解析Windows系統檔案的清除

[psac]

　在NTFS文件系統中，每個文件包含多個流，其中一個流用來儲存訪問權限之類的訊息，另一個流用來儲存真正的文件資料。除此之外，NTFS還允許額外的資料流，即ADS（Alternative Data Stream），ADS可以用來儲存任何訊息，最一般的用途是儲存圖形文件的縮略圖。由於許多安全移除文件的工具不能清除ADS，所以即使存放文件實際資料的流已經清除，但縮略圖仍可能洩露機密。微軟知識庫文章319300（http://support.microsoft.com）介紹了如何防止系統新增縮略圖使用的流，即移除註冊鍵HKEY_LOCAL_MACHINE\System\Currentcontrolset\Control\Contentindex\FilterTrackers。

　　●ADS：ADS這個縮寫詞經常用來表示活動目錄服務（Active Directory Services），不過本文中ADS是指「可選數位流」，是文件主體資料之外的附屬訊息儲存於區域。就像你的公事包，包裡面是正式存放物品的主空間，但包的外面還會有一二個附屬小口袋便於快速取用物品，這些小口袋就相當於ADS。

　　ADS已是人們熟知的隱藏資料和病毒之地，經常被電腦犯罪分子利用。但除此之外，硬碟上還有其他可以隱藏資料的區域。

　　扇區是在低階格式化期間新增的，通常由硬碟製造廠完成。低階格式化工具會標記出損壞的扇區，從而避免磁牒控制器向損壞的區域寫入資料。簇包含多個扇區，由進階格式化工具新增，如Windows或DOS的format指令。如果進階格式化期間發現壞扇區，整個簇被標記為壞簇，但是，壞簇裡面還有好的扇區，有些人就利用這些扇區來隱藏資料。

　　在老式磁牒上，資料還可以隱藏在稱為扇區縫隙的地方。老式磁牒的每一個磁軌都有數量相同的扇區，但外圈的磁軌顯然要比內圈的磁軌長，有些人就利用外圈磁軌上扇區之間的縫隙來儲存資料。新型磁牒利用一種稱為分區記錄（Zoned Recording）的技術避免了這種空間浪費，它能夠根據磁軌的位置調整每個磁軌的扇區數量。

　　要訪問磁牒上的這類隱藏區域，必須使用繞過操作系統磁牒訪問功能的工具。搜尋一下網路，可以看到正規的專業工具都很昂貴，例如EnCase Forensic Edition（www.guidancesoftware.com）要2000多美元；Directory Snoop可能最便宜，也要29美元，但它不支持NTFS。

　　綜上所述，我們可以說恢複數據實際上要比徹底清除資料簡單。如果你不小心移除了某個重要的文件（誰都會遇到這類事情），恢復工具就是救命的稻草。反之，如果你想出售二手機或二手磁牒，應當考慮一下是否有必要徹底地清洗一下硬碟。

三、覆蓋七次才能清除的蛛絲馬跡

　　如果資料已經覆蓋，用通常的恢復工具就無能為力了，但這並不意味著我們絕對不能挽救丟失掉的資料。讀取硬碟上被覆蓋的資料通常有兩種辦法。

　　讀/寫磁頭向磁牒寫入資料時，它會將磁化資料位的信號調整到某個適當的強度，但信號不是越強越好，不應超出一定的界限，以免影響相鄰的資料位。由於信號強度不足以使儲存於媒介達到飽和的磁化狀態，所以實際記錄在媒介上的信號受到以前儲存在同一位置的信號的影響，例如，如果原來記錄的資料位是0，現在被一個1覆蓋，那麼實際記錄在磁牒媒介上的信號強度肯定不如原來資料位是1的強度。

　　專用的硬體設備能夠精確地檢測出信號強度的實際值，將這個值減去當前資料位的標準強度，就得到了被覆蓋資料的副本。理論上，這個程序可以向前遞推七次，所以如果要徹底清除文件，必須反覆覆蓋資料七次以上，每次都用隨機產生的資料覆蓋。

　　第二種資料恢復技術的依據是，磁頭每次讀/寫資料時，不可能絕對精確地定位在同一個點上，寫入新資料的位置不會剛好覆蓋在原來的資料上。原有資料總是會留下一些痕跡，利用專用的設備可以分析出原有資料的副本??稱為影子資料。當然，如果我們反覆執行覆蓋操作，原有資料的痕跡也會越來越弱。

　　● 影子資料：被覆蓋的資料總是與新寫入的不離左右，就像人的影子總是緊跟著人，因此被覆蓋的資料就稱為影子資料。英文功力好的讀者可以參見這篇專著：http://www.forensics-intl.com/art15.html。

　　通常而言，能夠恢復已移除、覆蓋的資料應該算是一件好事，當然，某些必須徹底清除資料的場合除外。這方面最為著名的標準是美國國防部訂立的磁牒清洗規範，它要求資料必須覆蓋三次：第一次用一個8位的字串覆蓋，第二次用該字串的補碼（0和1全反轉的字串）覆蓋，最後用一個隨機字串覆蓋。不過這個清洗方法不適用於包含高度機密訊息的媒介，這類媒介必須進行消磁處理，或者銷毀其物理媒體。當然，對於大多數場合來說，簡單的覆蓋處理已經足夠。

　　四、被遺忘的角落

　　移除和覆蓋文件還不能清除硬碟上的所有敏感資料，因為資料可能隱藏在某些意料之外的地方，所以文件佔用的每一個扇區都必須徹底清洗??所謂扇區，就是大小為512字元的資料片斷，每個簇包含多個扇區。



圖

　　向磁牒寫入文件時，文件的最後一部分通常不會恰好填滿最後一個扇區，這時操作系統就會隨機地抽取一些記憶體資料來填充空餘區域。從記憶體獲取的資料稱為RAM Slack（記憶體渣滓），它可能是電腦啟動之後新增、訪問、修改的任何資料。另外，最後一個簇中沒有用到的扇區就原封不動，即保留原來的資料，稱為Drive Slack（磁牒渣滓）。問題在於許多號稱安全移除文件的工具不會正確清除記憶體渣滓和磁牒渣滓，而這些被稱為渣滓的地方卻可能包含大量的敏感訊息。

　在NTFS文件系統中，每個文件包含多個流，其中一個流用來儲存訪問權限之類的訊息，另一個流用來儲存真正的文件資料。除此之外，NTFS還允許額外的資料流，即ADS（Alternative Data Stream），ADS可以用來儲存任何訊息，最一般的用途是儲存圖形文件的縮略圖。由於許多安全移除文件的工具不能清除ADS，所以即使存放文件實際資料的流已經清除，但縮略圖仍可能洩露機密。微軟知識庫文章319300（http://support.microsoft.com）介紹了如何防止系統新增縮略圖使用的流，即移除註冊鍵HKEY_LOCAL_MACHINE\System\Currentcontrolset\Control\Contentindex\FilterTrackers。

　　●ADS：ADS這個縮寫詞經常用來表示活動目錄服務（Active Directory Services），不過本文中ADS是指「可選數位流」，是文件主體資料之外的附屬訊息儲存於區域。就像你的公事包，包裡面是正式存放物品的主空間，但包的外面還會有一二個附屬小口袋便於快速取用物品，這些小口袋就相當於ADS。

　　ADS已是人們熟知的隱藏資料和病毒之地，經常被電腦犯罪分子利用。但除此之外，硬碟上還有其他可以隱藏資料的區域。

　　扇區是在低階格式化期間新增的，通常由硬碟製造廠完成。低階格式化工具會標記出損壞的扇區，從而避免磁牒控制器向損壞的區域寫入資料。簇包含多個扇區，由進階格式化工具新增，如Windows或DOS的format指令。如果進階格式化期間發現壞扇區，整個簇被標記為壞簇，但是，壞簇裡面還有好的扇區，有些人就利用這些扇區來隱藏資料。

　　在老式磁牒上，資料還可以隱藏在稱為扇區縫隙的地方。老式磁牒的每一個磁軌都有數量相同的扇區，但外圈的磁軌顯然要比內圈的磁軌長，有些人就利用外圈磁軌上扇區之間的縫隙來儲存資料。新型磁牒利用一種稱為分區記錄（Zoned Recording）的技術避免了這種空間浪費，它能夠根據磁軌的位置調整每個磁軌的扇區數量。

　　要訪問磁牒上的這類隱藏區域，必須使用繞過操作系統磁牒訪問功能的工具。搜尋一下網路，可以看到正規的專業工具都很昂貴，例如EnCase Forensic Edition（www.guidancesoftware.com）要2000多美元；Directory Snoop可能最便宜，也要29美元，但它不支持NTFS。

　　綜上所述，我們可以說恢複數據實際上要比徹底清除資料簡單。如果你不小心移除了某個重要的文件（誰都會遇到這類事情），恢復工具就是救命的稻草。反之，如果你想出售二手機或二手磁牒，應當考慮一下是否有必要徹底地清洗一下硬碟。