[офтопик/ntfs][паранойа] можно ли определить былоли чегось потёрто.

dd if=/dev/zero of=/dev/sda

for i in `seq 1 5`
do
  dd if=/dev/zero of=/dev/sda bs=4096
done

Сам недавно так удалял.

Слейте с жостого диска всю важную информацию и проидитесь по нему shred'ом.

5 раз то зачем?

Чтобы обезопаситься от "остаточной намагниченности доменов, по которой соответствующие органы смогут снять информацию", в которую я особо не верю :) Но человек реально бздел, а мне было несложно на ночь оставить цикл.

В том то и дело что ТАК нельзя...

полностью свежеотddшеный ноут являеться доказательством вины автоматом.

из палева только эти мерзкие логи...

есть ещё вариант - забить винт всякой вигнёй под завязку, чтобы гарантированно затереть удалённые файлы

По теме: у Руссиновича есть крохотная программа SDelete - http://technet.microsoft.com/en-us/sysinternals/bb897443.aspx

>полностью свежеотddшеный ноут являеться доказательством вины автоматом. dd if=/dev/urandom of=/dev/sda bs=4096

теперь на пустом месте не нули

Вариант.

И за SDelete спасибо.

Забей чем-нибудь свободное место, поудаляй-посоздавай много мелких файлов, чтобы загадить MFT

> поудаляй-посоздавай много мелких файлов, чтобы загадить MFT

bonnie++

yes > /mnt/ntfs/tmpfile

> В том то и дело что ТАК нельзя...

> полностью свежеотddшеный ноут являеться доказательством вины автоматом.

> из палева только эти мерзкие логи...

Тогда предлагаю такой вариант: с помощью ntfsclone (из состава ntfsprogs) слей куда-нибудь все данные с раздела, затем пройдись по разделу shred'ом и опять с помощью ntfsclone восстанови данные.

ntfsclone поидее копирует только действительно используемые сектора, так что остатки удалённых файлов не должны остаться.

И так тоже поступлю для пущей уверенности.

хотя не уверен что ноут ТАК сильно мучать будут.

Это дохлый номер, Румата. Обрати внимание вот тут
http://technet.microsoft.com/en-us/library/cc781134.aspx
на многочисленные логи и журналы этой файловой системы. Тот факт, что эти файлы присутствовали, а потом были стерты, скрыть невозможно.
Так что если захотят -- найдут.
А не хочешь ноуту просто хард переставить? ;)

В маке для "остаточной намагниченности", точнее, от, есть режим, который заполняет нулями 30 раз подряд. Притом, он недалеко спрятан. Вреня у тебя есть, уж пройдись так же, не зря же такой режим есть.

Вынуть винт и выбросить?

А почему он сразу не был изъят? И ты ему не поможешь, а лишь все испортишь и станешь соучастником.

Больше и сильнее: разбить в порыве ярости. Раздолбать к собачим чертям. Именно так, а потом принести лохмотья в управление полиции.

>И ты ему не поможешь, а лишь все испортишь и станешь соучастником.

А подсказать? А ссылку на статью?

Даже информация с винчестера взорвавшегося Челенджера (?) была восстановлена.

Ты думаешь я блины не покрошу?

cmd.exe -> cipher /w

Ок, тогда так - вы оплачиваете билет, я презжаю на немчину, бью тому человеку морду и выкрадываю сотни нефти^W^W ноут - вот вам и оправдание для полиции.

Гм... Люди, тихо. Скорее всего, раз немцы — значит, за пользование таких интересных вещей, как пиратбей. Потому и скромно так, без изъятия, Нужно аккуратно занулись, поставить лицензионную винду, понабирать рабочих прог, сделать рабочую установку, точки восстановления с прошлого года сделать, пару вирусов посадить. Я думаю, глубоко копать не будут.

Идея хороша ровно до того момента, где я плачу. Тут что-то не сходится - ведь я хотел прокатиться... Анализ кода оставлю всеуважаемому all, а сам откланяюсь и пойду спать.

//Сегодня замечательный день: один флешмоб чего стоит. Нужно повторить :)

Все отметившиеся в этой ветке уже соучастники. Загогвора с целью сокрыти вещественных улик.
Но я не люблю немцев. А Америка меня не выдаст. :)

Если только системные часы на годик назад перевести ))) Ну и потом назад.

Это почему она не выдаст?

Если нужно - будут. А если найдут - еще хуже будет.

> а помочь человеку надо.

Что? Прон сокрывать детский с грудными младенцами? Наркоту тяжелую? Терроризм? На кол преступника и в тюрьму! Хотя лучше сперва в тюрьму, а потом на кол. Впрочем, на кол и тюрьма не нужна, нефиг денежку налогоплательщиков тратить.

>Что? Прон сокрывать детский с грудными младенцами? Наркоту тяжелую? Терроризм? На кол преступника и в тюрьму! Хотя лучше сперва в тюрьму, а потом на кол. Впрочем, на кол и тюрьма не нужна, нефиг денежку налогоплательщиков тратить.

А помучить? А как же пример для маленьких детей?

антиправительственный заговор по im обсуждали?

Ни один программный метод не поможет от специалистов, исследующих поверхность блинов физическими методами. И остаточная намагниченность (с которой, кстати, борятся отнюдь не многократным занулением, а специальными алгоритмами, включающими зануление, заFF-ние и зарандомивание) тут не при чём. Просто между дорожками на любом винчестере остаётся немного свободного пространства, которое также намагничивается при записи... И многократная перезапись просто сделает эту область чуть более слоистой, чем выдаст ваши намерения криминалисту, рассматривающему её под специальным микроскопом.

Некоторые идеи у меня, впрочем, есть, но пока я не могу представить себе сумму денег, за которую я бы стал давать советы подобному криминалу.

Возникла сонная идея: почему б не форматнуть весь винчестер в Reiser4, и забить на 99.9% файлом?

> А помучить? А как же пример для маленьких детей?

Решается просто. На рассвете человека сажают на кол на главной площади города. Событие широко освещается СМИ. Через три дня преступник умирает от боли напополам с голодом и жаждой, вечером после казни — танцы на той же площади. Если казнили за копирастию, можно концерт металлики сделать, он будет символизировать. Все довольны.

Учитывая метод использования простанства мелкими файлами, да и другую ФС... Не станет ли исследования слишком неприяемлемым для криминалистов?

> полностью свежеотddшеный ноут являеться доказательством вины автоматом.

Фигасе, это такая германская юстиция, что за вину считает отрицательный признак? Этоже элементарная ошибка логики. Или ноут уже приобщён как вещдок? =)

А снести винду и поставить Ubuntu (всё отформатировав) - неужто тоже доказательство чего-либо?

Но вообще тебе чётко сказали - полагаться на NTFS нельзя, там куча всяких мест, которые не разгребёшь с уверенностью.

dd if=/dev/urandom of=/dev/sda bs=4096 и потом заново всё ставить.

Но в принципе, смотря в чём палево, если что-то слишком неприятное, то сдаётся мне для гарантии дешевле вообще избавиться от ноутбука. Типа украли или ктулху слопал.

> Если казнили за копирастию, можно концерт металлики сделать, он будет символизировать.

И, да, если за ЦП — то Scorpions, безусловно, у них обложка альбома Virgin Killer тоже символизирует.

махинации с електронным баблом.

иначе б не взялся б помогать.

вобщем всё что можно замутил, там видно будет.

Кстати, все забыли про такое милое место как своп-файл и гиберфил от гибернации, а там немало интересного может найтись. Вообще винда в этом плане такой мусорный бак, что ничего гарантировать нельзя.

Поэтому, если нельзя поставить ubuntu или совсем избавиться от ноута, советую весь раздел затереть dd нахрен и ставить наново. Не забыв про файлики авторизации и переведя таймер перед установкой назад, чтобы по датам файлов ничего не было странного (типа все свежепоставленные)

>> полностью свежеотddшеный ноут являеться доказательством вины автоматом.

>Фигасе, это такая германская юстиция, что за вину считает отрицательный признак? Этоже элементарная ошибка логики. Или ноут уже приобщён как вещдок? =)

Не приобщён, но придупредили стобы никаких следов "чистки" небыло.

Под чисткой подразумевают переустановку ОС/форматирование и т.д...

Это не ошибка логики. Например, чувак сдал в химчистку рубашку на следующий день, после того, как у него убили тётушку, и известно, что убийца посадил себе на одежду кровавое пятно. Конечно, он мог и просто так это сделать, но...

И презумпцию невиновности это не трогает, другие улики обвинению всё равно понадобятся для суда, но в число подозреваемых этот человек несомненно войдёт, его будут распрашивать, изучать его возможные мотивы, проверять его алиби и т. д..

> Не приобщён, но придупредили стобы никаких следов "чистки" небыло.

А подменить ноут нельзя или серийные номера переписаны?

> И презумпцию невиновности это не трогает, другие улики обвинению всё равно понадобятся для суда, но в число подозреваемых этот человек несомненно войдёт,

С этим никто не спорит, но тут говорят, что для немцев уже сам факт, что чего-то нет явится доказательством, а вот это уже издевательство над логикой.

> махинации с електронным баблом.
> иначе б не взялся б помогать.

Друг Руматы в далекой Германии
Отжимал у народа вебмание.
«Друг Румата,» — просил, — «выручай!» —
Но дотошным был тот полицай,
Что в тюрьму посадил всю компанию.

> Просто между дорожками на любом винчестере остаётся немного свободного пространства, которое также намагничивается при записи... И многократная перезапись просто сделает эту область чуть более слоистой, чем выдаст ваши намерения криминалисту, рассматривающему её под специальным микроскопом.

Что-то мне сдаётся, что если бы в данном случае дело было настолько серьёзное, чтобы оправдать затраты на такие методы восстановления, этого топика не возникло бы :)

Это всё паранойя. Что-то вытянуть может и можно будет, это я допускаю за незнанием. Но после 5тикратного зануления конкретные файлы вытащить нельзя будет 100%.

> это я допускаю за незнанием.

Это я допускаю из-за отсутствия доказательств наличия оного метода.