USB-археология: что можно вытащить из старой флешки, которую «затёрли» 100 раз

Введение: иллюзия удаления

Ты нажал «Форматировать». Потом ещё раз. Потом скачал какой-то «eraser» с сомнительного сайта и прогнал флешку через него трижды. Поздравляю – ты только что создал работу для форензик-аналитика. Потому что флеш-память устроена не так, как ты думаешь, и «затереть» её так, чтобы не осталось вообще ничего, – это отдельное искусство, о котором большинство людей не имеет ни малейшего понятия.

Добро пожаловать в USB-археологию. Копаем.

Как устроена флеш-память: враг твоей конфиденциальности

Прежде чем говорить о восстановлении, надо понять, почему оно вообще возможно. NAND-флеш (а это основа любой USB-флешки) работает не как жёсткий диск. Здесь нет магнитных пластин, которые можно «перезаписать» поверх старых данных. Флеш-память имеет несколько неприятных для тебя особенностей:

• Wear Leveling (выравнивание износа) – контроллер флешки намеренно распределяет записи по всей поверхности памяти, чтобы ни одна ячейка не изнашивалась слишком быстро. Это значит, что когда ты «перезаписываешь» файл, контроллер может записать новые данные совершенно в другое место, оставив старые нетронутыми.
• Over-Provisioning – производитель резервирует часть памяти (от 7% до 28%), которая недоступна файловой системе, но контроллер использует её активно. Туда уходят данные, туда ты никогда не доберёшься стандартными средствами.
• Bad Block Management – ячейки, помеченные как «плохие», исключаются из работы, но физически остаются на чипе со всеми своими данными.
• Garbage Collection – процесс очистки блоков памяти, который происходит асинхронно и не всегда завершается до того, как ты вытащишь флешку.

Итог: даже если файловая система говорит «здесь пусто», физически чип может хранить призраки десятков гигабайт данных.

Что реально можно вытащить

Слой 1: Файловая система (для новичков)

Самый банальный уровень. Быстрое форматирование (Quick Format) вообще ничего не удаляет – оно просто обнуляет таблицу файловой системы (FAT/exFAT/NTFS), говоря «здесь ничего нет». Данные физически остаются нетронутыми до момента перезаписи.

Что достаётся элементарно:

• Удалённые файлы с сохранёнными именами и путями (из записей директорий)
• Метаданные файлов: дата создания, изменения, доступа
• Фрагменты файлов в slack space (остатки старых данных в конце кластера)
• Временны́е файлы, которые ОС создавала автоматически

Инструменты уровня «научился вчера»: Recuva, PhotoRec, TestDisk. Запустил – получил файлы. Никакой магии.

Слой 2: Метаданные и артефакты файловой системы

Это уже интереснее. Даже после полного форматирования структуры файловой системы оставляют следы:

• Journal (журнал файловой системы) в NTFS/ext4 хранит историю транзакций – что когда писалось и удалялось. Это настоящий дневник флешки.
• $MFT (Master File Table) в NTFS содержит записи обо всех файлах, которые когда-либо существовали, включая удалённые.
• Volume Shadow Copies – если флешка использовалась в Windows как системный диск или с включёнными теневыми копиями, там могут быть снапшоты состояний файловой системы.
• LNK-файлы и артефакты – Windows автоматически создаёт ярлыки и записи о недавно открытых файлах, которые могут оставаться на флешке.

Слой 3: Аппаратный уровень (для настоящих параноиков)

Вот здесь начинается настоящая форензика. Если стандартные методы не дали результата, приходит время паяльника и электронного микроскопа.

Chip-Off – это извлечение NAND-чипа прямо с платы флешки и его прямое считывание через специализированный программатор. Контроллер флешки со всей своей логикой wear leveling обходится полностью. Ты работаешь с сырыми данными чипа.

Что это даёт:

• Доступ к over-provisioned зонам
• Данные из bad blocks, которые контроллер скрывал
• Возможность восстановить данные с физически повреждённых флешек, где контроллер мёртв

Это требует: паяльной станции с горячим воздухом, программатора типа UP-828 или RT-809H, программного обеспечения для работы с сырыми NAND-дампами (PC-3000 Flash, NAND Flash Tools) и понимания структуры конкретного чипа.

JTAG/ISP – менее деструктивный метод: подключение к отладочным точкам на плате для прямого чтения памяти. Работает не на всех флешках, но когда работает – это изящно.

Слой 4: Разведка по косвенным признакам (OSINT-уровень)

Помимо самих данных, флешка может рассказать много интересного:

• Серийный номер контроллера – позволяет идентифицировать партию, место производства, иногда привязать к конкретной закупке
• Идентификаторы USB (VID/PID) – логируются операционной системой хоста; если ты занимаешься расследованием, журналы Windows (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR) расскажут, когда и к каким компьютерам подключалась флешка
• Временны́е метки контроллера – некоторые контроллеры хранят внутренние временны́е метки операций, независимо от файловой системы

Мифы о «безопасном удалении»

Разберём популярные заблуждения – и я не буду жалеть чувства тех, кто в них верит.

«Я перезаписал флешку нулями 7 раз по методу Гутмана» – поздравляю, ты потратил время впустую. Метод Гутмана разработан для магнитных HDD 1996 года. На флешке wear leveling просто разложит твои «нули» по разным блокам, оставив оригинальные данные в других местах. Один проход нулями для флешки – это максимум что имеет смысл делать на логическом уровне.

«Я сделал Secure Erase» – работает только если реализован честно на уровне прошивки контроллера. У 80% дешёвых флешек эта команда либо не поддерживается, либо реализована криво. Проверить это без специального оборудования нельзя.

«Флешка сломана, значит данные недоступны» – chip-off говорит «привет».

Как на самом деле уничтожить данные

Раз уж мы здесь, дам тебе честный ответ на вопрос «как сделать флешку безопасной для утилизации»:

1. ATA Secure Erase через утилиту производителя – если контроллер нормальный, это сотрёт всё включая over-provisioned зоны
2. Полное шифрование перед использованием (VeraCrypt, BitLocker To Go) – тогда даже если кто-то вытащит сырые данные chip-off методом, он получит зашифрованный мусор
3. Физическое уничтожение – дрель, молоток, кислота, печь. Да, это звучит параноидально. Но для по-настоящему чувствительных данных – это единственный стопроцентный способ

Кейс из практики

Классика жанра: флешка корпоративного сотрудника, который «случайно» унёс домой базу данных клиентов, а потом отформатировал флешку и вернул её в офис. Через три часа работы с Autopsy и Foremost – вся база была восстановлена, вместе с временны́ми метками, именем пользователя из метаданных документов и историей подключений из реестра Windows его рабочего компьютера. Человек думал, что он умный. Флешка думала иначе.

Инструментарий форензик-аналитика

Для тех, кто хочет копать сам (легально, на своём оборудовании):

• Autopsy / Sleuth Kit – открытый форензик-фреймворк, отраслевой стандарт
• FTK Imager – снятие образов дисков, быстрый просмотр
• PhotoRec / TestDisk – восстановление файлов по сигнатурам
• Bulk Extractor – извлечение структурированных данных (emails, URLs, номера карт) из сырых дампов
• Binwalk – анализ прошивок и бинарных данных
• PC-3000 Flash – профессиональный инструмент для chip-off, стоит как небольшой автомобиль, но работает

Флешка – это не просто кусок пластика с памятью. Это цифровой свидетель, который молчит до тех пор, пока не появится кто-то с правильными инструментами. И теперь ты знаешь, что «затёртая 100 раз» – это просто красивая история, которую люди рассказывают сами себе.

Не повторяйте chip-off дома без должной подготовки. Я серьёзно – NAND-чипы нежные, паяльник безжалостный, а данные можно уничтожить физически быстрее, чем прочитать. Что иногда и является целью.