日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

系統(tǒng)文件的完全清除方法詳解( 二 )

云知道



專用的硬件設(shè)備能夠精確地檢測(cè)出信號(hào)強(qiáng)度的實(shí)際值 , 將這個(gè)值減去當(dāng)前數(shù)據(jù)位的標(biāo)準(zhǔn)強(qiáng)度 , 就得到了被覆蓋數(shù)據(jù)的副本 。理論上 , 這個(gè)過程可以向前遞推七次 , 所以如果要徹底清除文件 , 必須反復(fù)覆蓋數(shù)據(jù)七次以上 , 每次都用隨機(jī)生成的數(shù)據(jù)覆蓋 。

第二種數(shù)據(jù)恢復(fù)技術(shù)的依據(jù)是 , 磁頭每次讀/寫數(shù)據(jù)時(shí) , 不可能絕對(duì)精確地定位在同一個(gè)點(diǎn)上 , 寫入率蕕奈恢貌換岣蘸酶哺竊讜吹氖萆稀T惺葑蓯腔崍糲亂恍┖奐?,利用专用导{璞縛梢苑治齔鱸惺蕕母北??稱為影子數(shù)據(jù) 。當(dāng)然 , 如果我們反復(fù)執(zhí)行覆蓋操作 , 原有數(shù)據(jù)的痕跡也會(huì)越來越弱 。

● 影子數(shù)據(jù):被覆蓋的數(shù)據(jù)總是與新寫入的不離左右 , 就象人的影子總是緊跟著人 , 因此被覆蓋的數(shù)據(jù)就稱為影子數(shù)據(jù) 。英文功力好的讀者可以參見這篇專著:http://www.forensics-intl.com/art15.HTML 。

通常而言 , 能夠恢復(fù)已刪除、覆蓋的數(shù)據(jù)應(yīng)該算是一件好事 , 當(dāng)然 , 某些必須徹底清除數(shù)據(jù)的場(chǎng)合除外 。這方面最為著名的標(biāo)準(zhǔn)是美國(guó)國(guó)防部訂立的磁盤清洗規(guī)范 , 它要求數(shù)據(jù)必須覆蓋三次:第一次用一個(gè)8位的字符覆蓋 , 第二次用該字符的補(bǔ)碼(0和1全反轉(zhuǎn)的字符)覆蓋 , 最后用一個(gè)隨機(jī)字符覆蓋 。不過這個(gè)清洗方法不適用于包含高度機(jī)密信息的媒介 , 這類媒介必須進(jìn)行消磁處理 , 或者銷毀其物理載體 。當(dāng)然 , 對(duì)于大多數(shù)場(chǎng)合來說 , 簡(jiǎn)單的覆蓋處理已經(jīng)足夠 。
四、被遺忘的角落

刪除和覆蓋文件還不能清除硬盤上的所有敏感數(shù)據(jù) , 因?yàn)閿?shù)據(jù)可能隱藏在某些意料之外的地方 , 所以文件占用的每一個(gè)扇區(qū)都必須徹底清洗??所謂扇區(qū) , 就是大小為512字節(jié)的數(shù)據(jù)片斷 , 每個(gè)簇包含多個(gè)扇區(qū) 。

向磁盤寫入文件時(shí) , 文件的最后一部分通常不會(huì)恰好填滿最后一個(gè)扇區(qū) , 這時(shí)操作系統(tǒng)就會(huì)隨機(jī)地提取一些內(nèi)存數(shù)據(jù)來填充空余區(qū)域 。從內(nèi)存獲取的數(shù)據(jù)稱為RAM Slack(內(nèi)存渣滓) , 它可能是計(jì)算機(jī)啟動(dòng)之后創(chuàng)建、訪問、修改的任何數(shù)據(jù) 。另外 , 最后一個(gè)簇中沒有用到的扇區(qū)就原封不動(dòng) , 即保留原來的數(shù)據(jù) , 稱為Drive Slack(磁盤渣滓) 。問題在于許多號(hào)稱安全刪除文件的工具不會(huì)正確清除內(nèi)存渣滓和磁盤渣滓 , 而這些被稱為渣滓的地方卻可能包含大量的敏感信息 。

在NTFS文件系統(tǒng)中 , 每個(gè)文件包含多個(gè)流 , 其中一個(gè)流用來保存訪問權(quán)限之類的信息 , 另一個(gè)流用來保存真正的文件數(shù)據(jù) 。除此之外 , NTFS還允許額外的數(shù)據(jù)流 , 即ADS(Alternative Data Stream) , ADS可以用來保存任何信息 , 最常見的用途是保存圖形文件的縮略圖 。由于許多安全刪除文件的工具不能清除ADS , 所以即使存放文件實(shí)際數(shù)據(jù)的流已經(jīng)清除 , 但縮略圖仍可能泄露機(jī)密 。微軟知識(shí)庫(kù)文章319300(http://support.microsoft.com)介紹了如何防止系統(tǒng)創(chuàng)建縮略圖使用的流 , 即刪除注冊(cè)鍵HKEY_LOCAL_MacHINESystemCurrentcontrolsetControlContentindexFilterTrackers 。

●ADS:ADS這個(gè)縮寫詞經(jīng)常用來表示活動(dòng)目錄服務(wù)(Active Directory Services) , 不過本文中ADS是指“可選數(shù)字流” , 是文件主體數(shù)據(jù)之外的附屬信息存儲(chǔ)區(qū)域 。就象你的公文包 , 包里面是正式存放物品的主空間 , 但包的外面還會(huì)有一二個(gè)附屬小口袋便于快速取用物品 , 這些小口袋就相當(dāng)于ADS 。

ADS已是人們熟知的隱藏?cái)?shù)據(jù)和病毒之地 , 經(jīng)常被計(jì)算機(jī)犯罪分子利用 。但除此之外 , 硬盤上還有其他可以隱藏?cái)?shù)據(jù)的區(qū)域 。

扇區(qū)是在低級(jí)格式化期間創(chuàng)建的 , 通常由硬盤制造廠完成 。低級(jí)格式化工具會(huì)標(biāo)記出損壞的扇區(qū) , 從而避免磁盤控制器向損壞的區(qū)域?qū)懭霐?shù)據(jù) 。簇包含多個(gè)扇區(qū) , 由高級(jí)格式化工具創(chuàng)建 , 如Windows或DOS的format命令 。如果高級(jí)格式化期間發(fā)現(xiàn)壞扇區(qū) , 整個(gè)簇被標(biāo)記為壞簇 , 但是 , 壞簇里面還有好的扇區(qū) , 有些人就利用這些扇區(qū)來隱藏?cái)?shù)據(jù) 。

推薦閱讀