Recuperare dati da partizioni NTFS danneggiate

10,440 views

Published on

NTFS è uno dei file system più diffusi, essendo quello usato di default dai sistemi Windows e anche negli hard disk esterni ad alta capacità. Quando accade un danno hardware o software, può verificarsi la corruzione di una o più partizioni, che diventano illeggibili.

In questo talk viene presentato l'uso di RecuperaBit, software sviluppato dal relatore per la ricostruzione forense di NTFS e il recupero dei dati, anche con metadati parzialmente danneggiati.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
10,440
On SlideShare
0
From Embeds
0
Number of Embeds
10,002
Actions
Shares
0
Downloads
3
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Recuperare dati da partizioni NTFS danneggiate

  1. 1. Recuperare dati da partizioni NTFS danneggiate Andrea Lazzarotto — andrealazzarotto.com
  2. 2. Mi presento Sviluppatore software e consulente informatico Autore di script per il download da Rai, Mediaset, La7, RSI, BBC Creatore di RecuperaBit
  3. 3. Percorso Descrizione del problema Ricostruire NTFS Il software
  4. 4. Descrizione del problema
  5. 5. Backup
  6. 6. Recupero dati «Sono scioccato che un utente prenda le proprie cose più importanti (foto dei bambini, dati aziendali, ecc) e non le tenga al sicuro (backup). Ho un'azienda che fa soldi in un settore che non dovrebbe nemmeno esistere, francamente.» — Kevin Ripa in Let’s Talk About Data Recovery
  7. 7. Motivazioni Danni o erroriIndagini
  8. 8. Carving Significa “scavare” Nessuna struttura delle directory L’esatto contrario di ciò che vogliamo
  9. 9. Problemi comuni Partizione non trovataFile cancellati
  10. 10. Ricostruzione
  11. 11. Risultato File System Structure 5 Root 0 $MFT 1 $MFTMirr 2 $LogFile 3 $Volume 4 $AttrDef 6 $Bitmap 7 $Boot 8 $BadClus 8:$Bad $BadClus:$Bad 9:$SDS $Secure:$SDS 9 $Secure 10 $UpCase 11 $Extend 25 $ObjId 24 $Quota 26 $Reparse 66 bbb.txt 64 interesting 65 aaa.txt −1 LostFiles 67 Dir_67 68 another
  12. 12. Ricostruire NTFS
  13. 13. NTFS Struttura variabileMolto diffuso
  14. 14. Cluster Gruppi da 1, 2, 4, 8, 16… settori
  15. 15. Elementi principali […] 0x55 0xAA (512 byte) FILE […] (1024 byte) INDX […] (4096 byte) Index recordFile recordBoot sector
  16. 16. Le date in NTFS «[…] valori a 64-bit che rappresentano il numero di centinaia di nanosecondi dal 1° Gennaio 1601 UTC, che è utile se dovete analizzare un computer che è stato usato nel diciottesimo secolo.» — Brian Carrier in File System Forensic Analysis
  17. 17. Algoritmo Il disco viene scansionato (carving dei metadati) I file vengono partizionati (clustering) La struttura ad albero viene ricostruita
  18. 18. Clustering Posizione del file numero 0:  p = y – 2 ‧ x
  19. 19. Albero delle directory Ogni nodo è collegato a quello superiore Se non esiste, viene messo sotto a Lost Files
  20. 20. Geometria SPC (sectors per cluster) CB (cluster base) File system (in cluster) Disco (in settori)
  21. 21. Matching CB e SPC ‣ Necessari per recuperare i file Usiamo i riferimenti agli indici delle directory Riferimenti relativi a index record Index record presenti nel disco
  22. 22. Il software
  23. 23. Copia bitstream
  24. 24. Non tutti i restauri riescono subito Motivo
  25. 25. Acquisizione ddrescue /dev/sdb copia.img status.log File di logDestinazioneDispositivo
  26. 26. RecuperaBit Scritto in Python Modulare e estendibile Pieno supporto a NTFS
  27. 27. Riconoscimento file system Software #1 #2 #3 #4 Gpart OK OK Niente Parziale TestDisk OK OK Niente OK Autopsy OK Parziale Niente OK Scrounge-NTFS OK OK Niente OK Restorer Ultimate OK OK OK OK DMDE OK OK OK OK Recover It All Now OK Niente Niente OK GetDataBack OK OK Niente OK SalvageRecovery OK OK Niente OK RecuperaBit OK OK OK OK
  28. 28. Accuratezza della ricostruzione Software #1 #2 #3 #4 TestDisk Perfetta Errore — Errore Autopsy Perfetta Nessun file — Buona Scrounge-NTFS Parziale Terribile Terribile Terribile Restorer Ultimate Perfetta Parziale Perfetta Buona DMDE Perfetta Errore Perfetta Buona Recover It All Now Terribile — — Nessun file GetDataBack Perfetta Buona — Buona SalvageRecovery Perfetta Terribile — Perfetta RecuperaBit Perfetta Perfetta Perfetta Perfetta
  29. 29. Contenuto dei file Software Sparsi Compressi Criptati TestDisk OK OK Vuoto Autopsy Vuoto OK OK Scrounge-NTFS OK Non implementato OK Restorer Ultimate OK OK OK DMDE OK OK Non implementato Recover It All Now OK Errato OK GetDataBack Vuoto OK OK SalvageRecovery Vuoto Errato OK RecuperaBit OK Non implementato OK
  30. 30. Danni vs file rilevati 0% 20% 40% 60% 80% 100% Settori danneggiati 0 5000 10000 15000 19399 Numerodifile Tutti i file rilevati Irraggiungibili dalla radice
  31. 31. In futuro... FAT, EXT, HFS+, ... CAINEAltri moduliGUI
  32. 32. ?Domande

×