Если размер кластера 512 байт, а размер файла 784 байта, файл займет место на диске

Обновлено: 21.11.2024

Свободный объем ОЗУ — это данные между концом логического файла и сектором a. (НЕ кластер). Сектор на стандартном жестком диске занимает 512 байт, если последний логический сектор в файле занимает 400 байт, оставшиеся 112 байт будут свободными в оперативной памяти. Традиционно это пространство заполняется частичным дампом из ОЗУ, например. Для заполнения этого пространства потребуется 112 байт оперативной памяти.

Свободный резерв файла — от последнего логического сектора файла до последнего физического сектора в кластере.

Оперативная память больше не актуальна для большинства современных ПК с Windows, поскольку ОЗУ не содержит нулей, а не данных из ОЗУ, т. е. в системах Windows больше нет криминалистических артефактов, которые можно найти в ОЗУ.

В чем разница между RAM Slack и File Slack

Криминалистика: резерв оперативной памяти и резерв файлов

В чем разница между резервом оперативной памяти и резервом файла?

Слабость, как правило, относится к разнице между логическим размером файла и физическим размером файла. Однако временной резерв можно разделить на две разные области: временной резерв ОЗУ и временной резерв файла.

Свободный объем ОЗУ — это промежуток между концом логического файла и остальной частью этого сектора. File Slack — это оставшиеся сектора до конца кластера. Другими словами, резерв оперативной памяти — это резерв на уровне байтов и секторов. Файловый резерв — это количество секторов на уровне кластера.

Пример

На диске NTFS с секторами по 512 байт и 8 секторами на кластер размер кластера составляет 4096 байт. Если файл имеет длину 5100 байт, это означает, что имеется 3092 байта резерва, который разбит на 20 байт резерва ОЗУ и 3072 байт резерва файла (или 6 секторов).

Причина вот в чем:

Файл имеет размер 5100 байт, что составляет 9 секторов. Но файловая система NTFS работает с кластерами, а не с секторами, поэтому файлу будет присвоено 2 кластера. Первый кластер (8 секторов) будет полностью заполнен первым файлом, однако второй кластер будет содержать только 1004 байт файла (4096+1004 = 5100).

Это означает, что первый сектор (512 байт) второго кластера будет полностью заполнен файлом, а второй сектор второго кластера будет содержать только 492 байта. Пространство в конце второго сектора во втором кластере известно как резерв ОЗУ и представляет собой дамп из ОЗУ, в данном случае это всего 20 байт (492+20 = 512).

После этого до конца кластера остается еще 6 секторов (файлу отводится два кластера, всего 16 секторов). Оставшиеся 6 секторов называются резервом файла.

Нехватка оперативной памяти, поэтому очень мало данных, максимум 511 байт. Файловый люфт, как потенциал, чтобы быть больше, но все еще мал. Максимальный размер резерва файла при размере кластера в 8 секторов составляет 7 секторов или 3584.

Примечание:

RAM Slack не существует в современной версии Windows и не существует в течение некоторого времени.

Криминалистика: физический и логический размер

В чем разница между физическим и логическим размером, показанным в Encase/FTK?

Все файлы имеют физический и логический размер, часто физический размер больше логического, иногда он равен ему. Но логический размер никогда не должен превышать физический размер, в противном случае файловая система повреждена или происходит что-то необычное.

Физический размер файла определяется минимальным количеством целых кластеров, необходимых для файла. например, если файл размером 6 КБ занимает 1,5 кластера (в данном случае один кластер = 4 КБ), для его физического размера требуется 2 кластера, а два кластера по 8 КБ, поэтому физический размер составляет 8 КБ. Это немного похоже на перевозку людей. Какое минимальное количество лондонских такси нужно для перевозки 6 человек? 1.5, но на самом деле вы не можете заказать половину кабины, вам нужно 2 кабины, поэтому физическое пространство, необходимое для перевозки 6 человек, составляет 8 мест.

Логический размер — это фактический размер файла, в данном случае 6 КБ, фактический размер файла. Разница между двумя размерами известна как «свободный файл».

Для получения более подробной информации об этом могут быть полезны следующие статьи:

Что такое File Slack?

Что такое File Slack?

В этой статье рассматривается файловый резерв, где он находится и как его найти, а также содержится видеоруководство по просмотру этих данных в EnCase 6.10

Требования

Чтобы понять File Slack, нужно сначала понять основные концепции кластера и секторов.

Эта статья основана на предположении, что читатель понимает эти концепции. Он также написан с предположением, что рассматриваемое оборудование представляет собой стандартный жесткий диск Windows с размером сектора 512 и размером кластера 8 секторов.

Кластеры и секторы

Поскольку операционная система может обращаться только к кластерам, а не к секторам, как к жестким дискам, это означает, что файлы хранятся на жестком диске в единицах кластеров, а не секторов.

Примеры:

Файл размером 5000 байт занимает 9 секторов, однако операционная система выделит файлу 2 кластера (16 секторов, 2*8 секторов), так как он не помещается в 1 сектор. 2 сектора составляют 8 КБ (2*4 КБ)

Файл размером 2500 байт уместится в 5 секторов, однако операционная система выделит файлу 1 полный кластер (8 секторов), что составляет 4 КБ

Файлу размером 10 000 байт будет отведено 12 КБ – 3 сектора.

Разные размеры

Из этого видно, что файл имеет два разных размера: логический размер файла — фактический размер файла, а физический размер файла — размер, указанный для файла на жестком диске.

Физический размер файла всегда больше или равен логическому размеру файла (на данный момент без учета резидентных данных).

Файл Slack

Свободный файл — это разница между физическим размером файла и логическим размером файла.

Например, для файла размером 5000 байт, которому выделено 2 кластера (8192 байта), резерв файла будет составлять 8192–5000, что составляет 3192 байта. Резерв файла всегда должен быть меньше 1 кластера (4096 байт).

Поскольку резерв файла — это буквально пространство на жестком диске между логическим и физическим размером файла, это означает, что все, что было в этом пространстве до этого, становится резервом файла. Поскольку новый файл создается путем перезаписывания нераспределенного пространства (даже если это означает удаление файла непосредственно перед запросом на запись), это означает, что резерв файла — это, по сути, старые фрагменты нераспределенного файлового пространства (незанятость оперативной памяти здесь не обсуждается).

Это означает, что файловый резерв может содержать что угодно, от фрагментов веб-страниц, электронных писем и даже целых небольших изображений до нежелательного текста. Чаще всего это последнее, однако полные файлы EML и эскизы изображений были восстановлены, что может доказать все дело.

Ниже показано видео, показывающее резервирование файла с использованием EnCase 6.10. В настоящее время Encase лучше справляется с просмотром данных такого типа, чем FTK.

Что такое файловый резерв

Что такое File Slack?

В этой статье рассматривается файловый резерв, где он находится и как его найти? Ниже приведено видеоруководство по просмотру резервных данных в EnCase 6.10. Более подробную информацию о File Slack см. в этой статье

Требования

Чтобы понять File Slack, нужно сначала понять основные концепции кластера и секторов.

Файл Slack

Провисание файла, короче говоря, это то, что следует из названия; это «пробел»/запасной бит в конце файла.

Технически это разница между физическим размером файла и логическим размером файла. Физический размер всегда равен или больше логического размера. Если физический размер больше, чем размер логического файла, то резервные данные между логическим и физическим файлом называются «незадействованными».

В этой статье обсуждается, как проверить выделение дискового пространства в файловой системе NTFS, чтобы обнаружить проблемные файлы и папки или найти повреждение тома на компьютерах под управлением Microsoft Windows Server 2003.

Применимо к: Windows Server 2003
Исходный номер базы знаний: 814594

Обзор

NTFS поддерживает множество функций на уровне томов и файлов, которые могут привести к потере свободного места на диске или неправильной информации о нем. Например, том NTFS может внезапно оказаться заполненным без какой-либо причины, и администратор не может найти причину или найти проблемные папки и файлы. Это может произойти, если произошел злонамеренный или несанкционированный доступ к тому NTFS, на который тайно скопированы большие файлы или большое количество маленьких файлов. Затем для этих файлов удаляются или ограничиваются разрешения NTFS. Такое поведение также может возникать после сбоя компьютера или отключения питания, что приводит к повреждению тома.

Распределение дискового пространства для тома NTFS может оказаться неправильным по любой из следующих причин:

  • Размер кластера тома NTFS слишком велик для хранящихся там файлов среднего размера.
  • Атрибуты файлов или разрешения NTFS не позволяют проводнику Windows или командной строке Windows отображать или получать доступ к файлам или папкам.
  • Путь к папке превышает 255 символов.
  • Папки или файлы содержат недопустимые или зарезервированные имена файлов.
  • Метафайлы NTFS (такие как главная таблица файлов) увеличились, и их нельзя отменить.
  • Файлы или папки содержат альтернативные потоки данных.
  • Повреждение файловой системы NTFS приводит к тому, что свободное пространство отображается как используемое.
  • Другие функции NTFS могут вызвать путаницу при размещении файлов.

Следующая информация может помочь вам оптимизировать, восстановить или лучше понять, как ваши тома NTFS используют дисковое пространство.

Размер кластера слишком велик

Только файлы и папки, содержащие внутренние метафайлы NTFS, такие как основная таблица файлов (MFT), индексы папок и другие, могут занимать место на диске. Эти файлы и папки потребляют все выделенное файловое пространство, используя несколько кластеров. Кластер — это совокупность смежных секторов. Размер кластера определяется размером раздела при форматировании тома.

При создании файла он занимает как минимум один кластер дискового пространства, в зависимости от исходного размера файла. Когда данные позже добавляются в файл, NTFS увеличивает размер файла, кратный размеру кластера.

Чтобы определить текущий размер кластера и статистику тома, запустите команду chkdsk только для чтения из командной строки. Для этого выполните следующие действия:

Нажмите "Пуск", выберите "Выполнить", введите cmd и нажмите "ОК".

В командной строке введите команду: chkdsk d: .

Где d: буква диска, который вы хотите проверить.

Нажмите "ОК".

Просмотрите результат. Например:

4096543 КБ всего места на диске. /a переключатель, чтобы указать соответствующее распределение. Например: формат D: /a:2048 (в этом примере используется размер кластера 2 КБ).

Кроме того, вы можете включить сжатие NTFS, чтобы восстановить пространство, потерянное из-за неправильного размера кластера. Однако это может привести к снижению производительности.

Атрибуты файла или разрешения NTFS

Проводник Windows и команда списка каталогов dir /a /s отображают общую статистику файлов и папок только для тех файлов и папок, на доступ к которым у вас есть права доступа. По умолчанию скрытые файлы Files и защищенные системные файлы исключаются. Такое поведение может привести к тому, что Проводник Windows или команда dir будут отображать неточные общие данные о файлах и папках и статистику о размерах.

Чтобы включить эти типы файлов в общую статистику, измените параметры папки. Для этого выполните следующие действия:

  1. Нажмите «Пуск», выберите «Мой компьютер», а затем дважды щелкните букву диска (например, D) тома. Это открывает том и отображает папки и файлы, содержащиеся в корневом каталоге.
  2. В меню "Инструменты" нажмите "Параметры папки", а затем перейдите на вкладку "Вид".
  3. Установите флажок "Показать скрытые файлы и папки", а затем снимите флажок "Скрывать защищенные системные файлы".
  4. Нажмите «Да», когда получите предупреждающее сообщение, а затем нажмите кнопку «Применить». Это изменение позволяет Проводнику Windows и команде dir /a /s суммировать все файлы и папки, содержащиеся в томе, к которым у пользователя есть права доступа.

Чтобы определить папки и файлы, к которым у вас нет доступа, выполните следующие действия:

В командной строке создайте текстовый файл из выходных данных команды dir /a /s.

Например: в командной строке введите следующую команду: dir d: /a /s >c:\d-dir.txt .

Запустите мастер резервного копирования или восстановления.

Нажмите «Параметры» в меню «Инструменты», перейдите на вкладку «Журнал резервного копирования», нажмите «Подробно» и нажмите «ОК».

В утилите резервного копирования перейдите на вкладку «Резервное копирование», затем установите флажок для всего затронутого тома (например, D:), а затем нажмите «Начать резервное копирование».

После завершения резервного копирования откройте отчет о резервном копировании и сравните папку для папки выходных данных журнала NTBackup с выходными данными d-dir.txt, сохраненными на шаге 1.

Поскольку резервное копирование может получить доступ ко всем файлам, его отчет может содержать папки и файлы, которые не отображаются проводником Windows и командой dir. Возможно, вам будет проще использовать интерфейс NTBackup для поиска тома без резервного копирования тома, когда вы хотите найти большие файлы или папки, к которым вы не можете получить доступ с помощью проводника Windows.

После того, как вы найдете файлы, к которым у вас нет доступа, вы можете добавить или изменить разрешения с помощью вкладки "Безопасность" во время просмотра свойств файла или папки в проводнике Windows. По умолчанию вы не можете получить доступ к папке System Volume Information. Вы должны добавить правильные разрешения, чтобы включить папку в команду dir /a /s.

Вы можете заметить папки или файлы, у которых нет вкладки "Безопасность". Или вы не сможете переназначить разрешения для затронутых папок и файлов. При попытке доступа к ним может появиться следующее сообщение об ошибке:

D:\имя_папки\ недоступен

Доступ запрещен

Если у вас есть такие папки, обратитесь за дополнительной помощью в службу поддержки продуктов Microsoft.

Недопустимые имена файлов

Папки или файлы, которые содержат недопустимые или зарезервированные имена файлов, также могут быть исключены из статистики файлов и папок. Папки или файлы, содержащие начальные или конечные пробелы, допустимы в NTFS, но недопустимы с точки зрения подсистемы Win32. Поэтому ни проводник Windows, ни командная строка не могут с ними надежно работать.

Возможно, вы не сможете переименовать или удалить эти файлы или папки. При попытке сделать это может появиться одно из следующих сообщений об ошибке:

Ошибка переименования файла или папки

Невозможно переименовать файл: невозможно прочитать исходный файл или диск.

Ошибка удаления файла или папки

Невозможно удалить файл: невозможно прочитать исходный файл или диск.

Если у вас есть папки или файлы, которые вы не можете удалить или переименовать, обратитесь в службу поддержки продуктов Microsoft.

Расширение главной таблицы файлов NTFS (MFT)

При создании и форматировании тома NTFS создаются метафайлы NTFS. Один из этих метафайлов называется главной таблицей файлов (MFT). При создании он небольшой (примерно 16 КБ), но увеличивается по мере создания на томе файлов и папок. Когда файл создается, он вводится в MFT как сегмент записи файла (FRS). FRS всегда составляет 1024 байта (1 КБ). По мере добавления файлов в том MFT увеличивается. Однако при удалении файлов связанные FRS помечаются как свободные для повторного использования, но общее количество FRS и соответствующее распределение MFT остаются. Вот почему вы не восстанавливаете пространство, используемое MFT, после удаления большого количества файлов, .

Чтобы точно определить размер MFT, можно использовать встроенный дефрагментатор для анализа тома. Результирующий отчет предоставляет подробную информацию о размере и количестве фрагментов в MFT.

Фрагментация основной таблицы файлов (MFT)
Общий размер MFT = 26 203 КБ
Количество записей MFT = 21 444
Процент использования MFT = 81 %
Общее количество фрагментов MFT = 4

Однако для получения более полной информации о том, сколько места (накладных расходов) использует вся NTFS, запустите команду chkdsk.exe, а затем просмотрите вывод для следующей строки:

В настоящее время только сторонние программы дефрагментации объединяют неиспользуемые записи MFT FRS и освобождают неиспользуемое пространство, выделенное MFT.

Альтернативные потоки данных

NTFS позволяет файлам и папкам содержать альтернативные потоки данных. С помощью этой функции вы можете связать несколько распределений данных с одним файлом или папкой. Использование альтернативных потоков данных для файлов и папок имеет следующие ограничения:

  • Проводник Windows и команда dir не сообщают данные в альтернативных потоках данных как часть статистики размера файла или объема. Вместо этого они показывают только общее количество байтов для основного потока данных.
  • Выходные данные chkdsk точно сообщают о пространстве, занимаемом файлами данных пользователя, включая альтернативные потоки данных.
  • Дисковые квоты точно отслеживают и сообщают обо всех выделениях потока данных, которые являются частью файлов данных пользователя.
  • NTBackup записывает количество резервных копий в байтах в отчете журнала резервного копирования. Однако он не показывает, какие файлы содержат альтернативные потоки данных. Также не отображаются точные размеры файлов, содержащих данные в альтернативных потоках.

Повреждение файловой системы NTFS

В редких случаях метафайлы NTFS $MFT или $BITMAP могут быть повреждены, что приведет к потере места на диске. Вы можете определить и устранить эту проблему, выполнив команду chkdsk /f для тома. Ближе к концу chkdsk вы получите следующее сообщение, если вам необходимо настроить $BITMAP: исправление ошибок в атрибуте BITMAP таблицы основных файлов (MFT). CHKDSK обнаружил свободное пространство, помеченное как выделенное в растровом изображении тома. Windows внесла исправления в файловую систему.

Другие функции NTFS, которые могут вызвать путаницу при размещении файлов

NTFS также поддерживает жесткие ссылки и точки повторной обработки, которые позволяют создавать точки подключения томов и соединения каталогов. Эти дополнительные функции NTFS могут вызвать путаницу при попытке определить, сколько места занимает физический том.

Жесткая ссылка – это запись в каталоге для файла независимо от того, где на этом томе находятся данные файла. Каждый файл имеет хотя бы одну жесткую ссылку. В томах NTFS каждый файл может иметь несколько жестких ссылок, поэтому один файл может находиться во многих папках (или даже в одной и той же папке с разными именами). Поскольку все ссылки относятся к одному и тому же файлу, программы могут открыть любую из ссылок и изменить файл. Файл удаляется из файловой системы только после удаления всех ссылок на него. После создания жесткой ссылки программы могут использовать ее как любое другое имя файла.

Проводник Windows и командная строка показывают, что все связанные файлы имеют одинаковый размер, несмотря на то, что все они совместно используют одни и те же данные и фактически не используют такой объем дискового пространства.

Точки подключения тома и точки пересечения каталогов позволяют пустой папке на томе NTFS указывать на корень или подпапку на другом томе. Проводник Windows и команда dir /s следуют за точкой повторной обработки, подсчитывают все файлы и папки на целевом томе, а затем включают их в статистику основного тома. Это может ввести вас в заблуждение, полагая, что на хост-томе используется больше места, чем используется на самом деле.

Подводя итог, можно использовать выходные данные chkdsk, графический интерфейс NTBackup или журналы резервного копирования, а также просмотр дисковых квот, чтобы определить, как дисковое пространство используется на томе. Однако проводник Windows и команда dir имеют некоторые ограничения и недостатки при использовании для этой цели.

Очистка диска выполняется путем записи новых данных поверх каждого бита.

Содержание

Распространенные варианты использования

Удалить все данные, оставшиеся на устройстве

Наиболее распространенный случай полной и безвозвратной очистки устройства – когда устройство собирается отдать или продать. На устройстве могут остаться (незашифрованные) данные, и вы хотите защитить их от простого судебного расследования, которое является детской игрой, например, с помощью программного обеспечения для восстановления файлов.

Каждый перезаписанный бит означает обеспечение уровня стирания данных, не позволяющего восстановить их с помощью обычных системных функций (таких как стандартные команды ATA/SCSI) и аппаратных интерфейсов. Любое программное обеспечение для восстановления файлов, упомянутое выше, должно быть специализировано на проприетарных аппаратных функциях хранения данных.

В случае с жестким диском восстановление данных будет невозможно, по крайней мере, без недокументированных команд привода или вмешательства в контроллер или прошивку устройства, чтобы заставить их считывать, например, перераспределенные сектора (плохие блоки, которые SMART больше не использует).

При использовании различных технологий физического хранения возникают разные проблемы с очисткой данных. В частности, все устройства на базе флэш-памяти и старые магнитные накопители (старые жесткие диски, дискеты, ленты).

Подготовка к шифрованию блочного устройства

Предупреждение. Если шифрование блочного устройства сопоставлено с разделом, содержащим неслучайные или незашифрованные данные, шифрование ослабевает и становится сопоставимым с шифрованием на уровне файловой системы: становится возможным раскрытие шаблонов использования на зашифрованном диске. Поэтому не заполняйте пространство нулями, простыми шаблонами (например, бэдблоками) или другими неслучайными данными перед настройкой шифрования блочного устройства, если вы серьезно к этому относитесь.

Сохранение данных

См. также Википедия: Остаточное хранение данных. Представление данных может оставаться даже после попыток удалить или стереть данные.

Операционная система, программы и файловая система

Операционная система, исполняемые программы или файловые системы журналов могут копировать ваши незашифрованные данные на блочное устройство. При записи на обычные диски это должно иметь значение только в сочетании с одним из вышеперечисленных.

Если данные могут быть точно расположены на диске и никогда больше никуда не копировались, очистка случайных данных может быть тщательной и впечатляюще быстрой, если в пуле достаточно энтропии.

Хорошим примером является cryptsetup, использующий /dev/urandom для очистки слотов ключей LUKS.

Проблемы, связанные с оборудованием

Флэш-память

Усиление записи и другие характеристики делают флэш-память, включая твердотельные накопители, упрямой мишенью для надежной очистки. Поскольку между данными, которые видит чип контроллера устройства и операционная система, существует много прозрачной абстракции, данные прицела никогда не перезаписываются на месте, а стирание отдельных блоков или файлов ненадежно.

Другие «функции», такие как прозрачное сжатие (все твердотельные накопители SandForce), могут сжимать ваши нули или повторяющиеся шаблоны, поэтому, если стирание происходит невероятно быстро, это может быть причиной.

Разборка устройств флэш-памяти, отпайка микросхем и анализ содержимого данных без промежуточного контроллера осуществимы без труда с использованием простого оборудования. Компании по восстановлению данных делают это за небольшие деньги.

Для получения дополнительной информации см.:

Отмечены поврежденные сектора

Если жесткий диск помечает сектор как поврежденный, он блокирует его, и программная запись в этот раздел становится невозможной. Таким образом, полная перезапись не достигла бы его. Однако из-за размеров блоков эти разделы могут составлять лишь несколько теоретически восстанавливаемых КиБ.

Остаточный магнетизм

Однократная полная перезапись нулями или случайными данными не приводит к восстановлению данных на современном устройстве хранения высокой плотности. Обратите внимание, что в настоящее время повторение операции не требуется. [1] Индикация иначе относится к одиночным остаточным битам; реконструкция шаблонов байтов, как правило, невозможна.[2] См. также [3], [4] и [5].

Выберите цель

Используйте fdisk, чтобы найти все устройства чтения/записи, к которым у пользователя есть доступ для чтения.

Проверьте вывод на наличие строк, начинающихся с устройств, таких как /dev/sd"X" .

Это пример жесткого диска, отформатированного для загрузки системы Linux:

Или другой пример с образом Arch Linux, записанным на флэш-накопитель USB емкостью 4 ГБ:

Если вы беспокоитесь о непреднамеренном повреждении важных данных на основном компьютере, рассмотрите возможность использования изолированной среды, такой как виртуальная среда (VirtualBox, VMWare, QEMU и т. д.) с прямым подключением к ней дисков или только одного компьютера. с дисками хранения, которые необходимо стереть, загрузившись с Live Media (USB, CD, PXE и ​​т. д.), или используйте сценарий, чтобы предотвратить стирание смонтированных разделов из-за опечатки.

Выберите источник данных

Чтобы стереть конфиденциальные данные, можно использовать любой шаблон данных, соответствующий потребностям.

Нуль

Перезапись с помощью /dev/zero или простых шаблонов в большинстве случаев считается безопасной. С современными жесткими дисками это считается подходящим и быстрым для очистки диска.

Чтобы впоследствии настроить шифрование блочного устройства, следует стереть область случайными данными (см. следующий раздел), чтобы не ослабить шифрование.

Предупреждение. При условии сжатия и осторожного использования с флэш-памятью и твердотельными накопителями, которых следует избегать для подготовки к блочному шифрованию, как указано выше.

Случайные данные

Истинный случайный источник данных с использованием /dev/random нецелесообразен для очистки больших емкостей, так как ожидание генерации энтропии займет слишком много времени. /dev/urandom можно использовать как разумный источник псевдослучайных данных. Различия между случайными и псевдослучайными данными в качестве источника см. в разделе Генерация случайных чисел.

Другой альтернативой генерации псевдослучайных данных является использование зашифрованного потока данных. Например, если кто-то хочет подготовить устройство к блочному шифрованию и будет использовать AES для зашифрованного раздела, целесообразно стереть его с помощью аналогичного шифра перед созданием файловой системы, чтобы сделать пустое пространство неотличимым от используемого. /p>

Выберите размер блока

Если у вас есть жесткий диск расширенного формата, рекомендуется указать размер блока больше, чем 512 байт по умолчанию. Чтобы ускорить процесс перезаписи, выберите размер блока, соответствующий физической геометрии вашего диска, добавив параметр размера блока к команде dd (например, bs=4096 для 4 КиБ).

fdisk выводит размер физического и логического секторов для каждого диска. В качестве альтернативы sysfs предоставляет информацию:

Предупреждение. Эти методы показывают размер блока, который диск сообщает ядру. Однако многие диски расширенного формата неправильно занижают размер физического блока до 512.

Совет: скрипт genwipe.sh AUR помогает рассчитать параметры для очистки устройства/раздела с помощью dd, например. genwipe.sh /dev/sd"XY" .

Рассчитать блоки для очистки вручную

Устройства блочного хранения содержат сектора и размер одного сектора, который можно использовать для расчета всего размера устройства в байтах. Вы можете сделать это, умножив секторы на размер сектора.

В качестве примера мы используем параметры команды dd для очистки раздела:

Здесь, чтобы проиллюстрировать это практическим примером, мы покажем вывод команды fdisk для раздела /dev/sdX:

  • Первая строка вывода fdisk показывает размер диска в байтах и ​​логических секторах.
  • Размер устройства хранения или раздела в байтах также можно получить с помощью команды blockdev --getsize64 /dev/sdXY .
  • Строка Units выходных данных fdisk показывает размер одного логического сектора; размер логического сектора также может быть получен из количества байтов, деленного на количество логических секторов, здесь используйте: echo $((2000398934016 / 3907029168)) .
  • Чтобы узнать размер физического сектора в байтах (это ускорит работу), мы можем использовать следующую строку.
  • Чтобы получить размер диска в физических секторах, можно разделить размер диска в байтах на размер одного физического сектора, здесь echo $((2000398934016 / 4096)) ,
  • В приведенных ниже примерах мы будем использовать размер логического сектора.
  • Вы даже можете стереть нераспределенное пространство на диске с помощью команды dd, рассчитав разницу между концом одного и началом следующего раздела.

Чтобы стереть раздел /dev/sdX1 , примеры параметров с логическими секторами будут использоваться следующим образом.

  • Используя начальный адрес раздела на устройстве с параметром seek=:

с Start=2048 , End=3839711231 и BytesInSector=512 .

  • Или используя размер раздела в логических секторах:

Или, чтобы стереть весь диск с помощью физических секторов:

с AllDiskPhysicalSectors=488378646 и PhysicalSectorSizeBytes=4096 .

Примечание. Параметр count= не нужен при очистке всей физической области, напримерsdXY или sdX от начала до конца, но выдает ошибку о нехватке свободного места при попытке записи вне пределов.

Перезаписать цель

Перенаправляя вывод

Перенаправленный вывод можно использовать для создания файлов, перезаписи свободного места в разделе и очистки всего устройства или отдельного раздела на нем. В приведенных здесь примерах используется /dev/zero для обнуления устройства, но /dev/urandom можно заменить, если требуется случайная очистка.

В следующих примерах показано, как переписать раздел или блочное устройство, перенаправив стандартный вывод из других утилит:

Команду копирования файла cp также можно использовать для перезаписи устройства, поскольку она игнорирует тип места назначения:

Чтобы показать скорость и время, вы можете использовать pv :

Предупреждение. Нет подтверждения правильности этой команды, поэтому еще раз проверьте, правильно ли выбран диск или раздел. Убедитесь, что of=. указывает на целевой диск, а не на системный диск.

Заполнить диск нулями, записав нулевой байт в каждое адресуемое место на диске с помощью потока /dev/zero.

Процесс завершается, когда dd сообщает об отсутствии свободного места на устройстве и возвращает управление обратно:

Чтобы ускорить очистку большого диска, см. также:

    который использует OpenSSL, который стирает неслучайные предустановленные данные (например, перезаписывает весь диск одним файлом), но очень быстрый, который использует dm-crypt.

Программа, специализирующаяся на очистке файлов. Он доступен как часть пакета очистки. Чтобы быстро стереть место назначения, вы можете использовать что-то вроде:

См. также wipe(1) . Последний раз этот инструмент обновлялся в 2009 году. Судя по его странице на SourceForge, в настоящее время он не поддерживается.

уничтожить

shred (из пакета coreutils) — это команда Unix, которую можно использовать для безопасного удаления отдельных файлов или целых устройств, чтобы их можно было восстановить только с большими трудностями при помощи специализированного оборудования, если вообще возможно. . По умолчанию shred использует три прохода, записывая псевдослучайные данные на устройство во время каждого прохода. Его можно уменьшить или увеличить.

Следующая команда вызывает уничтожение с настройками по умолчанию и отображает ход выполнения.

Shred также можно использовать на одном разделе, например. чтобы стереть первый раздел, используйте shred -v /dev/sdX1 .

Кроме того, шреду можно указать выполнить только один проход с энтропией, например, от /dev/urandom .

Плохие блоки

Инструмент badblocks от e2fsprogs может выполнять деструктивную проверку чтения-записи, эффективно очищая устройство. По умолчанию он выполняет четыре прохода и может занять очень много времени.

hdparm

Некоторые накопители поддерживают расширенную безопасную очистку, в которой используются отдельные шаблоны, определенные производителем. Если выходные данные hdparm -I для устройства указывают на многократный выигрыш во времени для расширенного стирания, устройство, вероятно, имеет функцию аппаратного шифрования, и стирание будет выполняться только для ключей шифрования.

Подробные инструкции по использованию безопасного стирания ATA см. в разделе Очистка твердотельного накопителя/ячейки памяти и вики Linux ATA.

Просматривая свойства файла Windows, я вижу два атрибута: "Размер" и "Размер на диске", а "Размер на диске" всегда больше.

Что означают эти два показателя?

Я не уверен в этом на 100 %, но считаю, что сжатые файлы также влияют на эти измерения.

"Размер на диске" не всегда больше. Небольшие файлы хранятся непосредственно на MFT и имеют размер на диске = 0. Сжатые файлы также часто имеют меньший размер на диске. То же самое с разреженными файлами

4 ответа 4

Размер — это фактический размер файла в байтах.

Размер на диске — это фактический объем места, занимаемого на диске. Они отличаются тем, что диск разделен на дорожки и сектора и может выделять блоки дискретного размера.

Более подробное объяснение см. в этом тексте, который я скопировал с другого сайта:

Мы знаем, что диск состоит из дорожек и секторов. В Windows это означает, что ОС выделяет пространство для файлов в «кластерах» или «единицах распределения».

Размер кластера может варьироваться, но обычно он составляет от 512 байт до 32 КБ и более. Например, на моем диске C:\ единица выделения составляет 4096 байт. Это означает, что Windows выделит 4096 байт для любого файла или части файла длиной от 1 до 4096 байт.

Если у меня есть файл размером 17 КБ (килобайт), то Размер на диск будет 20,48 КБ (или 20480 байт). Вычисление будет 4096 (1 единица распределения) x 5 = 20480 байт. Для хранения файла размером 17 КБ требуется 5 единиц распределения.

Другой пример: у меня есть файл размером 2000 байт. Размер файла на диске будет 4096 байт.Причина в том, что даже если весь файл может поместиться в одну единицу размещения, он все равно занимает 4096 дискового пространства (одна единица распределения) на диске (только один файл может использовать единицу распределения и не может использоваться совместно с другими файлами).< /p>

Таким образом, размер на диске - это пространство всех тех секторов, в которых сохранен файл. Это означает, что обычно размер на диске всегда больше фактического размера.

Поэтому фактический размер файла (файлов) или папки (папок) всегда следует брать из значения размера при просмотре окно свойств.

Должен ли я смотреть на "размер" или "размер на диске", когда я хочу сравнить процент того, сколько занимает папка, по сравнению с общим объемом, который занимает текущий раздел?

В приведенном ниже ответе Synetech добавлены важные (и потенциально запутанные) моменты о сжатии и жестких ссылках, которые могут привести к тому, что размер на диске будет меньше, чем размер.

@baroquedub У вас может быть огромная разница между ними (например, коэффициент x1000 в вашем примере). Эта разница может возникнуть, особенно если есть много маленьких файлов (в основном потому, что файлы записываются на диск как «блоки», поэтому будет взят как минимум весь размер одного блока. Фактический размер блока зависит от файла) системе, поэтому размер занятого диска может быть разным на разных дисках.

Это связано с размерами единиц размещения, которые использовались на вашем диске при его первом форматировании.

Представьте, что у вас в машине две газовые канистры по 2 x 10 галлонов. Каждый газовый баллон является единицей распределения. Вам нужно получить 12 галлонов бензина, поэтому вам нужно использовать обе канистры. В основном используется 20 галлонов выделенного пространства, но заполняется только 12 галлонов.

Вот размер по умолчанию для Windows XP

Если вы думаете о размере кластера, как о каждой из ваших газовых канистр: вмещает 4 КБ «газа» каждая. Но размер вашего файла 2 КБ, тогда размер заливки 2 КБ, а размер на диске 4 КБ

Позвольте мне добавить к вашему ответу. Размер единицы размещения (сегмента) выбирается в зависимости от размера диска. Если вы используете ведро для опорожнения ванны, вам следует выбрать маленькое ведро. Если вы опорожняете бассейн, вам понадобится ведро большего размера.

Вы не можете получить доступ к каждому отдельному байту на носителе данных отдельно. Это было бы ужасно неэффективно, потому что системе нужен какой-то способ отслеживать, какие из них используются, а какие свободны (т. е. список), поэтому выполнение этого для каждого байта в отдельности создало бы слишком много накладных расходов (для каждого байта). отдельный байт, то есть 1-к-1, список будет таким же большим, как и сам носитель!)

Вместо этого среда разбивается на куски, блоки, единицы, группы, как бы вы их ни называли (технический термин – кластеры), каждый из которых содержит постоянное количество байт (обычно вы можете указать размер кластеров, поскольку для разных целей требуются разные размеры, чтобы уменьшить количество отходов).

Когда файл сохраняется на диск, размер файла делится на размер кластера и при необходимости округляется. Это означает, что если размер файла не делится точно на размер кластера, часть кластера оказывается неиспользованной и, таким образом, тратится впустую.

Когда вы просматриваете свойства файла, вы видите истинный размер файла, а также размер, который он занимает на диске, включая любой «пробел», то есть неиспользуемые «концы кластера». Обычно это не так много на файл, а размер на диске обычно почти равен фактическому размеру, но если сложить неиспользуемое пространство из всех тысяч файлы на диске, они могут складываться. Таким образом, при просмотре размера большой папки, особенно с большим количеством крошечных файлов, которые меньше кластера, размер на диске (т. е. объем дискового пространства, отмеченный как используемый) может оказаться значительно больше, чем фактический. размер (т. е. объем пространства, который фактически требуется файлам).

В случае, описанном выше, вы можете попробовать уменьшить размер кластера, чтобы каждый файл занимал меньше места. Как правило, диск с большей частью потерянных небольших файлов должен использовать наименьший возможный размер кластера (чтобы уменьшить потери), а диск с в основном большими файлами должен использовать максимально возможный размер кластера (таким образом структуры бухгалтерского учета в конечном итоге становятся меньше).

Даже на более низком уровне, если каждый кластер представляет собой только один сектор, за исключением случаев, когда размер файла в точности кратен размеру секторов на диске (обычно 512 байт традиционно, теперь часто 4096 байт с дисками расширенного формата), тогда между концом файла и концом сектора останется неиспользуемое пространство.

Еще один сценарий, в котором вы можете увидеть разницу между фактическим размером файла и размером на диске, связан со сжатием. Когда диск сжат (например, с использованием DriveSpace, сжатия NTFS и т. д.), тогда будет разница между фактическим размером файла (который необходимо знать) и фактическим размером, который занимает файл (т. е. использует или «занимает») на диске.

Еще один сценарий, который может привести к различиям, связан с жесткими ссылками. В файловых системах, поддерживающих жесткие ссылки, когда создается дубликат файла, вместо создания совершенно нового файла, который занимает место для себя, файловая система создает ярлык для файла, чтобы оба (или все три и т. копии указывают на один и тот же физический файл на диске. Поэтому, когда есть два файла, указывающих на одни и те же данные, каждый из них имеет одинаковый размер, но занимает лишь немного больше места, чем место для хранения одной копии.

Читайте также: