在某年的12月2日,塞科姆湖发生了一起枪击案,造成14人死亡,22人受伤。联邦调查局在了解到疑犯丢到湖中的笔记本硬盘中可能包含有跟案件有关的电子邮件和其他证据之后,对这个湖进行了一次搜索。有数据取证专家表示,如果硬盘只是泡了水,数据恢复工作其实并不难。事实上,要想毁掉一块硬盘还有更有效的方式。
硬盘中的数据以0和1的方式存储在铝块、陶瓷或者玻璃制作而成的盘片中,它看起来就像一张CD。盘片的中心是一个可以控制旋转的主轴,磁头利用电流来进行数据读取和写入工作,执行器和其他电子元件则负责控制整个操作过程。
水可能会让硬盘的电子元件短路,但是数据并未丢失,不管盘片是湿的还是干的。来自闪回数据公司的副总裁Russell Chozick解释说:“只要盘片没有变干,取证专家就能够非常轻松地恢复数据,因为干了之后会留下一些难以清除的痕迹。”
Russell Chozick 表示:固态硬盘(SSD)和闪存存储器其实更容易“溺水”,它们大多搭配有板载加密,这意味着该硬盘的电路板必须解码存储在内存芯片上的任何东西。但是,固态硬盘目前仅占PC硬盘市场的三分之一,因此传统的旋转驱动仍然是最需要关注的方面。
那么,有什么比水更加有效的破坏方式吗?一些专业的 IT 人士告诉我们,将磁铁靠近硬盘可能无法有效地破坏数据。云存储公司Backblaze的首席执行官兼联合创始人Gleb Budman表示:“首先要解决的是硬盘中的钢制保护壳,然后将一个磁性够强的磁铁贴近盘片,这样才能够有效破坏数据。不过,将盘片弄碎才是最稳妥的方式。”
事实上,我们可以用螺丝刀和锤子在几分钟之内轻松打开一块硬盘,而使用蛮力是在短时间内摧毁它的最佳方式。Russell Chozick说:“笔记本电脑的硬盘通常采用的是玻璃盘片,如果你用力砸的话,玻璃就会粉碎,并且没有人可以恢复。”当然,在某些情况下,要恢复玻璃盘片中的数据并非不可能,只不过那是一个漫长的过程,并且恢复成本非常昂贵。
台式PC的硬盘则大多采用铝盘,我们需要多花一点功夫才能毁掉其中的数据。比如,一条很大的划痕能够防止驱动初始化,并且可以妨碍传统的数据恢复工作。当然,铝 制盘片上或大或小的裂痕也具备同样的效果。
不过,Gleb Budman说,先进的实验室完全可以读取不完整盘片上的数据,他们甚至不需要硬盘旋转就能做到,专家可以在盘片中恢复足够多的0和1来完成数据的读取。
另外,在盘片上钻孔所产生的热量很容易造成大规模的破坏。这可能会使盘片本身出现扭曲,并导致所有的盘片都出现细微的变化。要想让硬盘中的数据完全无效,其实并不需要改变太多,一点点就已经足够了。
如果你觉得上面几种方式都不够保险的话,可以考虑用酸来彻底剥离盘片上的一切信息。当然,我们也可以用一些不那么富有侵略性的方式来抹掉硬盘上的数据,比如Windows和Mac OS X系统中都搭配有类似的擦除工具,能够用随机的0和1覆盖现有的数据。Gleb Budman建议,新硬盘需要擦2次,旧硬盘最好擦7次,否则,一些先进的实验室仍然可以在被覆盖的数据中找到“蛛丝马迹”。