Дешифрування даних з WD

  • Дата 30/07/2020

До лабораторії надійшов жорсткий диск Western Digital (WD). Зі слів клієнта накопичувач використовувався для зберігання даних у корпусі настільного накопичувача WD elements сумісний з інтерфейсом USB.

Перед тим як диск потрапив до нас, клієнт звертався в інші сервіси. В одному із сервісів, які позиціонують себе як центр відновлення інформації, після діагностики клієнту було повідомлено про те, що диск “порожній” (будь-які дані відсутні). В наступному сервісі накопичувач, всупереч методикам, підключався до робочої станції. В результаті цього, за допомогою штатних програм накопичувач було підготовлено до роботи в операційній системі Windows (нижче буде описано детальніше.).  

Отож, після діагностики у нашій лабораторії було з'ясовано, що накопичувач перебуває у справному стані. У ході дослідження логічної структури диска спеціалістом було встановлено, що в нульовому секторі міститься непошкоджений MBR (головний завантажувальний запис), однак розміщення логічного розділу не відповідає записам інформації, яка міститься в нульовому секторі, а самі дані користувача, які містяться в розділі диску, не мають логічної структури. Залишається з'ясувати причину чому інформація зберігається саме в такому вигляді. Під час вивчення цього питання, нами було з'ясовано, що корпус WD Elements (Фото 1,2) насправді виконує функцію не просто корпусу, а має свій власний контроллер (Фото 3), який контролює збереження та надання доступу до інформації накопичувача. При цьому інформація на накопичувачі зберігається у зашифрованому вигляді. 

Фото 1,2. Вигляд WD Elements

   

 

Фото 3. Вигляд контроллера

 Після розуміння алгоритму шифрування, ми з'ясували, де зберігається службова інформація, яка дозволяє дешифрувати дані. Відшукавши серед службової інформації ключ, яким було проведено шифрування, ми приступили до перевірки логічної структури даних користувача. В процесі дешифрування даних ми зіштовхнулись з проблемою, яку створив попередній сервіс: при спробах дешифрувати нульовий сектор, він втрачав свою логічну структуру (Фото 4-зашифрований MBR, фото 5-дешифрований). Коли ми його повертали у звичний стан та переходили до даних користувача, то ця інформація не мала своєї структури. Однак, коли залишили поза увагою нульовий сектор, провели операцію дешифрування та перейшли до даних користувача, побачили притаманну для деяких файлів структуру даних (Фото 6-шифровані дані, фото 7-дешифровані дані). Саме на цьому етапі було з'ясовано, що диск підключався до робочої станції та користувачем було ініціалізовано його у системі. У результаті цього записи, які містили службову інформацію про зберігання даних користувача, були знищені, а взамін були записані нові, притаманні для будь-якого “порожнього” накопичувача, об'ємом 1 ТБ. 

Фото 4. Зашифрований MBR 

 

Фото 5. Дешифрований MBR

 

Фото 6. Приклад шифрованих даних

 

Фото 7. Приклад дешифрованих даних

 Дослідивши такі зміни нами було обрано правильну методику та відновлено структури файлової системи, яка використовувалася раніше користувачем та отримано доступ до інформації користувача.

Read 444 times Last modified on Понеділок, 03 серпня 2020 18:24

Підписка на новини

Підпишіться на наші новини, щоб завжди бути в курсі знижок та нових пропозицій!

Контакти

  • м. Луцьк, вул. Карбишева 2, оф. 238

  • Ця електронна адреса захищена від спам-ботів. вам потрібно увімкнути JavaScript, щоб побачити її.

  • 0733 406 100

Gross

logo Gross

Відновлення даних. Комп'ютерна криміналістика. e-Discovery

Top