¿La "información del volumen del sistema" y $ RmMetadata pueden generar fugas de información en un disco duro nuked?

Navega tus respuestas
3

Recientemente he nuked mi (s) HDD (s) a través de un programa de Windows (Disk Wipe para ser precisos: enlace ), ahora todo está bien cuando trato de recuperar la información en ese disco por cualquier programa que pueda encontrar, excepto por un par de programas que han notado que la carpeta $RmMetadata todavía existe con archivos como $TxfLog.blf dentro de ellos.

A continuación se muestra una imagen de ejemplo:

He hecho un poco de búsqueda para intentar entender exactamente qué son estos archivos, pero nadie parece estar completamente seguro.

¿Podrían seguir existiendo estos datos problemas de fuga de información para un disco nuked si yo, por ejemplo, lo vendiera?

    
pregunta Sammaye 27.08.2014 - 13:36
fuente

3 respuestas

4

El nombre de $TxfLog.blf se explica por sí mismo: la extensión blf indica a CLFS archivo de registro, y se encuentra TxF para NTFS transaccional. Puede ver que TxF es solo un archivo temporal que respalda las transacciones para evitar fallos repentinos, al igual que las precauciones similares en las bases de datos modernas. Puede haber alguna filtración de este archivo, pero solo consistirá en las últimas transacciones.

Información de volumen del sistema suena inocente, pero puede contener índices para una búsqueda rápida de los archivos en la partición. Las fugas son muy probables aquí.

Aunque el método que ha mencionado destruye la mayoría de los datos, los rastros como estos todavía pueden filtrar información sobre los datos originales. La mayoría de los sistemas de archivos no se pueden llenar al 100%, por lo que escribir archivos siempre que sea posible no elimina todos los rastros. Si no le gustaba usar Linux directamente, podría usar DBAN .

    
respondido por el user10008 29.08.2014 - 15:43
fuente
3

Tenía curiosidad (y tal vez la placa), así que simplemente hice una prueba rápida para ver ... Tomé una vieja unidad flash (4 gb era la más pequeña), hice un cambio de formato rápido (a NTFS) y lancé un texto simple archivo en allí.

Uso de FTK Imager , tomé una imagen de antes y después de mi disco (solo el volcado de datos sin procesar). Utilicé el borrado del disco para borrar (usando los valores predeterminados y los ajustes básicos de borrado) de mi unidad de prueba y luego trabajé para intentar recuperar y revisar lo que quedaba atrás.

Después de examinar los archivos de sistema restantes, encuentro que no hay manera de reconstruir los archivos originales. Las carpetas $ Extend y $ RmMetadata son simplemente archivos de registro del sistema necesarios para que el sistema de archivos y la limpieza del disco funcionen correctamente, no hay datos de recuperación útiles almacenados en ellos.

Elegí escribir en ceros para poder evaluar rápidamente lo que queda, pero los valores aleatorios también funcionarán.

Puede leer sobre NTFS aquí y recuperación de datos aquí . Aquí es una publicación que describe por qué están allí los archivos transaccionales.

Para responder a su pregunta, sí, puede sentirse seguro al vender su HDD limpiado de forma segura.

Puede estar interesado en este artículo, ya que describe el método Gutmann

    
respondido por el Matthew Peters 29.08.2014 - 17:29
fuente
2

No sé exactamente si Disk Wipe funciona al sobrescribir los datos de la partición o los datos del disco. Si solo sobrescribe los datos de la partición, pueden quedar archivos en las particiones ocultas.

Si se siente cómodo con Linux, es muy fácil destruir un disco. Suponiendo que su disco esté en /dev/sdb , podría hacer esto:

sudo dd if=/dev/zero of=/dev/sdb bs=65536 oflag=direct

Esto sobrescribirá todo el disco con ceros, eliminando de manera efectiva todos los datos.

    
respondido por el ThoriumBR 27.08.2014 - 15:14
fuente

Lea otras preguntas en las etiquetas

Revisión de seguridad de la aplicación web de Box - ¿legalidad? [cerrado] ¿Cómo permanecer anónimo en una red inalámbrica pública?