노트북에서 많은 파일과 폴더를 삭제한 다음 같은 폴더에 새 파일을 넣었습니다. 삭제된 파일을 복구해야 합니다. 복구 소프트웨어를 많이 사용해 보았으나 이전 파일을 복구할 수 없었습니다.
오래된 파일을 삭제한 후 폴더에 새 파일을 다시 채우면 해당 폴더를 다시 복구할 수 없다는 내용을 읽었습니다. 그게 사실인가요?
어떻게 해야 하나요?
답변1
데이터가 실제로 덮어쓰여지면 복구할 수 없습니다.
이것이 가능하다는 주장을 제기한 1996년 논문은 다음과 같습니다. Peter Gutmann: "자기 및 솔리드 스테이트 메모리에서 데이터를 안전하게 삭제" (여기도).
공평하게 말하자면, Gutmann 박사는 논문의 첫 번째 에필로그에서 다음과 같이 언급했습니다.
많은 독자들이 놓친 것 같은 또 다른 점은 이 문서가 데이터 복구 솔루션이 아니라 데이터 삭제 솔루션을 제시한다는 것입니다. 즉, 문제 설명에서 잠재적인 위험이 있음을 지적한 다음 문서 본문에서는 해당 위험을 완화하는 방법을 탐색합니다.
즉, 해당 논문은 덮어쓴 데이터의 복구가 가능하다는 것을 증명한다고 주장한 것이 아닙니다. 그는 단지 그것이 사실이라고 믿을 만한 이유를 보여줬을 뿐입니다.그럴듯한, 그러한 복구를 방지하기에 충분한 덮어쓰기 패턴을 제안합니다. (그러나 그는 덮어쓴 데이터의 복구를 실제로 시연한 적이 없기 때문에 이러한 패턴을 테스트할 수 없었기 때문에 그 효율성은 필요성만큼 입증되지 않았습니다.)
그러나 아래 링크된 논문에서는 위험이 주장된 것보다 훨씬 작다는 것을 보여줍니다.
(Gutmann 박사는 Windows Vista의 불법 복제 방지, DRM 적용 기능이 지구 온난화에 눈에 띄게 기여할 만큼 많은 에너지를 소비할 것이라고 주장한 것으로도 유명하다는 점을 언급하지 않을 수 없습니다. George Ou: "Vista DRM이 CPU 전체 부하를 유발하고 지구 온난화를 유발한다는 주장이 사실이 아님이 밝혀졌습니다!" (2007).)
다음 섹션에서는 Gutmann 박사의 주장에 동의하지 않는 여러 논문을 인용하겠습니다.가능성덮어쓴 데이터 복구.
다니엘 핀버그(Daniel Feenberg), 전미경제조사국: "정보기관은 덮어쓴 데이터를 읽을 수 있나요?" (2003, rev. 2013)는 Gutmann의 주장을 철저하게 분석한 결과 "너무 과장되어 있다"는 사실을 발견했습니다. 프레젠테이션은 상당히 비기술적이며 후속 논문에 대한 좋은 "시작점"을 제공합니다. (참고: 이 링크는 이전에 질문 댓글에 게시되었습니다. Moab의 참고 사항: 아래 인용문과 이 답변의 나머지 부분에서 "MFM"은 "수정된 주파수 변조"가 아니라 매우 높은 해상도로 자화 패턴을 나타내는 현미경인 "자기력 현미경"을 나타냅니다. 이제 더 이상 사용되지 않는 하드 드라이브에 데이터를 기록하는 기술인 "MFM"이 있습니다.또한Gutmann의 논문과 아래 링크된 일부 논문에서 후자의 맥락에서 사용되었습니다.)
Gutmann은 MFM 장치를 간단히 설정하면 몇 분 내에 비트가 흐르기 시작한다고 언급합니다. 이것이 사실일 수도 있지만 그가 언급하는 비트는 디스크 파일에서 나온 것이 아니라 디스크 표면 그림의 픽셀에서 나온 것입니다. Charles Sobey [...]는 최신 MFM 기술로 단일 플래터를 스캔하는 데 1년 이상이 걸리고 수십 테라바이트의 이미지 데이터를 처리해야 한다고 제안합니다.
그리고:
참조에 있는 것보다 훨씬 더 강력한 STM 현미경을 사용하더라도 덮어쓰기가 실제로 무작위인 경우 단일 쓰기로 충분합니다. 실제로 복구하려는 데이터 이전에 디스크에 기록된 데이터는 이후에 기록된 데이터와 마찬가지로 복구를 방해합니다. STM 현미경은 자기 모멘트가 생성되는 순서를 알 수 없습니다. 이는 이후의 응용 프로그램이 물리적으로 이전 표시 위에 표시되는 잉크와는 다릅니다.
그리고:
최근 저는 복구된 이미지 데이터의 정확성에 대한 실제 데이터를 보여주는 Wright, Kleiman 및 Sundhar(2008)의 흥미로운 작품을 받았습니다. 이미지에는 기본 비트에 대한 일부 정보가 포함되어 있지만 오류율이 너무 높아 결과의 용도를 상상하기 어렵습니다. 가끔 발견되는 단어는 수천 개 중에서 복구될 수 있지만, 명백히 복구된 단어의 대다수는 가짜입니다.
(라이트의 논문외다음 +1 섹션에서 다루는 논문입니다.)
숙고해야 할 또 다른 사실은 워터게이트 침입에 대해 논의하는 닉슨의 테이프에 로즈마리 우즈가 만든 "18분 간격"을 누구도 읽지 못했다는 것입니다. 1960년대 아날로그 레코더의 데이터 밀도가 현재 드라이브 기술보다 약 100만 배 적었고 오디오 복구에 높은 정확도가 필요하지 않았음에도 불구하고 단 하나의 음소도 복구되지 않았습니다.
Feenberg는 Charles Sobey의 논문에 연결합니다: "복구할 수 없는 데이터 복구". (그가 사용하는 링크는 오래되었습니다. 이 링크는 현재 활성화되어 있습니다.) 그러나 Sobey의 논문은 덮어쓴 드라이브가 아니라 고장난 드라이브에서 데이터를 복구하는 것에 관한 것입니다.
디스크가 물리적으로 손상되지 않은 경우 사용자의 데이터는 그대로 남아 있으며, ~하지 않는 한덮어썼습니다. (Emph. 추가 - jeh)
Craig Wright, Dave Kleiman, Shyaam Sundhar RS: "하드 드라이브 데이터 덮어쓰기: 대규모 삭제 논란"(2008)은 좀 더 기술적인 논문입니다. 저자테스트를 거쳤습니다.Gutmann의 자기력 현미경 사용 이론(Gutmann은 분명히 한 번도 사용하지 않았으며 사용했다고 주장한 적도 없음)이 작동하지 않는다는 사실을 발견했습니다.
그들의 주장의 요점은 다음과 같습니다. 오래된 데이터는 새 데이터가 덮어쓸 때 발생하는 자기장에 영향을 미칩니다. 그러나 (실제 데이터를 통해) 효과가 매우 약하다는 것을 보여줍니다. 이는 이전의 깨끗한 드라이브를 읽을 때 "자연스럽게" 발생하는 신호 변화(노이즈)와 동일한 수준입니다.그리고 그 둘은 확실하게 분리될 수 없습니다. 즉, 하드 드라이브 작동 시 정상적인 소음으로 인해 발생하는 자기장 세기의 변화와 오래된 데이터로 인해 발생하는 자기장의 세기 변화는 서로 구별할 수 없습니다.
사실 최신 드라이브(1990년까지 거슬러 올라감)에서는 이 전체 프로세스가 대부분 테스트 시 크게 실패하는 추측 게임입니다.
또한 덮어쓴 데이터 복구의 기본 이론은 뒷받침할 수 없다고 명시합니다.
이 주장은 "각 트랙에는 지금까지 기록된 모든 내용의 이미지가 포함되어 있지만 각 '레이어'의 기여도는 트랙이 뒤로 갈수록 점차 작아진다"는 진술에서 비롯됩니다.이것은 오해입니다구동 기능과 자기 공명에 대한 물리학. 실제로 시간 구성 요소가 없으며 이미지가 계층화되지 않습니다. 오히려 밀도 플롯입니다. [엠프. 추가했어요 - 쯧]
그리고
완벽한 이미지로 제시되었을 때 복구 수준이 너무 낮아 저밀도의 깨끗한 드라이브(실제 환경에는 존재하지 않음)에서도 사용할 수 없습니다.
그리고
결과적으로, 단일 원시 삭제 패스(낮은 수준 포맷도 아님)가 있는 새 드라이브 및 사용되지 않은 드라이브에서 데이터를 복구할 가능성이 최소(0.01% 미만)라고 단언할 수 있습니다. 드라이브가 사용된 경우(사용하기 위해 포맷된 경우에도) 정보를 복구할 수 없습니다. 비트 복구 가능성은 낮지만 전체 단어를 얻을 확률은 낮습니다.
고든 휴즈와 톰 코플린: "디스크 드라이브 데이터의 안전한 삭제"(2004)는 헤드에서 복구된 신호의 "이국적인" 아날로그 분석에 대해 유사한 결론에 도달했습니다.
그들은 복구된 신호와 오래된 데이터 사이의 약한 상관관계를 보여주는 것이 가능하다는 것을 보여줍니다.이전 데이터가 무엇인지 이미 알고 있는 경우에만 가능합니다.이것은 분명히 법의학적으로 쓸모가 없습니다. 연관시킬 항목이 없으면 신호에 대한 이전 데이터의 잔류 효과를 노이즈와 구별할 수 없습니다. 이는 Wright, Kleiman 및 Sundhar가 이전에 인용한 논문에서 내린 결론과 동일하지만 MFM 이미지 대신 전기 신호를 분석하여 도달했습니다.
그들은 다음과 같이 결론을 내립니다.
하나의 삭제 패스만으로도 오래된 데이터를 복구할 수 없게 만드는 데 충분한 것으로 보입니다.
또한 자기 구역의 MFM "그림"에 관해서는 다음과 같습니다.
지워지지 않은 트랙 가장자리 데이터를 보여주는 것처럼 보이는 사진을 얻는 것은 쉽습니다. 그러나 데이터 동기화 프리앰블, 비트 역랜더마이저, 부분 응답 및 변조 코드, 오류 정정 코드를 포함하여 데이터 섹터의 완전한 복구를 보여준 사람은 아무도 없습니다.
내 자신의 마지막 생각을 추가하겠습니다. 두 개의 서로 다른 데이터 세트를 드라이브의 동일한 물리적 영역에 기록하고 둘 다 안정적으로 복구할 수 있었다면 하드 드라이브 제조업체는 몇 년 전에 끝났을 것입니다. 그들은 드라이브의 사용 가능한 용량을 늘리기 위해 두 개의 다른 데이터 항목을 동일한 장소에 저장하는 드라이브의 명백한 기능을 사용했을 것입니다. 이런 일은 분명히 일어나지 않았습니다.
답변2
쓰레기통에 들어갔나요? 최신 운영 체제는 쓰레기통 패러다임을 사용합니다. 파일은 그 자리에서 삭제되지 않고,움직이는특별한 저장소로.
파일이 차지하고 있던 공간이 해제된 경우 OS는5월맨 처음에 그 공간을 재사용하세요. 이는 삭제된 파일을 재구성하기 위해 이 공간을 회수할 수 없음을 의미합니다.
교실의 칠판과 같습니다. 콘텐츠가 지워진 경우 보드를 주의 깊게 살펴보면 콘텐츠를 재구성할 수 있습니다. 정말 깨끗하게 지워졌거나 덮어썼다면 이전 데이터는 손실됩니다. 부분적으로 덮어쓴 경우 손실된 데이터를 부분적으로 재구성할 수 있습니다.
답변3
어떤 운영 체제를 말씀하시는지 모르겠지만, 그렇습니다. HDD에 있는 파일은 복구할 수 있습니다.
자기 디스크는 자기 특성으로 인해 표면(디스크의 최상층)에 대한 정보를 더 깊은 층으로 퍼뜨릴 수 있습니다. 좋은 프로그램은 이러한 모든 레이어(각 섹터마다 수백, 수천 번)의 정보를 읽고, 이러한 모든 섹터 판독값을 비교하고, 통계적으로 각 섹터에 가장 일반적인 원본 정보를 복구하려고 시도할 수 있습니다.
파일이 정상적으로 삭제된 경우(DoD 5220-22M 방법 아님) SpinRite를 사용해 복구할 수 있습니다.
하지만 그 특성상 작동 속도가 매우 느리고 HDD 속도(디스크 및 컨트롤러)에 따라 많은 시간이 소요될 수 있습니다.