网络安全之数据安全-windows

0x01 数据安全

在这里我们主要讲如何保证计算机上的数据安全。

面对大多数的数据安全威胁，有两种途径可以应对挑战

1. 加密文件，使其他任何人无法读取
2. 将重要文件隐藏，使攻击者无法找到资料。

实现上述两种方法均有对应软件可以使用。
比如VeraCrypt，它既能加密也能隐藏文件。

0x02 数据加密

加密数据好比将重要物品锁在保险箱里。只有持有钥匙才能访问这些数据。VeraCrypt能创建名为“加密卷”的安全容器，可以把很多文件同时放进加密卷里，但这些工具不能保护储存在计算机或U盘以外其他地方的文件。

0x03 使用注意

加密能降低风险，但不能彻底消除风险。保护数据的第一步就是要减少所保存的数量。除非您有充分的理由去保存某个文件，或一个文件里的某类信息，否则您就应该删除它

当VeraCrypt卷完成加载，数据就很容易受到损害，所以除非真的需要阅读或修改里面的文件，否则应该关闭软件。

0x04 软件介绍

https://blog.csdn.net/qq_35893120/article/details/88420599
https://blog.csdn.net/qq_44335445/article/details/114888074

0x04a R-Crypto

Windows 数据安全

R-Crypto 是一款易用型磁盘加密软件，可以保护您在台式机、笔记本或可移动数据存储设备上的机密信息和个人数据免遭未授权访问。

为保护数据，R-Crypto 会创建加密虚拟磁盘（虚拟数据存储设备）。 这些磁盘提供全透明实时数据加密和解密，这意味着数据不需用户干预，即可在被写入磁盘前被加密，在从磁盘读取时被解密。 这些磁盘上保存的所有数据（比如文件和文件夹名称及所有文件内容）都会持久加密。 除非用户提供正确的密码，则您不可能访问虚拟加密磁盘上的数据。 同时，已连接虚拟加密磁盘上的所有文件和磁盘操作都采用与标准磁盘一样的方式进行。

0x05 数据防泄漏策略

定义允许运行的软件列表，只有列表中列出的软件才能在安全桌面中运行。

在操作系统核心层作严格隔离，阻断了安全工作环境与普通环境间的交互操作（比如剪贴板共享数据等。

对运行程序的网络访问行为进行控制，限制访问网络的IP地址、端口等。

传输均经过加密，防止通过网络嗅探对传输信息的截取。

显示屏水印审计，水印包含机器指纹及用户身份信息，不影响正常使用，但能追查拍照导致信息泄漏行为

0x06 防勒索病毒

创建备份，使用S3 对象锁和不可变备份特性阻止勒索软件

s3对象锁
https://blog.csdn.net/QTM_Gitee/article/details/113099453

0x07 windows 数据恢复技巧

http://www.360doc.com/content/09/0115/04/83855_2336499.shtml

0x08 为什么删除的数据可以恢复

探索这个之前，我们需要先来探索windows是如何删除文件

0x08a windows 如何删除文件

扇区是磁盘上可访问的最小单元。您的文件以数据块的形式存储在这些扇区中，可以通过以下两种方式之一放置：随机分散在硬盘表面，或者按顺序组织和放置。

扇区的放置取决于文件在磁盘上保存时空闲块的排列方式。您的系统可能无法识别足够大的连续扇区块，无法通过连续过程将文件保存在它们之间。如果发生这种情况，那么您的系统将分解文件，并将每个部分写入空闲块中。

Windows操作系统将文件保存在驱动器上，并在文件系统中对它们进行分类，而文件系统又将驱动器上数据的属性，名称和大小的记录保留下来。它还将数据精确地保留在驱动器上，这也许是所有数据中最重要的。

也就是说:

每当您删除文件时，Windows都不会真正删除该文件；它甚至根本不会改变原始数据。

我们的Windows只会更改文件系统中的相应记录，以将文件标记为“已删除”。

文件系统和数据都不会被删除，已删除的文件仍在您的系统上。

因此，无论何时删除文件，Windows都只会更改文件在文件系统中的记录，然后“空出”文件所占用的空间并将其标记为可用。 即使实际数据仍在上述空间中，您的操作系统也会将其指定为可供使用。但这只是暂时的，因为只要您的系统需要空间来写入另一个文件，它就会利用可用空间并在其中保存另一个文件。 到那时，实际数据才真正消失了。

但是在此之前，删除的文件数据仍保留在系统中，完全可以恢复。 这样一来，数据恢复软件便可以取回所有已删除的文件。

删除的文件可能会给人一种“偷偷摸摸”的感觉——即使您从硬盘驱动器中删除它们，它们仍然在那里，在驱动器中的某个位置。即使清空回收站，文件也不会移到任何地方，因为它们仍未从硬盘上物理删除。

您可以看看自己的电脑，您看到这些文件了吗？它们都是由无限的微小信息组成的。当您删除其中任何一个时，这些位不会与文件一起删除；他们仍然“徘徊”在那里，组成文件的信息仍然完好无损。

为了确定文件在硬盘驱动器中的位置，Windows，macOS，Ubuntu或任何其他操作系统都为它们提供了指针。每次删除文件时，操作系统都会删除其指针并将其标记为可用空间，但保持文件内容不变。

这意味着，无论何时创建新文件或操作系统创建新文件，该文件都会保存在驱动器的可用空间中。发生这种情况是因为您的操作系统将删除的文件曾经占用的存储空间识别为用于存储新数据的可用空间。但是，如果这个空闲空间被新数据所篡改；如果操作系统在其上存储新数据，则原始文件及其内容也会被覆盖。所有这些操作的结束是恢复已删除文件的非常有限的可能性。

0x08b 那么数据的丢失损坏是如何产生的？

新磁盘就像是一个新购买的本子，里面没有任何内容。 当我们尝试记录某些东西时，我们只选择一个空白页并写下内容即可，这个过程很简单明了。

但是，如果一段时间后里面写满了记录，当我们尝试查找某些内容时，将会非常困难。 接下来，我们将引入一个目录来管理这些内容。

目录与文件系统非常相似，它可以帮助我们在磁盘中找到某些数据。
现在我们可以了解访问数据的过程了：

步骤1：获取相应的文件目录。
步骤2：根据目录找到存储空间。
缺少任何步骤将导致数据丢失或损坏

我们可以通过两种情况来了解这两种数据丢失的场景。

0x08ba 情况1：文件删除

如果文件目录丢失，则文件将是不可见的，这是文件删除的过程。在大多数情况下，系统只是删除文件的位置信息或将文件标记为已删除。让我们以笔记本为例，将第35页修改为* 5页时，必须检查所有5结尾的页面才能再次找到第35页。有了专业的工具和足够的时间，我们肯定可以找到正确的页面并检索已删除的数据。这是数据恢复技术的技术核心。

0x08bb 情况2：硬件故障

如果由于硬件故障导致数据丢失，原因非常复杂。例如，存储设备本身已损坏，硬盘磁盘坏扇区，芯片烧坏等。在第二种情况下，恢复数据将更加困难，您可能需要一些必要的硬件设备。

如果存储介质本身（如硬盘和闪存）完好无损，则您仍然很有可能恢复丢失的数据。通常，我们将存储设备的损坏视为物理损坏，而与存储设备无关的问题则视为逻辑故障。

举个例子。当你拿起一本书，突然下了场暴雨使你的书严重浸透。此时，可以理解为它已物理损坏，无法再打开；另一种情况是，您认为某个页面中的内容不再重要，或者在系统中被标记为“已删除”，您想在页面中写其他东西，但没有多余的可用空间。因此，您可以使用橡皮擦擦除页面中的所有内容并写下新内容。该操作就是所谓的数据覆盖。在这种情况下，即使存在相同的文件目录，文件也不是原始文件，它们位于相同的位置。我们的硬盘确实如此。当该区域被计算机视为已删除区域时，每个人都可以将新数据写入该位置。

因此，当您丢失重要数据时，请小心使用设备！请勿在发生数据丢失的设备中写入任何新数据。覆盖会在很大程度上导致数据恢复失败。例如缺少文件名或文件夹结构或者仅文件内容的一部分是可见的，或者根本无法打开。基于上述情况，一旦原始数据被覆盖且内容被破坏，恢复的机会就很小。

0x09 尝试恢复文件时应当注意的事项

尝试恢复已删除的文件时，牢记两点：

1. 不要使用硬盘驱动器或找到已删除文件的分区。
2. 尽快进行操作并恢复文件。

删除文件并继续使用曾经存储在其中的硬盘驱动器后，文件很可能会被新数据或新信息覆盖，这将使恢复已删除文件成为不可能。

实际上，您甚至不必将任何内容复制到驱动器，因为操作系统将为您完成此操作。它可以自行创建临时文件；它还可以利用已删除文件留下的可用空间。

等待时间越长，成功恢复的机会就越少，所以要尽快！

请注意，不建议您在要扫描已删除文件的驱动器上安装文件恢复软件。

原因很简单，即使是安装这个动作也可能覆盖部分或甚至全部已删除的文件，使它们无法恢复。解决方案？将文件恢复软件安装在其他驱动器或分区上；更好的是，如果该软件具有可通过USB使用的便携式版本，请改用它们。

0x10 数据恢复失败的原因

为了使任何硬盘驱动器都能够存储文件，必须首先进行双重格式化。有低级格式化也有Windows格式化。

低级格式化是在硬盘上创建扇区和磁道的基本格式。硬盘驱动器由几个机械组件组成，磁道和扇区都位于驱动器上。磁道只是磁盘上写入或可以写入数据的环。

另一方面，扇区是可以在磁盘上访问的最小单元。
低级格式的作用是将上述磁盘分成许多磁道，然后在每个磁道上创建几个扇区，以保存数据。

如果没有“目录信息”，则意味着无法确定如何以及在何处存储写入的数据。 这就是Windows格式发挥作用的地方。

Windows格式将占用未分配的空间并在其中创建分区，同时创建“目录信息”。 设置目录信息后，将使用分区中的特定规则来组织写入的任何新数据。文件属性（如时间标识，大小信息和名称）都保存在文件表或驱动器的目录部分； 唯一的例外是文件内容，它写在硬盘驱动器的数据存储部分。

0x10a 恢复了文件但是无法打开？

0x10aa 损坏的文件

删除文件后，选定文件很有可能被另一个文件损坏。 但是更有可能的是，损坏可能是由于该文件被另一个文件覆盖而造成的。删除的文件还会因磁盘碎片整理，病毒或恶意软件之类的恶意软件的攻击甚至黑客的不良活动而受到损坏（尤其是Microsoft Office文件在这里非常容易受到攻击）。

0x10ab 碎片化的文件

有大文件通常保存在驱动器上的不同位置，因为它们无法彼此共享相同的即时硬盘空间。 恢复这些文件几乎是不可能的，甚至是困难的，因为即使可以精确地确定文件的初始位置，也常常会永久删除有关其他片段位置的信息。

0x08 参考文章

https://zhuanlan.zhihu.com/p/136748055
https://www.zhihu.com/question/20702212
https://blog.csdn.net/Co_zy/article/details/80321218
https://wiki.mbalib.com/wiki/%E6%95%B0%E6%8D%AE%E6%81%A2%E5%A4%8D