【WinHex数据擦除功能】

来源：DFIR蘇小沐

0

目录

    1、实验环境

（一）WinHex文件"安全擦除"功能

    1、安全擦除路径

    2、数值填充

    3、随机字符 

    4、模拟加密数据

（二）数据删除标准

    1、DoD 5220.22-M（覆写3次）

    2、DoD 5220.22-M ECE（覆写7次）

    3、Gutmann（覆写35次，不建议）

总结

1

实验环境

Windows11专业工作站版，[v23H2（22631.3007）]

WinHex 21.0

1

（一）

WinHex文件"安全擦除"功能

注意："安全擦除"功能可以选择"单个文件或多个文件"，但不能选择文件夹；"删除嵌套目录"功能才能删除文件夹。

1

安全擦除路径

【路径：菜单栏->工具->文件工具->安全擦除】

2

数值填充

默认是十六进制数值"00"填充，覆盖次数1次。

输入字符要求：十六进制数值由两位字符组成（0-9或A-F），例如"1A"。字符中间没有空格。

【缺点：容易看出数据被擦除过，而且如果原先的数据也是00之类的，那这操作可能将变得无意义！！！】

3

随机字符

字符范围是0到255，默认也是擦除1次。

个人比较建议选择"DoD"摸式，使用随机字符擦除3次。默认是第1次先用十六进制"55"覆写一遍；第2次用十六进制"AA"覆写一遍；第3次用"随机字符"的"0-255"覆写最后一遍。这样数据看起来更加"真实"，可以使原先的数据丧失原本样貌，更加不容易数据恢复！！！

4

模拟加密数据

还可以尝试使用模拟加密数据和加密伪随机序列数的方法对文件进行擦除，自行测试；数据越大，删除时间越长。

2

（二）

数据删除标准

1

DoD 5220.22-M（覆写3次）

DoD 5220.22-M（DoD标准）是美国国防部文件5220.22-M中初次发布的数据净化方法。它指定了用1和0从一遍到三遍的随机位模式覆盖硬盘上可寻址的位置。

2

DoD 5220.22-M ECE（覆写7次）

DoD 5220.22-M ECE是DoD 5220.22-M的扩展版本，是一种7遍方法。

3

Gutmann（覆写35次，不建议）

古特曼算法（Gutmann method）主要特色是在要被抹除的区段中重复写入35个片段。但古特曼方法是在20世纪后期设计的，当时的硬盘驱动器所使用的编码方法与今天使用的编码方法不同，此方法对现代硬盘可能完全没有效果，因此更建议使用随机数模式擦除硬盘数据。

总结

一般数据覆写一遍和高级格式化操作，数据久很难恢复了，但恢复概率低不代表不能恢复，影响因素有很多，没有什么是绝对的，如果数据安全要求极高，那么物理消灭存储设备是最安全的方法！数据无价，谨慎操作！！！

论电子证据辩护

原文始发于微信公众号（电子物证）：【WinHex数据擦除功能】