Versions Compared

Old Version 1

changes.mady.by.user Sami Purho

Saved on

compared with

New Version 2

changes.mady.by.user Simon Pfendt

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

In some occasions, a verification of a drive using a hex/disk editor (for example the einigen Fällen zeigt eine Überprüfung eines Laufwerks mit einem Hex / Disk-Editor (z. B. Blancco Drive Eraser / Blancco 5 Hex Viewer) , after a successful erasure, shows that there are unexpected patterns on the drive. For example a non-zero pattern or random data. There can be several reasons for that:

  1. Some erasure standards include aperiodic random or periodic/pseudo-random overwriting steps that write random data throughout the whole drive. Some standards include firmware based erasure steps and the execution and result of those steps depend purely on drive firmware. Some drives write a non-zero pattern or non-periodic (random) data during firmware-based erasure.
    • Check the used erasure standard from the erasure report.
    • See the list of erasure standards and the execution steps from the Drive Eraser user manual.
    • For example, Seagate ST1000LM035-1RK172 1TB SATA HDD is known to write a repeating '33 CC 55 AA' pattern with NIST 800-88 Purge standard. The erasure method calls a NIST specified firmware erasure command which triggers the special pattern. The execution of the firmware based erasure command is out of software's control and it depends on how the drive firmware works.
  2. Check if the erasure process has written a Fingerprint onto the drive. The Fingerprint is a summary of the erasure report that is written in one of the sectors (sector 200 by default) of the drive.
    • To check if you had this feature on, you can load the image (used for the erasure) in Blancco Drive Eraser / Blancco 5 Configuration Tool and check if the setting in question is enabled or not.
    • By default, the Fingerprint is written on sector 200, and it contains following data separated by spaces and semicolons:
      • Blancco software license owner / customer name
      • Date & time of wipe finish (yyyy-mm-dd hh:mm)
      • Blancco software version
      • Hard drive serial number
      • Erasure status (Erased, Erased with exceptions or Not Erased)
      • Unique report ID
      • Digital signature
    • For more information about the Fingerprint*, see the Drive Eraser user manual.
  3. Check if the erasure process has written a Bootable Asset Report onto the drive. The Bootable Asset Report is a short asset report visible as a splash screen when the machine is rebooted.
    • The Bootable Asset Report information is typically written on sectors 0 and 2-53 or 2-130 of the drive, depending on the size of the report information.
      • Sector 0 (MBR) contains the partition table information and Blancco's "tool" to read the Asset Report image file when the computer starts.
      • Sectors 2-130 contain the image file for the Bootable Asset Report. This image file data typically looks "random".
    • To check if you had this feature on, you can either boot the machine/drive without any CD/USB/PXE (the Bootable Asset Report should be displayed) or load the image (used for the erasure) in Blancco Drive Eraser / Blancco 5 Configuration Tool and check if the setting in question is enabled or not
    • For more information about the Bootable Asset Report*, see the Drive Eraser user manual.
  4. In server environments, some RAID controllers write metadata onto the drive after the erasure has complete. This can also cause verification failures (more information in this article).
  5. Check if the erasure has (or has not) erased the remapped sectors and/or the hidden areas of the drive. If these sectors have not been erased, some tools may find some data there.
    • Check the erasure report for more information.
  6. Check if the erasure has been a full erasure or a partial one. Partial erasures are possible in case the software is configured to automatically preserve Windows recovery partitions or in case the user has erased individual drive partitions only. Check the erasure report for more information, a partial erasure is accompanied with a disclaimer.
  7. Some 3rd party software used to audit erased drives (or attempt to recover data from them) can write data in it during its validation process, especially if such tools restore the file system (e.g. NTFS) of the drive (via formatting).  If such tools are used for erasure validation or recovery, please be aware of the data that can be left.

If you are still unsure about the erasure result, please contact the Technical Support team. Make sure that you include, at least, the erasure report in XML format and detailed information description of the case (issue report is also helpful/necessary in many cases).

nach einer erfolgreichen Löschung, dass sich unerwartete Muster auf dem Laufwerk befinden. Zum Beispiel ein Muster ungleich Null oder Zufallsdaten. Dafür gibt es verschiedene Gründe:

1. Einige Löschstandards umfassen aperiodische, zufällige oder periodische / pseudozufällige Überschreibschritte, die zufällige Daten über das gesamte Laufwerk schreiben. Andere Löschstandards enthalten Firmware-basierte Löschschritte und die Ausführung und das Ergebnis dieser Schritte hängen ausschließlich von der Beschaffenheit der Firmware des Laufwerks ab. Einige Laufwerke schreiben beim Firmware-basierten Löschen ein Muster ungleich Null oder nichtperiodische (zufällige) Daten.

  • Überprüfen Sie den verwendeten Löschstandard aus dem Löschbericht.
  • Weitere Informationen finden Sie in der Liste der Löschstandards und der Ausführungsschritte im Benutzerhandbuch zum Drive Eraser Kapitel 13 / Seite 89.
  • Zum Beispiel ist bekannt, dass Seagate ST1000LM035-1RK172 1TB SATA HDDs ein sich wiederholendes "33 CC 55 AA" -Muster mit dem NIST 800-88 Purge Standard schreibt. Die Löschmethode ruft einen NIST-spezifizierten Firmware-Löschbefehl auf, der das spezielle Muster auslöst. Die Ausführung des Firmware-basierten Löschbefehls liegt außerhalb der Kontrolle der Software und hängt davon ab, wie die Firmware des Laufwerks funktioniert.

2. Überprüfen Sie, ob der Löschvorgang einen Fingerprint auf das Laufwerk geschrieben hat. Der Fingerprint ist eine kurze Zusammenfassung des Löschberichts, der in einen der Sektoren (standardmäßig Sektor 200) des Laufwerks geschrieben wird.
Um zu überprüfen, ob Sie diese Funktion aktiviert haben, können Sie das Löschimage (iso) (das zum Löschen verwendet wird) in das Blancco Drive Eraser / Blancco 5 Konfigurationstool laden und prüfen, ob die betreffende Einstellung aktiviert ist oder nicht.
Standardmäßig wird der Fingerprint in den Sektor 200 geschrieben und enthält folgende Daten, die durch Leerzeichen und Semikolons getrennt sind:

  • Blancco Softwarelizenzinhaber / Kundenname
  • Datum und Uhrzeit der Löschendzeit (JJJJ-MM-TT hh: mm)
  • Blancco Softwareversion
  • Seriennummer der Festplatte
  • Löschstatus (Gelöscht, Gelöscht mit Ausnahmen oder Nicht gelöscht)
  • Eindeutige Berichts-ID
  • Digitale Signatur
  • Weitere Informationen zum Fingerprint finden Sie im Benutzerhandbuch zum Drive Eraser auf Seite 65.

3. Überprüfen Sie, ob der Löschvorgang einen Bootable Asset Bericht auf das Laufwerk geschrieben hat. Der Bootable Asset Bericht ist ein kurzer Hardware-Bericht, der beim Start des Computers als Startbildschirm angezeigt wird.

  • Die Informationen des bootfähigen Asset-Berichts werden normalerweise in die Sektoren 0 und 2-53 oder 2-130 des Laufwerks geschrieben, abhängig von der Größe der Berichtsinformationen.
  • Sektor 0 (MBR) enthält die Information der Partitionstabelle und das Blancco "Tool", um die Asset Bericht-Bilddatei zu lesen, wenn der Computer startet.
  • Die Sektoren 2-130 enthalten die Image-Datei für den Bootable Asset Bericht. Diese Bilddateidaten sehen typischerweise "zufällig" aus.
  • Um zu überprüfen, ob Sie diese Funktion aktiviert haben, können Sie den Computer / das Laufwerk ohne CD / USB / PXE starten (der Bootable Asset Bericht sollte dann angezeigt werden) oder laden Sie das Löschimage (iso) (zum Löschen) in das Blancco Drive Eraser / Blancco 5 Configuration Tool und prüfen Sie, ob die betreffende Einstellung aktiviert ist oder nicht
  • Weitere Informationen zum bootfähigen Asset-Bericht finden Sie im Benutzerhandbuch zum Drive Eraser auf Seite 65.


4. In Serverumgebungen schreiben einige RAID-Controller nach Abschluss des Löschvorgangs Metadaten auf das Laufwerk. Dies kann auch zu Verifikationsfehlern führen (weitere Informationen in diesem Artikel).


5. Überprüfen Sie, ob das Löschen die neu zugeordneten Sektoren und / oder die versteckten Bereiche des Laufwerks gelöscht hat (oder nicht gelöscht hat). Wenn diese Sektoren nicht gelöscht wurden, können einige Tools dort Daten finden.

  • Überprüfen Sie den Löschbericht für weitere Informationen.

6. Überprüfen Sie, ob das Löschen vollständig oder teilweise durchgeführt wurde. Partielle Löschungen sind möglich, wenn die Software so konfiguriert ist, dass Windows-Wiederherstellungspartitionen automatisch beibehalten werden oder wenn der Benutzer nur einzelne Laufwerkpartitionen ausgewählt hat. Überprüfen Sie den Löschbericht für weitere Informationen, eine teilweise Löschung ist mit einem Haftungsausschluss versehen.


7. Software von Drittanbietern, die zum Prüfen gelöschter Laufwerke verwendet wird (oder versuchen, Daten von ihnen wiederherzustellen), können während des Validierungsprozesses, Daten schreiben, insbesondere wenn solche Tools das Dateisystem (z. B. NTFS) des Laufwerks wiederherstellen (über Formatierung). Wenn solche Tools zur Löschvalidierung oder Wiederherstellung verwendet werden, beachten Sie bitte, dass Daten auf dem Laufwerk verbleibenden können.

Wenn Sie sich bezüglich des Löschungsergebnisses immer noch nicht sicher sind, wenden Sie sich an das technische Supportteam. Stellen Sie sicher, dass Sie mindestens den Löschbericht im XML-Format und eine detaillierte Informationsbeschreibung des Falls enthalten (der Fehlerbericht ist in vielen Fällen ebenfalls hilfreich / notwendig)* Note: Whenever Blancco Drive Eraser / Blancco 5 writes this information, it does it on a drive that has been erased and that does not contain any data anymore. When data is written in a drive, it cannot be written in small amounts: the minimum amount that is written is a sector of the drive (usually 512 or 4096 bytes). Then, the drive (especially SSDs) can put this information within a page (usually 16KB or 64KB in size i.e. several sectors) which is the one written in the end. So, when Blancco Drive Eraser writes a Bootable Asset Report or a Fingerprint in a drive, many adjacent sectors can also be written during the operation: internally, the drive has to fill those sectors with something (e.g. the pattern 0xB5). Therefore it should not be a surprise if some sectors contiguous to the Bootable Asset Report or a Fingerprint sector(s) contain some unexpected patterns (patterns that depend entirely on the drive controller). In order to check how the drive behaves, run a Blancco Drive Eraser erasure with the Bootable Asset Report or the Fingerprint enabled and check the patterns of the adjacent sectors. Then, run a new erasure with the Bootable Asset Report and the Fingerprint disabled: those adjacent sectors should contain this time the patterns corresponding to your chosen erasure standard.