12月2日,美國加州賽康比湖發生嚴重槍擊案,造成14人死亡,22人受傷。近日,有報告指出,在案件發生時,嫌疑人Tashfeen Malik和Syed Farook丟棄了可能包含電子郵件和其他證據的電腦硬盤,上周FBI潛水員開始大范圍搜尋賽康比湖。
盡管搜索已經結束,調查人員還沒有證實硬盤是否被收回。但是,如果已經找到湖中的硬盤,數據取證專家說,如果只是泡水被打濕,數據很容易恢復,要徹底毀掉一塊硬盤還需要有更有效的方法。
硬盤驅動器的工作原理幾乎和電唱機一樣,硬盤驅動器很像電唱機數據以1和0記錄在鋁、陶瓷或玻璃制成的盤片上,看起來就像CD。盤片固定于軸心上,由軸心控制它的旋轉,磁頭通過電流在盤片上讀寫數據。驅動器和其他電子元件控制著整個過程。
水可能會讓電子產品短路,但也僅此而已。閃回(Flashback Data)數據恢復公司的副總裁Russell Chozick說:“無論他們是否沾過水,數據的還在盤片上,只要盤片沒有變干后留下難清理的殘渣,技術專家能夠相對輕松地恢復數據”。
Chozick 說,如今的固態硬盤和閃存會更容易“溺死”,它們大多配有板載加密,也就是說設備的電路板必須解碼存儲芯片上的一切記錄。然而,固態硬盤目前只占有1/3 PC 硬盤市場,因此傳統的旋轉驅動仍然是主要關注點。
那么,怎么樣才能徹底消除硬盤上的數據?傳說中的磁鐵可以嗎?IT專家告訴我們,將磁鐵靠近硬盤不一定能有效地毀掉數據。Backblaze 的CEO Gleb Budman 解釋說:首先要解決大部分硬盤用于保護盤片的鋼制外殼,將磁力夠強的磁鐵,靠的離硬盤足夠近,才可以毀掉數據,但是如果你想確保萬無一失,撕碎盤片會更安全。
事實上,用螺絲刀和錘子可以在幾分鐘內輕松打開硬盤,使用蠻力是迅速毀掉硬盤的最佳方法。Chozick說:“筆記本硬盤驅動器使用的是玻璃盤片,如果你砸的夠用力,玻璃會粉碎,并且沒人可以將其恢復。”不過其實某些情況下,雖然恢復艱難,但并非不可能。比如,2012年桑迪加小學槍案發生后,調查者將 Adam Lanza 粉碎的硬盤恢復了,只是整個過程漫長而又耗費昂貴。
臺式機的硬盤大多鋁合金盤片,摧毀數據則更費事,一個巨大的劃痕或者盤面上的裂縫通常可以防止硬盤初始化并阻礙數據恢復。但 Budman說,先進的取證實驗室有可能讀出破損盤片上的數據,他們沒必要把硬盤拼接起來,他們可以查看盤片上的單獨區塊,專家們可以據此恢復足夠多的0和1,讀出數據。
在盤片鉆孔并產生熱量,可以很容易引起硬盤損害,“這可能會扭曲盤片本身,而且可能導致盤面其他部分都發生些微改變。而想令數據完全無效并不需要太大的改變,一點就足夠了。”Budman說。
是不是還有更好的辦法?他建議利用簡單的化學反應:酸。酸會剝離盤面上的所有信息。
當然,也有不太暴力的方法, Windows 和 Mac OS X 有具有安全擦除硬盤數據的實用工具,可以用隨機的0和1覆蓋現有內容。Budman 建議新設備可以重復擦除2次,而老設備最好擦除7次,否則一些先進的取證實驗室可以從覆蓋內容上找出一些蛛絲馬跡,但是覆蓋了雜亂磁軌的硬盤仍然是個危險信號,在起訴案中,如果你的設備被質疑,結果卻發現內容被覆蓋了,那不就擺明了此地無銀,至少陪審團知道了肯定會有所懷疑的。
京公網安備 11010502049343號