recuperare dati da partizioni ntfs danneggiate
TRANSCRIPT
![Page 1: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/1.jpg)
![Page 2: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/2.jpg)
Recuperare datida partizioniNTFS danneggiate
Andrea Lazzarotto — andrealazzarotto.com
![Page 3: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/3.jpg)
Mi presento
Sviluppatore software e consulente informatico
Autore di script per il download da Rai, Mediaset, La7, RSI, BBC
Creatore di RecuperaBit
![Page 4: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/4.jpg)
Percorso
Descrizione del problema
Ricostruire NTFS
Il software
![Page 5: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/5.jpg)
Descrizionedel problema
![Page 6: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/6.jpg)
Backup
![Page 7: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/7.jpg)
Recupero dati
«Sono scioccato che un utente prenda le proprie cose più importanti (foto dei bambini, dati aziendali, ecc) e non le tenga al sicuro (backup).Ho un'azienda che fa soldi in un settore che non dovrebbe nemmeno esistere, francamente.»— Kevin Ripa in Let’s Talk About Data Recovery
![Page 8: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/8.jpg)
Motivazioni
Danni o erroriIndagini
![Page 9: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/9.jpg)
Carving
Significa “scavare”
Nessuna struttura delle directory
L’esatto contrario di ciò che vogliamo
![Page 10: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/10.jpg)
Problemi comuni
Partizione non trovataFile cancellati
![Page 11: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/11.jpg)
Ricostruzione
![Page 12: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/12.jpg)
Risultato
File System Structure
5 Root
0 $MFT
1 $MFTMirr
2 $LogFile
3 $Volume
4 $AttrDef
6 $Bitmap
7 $Boot
8 $BadClus
8:$Bad $BadClus:$Bad
9:$SDS $Secure:$SDS
9 $Secure
10 $UpCase
11 $Extend
25 $ObjId
24 $Quota
26 $Reparse
66 bbb.txt64 interesting
65 aaa.txt
−1 LostFiles
67 Dir_67
68 another
![Page 13: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/13.jpg)
Ricostruire NTFS
![Page 14: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/14.jpg)
NTFS
Struttura variabileMolto diffuso
![Page 15: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/15.jpg)
Cluster
Gruppi da 1, 2, 4, 8, 16… settori
![Page 16: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/16.jpg)
Elementi principali
[…]0x55 0xAA
(512 byte)
FILE[…]
(1024 byte)
INDX[…]
(4096 byte)
Index recordFile recordBoot sector
![Page 17: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/17.jpg)
Le date in NTFS
«[…] valori a 64-bit che rappresentano il numero di centinaia di nanosecondi dal 1° Gennaio 1601 UTC,che è utile se dovete analizzare un computer che è stato usato nel diciottesimo secolo.»— Brian Carrier in File System Forensic Analysis
![Page 18: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/18.jpg)
Algoritmo
Il disco viene scansionato (carving dei metadati)
I file vengono partizionati (clustering)
La struttura ad albero viene ricostruita
![Page 19: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/19.jpg)
Clustering
Posizione del file numero 0: p = y – 2 ‧ x
![Page 20: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/20.jpg)
Albero delle directory
Ogni nodo è collegato a quello superiore
Se non esiste, viene messo sotto a Lost Files
![Page 21: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/21.jpg)
Geometria
SPC(sectors per cluster)
CB(cluster base) File system (in cluster)
Disco (in settori)
![Page 22: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/22.jpg)
Matching
CB e SPC ‣ Necessari per recuperare i file
Usiamo i riferimenti agli indici delle directory
Riferimenti relativi a index record
Index record presenti nel disco
![Page 23: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/23.jpg)
Il software
![Page 24: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/24.jpg)
Copia bitstream
![Page 25: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/25.jpg)
Non tutti i restauririescono subito
Motivo
![Page 26: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/26.jpg)
Acquisizione
ddrescue /dev/sdb copia.img status.log
File di logDestinazioneDispositivo
![Page 27: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/27.jpg)
RecuperaBit
Scritto in Python
Modulare e estendibile
Pieno supporto a NTFS
![Page 28: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/28.jpg)
Riconoscimento file systemSoftware #1 #2 #3 #4
Gpart OK OK Niente Parziale
TestDisk OK OK Niente OK
Autopsy OK Parziale Niente OK
Scrounge-NTFS OK OK Niente OK
Restorer Ultimate OK OK OK OK
DMDE OK OK OK OK
Recover It All Now OK Niente Niente OK
GetDataBack OK OK Niente OK
SalvageRecovery OK OK Niente OK
RecuperaBit OK OK OK OK
![Page 29: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/29.jpg)
Accuratezza della ricostruzioneSoftware #1 #2 #3 #4
TestDisk Perfetta Errore — Errore
Autopsy Perfetta Nessun file — Buona
Scrounge-NTFS Parziale Terribile Terribile Terribile
Restorer Ultimate Perfetta Parziale Perfetta Buona
DMDE Perfetta Errore Perfetta Buona
Recover It All Now Terribile — — Nessun file
GetDataBack Perfetta Buona — Buona
SalvageRecovery Perfetta Terribile — Perfetta
RecuperaBit Perfetta Perfetta Perfetta Perfetta
![Page 30: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/30.jpg)
Contenuto dei fileSoftware Sparsi Compressi Criptati
TestDisk OK OK Vuoto
Autopsy Vuoto OK OK
Scrounge-NTFS OK Non implementato OK
Restorer Ultimate OK OK OK
DMDE OK OK Non implementato
Recover It All Now OK Errato OK
GetDataBack Vuoto OK OK
SalvageRecovery Vuoto Errato OK
RecuperaBit OK Non implementato OK
![Page 31: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/31.jpg)
Danni vs file rilevati
0% 20% 40% 60% 80% 100%Settori danneggiati
0
5000
10000
15000
19399
Num
ero
di fi
le
Tutti i file rilevatiIrraggiungibili dalla radice
![Page 32: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/32.jpg)
In futuro...
FAT, EXT,HFS+, ...
CAINEAltri moduliGUI
![Page 33: Recuperare dati da partizioni NTFS danneggiate](https://reader034.vdocuments.site/reader034/viewer/2022042604/589dd1521a28abf45d8b62d7/html5/thumbnails/33.jpg)
?Domande