничтожение файлов прошло довольно быстро - где-то за одну секунду, в отличие от работы утилиты SDelete. После этого, пытаемся восстановить их при помощи Recuva, с точно теми же параметрами, что описаны выше. Результат:
Ни один из тестовых файлов восстановлен не был. Но, как мы видим, Recuva по-прежнему находит имена отдельных картинок, некогда существовавших на диске.
Теперь протестируем другую утилиту для затирания свободного места на диске, а именно - CCleaner в его бесплатной версии. В настройках CCleaner, в разделе "Параметры / Настройки", выставляем галочку напротив диска C, и включаем галочку "Очищать свободное место в MFT".
Для справки: MFT - сокращение от Master File Table (что можно перевести как "главная файловая таблица") - это часть файловой системы NTFS, представляющая собой своего рода базу данных, в которой хранится информация о файлах на диске, такая как: имена файлов, даты их создания и модификации, атрибуты файлов, а также - физическое местоположение файлов на диске. Очень маленькие файлы - размером до нескольких сотен байт - могут сохраняться в MFT целиком.
Затем переходим в раздел "Стандартная очистка". Во вкладке "Приложения" снимаем все-все-все галочки без исключения!
А во вкладке "Windows" снимаем все галочки, кроме одной - "Очистка свободного места".
Нажимаем кнопку "Очистка", затем "Продолжить", и ждем окончания очистки. Очистка свободного места занимает много времени - от одного до нескольких часов, плюс-минус сравнимо со временем работы SDelete. Когда отобразится, что очистка завершена:
закрываем CCleaner, запускаем Recuva и опять пробуем восстановить файлы с диска C. Получаем такой результат:
Не найдено вообще ни одной картинки!
Жмем кнопку "Switch to advanced mode", далее жмем кнопку "Options...", на вкладке "Actions" включаем параметры: "Show files found in hidden system directories" (Показывать файлы из скрытых/системных папок), "Show zero byte files" (Показывать файлы нулевого размера), "Show securely overwritten files" (Показывать надежно перезаписанные файлы), "Deep Scan (increases scan time)" (Глубокий анализ (более длительный)), и "Restore folder structure" (Восстанавливать структуру папок).
Жмем OK. Затем жмем на крестик так, как показано на скрине ниже:
Тем самым мы убираем шаблон поиска только картинок, и заставляем Recuva искать все-все-все файлы, какие она сможет найти. После этого жмем на кнопку "Scan".
После окончания сканирования получаем такой результат:
Как видим, Recuva смогла найти только пять файлов - два каких-то временных, созданных браузером Opera, один временный, созданный самой системой Windows, и два временных файла, созданных Paint-ом (в процессе описываемых действий, я сохранял скриншоты для этой статьи как раз в файле с названием image23.jpg, при помощи виндовского Paint-а). Имена всех остальных удаленных файлов и папок - перезаписаны "мусором" из букв Z и точек, их длины выставлены на уровне 592 и 600 байт, а даты и время последней модификации - на дату и время проведения очистки.
Ради интереса я выборочно восстановил два "мусорных" файла из букв Z и точек, и просмотрел их содержимое во встроенном просмотрщике Far Manager. Оказалось, что они забиты нулями.
Результат просто отличный - восстановить не удалось практически ничего!
Часть 2 - флешка
Как упоминалось выше, современные версии Windows позволяют форматировать флешки на выбор пользователя, либо в FAT32, либо в NTFS. С учетом тематики статьи, для тестов использовалась флешка, специально отформатированная под NTFS.
Схема проведения тестов была в точности такая же, как для жесткого диска: на флешке создавалась папка Animals, туда копировался тот же самый набор тестовых файлов, затем я пробовал удалять их различными способами, после чего пытался восстанавливать.
Для начала, обычное удаление в Far Manager - клавишей F8 при отключенной опции "Удалять в Корзину". После восстановления файлов при помощи Recuva, получаем такой результат:
Восстановлено 10 из 10 файлов.
Затираем свободное место на флешке утилитой SDelete, после чего опять пытаемся восстанавливать файлы. Получаем такой результат:
Не восстановлено ни одного из тестовых файлов. Однако Recuva увидела имена других файлов с картинками, некогда хранившихся на флешке - то есть свободное место зачищено не полностью.
Опять копируем тестовые файлы на флешку, и - уничтожаем их комбинацией Alt+Delete в Far Manager. Потом пытаемся восстановить, и получаем результат:
Не восстановлено ни одного из наших тестовых файлов.
Теперь пробуем затереть свободное место на флешке при помощи CCleaner. В разделе "Параметры / Настройки" выставляем галочку ТОЛЬКО напротив флешки, и включаем опцию "Очищать свободное место в MFT".
Затем переходим в раздел "Стандартная очистка", там во вкладке "Приложения" снимаем абсолютно все галочки, а во вкладке "Windows" все, кроме одной - "Очистка свободного места". Потом запускаем очистку и дожидаемся ее окончания. Очистка флешки шла очень долго - гораздо дольше, чем аналогичная очистка жесткого диска. Когда очистка закончилась, закрываем CCleaner, запускаем Recuva и пытаемся восстановить картинки с флешки, получаем такой результат:
Жмем "Switch to advanced mode" и пытаемся восстановить все-все-все файлы, какие можно найти. Получаем такой результат:
Результат почти такой же, как мы получили ранее при аналогичной очистке жесткого диска: восстановлено всего два файла - один лог-файл программы Chkdsk (это утилита Windows для проверки дисков), и еще какой-то временный файл от неустановленной программы. Имена всех остальных удаленных файлов - перезаписаны "мусором" из букв Z и точек.
Выводы
1. Самый лучший результат показал CCleaner, а точнее его функция "Очистка свободного места" при включенной опции "Очищать свободное место в MFT". Его можно рекомендовать к применению в ситуации, когда вы никуда не торопитесь, и можете спокойно покопаться в компьютере, удалив все компрометирующие вас файлы, а после этого нужно пройтись по диску "Очисткой свободного места" CCleaner-а. После этого вы можете быть спокойны - восстановить компромат будет уже невозможно. Как показало тестирование, такую очистку можно проводить и на диске C - операционная система Windows после этого остается полностью работоспособной.
2. Для текущего удаления палевных файлов, можно рекомендовать "уничтожение файлов" комбинацией Alt+Delete в Far Manager. Это достаточно надежно, и вместе с тем - работает гораздо быстрее, чем полная очистка диска CCleaner-ом.
