¿Cómo hacer un restablecimiento completo de fábrica, sin que nadie pueda recuperar mis datos?

¿CÓMO SE RECUPERAN LOS DATOS BORRADOS?

La (des)eliminación de datos depende en gran medida de cómo un medio de almacenamiento ( HDD , SSD , eMMC etc.), sistema de archivos ( NTFS , FAT32 , ext4 etc.) y el sistema operativo guarda y elimina archivos.

• El tallado de archivos / la búsqueda de firmas / la recuperación basada en el contenido identifica los valores de las firmas estándar en las cabeceras de los archivos eliminados (como file y los programas antivirus lo hacen para identificar los virus conocidos que se esconden en los archivos), por ejemplo, los archivos JPEG comienzan con 0xffd8 y terminar con 0xffd9 . Se supone que los datos entre bloques son el archivo (considerando que el archivo es contiguo; sin fragmentación). También se pueden realizar otras comprobaciones en la cabecera, como una suma de comprobación, la longitud del archivo, o la fecha/hora, etc. Pero no todos los tipos de archivos tienen una firma estándar de cabecera/pie, por lo que determinar dónde empieza/termina el archivo es difícil. Los metadatos (incluidos los nombres de los archivos) no se recuperan con este método.

  Este enfoque funciona para los archivos, sistemas de archivos o particiones eliminados. Photorec , scalpel , foremost y la popular aplicación para Android DiskDigger (en modo de profundización) trabajar en este enfoque.

• Recuperar toda la información posible sobre los bloques de datos eliminados dentro del sistema de archivos, por ejemplo, de directory entries , journal , inodes etc. El sistema de archivos es básicamente el catálogo que contiene nombre del archivo vs. ubicación del archivo información y el diario es un tipo de información de respaldo. Así que la recuperación de los nombres de los archivos (y otros metadatos) es más probable con journaling sistemas de archivos.

  Este enfoque sólo funciona si el sistema de archivos y la partición están intactos, o son recuperables con el primer método. DiskDigger (en el modo de excavación profunda) y extundelete trabajar en este enfoque.

¿QUÉ HACE QUE LA RECUPERACIÓN DE LOS DATOS BORRADOS SEA DIFÍCIL / IMPOSIBLE?

• Un archivo/directorio se elimina simplemente, por ejemplo, desde alguna aplicación del Explorador de Archivos o con rm de la línea de comandos.

• Se cambia el nombre de un archivo a una cadena aleatoria y luego se elimina.

• El sistema de archivos del dispositivo no es diario por lo que no se puede recoger información de journal . Ext4 , el sistema de archivos más utilizado en Android, es journaling .

• El sistema de archivos del dispositivo es un Sistema de archivos Flash Por ejemplo F2FS .

  En este caso, se queda con las herramientas mínimas (por ejemplo, no debugfs a la lista eliminada inodes y para buscar los bloques de datos correspondientes de journal ) y también los datos se escriben siempre en bloques nuevos como estrategia de nivelación del desgaste. Garbage Collection hace que la recuperación del sistema de archivos sea menos probable porque las direcciones de bloques lógicos ( LBAs ) de los bloques de datos se modifican. Por lo tanto, sólo carving method es aplicable, y funciona .

• El sistema de archivos o la partición se borra, lo que dificulta la búsqueda directory structures y journal desde el sistema de archivos. El recovery de Android borra el filesystem durante un Factory Reset. Ver esta respuesta .

• Se borra todo el disco, incluyendo Tabla de partición Los límites de las particiones y los sistemas de archivos desaparecen. Esto no es posible en los dispositivos Android porque hay particiones necesarias para arrancar el dispositivo.

• El archivo fue fragmentado (no se guarda de forma contigua como una sola pieza), especialmente si no se puede recuperar la información del sistema de archivos.

  La fragmentación es mayor en Windows que en Linux/Android; Ext4 se autodesfragmenta gracias a Asignación retardada y reserved-blocks-percentage etc. Pero normalmente los archivos grandes en un sistema de archivos antiguo siempre están fragmentados.

• Se sobrescribe el archivo/sistema de archivos/partición con otro archivo/sistema de archivos/partición, o ceros, o datos aleatorios ( shredding ).

  Si tienes acceso a Root, lanza un flujo de /dev/urandom en el dispositivo de bloque para sobrescribir todos los datos, incluido el sistema de archivos. Ahora olvídate de su recuperación, aunque esto no anula la posibilidad de recuperar los datos directamente desde el almacenamiento flash (NAND en bruto), desprendiéndolos de la placa (¡quién hará esto excepto en un laboratorio forense!). Herramienta oficial de la organización SD: Formateador de tarjetas de memoria SD también sobrescribe con zeros en modo de formato completo. Tenga en cuenta que la sobreescritura repetida desperdicia preciosos ciclos E/P de la memoria flash.

• El sistema de archivos es TRIMmed o SECURE TRIMmed o ERASEd o SECURE ERASEd .

  Estos son comandos especiales para diferentes tipos de dispositivos de almacenamiento flash. TRIM es emitido por el sistema de archivos al firmware del dispositivo flash, solicitando el borrado físico real de los bloques de datos ( LBAs ) que han sido borrados del sistema de archivos. Los sistemas de archivos montados con discard opción de enviar siempre FITRIM ioctl cada vez que se elimina un archivo. Android hace un TRIM programado, o puedes hacerlo manualmente con fstrim de mando. Véase esta respuesta .

• La partición es BLKDISCARDed o BLKSECDISCARDed .

  blkdiscard emite el comando TRIM para todo el dispositivo de bloques, es decir, la partición o el disco (equivale aproximadamente a emitir TRIM en un sistema de archivos recién creado).
  TRIM guarda el sistema de archivos superblocks / inode y la tabla de particiones de la unidad, BLKDISCARD no guarda nada en el dispositivo de bloqueo.

  El recovery de Android intenta hacer al menos una de las dos cosas durante un Factory Reset. Ver esta respuesta .
  Algo similar ocurre con desbloqueo del bootloader y fastboot erase Aunque depende de la implementación dentro del cargador de arranque, eso es lo que Google espera de los proveedores OEM/SoC.

• El archivo borrado está encriptado o el archivo no tiene un firma única e identificable (al principio o al final), por lo que no es posible tallar.

  Como un archivo o fichero encriptado que la mayoría de los exploradores de archivos pueden crear. O un archivo con algún formato poco común, no conocido por los programas de recuperación.

• El sistema de archivos o el dispositivo de bloques se encriptan para que los datos sean irreconocibles (como FBE / FDE en Android). La mayoría de los nuevos dispositivos vienen con forceencrypt o fileencryption banderas establecidas en fstab Así que vold los encripta en el primer uso. Si no se pueden descifrar (por ejemplo, si se formatean), es imposible recuperar los datos en estos dispositivos.

• El dispositivo de almacenamiento flash es self-encrypting común para SSDs pero no para eMMCs .

• El dispositivo de almacenamiento flash se borra con SECURITY_ERASE o ENHANCED_SECURITY_ERASE Los comandos ATA, comunes para SSDs pero no para eMMCs .

• El dispositivo de almacenamiento no es accesible, por ejemplo, en un sistema integrado, si se borra el cargador de arranque, el dispositivo se bloquea y ya no se puede arrancar. No hay ningún protocolo para comunicarse con la eMMC, incluso si los datos están allí, excepto a través de algo de muy bajo nivel como JTAG o de una astilla.

  Vea también: Bootloader/BIOS, flasheo de ROM y riesgos correlativos. Por qué los dispositivos Android son más brickeables que los PC?

• Los medios de almacenamiento están dañados física, mecánica o eléctricamente.

Soluciones de almacenamiento de gran tamaño como NAS o el más complicado SAN que hace uso de LUNs con protocolos avanzados como iSCSI y soluciones de integridad de datos como RAID también complican el proceso de recuperación de datos. Sin embargo, los discos individuales, como en los PCs domésticos, o la memoria flash, como en los teléfonos Android, son casos bastante sencillos.

Por lo tanto, mientras que un restablecimiento de fábrica con recuperación de stock es suficiente en la mayoría de los casos, puede combinar cualquiera de los pasos descritos anteriormente, cualquiera que sea aplicable a su dispositivo, para asegurarse de que sus datos no son recuperables.

RELACIONADO:

• ¿Se pueden recuperar los datos del usuario después de formatear y flashear la ROM original?
• ¿Cómo recuperar un archivo borrado de la partición /data?
• ¿Cómo obtener datos de un teléfono Android completamente muerto?