Восстановление данных с зашифрованной флешки в Бишкеке: Kingston DataTraveler Locker+

Пару дней назад обратился клиент с нетривиальным случаем: USB-флешка Kingston Data Traveler Locker+. Накопители этого типа имеют аппаратное шифрование, соответственно, после выхода устройства из строя специалисту по восстановлению данных приходится бороться не только с непосредственно неисправностью, но также и со всеми проблемами, порождаемыми шифрованием.

В нашем случае устройство было исправным, пароль на устройство имелся, но оно было отформатировано. Как оказалось, даже этого хватает, чтобы потерять доступ к данным. Файловая система FAT32, в которой форматируется подавляющее большинство флеш-устройств, не сохраняет никаких следов файловых записей при формате, сама таблица полностью перезаписывается, и после такого форматирования восстановление файловой структуры обычно достигается нетривиальными методами (анализ всех данных с построением файловых деревьев по сохранившимся записям о файлах и папках). Однако в случае с шифрованием анализировать нечего, и если таблицы FAT обнулены, то взять данные о файлах и папках уже просто неоткуда.

Но хуже всего не это. В обычных условиях даже при полной потере данных о расположении файлов (file allocation table – FAT) как минимум часть данных можно восстановить так называемым черновым восстановлением – поиском файлов по их сигнатурам. При этом для поиска фрагментированных файлов используются особые программные продукты собственной разработки (следите за разделом о наших разработках на нашем сайте, мы обязательно познакомим вас с этим ПО). В целом с использованием чернового восстановления получается восстановить от 50 до 99.99% всех потерянных данных. Единственное неудобство чернового восстановления заключается в том, что на выходе мы получаем просто набор файлов одного типа: Word документы, JPEG-картинки, и т.п., разложенные по соответствующим папкам. Однако, во-первых, это лучше, чем ничего, а во-вторых, объемы записываемой на флеш-карты информации обычно невелики, и их ручная обработка после восстановления не занимает много времени.

Вернемся к нашему Kingston Data Traveler Locker+. Устройство нормально определяется в системе, полностью отдает «поляну», однако поляна, увы, зашифрована. Файловой системы нет (флешка отформатирована). Пароль на флешку имеется и работает, то есть получить доступ к данным мы можем. Флешка не шифрует файловые таблицы, шифруется только область данных (что само по себе довольно необычно, но вполне оправдано: зачем шифровать область, описывающую расположение файлов, если без ввода пароля флешка все равно не откроется?). Однако механизм шифрования таков, что шифруются не отдельные сектора, а вся «поляна» флешки целиком, и если файловых таблиц нет, то узнать, где лежали те или иные файлы, невозможно.

Так было и в этом случае. Восстановление данных с самой флеш-карты оказалось невозможным (сильный алгоритм шифрования, зашитый в микроконтроллере уникальный ключ без возможности его «подсмотреть»), однако нашему заказчику мы все же помочь смогли. Все дело в том, что эти флешки автоматически используют резервирование данных в облако по технологии USBtoCLOUD, и если знать эту их особенность, то потерять данные оказывается довольно сложно.


Зашифрованная карта Kingston DataTraveler Locker+, область FAT

Зашифрованная карта Kingston DataTraveler Locker+, область данных

Станислав Корб, ©2018



Мы принимаем к оплате | We accept payments


Мы стажировались и работали в странах | We worked or practiced in following countries