Muszáj definiálni?

Küldetésnyilatkozat
Biztonságpolitika és szerkesztési elvek
ZHB levelezőlista
PERELJ BE minket - de előtte ezt olvasd el
  • Zaftosabbnál zaftosabb visszaélések leírását várjuk a zughekker(kukac)gmail.com címre!

    UTOLSÓ OKOSSÁGOK

    letöltenivaló

    Fejlesztőknek
    mind ingyenes, teljes verzió


    Eclipse 3.3.2 – a legfrissebb Eclipse SDK C++/C-re élesítve (63 MB)


    PHP for Eclipse SDK - a név magáért beszél: letöltöd, kibontod, bemásolod és megy (9 MB)


    Xinox Java Creator (2 MB) kicsi, gyors, de erős (2 MB)


    SciTe v. 1.76 (0,8 MB) – körülbelül 30 nyelv forráskódjának írásánál ad segítséget. Mert szép színes


    Mitől döglik a kém?


    mind ingyenes, teljes verzió Tudjuk, hogy mindenkinek "a sajátja" a legjobb víruskeresője, a legbiztonságosabb tűzfala, de azért mi ezeket ajánljuk Windows-ra az ingyenesek közül


     Spybot Search and Destroy


     Spyware Terminator

    A fájl elszáll, a bit megmarad

    2008.09.02. 14:59 | Zughekker Zita | Szólj hozzá!

    Címkék: felhasználói biztonság

    Hogyan is oldható meg az adatmegsemmisítés egy otthoni PC-n, most a digitális írásbeliség hajnalán?

    Webes felületen e-mailen egyeztettél egy cicababával időpontot? Egy előre kidolgozott bankrablás dokumentációját még a lomtárból is törölted? Csupán a géped adathordozóját megvizsgálva perdöntő bizonyítékhoz juthat az igazságszolgáltatás. Vagy éppen rajtakaphat az asszony – már ha kellően elszánt.

    A felhasználók közül szinte mindenki által ismert, hogy akár windowsos, akár linuxos rendszerek esetén a törléskor a fájl nem semmisül meg azonnal, hanem Recycler-be illetve Trash-be kerül, azaz minden további nélkül előhúzható, ha kell. Már jóval kevesebben vannak tisztában azzal, hogy a Lomtárból kiürített fájlok és mappák is visszanyerhetők, sokszor meglepően sok idő elteltével is. Jelen cikkem ennek a hátteréről próbál rövid összefoglalást adni.

    Mindenek előtt érdemes tisztában lenni azzal, hogy hogyan is történik az adattárolás fizikai szinten. A ferromágneses adathordozók, úgy mint a winchester, ún. allokációs egységekre [clusterekre] vannak osztva. Ezek az allokációs egységek tartalmazzák azoknak a bitek sorozatát, amit az operációs rendszer "egybe olvasva" egy fájlnak lát. Természetesen az allokációs egységek mérete azonos és egy fájl több allokációs egységen is elterpeszkedhet, ez jelenti a fájl fizikai helyét. Amíg a linuxos rendszerek esetében az allokációs egység mérete a partíció formázásánál tág határok közt választható, a Windows NT-vonalba tartozó rendszereknél, így a Windows XP-nél és a Vistánál is 4 kilobyte az általános.


    Ahhoz, hogy a rendszer megtalálja, hogy egy adott fájl hol is érhető el, az adathordozó egy erre elkülönített részén nyilván kell tartania, hogy a fájl melyik clusternél kezdődik és melyiknél ér véget. 

    Ha egy fájlt törlünk, nem történik más, csak egyszerűen átírja az operációs rendszer a fájl nevét, majd ebbe a "katalógusba" feljegyzi, a fájl eredeti adatait, valamint azt, hogy onnantól kezdve a fájl a lomtárhoz tartozik. Így a sima törlés tulajdonképpen nem más, mint egy egyszerű átnevezés. Ezzel valószínűleg nem mondtam újat. Na de mi történik, ha a lomtárat kiürítjük? A fájlok adattartalma fizikailag nem semmisül meg, azaz ugyanazokat az allokációs egységeket foglalja el, mint korábban, csak éppen az operációs rendszer a háttértáron egyszerűen eltávolítja a fájlra mutató bejegyzést, azaz jelzi, hogy X-edik egységtől az Y-adik egységig írható, felülírható tér van. Természetesen az X-edik és az Y-adik cluster közötti bitek eddig nem változtak meg. Miért is változtak volna, ha az operációs rendszer úgy tartja nyilván, hogy a megjelölt terület felhasználható?

    Miért? A magyarázat rendkívül egyszerű. A törlésnél sokkal gyorsabb és egyszerűbb fájlbejegyzést megsemmisíteni vagy módosítani, mint a fájl által lefoglalt összes cluster összes bitjét feltölteni zérusokkal vagy egyesekkel. Ez a gyakorlatban nem csak fölösleges, de értelemszerűen egyenlő lassúságú lenne az írással!

    Addig, amíg az adott területre nem kerül valamilyen más fájl, mindvégig visszanyerhető számos segédprogram segítségével. Bár nem vagyok adatvisszamentési specialista, gyakorlatilag ez történik a gyorsformázás, sőt az újraparticionálásnál is, azaz az adathordozónak csak egy kis része módosul, mégpedig az, amelyik nyilvántartja, hogy mi, mettől meddig. Így elméletileg a leformázott vagy particionált adathordozók korábbi adattartalma is visszanyerhető a megfelelő eszközökkel. Legalábbis egy darabig.

    Természetesen a felhasználó előtt az oprendszer eltakarja az ilyen pikáns részleteket, ha pedig ténylegesen törölni szeretnénk, jöhetnek a különféle shredder-alkalmazások, amik fizikailag is megsemmisítik azoknak a clustereknek az adattartalmát, amin korábban a fájl volt. Ezeknek a sebessége gyorsabb, ha mondjuk csak minden 16. bitet barmolja át az ellentettjére a program és pont az írás sebességével azonos, ha az adott területet mondjuk egy az egyben 1-esekkel tölti fel.

    Tételezzük fel, hogy Bűnöző Bandi egy terrorista-akció minden tervét kidolgozta, Windows XP alatt majd megszabadulna tőle, ezért törli még a Lomtárból is, de azért sajnálja a winchestert tengerbe dobni. Ha még shreddert is használ mindeközben, ettől függetlenül az adat még mindig visszanyerhető lehet, ha mondjuk a shredder véletlenszerűen válogatja ki a fájl fizikai területén azokat a biteket, amiket át fog írni, hiszen így gyorsabban dolgozik. A felhasználó pedig természetesen – akár bűnöző, akár nem – azt az alkalmazást használja, amelyik gyorsabb. Ha a winchester nyomozóhatósághoz kerül – nem, nem magyarhoz, mert azok valószínűleg szállítás közben elhagynák - a kellőképpen türelmes kriminalisztikus ha rájön, hogy milyen típusú fájlok tanyáztak az adott clusterek területén [a fájl típusa tipikusan a fájl által elfoglalt első clusteren van], már tudja, hogy milyen formátumot kell keresnie. Hiszen a DOC, PDF, stb. fájloknak jellegzetes szerkezete van.  Megint más szoftverekkel prediktálni tudja, hogy mely bitek lehetnek eltorzítva, így gyakorlatilag byte-ról byte-ra ha kell, de visszanyerhetőek a fájlok.

    A tényleges adatmegsemmisítés igen gépigényes, így időigényes meló, így nem túlzás ha egy ultra-paranoiás a winchester tetejére kisebb bombát szerel, így a gépre éppen lecsapni készülő nyomozók előtt néhány másodperc alatt elfüstölhető a teljes adathordozó.

    Van viszont egyszerűbb megoldás is, amit ugyan nem erre találtak ki, nem is túl gyors, viszont a folyamat végére drámaian lecsökken a korábban törölt, visszanyerhető adatok mennyisége. Ahogy azt előbb dióhéjban leírtam, az adattárolás természetéből adódik, hogy amikor fájlokat másolunk a rendszer a szabad clusterekre húzza a fájl első felét, de ha nincs elegendő egybefüggő egymás után cluster, egy fájl számára, a rendszeren egy másik clustercsoportra helyezi a fájl második darabját, természetesen feljegyezve mindezt. Hasonlóképpen, törlésnél "lyukak" maradhatnak clustercsoportok közt, ha a különálló clustercsoportokban volt reprezentálva az adott fájl. Azaz egy fájl számos apró, akár több száz különálló darabban is lehet fizikai szinten a winchesteren. A végeredmény az lehet, hogy a fájlok teljes betöltése az olvasófej részéről már túl sok mozgást igényel, így az effektív adatelérési sebesség megnő, ennek eredményeképpen az alkalmazás, ami a fájlt használja, pokolian lelassulhat az operációs rendszerrel együtt. A jól ismert jelenséget fragmentációnak, magyarítva töredezettségnek nevezzük.

    Az operációs rendszer persze ad eszközt a töredezettség kiküszöböléséhez, ez igen időigényes lehet. A töredezettség mentesítés során a logikailag összetartozó clusterek közvetlen egymás után kerülnek, így a winchester kevesebb fejmozgással tudja elérni az adott fájlt, így csökken annak az adatelérési sebességét. A töredezettség mentesítés folyamatából értelemszerűen adódik, hogy "lyukak" tűnnek el, így azoknak a clustereknek az adattartalma menthetetlenül felül lesz írva olyan adattartalommal, ami korábban is létezett ugyan, de a HDD-nek más területén.

    Ha nem is teljesen, de egy-egy töredezettség mentesítés után a visszaállítható fájlok mennyisége nagyságrendileg csökken. Feltéve persze, hogy a korábbi teljes adattartalom eléggé töredezett volt.

    Összefoglalásként elmondható tehát, hogy egy olyan jellegű feladat megoldásánál is, mint a fájlok visszaállíthatatlanná tétele, a megoldáshoz használt eszköz sokszor jóval kézenfekvőbb, mint hinnénk.
     

    · 1 trackback

    A bejegyzés trackback címe:

    https://zughekker.blog.hu/api/trackback/id/tr93644936

    Trackbackek, pingbackek:

    Trackback: BuheraBlog 2008.09.02. 17:21:52

    A fájl elszáll, a bit még jó sokáig megmaradZughekker írt egy jó kis összefoglalót az adatmegsemisítéssel kapcsolatos általános tudnivalókról. Az anyag érthető és összeszedett, de nekem azért lenne egy kis kiegészítésem a témához:A merevlemezek ugyan digi…

    Kommentek:

    A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

    Nincsenek hozzászólások.
    süti beállítások módosítása