Bleach-Bitch - или чистим следы после взлома Пентагона
Всем привет! Сегодня мы рассмотрим приложения для чистки следов и затирания жесткого диска. Приятного прочтения.
Дисклеймер
Автор статьи категорически против нарушения законодательства стран. Изложенная информация предоставлена исключительно в образовательных целях в шуточной форме. Использование данной информации для сокрытия улик жестоко карается по закону. Автор не несет ответственности за действия читателей.
Введение
И так, вы решительно удалили лучшее свое домашнее видео перед трудоустройством в силовые структуры. И тут всё бы ничего, ваш телефон забрали на проверку из-за некоторых опасений и дополнительном сборе информации. И вот ваш товарищ майор прикрывшись газеткой наяривает на вас и вашу жену. Как так вышло? Сейчас рассмотрим простым языком.
Жесткий диск (это то куда вы качаете с торрента репаки и майнеры) хранит в себе информацию по блокам. Все блоки представляют собой файловую систему, в которой хранится метаинформация и данные. А ещё в нем есть таблица разделов.
Блок - это часть жесткого диска, отвечающая за определенную часть хранения конкретных данных. Например загрузочный блок хранит в себе информацию для загрузчика. При запуске системы именно этот блок считывается компьютером первый, в котором лежит программа и все необходимые для неё данные для успешного запуска системы.
Метаинформация - это свойства хранимых файлов и папок в данном блоке жесткого диска. Например:
Помимо этих атрибутов ещё хранится прочая служебная информация о файле/папке для её успешного открытия, например диапазон адресов на которых хранится данный файл (в случае если файл не помещается в один блок). Однако всё это отлично друг от друга в зависимости от типа таблицы разметки.
Данные - это собственно данные программы.
Таблица разделов - это по сути та самая загрузочная часть и разделение на томы (диски). Вот таблицы разделов:
MBR - старая загрузочная таблица разделов, работает с BIOS.
GPT - новая, усовершенствованная система загрузки системы и разделения жесткого диска, работает с UEFI.
Если у вас старый ПК - вероятно у вас MBR. Если более современный - скорее всего GPT.
И последнее, файловая система - это таблица вашего диска, то, как будут храниться ваши данные. Вот они:
Правда про удаление файлов
И так, из теории выше следует вычленить несколько моментов:
- Загрузочный раздел - оттуда можно получить инфу о вашей системе и в теории поискать изъяны. Рекомендую зашифровать загрузочный раздел, например использовав VeraCrypt.
- Файловая система - от неё зависит как будут храниться наши данные на жестком диске
Теперь вернемся к тому как майоры смотрят чужие домашние фильмы.
Всё дело в удалении информации с жесткого диска.
Представьте, мы впервые устанавливаем винду/линукс на наш новенький жесткий диск (хотя он может и не новенький на самом деле). Первым делом мы его форматируем - то есть мы берем свою школьную тетрадь, стираем с неё все линии и выбираем, как будем её размечать: в клеточку; прописью; широкой прописью и так далее, в зависимости от того для какого предмета мы будем её использовать. Про красную линию само собой не забываем. Вот в жёстком диске всё точно также.
Окей, мы отформатировали диск, накатили систему, проги, документы и так далее.
Теперь важный момент про хранение и работы с хранимой на жестком диске инфой. Информация которая записывается на жёсткий диск, записывается в определенные блоки, каждый из которых разделен на ячейки по некоторое количество бит (в зависимости от выбранной файловой системы). И далее на нашем пк создается этот файл который мы можем открыть. Но на самом деле мы видем не наш файл с данными, а ссылку на адрес, в котором хранится информация о том, в каких блоках и ячейках хранится наш файл.
Понимаю, сложно, давайте вернемся к нашей тетради. Представьте, что вы разметили вашу тетрадь допустим в клеточку и ещё пронумеровали каждую страницу и каждую в ней строчку. И вот вы на какой-то случайно выбранной странице записали решение некого уравнения. Чтобы вам долго не искать где вы его сохранили, вы у себя на первой странице написали название этого уравнения и адрес (страницу и номер строчки) где вы написали его решение. Вот так если совсем по простому работает жёсткий диск. На самом деле мы оставляем себе несколько главных страниц, и отступив место начинаем сплошным текстом писать решения уравнений, а на главных страницах мы пишем название и прочую полезную информацию (метаинформация), номер страницы, номер строки, номер клетки начала нашего решения уравнения и номер окончания нашего решения уравнения, чтобы не спутать с другими данными.
А что происходит когда мы удаляем наш файл?
В таком случае происходит удаление не самих данных где записано наше решение уравнение, а ссылка на то, где это решение находится. То есть мы просто удаляем инфу о том, на какой странице, строчке, с какой там по счёту клеточки и до какой клетки мы записали решение уравнения (ибо мы храним инфу сплошняком без пробелов для экономии места на диске, а на главной странице просто пишем как из этого беспорядочного текста найти то что нам надо).
И как вы понимаете, в этом и кроется вся лазейка - всё что нам надо, это определить файловую систему, таблицу разделов и то, каким образом происходит запись на диск. Так и работают программы для восстановления данных.
Например попробуйте восстановить ваши удаленные в корзине файлы с помощью Auslogics File Recovery - скачать крякнутую версию можно здесь (предварительно отключите АВ на случай блокировки процедуры восстановления удаленных файлов).
Как мы видим, просканировав диск D мы нашли удаленные данные которые можем восстановить, хотя в корзине мы и ничего не смогли найти полезного.
Удаление файлов без восстановления
Всё в той же выше программе мы слева в меню можем выбрать различные очистки дисков, которые затерут наши данные нулями.
Вернемся к нашей тетрадке. Мы удалили информацию о том, где хранится наше уравнение. Но теперь, когда мы знаем все нюансы, мы можем удалить с помощью специальных программ (с помощью ластика) не просто где хранится наше уравнение, но и само его решение, при этом не стерев другие.
В компуктерах это называется "затереть нулями". То есть мы переходим по адресу где хранился наш файл, и затираем значения бит (которые образуют в совокупности информацию хранимую в файле) нулями - то есть, ничем. Таким образом полностью стирая файл с лица земли жесткого диска.
Для этого можем также использовать следующие программы:
Privazer - скачать тут.
Пожалуй лучшее решение для удаления всех следов из системы. Также присутствует функция бесследного удаления файлов, которые мы ещё не удалили, что гарантирует сразу полное затирание файла без возможности восстановления:
BleachBit - вероятно придется качать через VPN. Для винды можно скачать тут. Для линукса можно скачать на их официальном сайте.
Позволяет удалить большой спектр следов. Одно из лучших решений очистки, в том числе если щёлкнуть по иконке очистки также можно удалить файлы и папки с затиранием следов. Просто, удобно, эффективно (а главное бесплатно и бех кряков).
USBdeview - единственное рабочее приложение которое я знаю, удаляющее следы подключения к пк всех USB устройств (камеры, телефоны, принтеры и так далее).
Можете зажать левый SHIFT, щелкнуть по самому нижнему файлу для выбора всех подключений. Либо зажать левый CTRL и тыкнуть мышкой по тем, которые мы хотим удалить. Затем нажать на урну (второй значек). Либо на крестик (для извлечения устройств) а затем на урну для удаления следов подключения этого устройства к пк.
Зеленым горит то, что сейчас в данный момент подключено к нашему пк. Так что заранее рекомендую отключить от пк всё то, что вам нужно почистить, а потом зайти в прогу и удалить. Но если это какой-то баг, то опять же - тыкаем на крестик, потом на урну. Должно сработать. Обычно используется данная прога офисными клерками перед проверками регуляторов которые запрещают подключать к пк свой телефон и смотреть там фоточки (но хотя для Сноу Денов тоже подойдет, чтобы замести факт подключения флешки и выкачивания секретных доков ЦРУ).
Glary Tracks Eraser - скачать можно тут. По сути тот же BleachBit с более приятным интерфейсом. Минусы - только под винду и не дает удалить файлы с папками, что ну просто ужас. Подходит для простой очистки следов пользования ПК.
HDD Low Level Format Tool - скачать кряк можно тут. Эта прога полностью форматирует диск затирая всё нулями. Подходит когда нужно полностью почистить весь диск без возможности восстановления. Если захотите почистить так системный диск, придется загрузиться через флешку с Live-образа и запустить очистку оттуда. ВАЖНО! - Чистит весь физический диск. Т.е. если у вас в пк один жесткий диск и разделен на диск С и D (как это обычно делают в винде) - то эта прога удалит и С и D диск, и загрузочный сектор, и вообще всё что там есть удалит и затрет. Перед использованием отключите АВ, ибо кряк палится антивирусами.
Вывод
Вот в общем то и подошла к концу данная статья. Какие выводы можно сделать из всего выше?
- Файлы на самом деле не удаляются с вашего пк, удаляется лишь информация о том где они хранятся. Потом пока вы пользуетесь пк, другая программа может занять эту свободную область памяти и перезаписать собой этот сектор. Но вы уверены что вам так повезет?
- Существуют программы для восстановления удаленных программ. Попробуйте использовать ту что я вам приложил и будете приятно удивлены.
- Существуют методики удаления файлов с затиранием данных и очисткой следов во всех журналах. Пользуйтесь на здоровье
- И последнее САМОЕ ВАЖНОЕ. Если вы храните backup вашей системы (точку восстановления на Windows) - майор просто сможет восстановить вашу порнушку и всё равно посмотреть её вместе со всем УВД под пивом. Так что не забудьте про это)
На связи был Hunter Ghoul, берегите свою конфиденциальность, не делитесь с майорами фильмом. Да и вообще не нарушайте закон, тогда и чистить ничего не придется, если вы не силовик и не выполняете свою служебную задачу.