Как стирать удаленные файлы с жесткого диска
Обычное удаление файлов через “Корзину” и даже форматирование жесткого диска (особенно в “быстром” режиме) не означает, что данные пропали навсегда. Чаще всего эти действия всего лишь помечают файл как удаленный и не занимающий больше места на жестком диске. Но при этом данные остаются целыми и часто даже не повреждаются. А значит, не составит труда восстановить их с помощью специальных программ.
Но сейчас речь пойдет не о восстановлении, а наоборот — о том, как удалить файлы навсегда. Так, чтобы даже опытный хакер не смог впоследствии открыть их.
Зачем это нужно?
Чаще всего безвозвратное удаление используется в государственных и коммерческих структурах, чтобы обезопасить секретные данные от прочтения посторонними. Но и частным пользователям иногда необходимо уничтожить информацию на компьютере по разным причинам:
- продажа ПК, боязнь того, что новый владелец из любопытства или с дурными намерениями сможет восстановить файлы и узнать личные данные;
- нежелание делиться какой-либо информацией с другими людьми, имеющими доступ к тому же компьютеру;
- использование компьютера с общественным доступом.
Методы безвозвратного удаления данных
Форматирование жесткого диска
Windows располагает внутренними средствами для форматирования жестких дисков. Но по сути такая операция представляет собой просто удаление всей информации, то есть скрытие файлов. Существует много программ, способных восстановить отформатированные разделы. Определенную гарантию может дать разве что полное форматирование с переходом из файловой системы NTFS в систему FAT, а затем обратно с делением жесткого диска на разделы.
Использование SSD
Использование твердотельного накопителя (SSD) вместо обычного жесткого диска (HDD) может ускорить работу компьютера в разы и обезопасить его от случайных повреждений из-за отсутствия в нем подвижных частей. Но при этом восстановить удаленные данные с SSD очень сложно, а в большинстве случаев невозможно.
Причина — команда TRIM, отдаваемая при удалении файлов. Она физически стирает информацию с диска и нигде ее не сохраняет (и заодно защищает диск от ухудшения производительности). Таким образом, восстановить информацию получится только в том случае, если команда TRIM не была выполнена, то есть система ее не поддерживала на момент удаления.
TRIM не поддерживает Mac OS ниже версии 10.6.6 и Mac OS в сочетании со сторонними SSD (не оригинальными). Windows ниже Vista также не работает с данной командой. Информацию можно восстановить с внешних устройств (например, флешек), так как TRIM не поддерживается протоколами USB и FireWare.
Использование стирающих данные программ
Пользователям интернета доступны платные и бесплатные программы, уничтожающие информацию навсегда. Между ними есть отличия, о которых пойдет речь ниже, но главная их функция одна — в ту физическую область диска, где находились файлы (все или только удаленные) записываются случайные ряды единиц и нулей, чтобы старые данные невозможно было прочитать. Обычно достаточно одного такого цикла перезаписи, чтобы информация стерлась безвозвратно. Министерство обороны США использует трехкратную перезапись, АНБ США — семикратную, по российскому ГОСТу достаточно двукратной. Но самым надежным из общедоступных считается метод Гутмана — 35 циклов перезаписи.
Чем больше циклов, тем дольше будет работать программа. На стирание данных методом Гутмана могут потребоваться дни, поэтому для обычной очистки компьютера перед продажей используют одно-двукратную перезапись.
Физическое уничтожение
Хотя программные способы, особенно метод Гутмана, стирают информацию безвозвратно, некоторые пользователи предпочитают идти дальше и уничтожают HDD физически — извлекают его, снимают крышку и царапают блины диска. Еще лучше погнуть их — для этого даже существует специальное оборудование. После того, как блины испорчены, файлы 100% не подлежат восстановлению.
Другое дело, что не всегда есть возможность так поступить — например, если личные файлы побывали на ПК, которым их владелец пользовался в интернет-кафе, или когда информацию нужно удалить не полностью, а точечно. Поэтому рассмотрим ПО, стирающее данные навсегда — еще такие программы называют шредерами.
Программы для удаления данных
Eraser
Eraser — программа для полного удаления файлов, ничего лишнего. Доступны 14 алгоритмов перезаписи, в том числе 35-кратная перезапись методом Гутмана. Для удобства можно удалять файлы прямо из контекстного меню “Проводника”, в том числе точечно, по одному.
Eraser — бесплатная программа, доступная всем желающим.
CCleaner
Популярная программа для очистки данных и ускорения производительности. С ее помощью можно исправить ошибки системы, мешающие работе, удалить ненужные файлы и, конечно, перезаписать удаленную информацию для невозможности ее восстановления. Методов меньше, чем в Eraser — только 4, но их достаточно для любых нужд. Это однократная перезапись, три цикла, семь циклов и метод Гутмана — 35 циклов.
Paragon Disk Wiper
Утилита, встроенная в платную программу Hard Disk Manager. Сейчас доступна только на английском языке. Не работает с отдельными файлами, но надежно очищает свободное пространство на диске или диск полностью.
Советы по безопасности личных данных
1. После зачистки файлов попробуйте восстановить их любой программой для восстановления удаленных данных, чтобы убедиться, что это невозможно.
2. Проверьте, чтобы информация, которую вы решили удалить навсегда, не осталась на других носителях, доступных посторонним.
3. При передаче конфиденциальных данных через интернет пользуйтесь шифровальными программами, иначе файлы могут остаться на стороннем сервере.
Для того чтобы обеспечить полное удаление файлов с винчестера требуются определенные познания, а работая с USB- и SSD-накопителями, можно попасть в ловушку.
Вы считаете файл безвозвратно удаленным? Как бы не так: большинство документов, которые вы стирали в последнее время, благополучно пребывают в первозданном виде на вашем накопителе. В этой статье я расскажу как избавиться от них навсегда.
Когда требуется надежно и с гарантией удалить информацию с носителя, следует проделать немного больше операций, чем простое нажатие клавиши «Delete».
Суть проблемы полного удаления файлов с жесткого диска в следующем: операционная система Windows чрезвычайно трепетно относится ко всем файлам, когда речь идет об их удалении. Чтобы защититься от ошибки пользователя, после нажатия им клавиши «Delete» операционная система перемещает удаляемый файл в Корзину. Из Корзины его можно стереть вручную, либо после ее переполнения сперва происходит автоматическое удаление самых старых файлов. Размер Корзины пользователь может установить самостоятельно для каждого имеющегося в системе жесткого диска. Следует помнить, что и после ее очистки, и после удаления файла минуя Корзину (сочетанием клавиш «Shift+Delete») содержимое документа все равно остается на жестком диске. Причина проста: физически файл стирается лишь после того, как занятая им область на винчестере заполняется другими данными.
Очевидно, что на подобное удаление требовалось бы столько же времени, сколько уходит на обычное копирование файла. Вот почему Windows просто помечает соответствующие стертым данным записи в главной файловой таблице (Master File Table) как удаленные. Эта таблица объединяет имена файлов с физическими блоками на жестком диске. Таким образом, содержимое файла остается записанным на винчестере, хотя операционная система про него уже «забыла».
То же самое происходит и тогда, когда вы форматируете носитель. При этом ОС полностью заменяет главную файловую таблицу и другие метаданные файловой системы чистыми версиями. В области данных все файлы остаются в неизменном виде. Единственное отличие между нормальным и быстрым форматированием заключается в том, что в последнем случае носитель не проверяется на наличие физических ошибок.
Почему WIndows не удаляет файлы полностью?
Windows сохраняет информацию о каждом файле в главной таблице файлов (Master File Table). Это скрытый файл, к которому имеет доступ только операционная система. В нем содержатся имена файлов, а также метаданные, такие как имя пользователя и его полномочия по работе с файлом. Кроме того, в MFT указывается, где на винчестере хранится каждый файл и фрагментирован ли он (то есть расположен ли он несколькими блоками в разных секторах диска). Когда вы стираете файл, он всего лишь помечается в MFT как удаленный. Содержимое этого файла остается на винчестере в исходном состоянии, а специальные утилиты, исследующие жесткий диск на предмет наличия структуры известных типов файлов, позволяют восстановить его без потерь. Вот почему важно не только удалять конфиденциальные данные, но и перезаписывать диск с использованием специализированных утилит. Только это сделает восстановление невозможным.
На сегодняшний день способы уничтожения информации, разрабатывавшиеся в 1990-е годы, считаются устаревшими. Среди них, например, метод Петера Гутмана, который предусматривает 35-кратную перезапись случайными и структурированными данными. Этот алгоритм должен обеспечить многократное изменение полярности магнитного носителя в каждой точке, чтобы даже магнитный микроскоп не смог обнаружить остатков исходной полярности винчестера. Это замечательно, только вот HDD емкостью в один терабайт будет очищаться таким способом пять суток, расходуя при этом ресурсы механической и электронной систем.
Для винчестеров, изготовленных после 2001 года и обладающих емкостью более 15 Гбайт, Петер Гутман рекомендует в качестве максимально надежного метода однократную перезапись случайными данными. Ученый Крэйг Райт провел испытания в своей лаборатории, снимая показания с поверхности магнитных пластин при помощи специальных измерительных инструментов. В ходе эксперимента он выяснил, что на современных винчестерах простое перезаписывание свободного пространства нулями не позволяет восстановить удаленные файлы. Ему удалось определить с 56-процентной вероятностью первоначальное содержание удаленного бита на заранее известной позиции. Вероятность восстановления байта (то есть отдельной буквы) в текстовом документе при этом равно 0,09%. Если же позиция бита неизвестна, а размер файла большой, то вероятность восстановления файла практически равна нулю.
Оптические перезаписываемые накопители, такие как CD или DVD-RW, должны перед утилизацией очищаться подобно винчестерам, то есть свободное пространство на них должно быть заполнено случайными данными. Если же речь идет о неперезаписываемых дисках, то они должны попросту разламываться на большое количество мелких частей (например, с помощью офисного шредера). Если же технические средства уничтожения оптических дисков отсутствуют, то можно попросту расцарапать на максимально возможную глубину и на всей поверхности ту сторону диска, на которой нанесены надписи. Дело в том, что под слоем лака на ней находится отражающий слой, который содержит записанную информацию, и его уничтожение делает невозможным считывание данных.
Для ежедневного применения требуется простая утилита, которая бы обеспечила на практике надежное удаление файлов. Разработчики программы с открытым исходным кодом под названием Eraser поставили перед собой задачу создать именно такой инструмент. После инсталляции утилита интегрируется в контекстное меню Проводника. Кликнув правой кнопкой мыши по нужному файлу, необходимо выбрать «Eraser | Erase», после чего содержание файла перезаписывается случайным набором данных. Метод удаления файла можно выбрать в меню настроек («Settings») в главном окне. Быстрый метод под названием «Pseudorandom Data (1 pass)» вполне надежен, так что даже спецслужбы вряд ли сумеют справиться с восстановлением удаленного файла.
SSD и USB накопители: фрагменты информации остаются
В связи с тем что ячейки памяти флеш-накопителей имеют ограниченное количество циклов перезаписи, производители интегрируют в SSD-винчестеры больший объем памяти, чем указано в паспорте. В процессе работы контроллер распределяет доступ к ячейкам таким образом, чтобы все они были задействованы равномерно. Это вводит программу Eraser в заблуждение, так как вместо нужных секторов контроллер подсовывает ей совсем другие ячейки.
В принципе, содержимое освободившихся ячеек можно стереть только в том случае, если вы зададите своему SSD-накопителю команду «Trim» в ручном режиме. Это возможно лишь при использовании утилит от производителя. Но и в этом случае вы не сможете полностью контролировать процесс. Таким образом, для окончательной ликвидации одного единственного файла вам придется очистить весь SSD-винчестер. При этом данные будут удалены не только из тех ячеек, которые видит Windows, но и из всей флеш-памяти, включая резервные области. Это удается осуществить, пользуясь утилитами от производителя SSD-винчестера, такими, например, как Intel SSD Toolbox или OCZs Firmware Update and Toolbox.
Если для вашего SSD-накопителя не существует подобной утилиты, вы можете попрактиковаться в работе с командной строкой в DOS-программе под названием HDDErase. Для этого при помощи UNetboot создайте загрузочную флешку с Free-DOS и скопируйте на нее программу HDDErase.exe. После этого в BIOS переключите SATA-контроллер в режим совместимости с IDE и запустите компьютер с созданного вами загрузочного внешнего носителя. Учтите, что загрузочная флешка будет определяться не как диск A: — буквой этого диска, скорее всего, окажется C: (но может и какая-то другая). Запустив программу HDDErase, следует указать ей правильную букву привода, который подлежит очистке. И утилита от производителя SSD-винчестера, и HDDErase передают SATA-команды на внутренние SSD-накопители и винчестеры, благодаря чему их контроллеры позволяют полностью и надежно перезаписать всю память. Побочным эффектом такого «низкоуровневого затирания» является ускорение работы старого твердотельного диска. Если ваш SSDвинчестер не оснащен технологиями поддержания высокой производительности (команды «Trim» или «Garbage Collection» — процедура сборки и удаления неиспользуемых данных), то после продолжительной работы он начинает подтормаживать. Процедура перезаписи ячеек памяти позволяет ускорить работу накопителя до уровня нового.
Если же вам хочется сохранить на SSD установленную операционную систему и (или) программы, то перед началом очистки носителя следует создать его образ (здесь описано как его создать). Обратите внимание, что для этой цели необходимо использовать такое приложение, которое воспринимает лишь видимые операционной системой файлы. Подойдет, например, True Image от компании Acronis.
Итак, после очистки SSD перенесите на него созданный ранее образ и работайте как прежде. Если вы устанавливаете на твердотельный накопитель новую операционную систему, мы рекомендуем сразу же создать для конфиденциальных файлов зашифрованный контейнер — например, с помощью программы TrueCrypt.
Очищаем SSD в системе Windows
Чтобы не оставить на SSD части удаленных файлов, имеется простой, но не слишком рекомендуемый по техническим причинам способ. Он годится лишь в том случае, если ваш SSD-винчестер имеет всего один раздел, занимающий целиком весь диск, и он свободен минимум на 10%. Итак, вначале удалите все файлы нажатием комбинации «Shift+Delete». После этого запустите программу Eraser и в ее настройках установите метод затирания свободного пространства по умолчанию, то есть в три прохода. Затем в Проводнике кликните правой кнопкой по букве SSD-накопителя и выберите из контекстного меню «Eraser | Erase Free Space». После этого программа запишет случайные данные на затираемый твердотельный диск, включая рабочую память и резервные ячейки. Таким образом, многие резервные ячейки будут перезаписаны. Оставшиеся данные, которые находятся в отдельных ячейках памяти, конечно, могут быть восстановлены, однако результат этой процедуры совершенно непредсказуем. Ведь для полного восстановления файла необходимо было бы считать весь объем памяти SSD-накопителя, включая и резервные ячейки, которые контроллер старательно прячет от операционной системы. Сразу хочется предупредить, что подобный способ не стоит применять слишком часто, так как он сокращает срок службы твердотельного диска вследствие тотальной перезаписи ячеек.
Удаление файлов с NAS и проблемы удаления на Windows
Наряду с описанными выше рисками имеются и другие проблемы, связанные с надежностью удаления файлов. Так, к винчестерам, установленным в домашнем сетевом хранилище (NAS), вы обращаетесь не напрямую, а через сетевой интерфейс, что затрудняет гарантированное стирание информации. Файловые системы таких хранилищ (на базе Linux) частично работают со специальными журналами восстановления данных. Таким образом, для абсолютной уверенности в надежности удаления файлов следует перед продажей извлечь диски из хранилища и очистить их любым из описанных выше способов, а затем установить обратно.
Независимо от типа носителя операционная система Windows иногда отказывается удалять некоторые файлы. В этом случае нужна осторожность, так как причиной «забастовки» ОС может быть либо потребность в этом файле самой системы, либо запущенная программа, которая обращается к удаляемому файлу. В Windows 7 сообщение об ошибке содержит информацию о том, какое приложение открыло данный файл. Если эта утилита не закрывается или же ее окно пропало с экрана монитора, то поищите в Менеджере задач (запускается сочетанием клавиш «Ctrl+Shift+Esc») функционирующий процесс и завершите его принудительно. Если и это не помогло, придется перезагрузить компьютер и попытаться удалить злополучный файл после перезапуска. В утилите Eraser для этого имеется соответствующая опция под названием «Erase on Restart».
В случае неудачи воспользуйтесь утилитой Unlocker. Кликните правой кнопкой мыши по имени удаляемого файла и выберите пункт меню «Unlocker». Программа покажет, каким процессом заблокирован удаляемый файл. Вы можете «убить» его сразу или выбрать из выпадающего списка нужное вам действие для файла (удаление, переименование или перемещение). Это действие будет выполнено немедленно после нажатия на кнопку «ОК». По умолчанию данная утилита перемещает удаляемый файл в Корзину, поэтому затем ее необходимо очистить с помощью программы Eraser.
Полное удаление файлов с помощью USB флешки
Утилита Darik’s Boot and Nuke специализируется на очистке жестких дисков компьютера, который более не запускается по причине программного сбоя. Когда программное обеспечение перестает функционировать, очистить жесткие диски компьютера поможет именно эта утилита. Для этого распакуйте архив в любую папку на рабочем ПК и запустите программу создания загрузочной флешки — Universal USB Installer. Из верхнего выпадающего меню выберите DBAN 2.2.6, а из нижнего — букву пустого USB-накопителя и нажмите кнопку «Create». После этого запустите компьютер с созданного загрузочного носителя, нажав после включения ПК клавишу «F8» или «F12». Если ничего не получается, то в настройках BIOS необходимо выбрать USB-накопитель в качестве первого загрузочного носителя. Сразу после запуска появится меню, и если вы хотите очистить сразу все имеющиеся в системе винчестеры, то задайте команду autonuke, нажмите кнопку «Enter» и позвольте программе отработать свое. Это может продлиться несколько часов.
Если вам нужно очистить лишь определенный жесткий диск, то после запуска DBAN нажмите на «Enter». Появится интерактивное меню, в котором вы мо-жете выбрать винчестеры, данные с которых должны быть полностью стерты.
Проверка полного удаления файлов
Самый лучший способ проверить действенность того или иного метода удаления файлов — это попытка восстановить удаленную информацию. Для этой цели есть очень много различных утилит.
Программа для удаленных файлов
Установите программу PC Inspector File Recovery. Затем удалите файлы с носителя (он должен иметь файловую систему FAT или NTFS), нажав комбинацию клавиш «Shift+Delete». После этого запустите PC Inspector File Recovery. Выберите в появившемся окне вкладку «Поиск потерянных данных» и запустите процедуру поиска с предустановленными параметрами. Вы будете удивлены, обнаружив, как много удаленных вами файлов можно восстановить после этого. Контрольные документы должны появиться в папке под названием «Удаленные». Восстановление нужного файла производится кликом правой кнопки мыши по нему. Во время нашего тестирования программа PC Inspector не смогла восстановить данные с отформатированного носителя, так же как и ее конкурент — NTFS Undelete.
Еще одна утилита под названием DiskInternals NTFS Recovery отыскала ряд файлов на отформатированном носителе, однако не определила их имена. PC Inspector является бесплатной программой, а NTFS Undelete и DiskInternals NTFS Recovery — платные.