/dev/null - Overig

Tot hoe ver terug kun je bestanden terug halen?

11-06-2015, 20:55 door Anoniem, 18 reacties
Het hoort wellicht niet echt op dit forum thuis maar aan de andere kant heeft het ook wel iets te maken met privacy.

Je hoort zo vaak dat je bestanden van HD's, SD kaartjes en Compact Flash kaartjes enzo kunt terug halen als ze kapot/gewist zijn. Bij een kapotte HD is het wel eens handig dat je bestanden kan recoveren.

Nu heb ik wat compact flash kaartjes liggen waar ik niks meer mee doe (die camera heeft het jaren geleden begeven) dus ik dacht ik wis ze en geef ze aan iemand anders die er nog wel iets aan heeft. Maar op die kaartjes hebben ook foto's gestaan van privacy gevoelige documenten zoals een paspoort want ik had nog geen scanner. Nu vraag ik mij dus af dat als de volgende eigenaar van mijn kaartjes ooit een kaartje moet recoveren komen dan ook al die foto's terug? Ook al is dat kaartje in de tussentijd heel vaak gewist? Of kan een recover programma alleen de meest recente dingen terug halen?

Lijkt mij een beetje raar dat als het kaartje 64MB is je voor 500MB terug kan halen?
Reacties (18)
11-06-2015, 21:52 door Anoniem
Als het goed is zorgt een flash disk er voor dat de data op het mistgebruikte plek geplaatst wordt.
Dit zorgt er voor dat de laatste in dit geval 64MB terug te halen zijn.
Maar dit is vaak lastiger dan met een HDD, al heb ik geen ervaring met data recovery op flash geheugen.
11-06-2015, 22:11 door Anoniem
Het kaartje is bij normaal formateren niet gewist. Dat kan alleen bij een zero fill of als men het kaartje tot de max vult met hun eigen data dan is jou data ook weg, Als het kaartje maar half vol staat met hun data en men zou proberen bestanden te recoveren dan zijn velen al overscheven of deels beschadigd corupted rommel in de fotos. maar sommige misschien zijn misschien nog goed, afhankelijk van het bestands systeem en welke data overscheven is. Het kan ook zijn dat men kan zien dat er een bestand was maar dat het bestand zelf er al grotendeels niet meer is.
12-06-2015, 08:01 door MM
Inderdaad, gewoon het hele kaartje tot de nok vullen met onzin.
Heb je ook gratis programmatjes voor overigens.
Zet het kaartje helemaal vol met eentjes of nulletjes en klaar.
12-06-2015, 08:59 door Anoniem
Versimpelde technische uitleg:

Een opslagmedium bestaat uit 2 delen.
Deel 1 is de ruimte die bestanden daadwerkelijk gebruiken.
Deel 2 is een index, waardoor het systeem weet welke bestanden er te vinden zijn op welke plek op deel 1.

Bestanden verwijderen of een medium formatteren wist alle data op deel 2, de index dus.
Het is dan niet meer mogelijk bestanden, die zijn opgeslagen op deel 1, te lezen.
Echter, recovery-programma's kunnen nog wel alle data die aanwezig is gebleven op deel 1 uitlezen. Indien deze data niet is overschreven, is er ook niets gewijzigd en kan 100% teruggevonden worden.


De oplossingen:
- De koper vertrouwen.
- Alle ruimte op het opslagmedium vullen met niet-privacygevoelige data alvorens het te formatteren.
- Een applicatie gebruiken die lege sectoren overschrijft. DBAN is een bekend voorbeeld, CCleaner is ook een optie.

NB: Het meerdere malen overschrijven van lege sectoren is, op opslagmedia van na de jaren '90 (uit de vorige eeuw!) niet meer nodig. Het terughalen van overschreven data (door de NSA enzo) is FUD.


Duidelijk zo?
Succes!
12-06-2015, 09:07 door Anoniem
Door Anoniem:
Lijkt mij een beetje raar dat als het kaartje 64MB is je voor 500MB terug kan halen?

Nee dat klopt ook niet, je kunt niet meer terug halen dan er nu ruimte VRIJ is op het kaartje.
Dus als je een kaartje van 64MB hebt en er is 16MB vrij dan kun je niet meer dan 16MB terug halen. Minder, meestal.
En heb je alle bestanden "gewist" dan is alle ruimte vrij en kun je dus maximaal 64MB terug halen.

Daarom werkt het ook wat die andere mensen schrijven: maak het hele kaartje vol met een bestand dat niet belangrijk is,
wis dit bestand dan, en er kan niks meer worden terug gehaald wat wel belangrijk was.
12-06-2015, 10:25 door Anoniem
Het veiligste is het kaartje gewoon niet weg geven ,gewoon zelf houden of anders kapot slaan,
beter voorkomen dan genezen . succes!
12-06-2015, 10:29 door Anoniem
gebruik dban om de kaartjes te wissen. http://www.dban.org/
12-06-2015, 10:32 door D0rus - Bijgewerkt: 13-06-2015, 00:50
Bij SD kaartjes telt zover ik weet, overschreven = weg, maar verwijdert is nog niet overschreven, daarvoor zul je eerst nieuwe data op het kaartje moeten plaatsen (en hopen dat die toevallig over de oude heen komt). Dus maximaal de vrije ruimte is terug te halen, als je 64MB hebt, en 32 vrij, is er 32MB terug te halen, en zijn dat waarschijnlijk (maar niet zeker) redelijk recent verwijderde foto's.

Vroeger (voor 2007) kon je bij HDD's nog vaak nog wel meer terug halen, alhoewel niet gemakkelijk. De truc daar is dat het magnetisch velt dat de data bevat, niet om 0 of 1 staat, maar er een beetje tussenin zweeft. Alles boven de 0.8 is een 1, en onder de 0.2 is een 0. Als jij eerst twee maal 0 schrijft op dezelfde locatie, staat hij op 0.05, terwijl als het 1, 0 was geweest, dan was je op 0.15 uitgekomen. Hoe vaker een bit overschreven is, hoe moeilijker dit wordt, zo zal 000 net iets onder de 0.05 eindigen en 100 niet iets erboven etc.

Om bestanden op een HDD volledig te wissen moest je dus een speciale procedure volgen waarbij bestanden meerdere malen met random data worden overschreven. Er waren programma's die dit voor je doen, het is zelfs zo dat verschillende overheden hier een standaard voor hadden, zoek maar eens op de Amerikaanse DoD 5220.22-M of Duitse VSITR. Vanaf 2003 is er een nieuwe techniek waardoor de grootste HDD's sindsdien niet meer op deze manier uit te lezen zijn. Sindsdien is ook daar overschreven = weg (Maar de bovengenoemde techniek voor SD kaarten gaat ook nog steeds op voor HDD's).

Zoals ik al aangaf, is dit bij SD kaarten zover ik weet nooit van toepassing geweest, als je deze volledig formatteert (dus niet snel formatteren, want dan wis je alleen de bestandsverwijzingen en niet de bestanden), dan is alles ook weg. Wat wel kan bijvoorbeeld is dat bestanden in sommige gevallen in theorie nog in de cache zitten. Normaal overschrijft die zichzelf redelijk snel, na enkele minuten zou ik niet meer verwachten dat daar iets uit terug komt.

edit: zoals Millie0111 aangeeft, de truc met HDD's werkte al /jaren/ niet meer.
12-06-2015, 10:46 door Anoniem
Wat dacht je van sd kaartje fysiek vernietigen? Waarom weggeven? Ik zelf zou zowiezo geen sd kaartje van iemand anders in mn toestellen willen wegens mogelijk besmettingsgevaar. En zo duur zijn die dingen nieuw nou ook weer niet.
12-06-2015, 10:57 door Anoniem
Een goede link voor wat tools:
http://www.makeuseof.com/tag/5-tools-permanently-delete-sensitive-data-hard-drive-windows/

Gebruik zelf Dban en dan 7x overschrijven
12-06-2015, 10:58 door Millie0111
Door D0rus: Bij HDD's kun je vaak nog wel meer terug halen, alhoewel niet gemakkelijk. De truc daar is dat het magnetisch velt dat de data bevat, niet om 0 of 1 staat, maar er een beetje tussenin zweeft. Alles boven de 0.8 is een 1, en onder de 0.2 is een 0. Als jij eerst twee maal 0 schrijft op dezelfde locatie, staat hij op 0.05, terwijl als het 1, 0 was geweest, dan was je op 0.15 uitgekomen. Hoe vaker een bit overschreven is, hoe moeilijker dit wordt, zo zal 000 net iets onder de 0.05 eindigen en 100 niet iets erboven etc.

Om bestanden op een HDD volledig te wissen zul je dus een speciale proceduren moeten volgen waarbij bestanden meerdere malen met random data worden overschreven. Er zijn programma's die dit voor je kunnen doen, het is zelfs zo dat verschillende overheden hier een standaard voor hebben, zoek maar eens op de Amerikaanse DoD 5220.22-M of Duitse VSITR.
Dat was met de vroegere HDD's inderdaad zo, maar nu er steeds meer data op een disk gepropt wordt, worden de gemagnetiseerde deeltjes niet meer horizontaal op de disk, maar verticaal op de disk geplaatst. Daardoor is het "residual magnetisme" niet meer te meten. Een enkelvoudige full format (alles één keer overschrijven) volstaat tegenwoordig.

Met SD kaartjes is inderdaad de data terug te halen die niet door nieuwe data is overschreven.
12-06-2015, 11:29 door Anoniem
Okee bedankt, de kaartjes zijn daarna nog vaak helemaal gevuld en weer leeggehaald vooral tijdens vakanties. Echt gek eigenlijk, mijn eerste digitale camera kon alleen CF kaartjes aan van 32 en 64MB.. groter zag dat ding niet. Nu heb ik sd kaartjes van 4GB.
12-06-2015, 15:23 door Anoniem
Door Anoniem: Okee bedankt, de kaartjes zijn daarna nog vaak helemaal gevuld en weer leeggehaald vooral tijdens vakanties. Echt gek eigenlijk, mijn eerste digitale camera kon alleen CF kaartjes aan van 32 en 64MB.. groter zag dat ding niet. Nu heb ik sd kaartjes van 4GB.
Dat zijn SDHC kaartjes. Die noemt men wel SD kaartjes maar dat is toch iets totaal anders wat interface betreft.
12-06-2015, 20:52 door Anoniem
Door D0rus:

[..]
Bij HDD's kun je vaak nog wel meer terug halen, alhoewel niet gemakkelijk. De truc daar is dat het magnetisch velt dat de data bevat, niet om 0 of 1 staat, maar er een beetje tussenin zweeft. Alles boven de 0.8 is een 1, en onder de 0.2 is een 0. Als jij eerst twee maal 0 schrijft op dezelfde locatie, staat hij op 0.05, terwijl als het 1, 0 was geweest, dan was je op 0.15 uitgekomen. Hoe vaker een bit overschreven is, hoe moeilijker dit wordt, zo zal 000 net iets onder de 0.05 eindigen en 100 niet iets erboven etc.
[..]

Kun je dat onderbouwen voor drives jonger dan van de laatste *20* jaar ?
(nieuwer dan MFM/RLL drives en het paper van Peter Gutmann )

Bijvoorbeeld een data recovery bedrijf die echt *overschreven* data wil proberen te recoveren ?

http://www.nber.org/sys-admin/overwritten-data-guttman.html
https://www.usenix.org/legacy/publications/library/proceedings/sec96/full_papers/gutmann/index.html

Stop anders alsjeblieft met het herkauwen van urban legends, feitelijke onzin of valse hoop voor verloren data te geven - als het echt overschreven is, is het WEG. En _één_ keer overschrijven is genoeg.
13-06-2015, 00:44 door D0rus - Bijgewerkt: 13-06-2015, 00:45
Door Millie0111:
Door D0rus: Bij HDD's kun je vaak nog wel meer terug halen, alhoewel niet gemakkelijk. De truc daar is dat het magnetisch velt dat de data bevat, niet om 0 of 1 staat, maar er een beetje tussenin zweeft. Alles boven de 0.8 is een 1, en onder de 0.2 is een 0. Als jij eerst twee maal 0 schrijft op dezelfde locatie, staat hij op 0.05, terwijl als het 1, 0 was geweest, dan was je op 0.15 uitgekomen. Hoe vaker een bit overschreven is, hoe moeilijker dit wordt, zo zal 000 net iets onder de 0.05 eindigen en 100 niet iets erboven etc.

Om bestanden op een HDD volledig te wissen zul je dus een speciale proceduren moeten volgen waarbij bestanden meerdere malen met random data worden overschreven. Er zijn programma's die dit voor je kunnen doen, het is zelfs zo dat verschillende overheden hier een standaard voor hebben, zoek maar eens op de Amerikaanse DoD 5220.22-M of Duitse VSITR.
Dat was met de vroegere HDD's inderdaad zo, maar nu er steeds meer data op een disk gepropt wordt, worden de gemagnetiseerde deeltjes niet meer horizontaal op de disk, maar verticaal op de disk geplaatst. Daardoor is het "residual magnetisme" niet meer te meten. Een enkelvoudige full format (alles één keer overschrijven) volstaat tegenwoordig.

Met SD kaartjes is inderdaad de data terug te halen die niet door nieuwe data is overschreven.
Ah kijk, dat verticaal plaatsen wist ik, maar niet dat daardoor het "residual magnetisme" niet meer te meten is.

Door Anoniem:
Door D0rus:

[..]
Bij HDD's kun je vaak nog wel meer terug halen, alhoewel niet gemakkelijk. De truc daar is dat het magnetisch velt dat de data bevat, niet om 0 of 1 staat, maar er een beetje tussenin zweeft. Alles boven de 0.8 is een 1, en onder de 0.2 is een 0. Als jij eerst twee maal 0 schrijft op dezelfde locatie, staat hij op 0.05, terwijl als het 1, 0 was geweest, dan was je op 0.15 uitgekomen. Hoe vaker een bit overschreven is, hoe moeilijker dit wordt, zo zal 000 net iets onder de 0.05 eindigen en 100 niet iets erboven etc.
[..]

Kun je dat onderbouwen voor drives jonger dan van de laatste *20* jaar ?
(nieuwer dan MFM/RLL drives en het paper van Peter Gutmann )

Bijvoorbeeld een data recovery bedrijf die echt *overschreven* data wil proberen te recoveren ?

http://www.nber.org/sys-admin/overwritten-data-guttman.html
https://www.usenix.org/legacy/publications/library/proceedings/sec96/full_papers/gutmann/index.html

Stop anders alsjeblieft met het herkauwen van urban legends, feitelijke onzin of valse hoop voor verloren data te geven - als het echt overschreven is, is het WEG. En _één_ keer overschrijven is genoeg.
Nouja, als je je eigen linkjes leest dan zie je dat het pas sinds 2003 anders is, dat is 'maar' 12 jaar. Ook zullen toen niet meteen alle hdd's magisch vervangen zijn, neem de gemiddelde leeftijd van een hdd, dat is zo'n 3-5 jaar, en tel er nog 2-3 bij voordat alle hdd's over waren op de nieuwe techniek, dan is deze truuc dus pas sinds 2007-2009 verleden tijd. Dat het vandaag historie is maakt het overigens ook geen 'urban legends'. (Ik had natuurlijk zelf DoD 5220.22-M of VSITR moeten googlen en zien dat ze sinds 2007-2009 niet meer gebruikt worden).
13-06-2015, 03:47 door Anoniem
Door D0rus:
Door Millie0111:
Door D0rus: Bij HDD's kun je vaak nog wel meer terug halen, alhoewel niet gemakkelijk. De truc daar is dat het magnetisch velt dat de data bevat, niet om 0 of 1 staat, maar er een beetje tussenin zweeft. Alles boven de 0.8 is een 1, en onder de 0.2 is een 0. Als jij eerst twee maal 0 schrijft op dezelfde locatie, staat hij op 0.05, terwijl als het 1, 0 was geweest, dan was je op 0.15 uitgekomen. Hoe vaker een bit overschreven is, hoe moeilijker dit wordt, zo zal 000 net iets onder de 0.05 eindigen en 100 niet iets erboven etc.

Om bestanden op een HDD volledig te wissen zul je dus een speciale proceduren moeten volgen waarbij bestanden meerdere malen met random data worden overschreven. Er zijn programma's die dit voor je kunnen doen, het is zelfs zo dat verschillende overheden hier een standaard voor hebben, zoek maar eens op de Amerikaanse DoD 5220.22-M of Duitse VSITR.
Dat was met de vroegere HDD's inderdaad zo, maar nu er steeds meer data op een disk gepropt wordt, worden de gemagnetiseerde deeltjes niet meer horizontaal op de disk, maar verticaal op de disk geplaatst. Daardoor is het "residual magnetisme" niet meer te meten. Een enkelvoudige full format (alles één keer overschrijven) volstaat tegenwoordig.

Met SD kaartjes is inderdaad de data terug te halen die niet door nieuwe data is overschreven.
Ah kijk, dat verticaal plaatsen wist ik, maar niet dat daardoor het "residual magnetisme" niet meer te meten is.

Door Anoniem:
Door D0rus:

[..]
Bij HDD's kun je vaak nog wel meer terug halen, alhoewel niet gemakkelijk. De truc daar is dat het magnetisch velt dat de data bevat, niet om 0 of 1 staat, maar er een beetje tussenin zweeft. Alles boven de 0.8 is een 1, en onder de 0.2 is een 0. Als jij eerst twee maal 0 schrijft op dezelfde locatie, staat hij op 0.05, terwijl als het 1, 0 was geweest, dan was je op 0.15 uitgekomen. Hoe vaker een bit overschreven is, hoe moeilijker dit wordt, zo zal 000 net iets onder de 0.05 eindigen en 100 niet iets erboven etc.
[..]

Kun je dat onderbouwen voor drives jonger dan van de laatste *20* jaar ?
(nieuwer dan MFM/RLL drives en het paper van Peter Gutmann )

Bijvoorbeeld een data recovery bedrijf die echt *overschreven* data wil proberen te recoveren ?

http://www.nber.org/sys-admin/overwritten-data-guttman.html
https://www.usenix.org/legacy/publications/library/proceedings/sec96/full_papers/gutmann/index.html

Stop anders alsjeblieft met het herkauwen van urban legends, feitelijke onzin of valse hoop voor verloren data te geven - als het echt overschreven is, is het WEG. En _één_ keer overschrijven is genoeg.
Nouja, als je je eigen linkjes leest dan zie je dat het pas sinds 2003 anders is, dat is 'maar' 12 jaar. Ook zullen toen niet meteen alle hdd's magisch vervangen zijn, neem de gemiddelde leeftijd van een hdd, dat is zo'n 3-5 jaar, en tel er nog 2-3 bij voordat alle hdd's over waren op de nieuwe techniek, dan is deze truuc dus pas sinds 2007-2009 verleden tijd. Dat het vandaag historie is maakt het overigens ook geen 'urban legends'. (Ik had natuurlijk zelf DoD 5220.22-M of VSITR moeten googlen en zien dat ze sinds 2007-2009 niet meer gebruikt worden).

Niet alleen de datum van de laatste update of een toegeschreven claim moet je lezen, maar beide volledige artiklen.
Gutmann's artikel is van 1996, en had het toen al over oude harddisken.
En het artikel van Feenberg (de nber.org link) dingt daar nog op af dat zelfs toen een recovery van enig volume aan data niet aannamelijk is, of niet erg aannemelijk gemaakt door de referenties uit het artikel van Gutmann.

Je laatste paragraaf stelt, volledig onbewezen, dat recovery van overschreven data op een drive uit 2000 nog mogelijk zou zijn.
Show me the data.

Een referentie uit het artikel van Feenberg is
http://www.vidarholen.net/~vidar/overwriting_hard_drive_data.pdf

Is zowel gedetailleerd waarom, als stellig dat , zelfs op oude drives (1994) er gewoon niks bruikbaars valt te recoveren aan overschreven data.
18-06-2015, 19:56 door yobi
Probeer zelf maar eens Testdisk of Photorec. Meestal is dat schrikken. Deze geheugens laten slingeren kan al een risico vormen. Iemand kan een kopie maken vervolgens het geheugen terugleggen en later de verwijderde bestanden uit de image halen. Niet handig voor bedrijfsgegevens dus!

Dus inderdaad Dban of onder Linux zoiets als:
dd if=/dev/zero of=/dev/sdb
18-06-2015, 20:26 door Anoniem
Apple beweert sinds kort dit :

(Omdat in het aankomende besturingssysteem El Capitan 10.10.11 (dit najaar) er her en der functionaliteit wordt weggehaald (of verstopt))

Onder andere in het eigen programma Disk Utility
Note: With an SSD drive, Secure Erase and Erasing Free Space are not available in Disk Utility.
These options are not needed for an SSD drive because a standard erase makes it difficult to recover data from an SSD.
For more security, consider turning on FileVault encryption when you start using your SSD drive.
https://support.apple.com/en-us/HT201949

Iemand toevallig ervaring met hoe praktisch moeilijk c.q. makkelijk het is om gewoon gewiste data van een (Apple) SSD Disk terug te halen?
Geen lab theorie maar ervaring met te verkrijgen recover programma's voor (Apple) SSD's ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.