Дивовижне пристрій USB-флешки Kingston DataTraveler DT6000 і відновлення інформації, втраченої в результаті збою

Вітаю шановних Хабровчан. Я Артем Макаров aka Robin, провідний інженер компанії Хардмастер, вже багато років спеціалізуюся на відновленні даних з різноманітних носіїв, і сьогодні я хотів би поділитися з вами історією відновлення файлів з однією вельми цікавою флешки. Сподіваюся отримати відгуки на свій хабродебют в коментарях.

Незважаючи на те, що перевідать всіляких девайсів довелося величезну купу, з завданням, подібно до описуваної далі, раніше мені стикатися не доводилося.

Преамбула
Отже, USB Flash диск Кінгстон DT6000, заявлений виробником, як надійне сховище файлів з використанням криптостойкого алгоритму AES256 FIPS140-2 Level 3.

Логічно флеха влаштована таким чином: розділ 68 мегабайт відформатований в FAT16, є свого роду завантажувальним. Коли девайс підключають до ПК, спрацьовує автозапуск (або користувачу пропонується запустити экзешник):



Після чого на перший план виходить ось таке віконце:



Вводимо пароль, вуаля — монтується прихований розділ з дбайливо попрятанными фото і відео відомого змісту.

Але в один не дуже прекрасний день трапилася неприємність, флешку вставили, а «завантажувач» виявився порожнім. При наявності пароля, виявилося, що тупо немає можливості пароль куди-небудь ввести. Принесли диск на діагностику до нас.

Першим ділом, підключивши диск до тестового ПК і відкривши улюблений шістнадцятковий редактор WinHEX я поліз в список фізичних дисків. Так і є, два томи. Перший порожній, і що найголовніше — в режимі «тільки для читання»! Другий недоступний. Зняв образ з першого розділу, проаналізував. Обидві копії таблиць FAT в нормальному вигляді відсутні.



Тобто з можливістю дістати з «завантажувального розділу» файли з іменами і структурою можна попрощатися. «Чорновим відновленням або відновленням за відомим заголовків файлів (воно ж raw recovery) вдалося висмикнути якийсь zip архів і pdf-ку. За вмістом останньої стало ясно, як все було влаштовано, і чого на завантажувальному розділі не вистачає.

Враховуючи, що розділ залочений виробником на запис, було ясно, що ні про яке випадковому форматування з боку користувача мови, в даному випадку бути не може, і найбільш ймовірна причина „обнулення“ розділу — збій в області таблиць трансляції обробки NAND, в результаті чого частина коректних блоків була підмінена на „альтернативні“.

Цей ефект носить назву „псевдо-логічна проблема з флешкою“ і виглядає як глюк на рівні файлової системи, насправді будучи збоєм, по суті, апаратним. А значить, швидше за все, доведеться флешку перепровадити на патологоанатомічний стіл і піддати розтину, з метою отпаять мікросхему (и) пам'яті і спробувати зібрати з прочитаних образів щось осмислене.

Про шифрування і про те, як взагалі збирати дампи з шифрованим контентом, на той момент голову не став забивати.

Проблеми належить вирішувати по мірі їх появи, тому першим ділом треба було відшукати DT6000_Launcher з усім оточенням. На сайті виробника, відповідний продукту розділ завантажень був порожній. Воно й логічно — сенс завантажувати файли якщо передбачається що ти не зможеш їх записати (див. залоченная запис)? Кинув клич колегам по цеху. Потрібні файли прислали. Наступна проблема — вказати лаунчер де у нас шифрування.

Спроби разлочить розділ FAT16 на самій флешці засобами ОС і записати лаунчер на нього успіхом не увінчалися. Спроби запустити лаунчер з іншого носія і нацькувати на досліджувану флешку так само виявилися безуспішними. Подальше апаратне втручання у нутрощі Дата Травелера ставало неминучим.

»Ну, сьогодні нас чекає кілька сенсацій..." ©
Видаливши зовнішній пластиковий корпус допитливому погляду дослідника відкрилося ось таке:



За винятком USB роз'єму все залито пластиком. Прибрати його виходило з допомогою термовоздушной паяльної станції, нагріваючи область за областю до температури приблизно 150 С, після чого пластик починав потихеньку гнутися і невеликими шматочками відколюватися. Орудуючи стоматологічними гачками і скальпелем, відчуваючи себе археологом, очистив від пластику одну сторону. Побачив наступне:



АРМ-контролер LPC3131FET180, плиска 3s500e (вона ж ПЛИСС, PLD — програмована логічна інтегральна схема) від XILINX, криптомодуль ROSETTA від компанії Spyrus і Атмеловская ПЗУ-шка 25DF081A. Треба братися за другу половину, бо шуканої НАНД пам'яті поки не виявлено.

Починаю зчищати другу сторону. З'являється щось блискуче. Кварц? Не схоже. Ще пара розмашистих ударів кувалди і зубила, опаньки — картрідер!



Мабуть криза вдарила і по Кінгстона. Щоб не морочитися з апаратною реалізацією повноцінного флеш-накопичувача орли з корпорації Kingston закупили у дядечка Ляо партію MicroSD за подібною ціною і навісили зверху шифровалку, рясно залив все швидко застывающей пластмасою. Щоб ніхто не здогадався, стало бути. Враховуючи значний прайс, за який торгують цей DT6000 на тому ж ЯндексМаркете — профіт виробника очевидний.

Выколупываем мікро-сдшку, все залито пластиком і приклеєне з усіх боків. Дочищаємо те залишки, крім обв'язки дивитися більше не на що.



Фінішна пряма
Вставляю витягнуту з-під завалів пластику в MicroSD карт-рідер. Флешка визначається на всі свої 16 гигов. З нульового сектора характерний для шифрування «білий шум».



Приблизно з середини — нулі. Дивлюся під хвіст. Опа, — а ось і наш «завантажувальний» розділ! Визначив початок і кончало розділу, порівняв з раніше знятим чином, коли безродна MicroSD була ще породистим Kingston DataTraveler — відмінності не виявлені.



Зважаючи відкрилися додаткових обставин первісної гіпотези про підміну блоків в таблиці трансляції NAND присвоюється статус «неспроможна», і на місце робочої постає припущення про глюке шифрувальної навішування, вона ж будівельник подання логічної розмітки мікро-сд на УСБ інтерфейсі DT6000.

Беру живу 32-х гиговую USB флешку. Прописую, для чистоти експерименту, у тому ВинХексе її нулями зверху донизу. На початок пишу раніше похилений розділ. На нього записую з трудом здобутий лаунчер, dt6000.zip і manifest.xml. Запускаю, вводжу пароль, повідомлення про те, що зашифрований розділ не знайдений або пошкоджений.

В сектор, наступний за останнім сектором «завантажувального» розділу вписую образ усієї шифрованого MicroSD
Запускаю лаунчер, вводжу пароль. Бінго! Зашифрований розділ знайдений, підмонтований,



всі файли на місці — можна копіювати.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.