Escribir en la ubicación del disco seleccionada para sobrescribir el archivo eliminado

Navega tus respuestas
1

Sé que cada archivo en una computadora está escrito en una ubicación específica del disco. Usando Python quiero localizar el archivo y sobrescribirlo para que sea imposible recuperarlo. Al usar un SSD, creo que es imposible hacerlo debido a la nivelación del desgaste. ¿Es posible en un disco duro?

La razón por la que pregunto esto es porque tengo que escribir un script para hacer una eliminación anti-forense y otro para reconocer el patrón de este movimiento "extraño". Un enfoque fácil para mí sería simplemente generar archivos al azar hasta que cubra todo el espacio libre de una computadora, pero no sería tan profesional para una tesis de maestría. ¿Tienes alguna otra idea sobre cómo hacerlo?

    
pregunta user3347882 13.06.2016 - 20:28
fuente

1 respuesta

2

Parece que el punto es descubrir si las técnicas anti-forenses dejan atrás su propia evidencia distintiva, detectable por el forense.

En ese caso, probablemente puede elegir borrar los archivos con cualquier método que desee, independientemente de lo fácil o difícil que sea reconocer que se realizó la limpieza, o qué idioma se usa para crear la rutina de limpieza. Puede sobrescribir archivos con todos los ceros, todos unos, alternando unos y ceros, pases únicos o múltiples, bytes generados aleatoriamente, la salida de un generador de ipsum de lorem, o incluso miles de páginas web aleatorias usando algo como wget https://en.wikipedia.org/wiki/Special:Random .

Como mencionó la tesis, debe hablar con su asesor para determinar el nivel de sofisticación esperado. Es posible que él o ella quieran ver la efectividad de las herramientas de limpieza que creó, pero tal vez estén más interesados en la efectividad de su "detector de toallitas". El asesor podría querer ver si su detector es capaz de reconocer huellas digitales de algunas de las diversas herramientas de limpieza disponibles públicamente, como sdelete, DBAN u otras. Por ejemplo, el sistema operativo puede registrar cuándo se ejecutó la herramienta en el registro de eventos de la aplicación; la herramienta puede dejar una serie reveladora de entradas de "poco espacio en disco" en los registros de eventos del sistema; un patrón reconocible de nombres de archivos eliminados en la tabla de asignación de archivos; una reducción repentina en el tamaño de los archivos de copia de seguridad creados en los registros de copia de seguridad. Capturado con suficiente antelación, es posible que descubra un patrón único de fragmentación del disco o si estas herramientas dejan huellas específicas ocultas en los archivos de intercambio. Para mí, ese es el nivel de sofisticación que esperaría ver en una tesis de maestría.

Dado todo eso, suena como "Usar Python, quiero sobrescribir" puede ser una afirmación prematura. Es posible que desee profundizar un poco más para descubrir qué necesita lograr. Y asegúrese de discutir esto con su asesor.

    
respondido por el John Deters 13.06.2016 - 22:51
fuente

Lea otras preguntas en las etiquetas

¿Cómo se verifica el token CSRF? Criterios de evaluación de la solución de gestión de vulnerabilidades