Nov 082010
 

Ottimizzare il tempo a disposizione è un “must” per qualsiasi Consulente in qualsiasi settore. La mia esigenza è trovare il modo più veloce possibile per capire se ad un disco può essere stata applicata una operazione di “WIPING” (cancellazione sicura dei dati). Magari attraverso un “batch” lanciato anche dalla “donna delle pulizie” (figura mitologica presente in tutti i migliori CED che invidio molto in quanto è libera di andare ovunque).

Il problema può essere semplice o complesso in base al programma/hardware di WIPING utilizzato. Se si usa lo standard “tutti zeri” (0×00) o “tutti uni” (0×11) il metodo è efficace mentre è totalmente inutile per lo standard DoD che nella parte finale scrive sequenze casuali di byte.

“Quindi?”

Beh, si lancia il comando “analyze disk” del programma X-WAYS e si aspetta un po’…. (5 Orette per un SEAGATE da 1,5TB).

Ho eseguito una serie di TEST utilizzando il WIPE del TABLEAU TD1 (“tutti zeri” e DoD). X-Ways altro non fa che cercare tutte le occorrenze di un byte.

Questo è una parte dell’output:

Hex Dec Chr No
00 0 . 14918341888074
01 1 . 139396781
02 2 . 84620690
03 3 . 68363223
04 4 . 79860649
05 5 . 48006780
06 6 . 49252715
07 7 . 48615683
08 8 . 70152537
09 9 . 37388312
0A 10 . 41895801
0B 11 . 33109412
0C 12 . 50989404
0D 13 . 38351949
0E 14 . 31693272

Il disco è stato precedentemente “WIPPATO” e poi usato per un 20% della sua capienza. Il test è stato ripetuto tre volte e ha dato gli stessi risultati, la stringa “00″ ha un valore 10^4 – 10^5 volte superiore rispetto alle altre.

L’unico TEST eseguito per il DoD ha dato esito negativo.

“Quindi è attendibile?”

Dipende dal contesto. E’ sicuramente un metodo per capire se dobbiamo investigare meglio oppure no. Il passo successivo potrebbe essere quello di individuare i settori contingui che hanno la stessa “marcatura” (Encase in questo caso aiuta).

“Ma vale la pena passare le ore a estrarre il contenuto dei settori?”

Dipende da cosa cerco, dalle abitudini dell’utente e se il disco è di sistema o no. Se il soggetto è stato intercettato durante il download di materiale “non legale” e ci accorgiamo che i dischi esterni sono praticamente vuoti a fronte di una “marea” di CD/DVD (dove magari la prova è li che attende) allora magari si.

Ritengo comunque che questa analisi sia da mettere fra le operazioni di DEFAULT che si devono eseguire su ogni evidenza prima ancora di conoscere il quesito.

E se uno usa il DoD?
Lui ha molto tempo a disposizione ma io no.

  2 Responses to “A fast way to see a “wiped disk””

  1. Tutti 1 allora 0xFF non 0×11. Il test in se stesso si limita a contare i bytes oppure i semibytes, perciò il test dovrebbe durare quanto la lettura 1:1 del disco stesso.

    L’analisi statistica delle ricorrenze indica se il disco è stato azzerato ma il test non è significativo se è stato recentemente acquistato.

    Se invece è stato utilizzato un algoritmo di wipping DoD allora la varianza della distribuzione delle ricorrenze sarà molto ampia ma questo fatto potrebbe anche indicare che sono stati salvati precedentemente dati compressi quali jpeg, zip, mpeg, etc. etc.

  2. Grazie Roberto, la correzione è esatta: 0xFF. Si, il tempo di “spazzolata” è 1:1 perchè la scansione è totale. Da approfondire il discorso dei dischi recenti (farò un po’ di prove). Sul discorso DoD apri un capitolo interessante. Ci studio sopra. Grazie per il tuo spunto.

 Leave a Reply

(required)

(required)

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>