próximo »

[Alluz]

Resulta que hoy estoy mirando mi usb que tiene muchos años conmigo, entonces formatié mi memoria, luego le hice una imagen y al analizarla me encontré con rastros de archivos de hace muchos años.

Me quedan dudas que estoy tratando de resolver:
1. ¿cual es la mejor metodología para analizar datos en raw?
2. ¿cómo borrar realmente el contenido de una memoria?

UPDATE: Para la segunda pregunta ya escribí un tema: Como borrar completamente un disco duro

Para la primer pregunta aún sigo investigando, pero para la segunda estoy probando con llenar de 0 la memoria con el comando:

#dd if=/dev/zero of=/dev/sdb bs=520M

Pero no estoy seguro que funcione bien (puede que se me dañe la memoria).
Son las 12:10 del 7 de octubre de 2009, en unas horas vuelvo a actualizar este post.

12:26pm: Después de un problema, decidi mejor con:
#dcfldd if=dev/zero of=/dev/sdb

Eso me borró por completo la partición existente.

[Alluz]

Después de rellenar de Zeros la memoria, le di formato NTFS, subí una imagen jpg de aprox 1.3MB, luego le di formato nuevamente a la memoria, pero FAT32 para ver cómo hago una recuperación tipo RAW, así que me puse a leer y encontré la herramienta 'foremost'

#foremost <imagen> -o <rutasalida>

Foremost puede leer archivos de imagenes raw, se pueden filtrar los archivos, etc. Mi pequeño lab funcionó para:

1. Validar que el relleno con 0 funciona para borrar el disco duro.
2. Saber como recuperar archivos 'a lo raw', incluso cambiando el sistema de archivos de ntfs a fat32.

Por si a alguien le interesa, aqui esta la imagen de mi memoria (solo se puede bajar 10 veces por restricciones de rapidshare)

El zip pesa 2.4 mb y descomprimido alrededor de 520mb
http://rapidshare.com/files/290018667/imagen-analizar.rar.html

[Alluz]

Lo malo de foremost, solo busca cabeceras conocidas y se debe especificar en el archivo config.

El ejemplo dice:

Código:

# extension  case-sens  max-size   header footer (option)
#
# GIF and JPG files (very common)
gif y 155000 \x47\x49\x46\x38\x37\x61 \x00\x3b
  gif y 155000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
  jpg y 200000 \xff\xd8\xff \xff\xd9

Así que aunque foremost puede obtener info desde imagenes raw, solo recupera los archivos que se especifican en el config.

[awk]

de nuevo, testdisk

el metodo de dd para memoris flash (USB) es peligroso. Estas memorias tiene un ciclo limitado de escrituras y cada vez que se sobreescribe toda la unidad se pierde "un ciclo" de vida util.

es el problema tambien de borrar informacion en estas unidades. Para garantizar el mayor tiempo de vida de la unidad generalmente cuando se borra un archivo desde el SO, la parte donde esta el archivo se marca como borrada para no va a ser sobre-escrita hasta que todo el espacio sin utilizar de la unidad se haya usado.

[Alluz]

Voy a probar TestDisk
La prueba la hice con mi memoria usb porque no tenía otro disco pequeño para hacer el mini lab. Ahora estoy tranquilo y sé que la teoría de llenar de zeros funciona, pero también voy a tener en cuenta lo de rellenar con rand.