Mit dd Festplatte löschen -Verständnisfrage

X

xcvb

Well-Known Member
Hallo.

Gestern wollte ich eine alte Platte zu meinem System hinzufügen und Sie vorher komplett löschen. Im Wiki und im Handbook ist dazu folgendes zu lesen:

Der folgenden Befehl löscht die Daten der kompletten Festplatte unwiderruflich!
Zum Vergrößern anklicken....
Code: 
# dd if=/dev/zero of=/dev/ad3 bs=1k count=1

Dieser Befehl löscht mir doch nicht die Platte, oder? Nach meinem Verständis werden hier einfach 1K Nullen an den Anfang der Platte geschrieben....

Wenn man aus dem dd-Befehl das "count" entfernt, dann würde meiner Meinung nach die Platte komplett überschrieben, aber so.....???

Kann mich jemand aufklären?

Danke & Gruß
xcvb
 
Ja,da wird nur ein K überschrieben. Das reicht wahrscheinlich für den Bootsector und die Partitionstabelle. Die Daten sind also Quasi weg aber alles andere als unwiederbringlich. Um genauer zu sein, wahrscheinlich lassen sich die Daten vollständig wiederherstellen.
 
Deine Interpretation ist richtig. Mit count würde ledlgich die FileSystemTable überschrieben, was die Festplatte leer aussehen lassen würde.
 
Richtig. Aber sie ist ja eigentlich nicht "leer". Dann passt die Aussage:".....löscht die Daten der kompletten Festplatte unwiderruflich!" doch auch nicht ganz...

Aber zumindest hab ich´s jetzt verstanden, bin doch etwas ins Grübeln gekommen :)
 
Die ersten 512 Byte hätten sogar gereicht, um die Partitionstabelle zu tilgen. Um die Platte richtig zu "putzen" eignet sich auch shred (aus den Coreutils) ganz gut, z. B.
Code: 
shred -xzv /dev/ad0
Nach den 25 Durchläufen mit verschiedenen Patterns dürfte nun wirklich nichts verwertbares mehr auf der Platte sein :cool:
 
Aber wenn du die Platte nutzen möchtest, drüfte es reichen einfach den genannten Befehl oder einfach mal "cat /dev/random > /dev/ad2" und nach nen paar Sekunden abbrechen (so mache ich es immer).
 
FreeBSDuser schrieb:
Aber wenn du die Platte nutzen möchtest, drüfte es reichen einfach den genannten Befehl oder einfach mal "cat /dev/random > /dev/ad2" und nach nen paar Sekunden abbrechen (so mache ich es immer).
Zum Vergrößern anklicken....

Hmmm... dann kann man ja gleich ein rm -rf /[mountpoint] verwenden. Ich glaube es geht eher darum das man sachen unwiederbringlich loeschen will aber dabei die Platte nicht zerstoeren will. Das ist bloss mit ueberschreiben der Platten moeglich. Wer sicher gehen will kann das auch mehrfach tun bloss wird es allgemein eher selten vorkommen, das jemand dem man eine geloeschte Platte uebergibt zum naechsten Forensik unternehmen springt um 10000 von Euros auszugeben um irgendwelche vieleicht nicht verwertbaren Beweise fuer ein Fehlverhalten auszugraben.

Gab einen Recht interessanten Artikel in einer Uptime dazu von kaishakunin der sich ja lange hat nicht mehr blicken lassen.
 
Wenn doch die Platte von ihm selbst genutzt wird? Ich kann mir nicht vorstellen, dass 17-faches rüberrödeln mit datenmuell so gut für die Platte ist.
 
Mit einem USB-Stick (oder anderen Flashspeichermedien) würde ich das auch nicht machen, aber konventionellen Platten sollten solche Schreibvorgänge eigentlich nicht allzu viel anhaben können... ein Kaltstart dürfte der Plattenmechanik IMHO mehr zusetzen.
 
Morgen

SierraX schrieb:
... Wer sicher gehen will kann das auch mehrfach tun bloss wird es allgemein eher selten vorkommen, das jemand dem man eine geloeschte Platte uebergibt zum naechsten Forensik unternehmen springt um 10000 von Euros auszugeben um irgendwelche vieleicht nicht verwertbaren Beweise fuer ein Fehlverhalten auszugraben.
Zum Vergrößern anklicken....

Fall Verdi.

Gruss
bsdagent

P.S. Es gibt spezielle Firmen, wo Datenmüll im grossen stil sammeln um Ihre eigene Datenbanken damit zu füllen ;).
 
Zuletzt bearbeitet:
Das sollte nur bei sachen funktionieren, die kein einziges mal überschrieben worden sind.
Laut einer Studie der c't konnten aber Festplatten die bereits EINMAL mit nullen oder zufallszahlen überschrieben wurden nur von Forensik unternehmen ausgelesen werden und da auch nur mit erschreckend schlechten ergebnissen.
Das die Verdi Admins so nachlässig waren ist eh nicht nachvollziehbar. In meinem ehemaligen Betrieb wurden sogar die Stadtangestellten PCs nach NSA norm ueberschrieben. Was bei 800 Rechnern ein weilchen gedauert hat.

bsdagent schrieb:
Morgen



Fall Verdi.

Gruss
bsdagent

P.S. Es gibt spezielle Firmen, wo Datenmüll im grossen stil sammeln um Ihre eigene Datenbanken damit zu füllen ;).
Zum Vergrößern anklicken....
 
Normalerweise lasse ich dd auch nur kurz über das Laufwerk laufen. Eigentlich überschreibet man ja wieder seine alten Daten automatisch, falls man exersiv viel von großen dynamischen Datenmengen gebrauch macht. Oder ich erzeuge nach dem Entfernen sensibler Daten ein großes Zufallszahlenpaket und verdränge einiges so.
 
Sicherlich gibt es einige Hausmittelchen, um Platten scheinbar zu löschen (überschreiben der Partitionstabelle, zerstören der Dateisysteme etc.). Um jegliche Daten (auch Fragmente) sicher und für immer von einer Platte verschwinden zu lassen, hilft aber nur mehrfaches überschreiben, und zwar der kompletten Platte.

OK, das bedeutet Aufwand, aber man möge sich fragen, in welchen Situationen so etwas überhaupt angebracht ist. Wenn ich die Platte weiter nutzen möchte, brauche ich sie nicht komplett zu shredden - das mache ich nur, wenn die Platte ausgemustert (bei eigenen Geräten) oder zurückgegeben (Leasing-Geräte oder Mietserver) wird.

Daß gerade Anbieter von Mietservern sich nicht um die vollständige Löschung kümmern, habe ich selbst einmal erlebt. Ich habe einen "neuen" Server bekommen und aus Neugier mal mit dd ein komplettes Image gezogen, bevor ich die Platte erst mal "grundgereinigt" habe. Und siehe da, aus dem Image hätte ich noch einige Maildirs wieder herstellen können. (ich wollte eigentlich bloß wissen, ob der Server schon einen Vorbesitzer hatte).

Seit diesem Aha-Erlebnis steht für mich auf jeden Fall am Ende der Mietzeit immer die Standardprozedur, die Platte(n) gründlich (mit shred) zu bearbeiten.
 
SierraX schrieb:
[...] bloss wird es allgemein eher selten vorkommen, das jemand dem man eine geloeschte Platte uebergibt zum naechsten Forensik unternehmen springt um 10000 von Euros auszugeben um irgendwelche vieleicht nicht verwertbaren Beweise fuer ein Fehlverhalten auszugraben.
Zum Vergrößern anklicken....
Wurde nur mit unlink() gelöscht (so ist bei den meisten Systemen rm implementiert) oder die Partitionstabelle bzw. die Inode-Tables überschrieben, braucht man für die Wiederherstellung kein Forensik-Unternehmen. Die benötigten Werkzeuge sind Open Source, und wer man pages lesen kann, ist auch in der Lage, sie zu bedienen ;)

Etwas kniffeliger ist es, den Inhalt überschriebener Dateien wieder herzustellen. Auf einem journalisierten Dateisystem ist auch das teilweise noch möglich. Wurde die Platte komplett genullt (ein bis zwei Mal), kommt man tatsächlich nur noch mit spezieller Hardware und (meist von den Herstellern unter Verschluss gehaltenem) Spezialwissen über das jeweilige Plattenmodell weiter.

Ansatzpunkt wäre dann hier die magnetische Signatur einzelner Sektoren, aus der man Rückschlüsse darüber ziehen kann, von welchem Zustand aus in den aktuellen Zustand (der meist als NULL interpretiert wird) übergegangen wurde. Das lässt sich in günstigen Fällen über mehr als eine Generation zurückverfolgen, aber bei mehreren Generationen ist dann Schluss, weshalb mehrfaches überschreiben auch Forensik-Spezialisten von schützenswerten Daten fernhält.
 
Obwohl ich immer zweifele wie das mit den Magnetischen Signaturen funktionieren soll wenn man die Platte 2mal mit /dev/random überschrieben sein, kostet ja genauso viel, denn es werden ja nicht unbedingt gute random zahlen gebracuht.

PS: Es ist glaube ich allen klar, das Daten dir nur "gelöscht" wurden wiederherstellbar sind. Aber um eine Platte nur zu leeren um sie dann selbst weiterzubenutzen reicht es halt den Bootsector/MBR zu überschreiben.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben