Visualizando o disco “não formatado”

2

Eu tenho um cartão SD sem sistema de arquivos óbvio. Estou vendo se os dados ali (em grande parte) seguem uma convenção de um sistema de arquivos específico. No linux, eu corrisudo dd if=/dev/mmcblk0 of=SDcard.bin

fdisk SDcard.bin

Disco SDcard.bin: 3.7GiB, 3965190144 bytes, 7744512 setores
Unidades: setores de 1 * 512 = 512 bytes
Tamanho do setor (lógico / físico): 512/512 bytes
Tamanho de E / S (mínimo / ótimo): 512/512 bytes

fazendo sudo mount -o ro,loop SDcard.bin /mnt/SD resultados em um erro:

mount: errado tipo fs, má opção bad superblock em / dev / loop0, falta de codepage ou programa auxiliar, ou outro erro

tentando sudo losetup --partscan --find --show SDcard.bin responde com "/ dev / loop0"

mas não posso fsck /dev/loop0ou mount /dev/loop0 /mnt/SD, mesmo tentando várias opções para-t

Eu fiz um xxd SDcard.bin SDcard.hexe vejo, no meio do arquivo (por exemplo, em torno do endereço 00400040) a2b2NO NAME FAT32 [00].(espaçamento sic, [00] = sem dados) e algum texto legível mais cedo do que isso em vários lugares.

Devo tentar montar como Fat32 com offsets, por exemplo losetup --offset 00400040 /dev/loop0 SDCard.bin*

* onde eu traduzo 00400040 de hex para dec primeiro

linux mount dd mpag
fonte
1
Você não disse de onde é o cartão SD ou o que você espera que ele contenha. Obviamente, não começa com uma tabela de partições nem com um dos sistemas de arquivos usuais. Tente binwalk sobre ele e veja se ele surge com algo útil.
dirkt
obrigado @dirkt - que mostra dados criptografados com criptografia antecipada, com um modo de chave de 8 bits. Isso significa que um único byte é a "senha"? O algoritmo é DES e o modo CBC. Como eu "inteligentemente força bruta" isso? Ou eu terei que descriptografar essencialmente 4 GB usando várias chaves e procurar por strings em inglês ou cabeçalhos / assinaturas comuns manualmente? Devo jogar fora as partes do arquivo que tem trechos> 16 (ou 100 ...) caracteres nulos?
mpag
2
Pergunte isso na engenharia reversa . Observe também que o binwalk às vezes produz falsos positivos; Se você não tem razão para supor que o conteúdo do cartão SD está criptografado (por causa de onde ele veio, o que você não mencionou), este pode ser um deles. O bit "NO NAME FAT32" claramente não é criptografado e, a menos que seja parte do cabeçalho mcrypt, não vejo como ele se encaixa.
dirkt

Respostas:

1

Eu tentaria algumas ferramentas como PhotoRec e Testdisk para tentar encontrar arquivos no sistema de arquivos quebrado. Eu duvido que alguém criptografando isso estaria usando uma senha de byte único. Não seria engraçado. E como @dirkt disse, você vê o texto simples no meio de qualquer maneira.

Confira alguns artigos sobre como usar as ferramentas: https://www.linux.com/learn/get-your-data-back-linux-based-data-recovery-tools

Akostadinov
fonte
Você acha que o OP esperou tanto?
Solar Mike
2
@SolarMike Usuários futuros com problemas semelhantes podem aparecer. Qualquer resposta sensata é para eles.
Kamil Maciorowski
no meu caso, concluí que era um falso positivo e não havia dados criptografados. Pelo que me lembro, havia muitas outras informações úteis neste (ou em outro cartão) binwalk / hexdump - um Sqlite DB não criptografado. Kamil está correto: outra pessoa pode achar essa ajuda útil, supondo que
surja
Eu não perguntei sobre os futuros usuários ... mas isso pode ser relevante para os futuros usuários se cartões SD resistir ao teste do tempo ...
Solar Mike
@SolarMike, pode ser útil para qualquer pessoa que queira recuperar dados de mídia quebrada. Você me inspirou a escrever uma resposta longa (provavelmente patética). Se você gosta de você pode encontrá-lo em: rboci.blogspot.bg/2017/12/why-am-i-necromancer.html
akostadinov