Raid 5 streift die Daten über die Festplatten, aber die für das Striping verwendeten Blöcke sind normalerweise ziemlich groß. Zumindest werden sie ganze Sektoren umfassen, aber normalerweise werden sie viel größer sein. Zum Beispiel verwendet madm standardmäßig Halb-Megabyte-Blöcke. Sogar ein Sektor ist groß genug, dass Sie wahrscheinlich erkennbare Textblöcke finden werden, und bei typischen Blockgrößen ist es sehr wahrscheinlich, dass ganze erkennbare Dateien auf den einzelnen Laufwerken des Arrays vorhanden sind.
Um dies tatsächlich zu testen, habe ich eine Kopie von Foremost auf eine Festplatte gerichtet, die früher Teil eines RAID-6-Arrays war (verfügbar dank Seagate). Das Array hatte eine Blockgröße von 512 KB, sodass jede Datei mit 512 KB oder weniger theoretisch intakt vorhanden ist. Die Daten auf dem Array stammen aus fast 25 Jahren Computernutzung, einschließlich Disk-Images von jedem Computer, den ich besessen habe.
Die Menge an Daten, die ich wiederhergestellt habe, war, ehrlich gesagt, beängstigend. Word-Dokumente mit High-School-Hausaufgaben. Datendateien von Spielen, die ich vor Jahrzehnten deinstalliert hatte. DLL-Dateien aus hundert verschiedenen Versionen von WINE. An ungelesene Usenet-Posts angehängte Bilder. Zehntausend gecachte Webseiten. Beim Hinzufügen einer benutzerdefinierten Extraktionsregel wurden drei private SSL-Schlüssel und ein SSH-Schlüssel gefunden.
Beachten Sie auch, dass Sie nicht immer die gesamte Datei extrahieren müssen, um kompromittierende Informationen zu erhalten. Zum Beispiel können die ersten 512 KB einer PDF-Datei das Inhaltsverzeichnis liefern, die ersten 512 KB einer BMP-Datei können Ihnen eine Bildunterschrift liefern (BMP speichert seine Bilddaten auf dem Kopf stehend) und die ersten 512 KB einer JPEG-Datei können Ihnen eine Miniaturansicht. MPEG- und MP3-Dateien sind so konzipiert, dass sie gestreamt werden können, sodass selbst ein Stück aus der Mitte jemandem nützliche Daten liefern kann.
Wie verschlüsselt sind Daten auf einer RAID 5-Festplatte? Nicht verschlüsselt genug.
Klingt so, als ob die Leute die Laufwerkssektorgröße (normalerweise 512 B bis 4 KB) mit der RAID 5-Stripe-Größe (normalerweise 16 KB bis 128 KB, manchmal größer) verwechseln. Die RAID-Stripe-Größe ist die logische beschreibbare Größe für das Array, sodass jeder Teil des Stripes auf jedem Laufwerk so viele Daten enthalten wird. Wenn eine ganze Datei in die Stripe-Größe passt, wird sie wahrscheinlich als zusammenhängender Block auf dem Entfernungslaufwerk sichtbar sein.