如何分辨快速抹除 vs 完整抹除


forensic evidence storage
隨著資安觀念的提升,在汰換/回收老舊硬碟時,越來越會注意到硬碟是否真的有被清除乾淨,甚至直接藉由物理/消磁的方式直接銷毀硬碟,不讓裡面的資料有一點恢復的機會,避免個人資料或是重要機密資料外洩。
而主要銷毀硬碟的方式有三種,將硬碟消磁、直接摧毀硬碟以及使用硬碟抹寫法,前面兩者在使用後,硬碟完全無法再繼續使用,更不用說要復原軟體,所以若打算要直接丟棄老舊硬碟可以使用這兩種方式。 而今天就要來細談第三種硬碟抹寫。
硬碟抹寫法主要又分成六種: 快速抹除、完整抹除、3次DoD、7次DoD、安全抹除及增強式安全抹除。
我們平常最常使用刪除資料的方式不外乎把檔案丟到'資源回收桶裡',再透過不定期的清空資原回收桶來徹底刪除這些檔案,但為什麼市面上還是有救援軟體可以把已刪除的檔案救回呢?
這就要提到作業系統在儲存檔案的方式,會區分成檔案本體也就是內容的部分,以及索引(Index),系統能透過這些索引來找到該檔案本體的位置,而當你按下刪除檔案的那一刻,系統只是幫你把檔案的索引刪除,實際上檔案本體還是存在在電腦裡,只是系統無法透過索引找到他,直到被新的檔案覆寫才會真的消失。
而拷貝機裡功能其中一種抹除方式'快速抹除',就是採用這種方式,這個方式的拷貝速度最快、花費的時間最少的抹寫方式,卻也是最容易被復原的,但如果你本來就要使用另一顆硬碟位對位拷貝至這顆舊的硬碟,那就不用擔心會被復原的問題,因為只要是被覆寫的檔案都很難再被復原。
完整抹除: 完整抹除會將儲存裝置內每個位元全部都填入0x00一次。執行時間會遠大於快速抹除,花費的時間等於寫入一顆硬碟得時間。就如同上述所說,只要資料被覆寫一次基本上很難被還原,所以使用完整抹除後,硬碟等於回到初始狀態,舊原本舊的資料也不復存在。 實際使用拷貝機來抹除一顆SATA I 的HDD 大概會需要差不多1個小時的時間。
3次DoD抹除 及 7次DoD抹除: 這兩種方式皆符合美國國防部資料抹除標準5220.22M,分別覆寫硬碟3次及7次。
3次DoD抹除第一次先以0x00覆寫,第二次再填0xFF,最後填寫亂數(Random)。
而7次DoD抹除通常使用在軍事用途。是何傳統硬碟(HDD)使用,覆寫所有資料7次,7次資料依序填寫0x00、 0xFF、0x96、0x00、0xFF、0x96、亂數(Random)。因為需重複寫入7次,所已花費的時間也最常​。
‧ ‧ ‧
結語: 抹除多次常使用再當你要販賣掉舊硬碟,或是要轉交給其他人時,才會使用到,來確保裡面的資料100%被清除乾淨了,否則3次及7次DoD抹除是非常消耗時間的。事實上,只要硬碟只要完整覆寫一次就很難靠救援軟體復原了。大多的救援軟體公司也無法救回已經被覆寫的資料。
如果您只是要把舊的硬碟丟棄,不會再使用到,其實可以直接破壞硬碟,像是直接將硬碟用鐵鎚敲到變形、泡水...等。