Techniques de récupération de données

 

Introduction aux techniques de récupération de données -

Les techniques de récupération de données sont une partie essentielle de la criminalistique numérique. Ce n'est pas seulement essentiel pour les hackers éthiques et les testeurs d'intrusion, mais aussi pour les gens normaux dans notre vie de tous les jours. La plupart d'entre vous peuvent même penser qu'une fois que vous avez formaté votre disque dur ou votre téléphone portable, toutes vos données ont disparu. Mais ce n'est pas le vrai fait. Les données peuvent être récupérées de n'importe quelle manière. En outre, s'il ne s'agit que de formatage, les techniques de récupération de données sont une tâche facile et peuvent être effectuées avec des outils simples et gratuits disponibles en ligne. Mais pour les novices, qui n'ont aucune idée à ce sujet, les techniques de récupération de données peuvent être une situation décisive.

Certains d'entre vous peuvent même ne pas savoir ce que sont les techniques de récupération de données et quels sont les aspects de la criminalistique numérique. Alors, examinons cela plus en détail.

Médecine légale numérique

Ainsi, la plupart d'entre vous peuvent penser qu'une fois que vous avez un disque dur protégé par mot de passe, vos données sont sécurisées. Et si vous supprimez tout et que vous le formatez à nouveau, vous penseriez qu'il est parti, hein? Mais ce n'est pas le cas. Et c'est là que Digital Forensics entre en jeu.

La criminalistique numérique fait partie du piratage ethique . Il traite non seulement des techniques de récupération de données, mais également de la manipulation des données, de la recherche de la source des images, des vidéos et des mp3 téléchargés sur le Web. La criminalistique numérique est une catégorie diversifiée à traiter. Il comprend également la numérisation, la réparation et la collecte d'Intel à partir des disques durs les plus corrompus et d'autres appareils tels que les téléphones portables, les PDA, les ordinateurs portables, la biométrie et bien d'autres. Ainsi, les techniques de récupération de données sont l'une des partie les plus essentielles de la cybercriminalité car suffisamment de données sur un pirate informatique / une partie spécifique aideraient à résoudre facilement le crime. Sinon, au moins les données récupérées pourraient aider à identifier la méthode de travail du pirate informatique.

Etape franchis dans la vie quotidienne

Maintenant, vous pensez: OK, c'est bien pour un chapeau blanc et un testeur de pénétration, mais en quoi cela est-il utile dans notre vie quotidienne? Permettez-moi de vous donner un scénario réel.

Partie I: Révélation du Nexus 5

Pendant mes jours où j'ai commencé à apprendre le piratage et d'autres choses, j'étais un monstre de gadgets. J'ai toujours eu l'habitude d'acheter beaucoup d'appareils et de les expérimenter. Mais comme l'argent est un problème, j'avais l'habitude d'acheter des téléphones portables d'occasion vendus sur eBay, olx ou auprès de vendeurs en bordure de route pour un quart du prix initial. Il n'y a pas si longtemps, lorsque j'expérimentais avec un Nexus 5 que j'achetais sur eBay pour 8K, j'ai perdu beaucoup de données que j'avais à l'intérieur. Le truc est arrivé quelque chose comme ça:

Chargeur de démarrage Nexus 5

Après avoir acheté le Nexus 5, il a été entièrement formaté par l'ancien propriétaire. Je l'ai rooté et installé Cyanogen Mod 11.00 (CM11-KitKat) et installé un noyau totalement AK. Cela fonctionnait si bien que j'ai commencé à l'utiliser comme pilote quotidien. Mais quand j'ai essayé de l'overclocker, le téléphone s'est en fait éteint. La batterie a brûlé en raison d'une surcharge. J'ai acheté une autre batterie et l'ai soudée. Mais quand j'ai démarré la cellule, elle était bloquée sur la boucle de démarrage (Bootloop signifiant un chargement sans fin à l'écran de chargement au démarrage). J'ai donc dû réinstaller tout le système d'exploitation. Mais comme je voulais récupérer toutes les données que j'avais à l'intérieur, j'ai dû faire quelques trucs de singe pour récupérer toutes les données. Ce n'était pas une situation simple. Et quand je parle de techniques de récupération de données, je ne parle pas de données internes.Je veux dire les données réelles du téléphone où les paramètres et autres éléments sont stockés. J'ai donc commencé à chercher en ligne des outils de formation à la récupération de données gratuits et j'ai trouvé l'outil Safecopy pour Linux. J'avais un avantage sur Linux, mais je n'en savais rien. Je l'ai installé en tapant:

$ apt-get install a safe copy

Une fois installé, j'ai essayé de créer une image disque complète des données et de la partition de cache en utilisant Safecopy en utilisant la commande ci-dessous:

$ safecopy /dev/Nexus5 nexus5.iso

. Toutes mes données étaient d'environ 5 à 6 concerts, mais les données récupérées semblaient être d'environ 14 concerts. J'ai été choqué de voir cela. Maintenant que j'étais désespéré et curieux de récupérer mes données sans corruption; J'ai également utilisé les outils ADB (Android Debug Bridge) pour effectuer la sauvegarde.

J'ai installé les outils ADB sous Linux en tapant:

$ apt-get install android-tools-ADB

J'ai utilisé la commande suivante pour effectuer la sauvegarde complète de mon téléphone portable:

$ adb backup -apk -shared -all -f /root/temp.ab

Si vous souhaitez simplement effectuer une sauvegarde sans l'apk, vous pouvez utiliser l'un des éléments suivants:

$ adb backup -all -f /root/temp.ab

Vous pouvez cependant consulter la commande help pour rechercher plus d'indicateurs et d'options.

 

Maintenant, vient la partie la plus choquante. Il a fallu environ 3-4 heures pour obtenir la sauvegarde complète du téléphone portable. Une fois terminé, le fichier total que j'ai reçu était de 33 concerts. J'ai été choqué quand j'ai vu cela. Tout mon Nexus 5 avait 16 concerts dont je n'avais que 12 concerts disponibles pour stocker des choses, et encore une fois, je n'ai utilisé que 5 à 6 concerts. Alors, d'où sont venus les 26 concerts restants? La pire question était où tout était-il stocké? Confus avec cela, j'ai utilisé SQLite Viewer pour afficher le fichier de sauvegarde avant de pouvoir le restaurer à nouveau, et ce que j'ai vu était incroyable. Il a non seulement pris une sauvegarde de la mienne, mais lorsque j'ai essayé de récupérer les données, toutes les données stockées par l'ancien propriétaire ont également été restaurées. Je pouvais afficher les discussions Facebook et les données de We-chat ainsi qu'en utilisant le navigateur SQLite et la visionneuse SQLite.Ce n'était qu'une question de temps avant que je puisse séparer les anciennes données de récupération de mes propres données. J'aurais pu également récupérer le SMS et les informations de contact à l'aide du tristement célèbre Kit Sleuth, mais j'ai pensé lui donner un peu de temps avant de pouvoir maîtriser la récupération de base de données de base. J'ai également récupéré la base de données Whatsapp, et avec un peu d'ingénierie sociale, j'ai également piraté la clé cryptée de la personne à qui j'avais acheté le téléphone portable. Mais cependant, plus tard, j'ai appelé la personne en question car il était un homme humble et je l'ai informé des problèmes qui auraient pu se produire si cela devait tomber entre de mauvaises mains.J'ai également récupéré la base de données Whatsapp, et avec un peu d'ingénierie sociale, j'ai également piraté la clé cryptée de la personne à qui j'avais acheté le téléphone portable. Mais cependant, plus tard, j'ai appelé la personne en question car il était un homme humble et je l'ai informé des problèmes qui auraient pu se produire si cela devait tomber entre de mauvaises mains.J'ai également récupéré la base de données Whatsapp, et avec un peu d'ingénierie sociale, j'ai également piraté la clé cryptée de la personne à qui j'avais acheté le téléphone portable. Mais cependant, plus tard, j'ai appelé la personne en question car il était un homme humble et je l'ai informé des problèmes qui auraient pu se produire si cela devait tomber entre de mauvaises mains.

Partie II: La méthode Kevin Mitnick

Je doute que la plupart d'entre vous aient entendu parler du tristement célèbre pirate informatique Kevin Mitnick. Il a écrit de nombreux livres sur l'ingénierie sociale et le piratage. Il figurait sur la liste des personnes les plus recherchées du FBI et a également purgé 5 ans de prison pour la même chose, mais a ensuite été libéré car de nombreuses preuves n'ont pas été trouvées contre lui. Vous vous demandez peut-être pourquoi je dis cela. La raison en est que; Kevin était un excellent ingénieur social. Et j'ai utilisé plusieurs de ses astuces pour pénétrer dans des sites Web et des organisations (légalement évidemment). Ce qu'il faisait était très impressionnant car il usurpait l'identité de quelqu'un comme lui et obtenait un accès physique à une organisation, puis la piratait. Il avait également l'habitude de faire de la conduite de benne à ordures, ce qui lui permettait d'accéder à des fichiers sensibles jetés à la poubelle.

Maintenant, quand j'ai lu son livre «Art of Deception», je me suis dit qu'il fallait essayer. Et il y a deux ans, je travaillais dans une autre organisation informatique. Je savais que tous les 3 ans, l'entreprise se tenait à jour en changeant une partie du matériel, et avait l'habitude de vendre ces composants au plus offrant sur eBay par lots. Apparemment, j'ai acheté quelques disques durs de là-bas. Tout était propre, formaté et lent. J'ai donc utilisé cet outil connu sous le nom de techniques EASEUS Data Recovery pour récupérer les données supprimées. À ce moment-là, je ne connaissais pas la copie sécurisée. J'ai donc utilisé ce logiciel de formation à la récupération de données. J'ai d'abord utilisé la version d'essai et j'ai trouvé beaucoup de fichiers, mais j'ai été gravement endommagé et je n'ai pas pu les récupérer. En outre, les fichiers indiqués comme «fichiers pouvant être récupérés» avaient plus de 2-3 ans. Alors,J'avais alors un disque live qui était Knoppix, le fameux disque live pour tout dépanner. Mais ce que j'ai fait et j'ai réalisé plus tard, c'est que cela pouvait être fait via n'importe quelle distribution Linux et pas seulement Knoppix. J'ai utilisé la commande dd pour cloner tout le disque dur et le scanner secteur par secteur. dd est un outil de copie d'utilitaire de disque pour Linux. Ici, vous pouvez même spécifier presque tout, de la taille du bloc au clonage d'un lecteur entier.

J'ai utilisé la commande suivante pour cloner le disque dur:

$dd if=/dev/sdb1 of=/root/tempclone.iso bs=2048

Ici, vous pouvez spécifier n'importe quelle taille de bloc selon votre souhait allant de 512k à 4096 jusqu'à ce que vous ne sachiez pas ce que vous faites. Ici, dd demande à l'ordinateur de rechercher un lecteur avec l'étiquette sdb1, et si c'est le cas, faites une copie de l'ensemble du disque dans un fichier iso ou image en fonction de votre utilisation avec une taille de bloc de 2048k, puis enregistrez-le dans le répertoire racine avec le nom de tempclone.iso. Vous pouvez également inverser le processus de conversion d'un clone iso en un disque dur physique en tapant ce qui suit:

$dd if=/root/tempclone.iso de=/dev/sdb1 bs=1024

Ici, je préfère toujours utiliser la taille de bloc latérale basse en raison de mes préférences personnelles. Vous pouvez l'augmenter si vous le souhaitez, mais j'ai eu de mauvaises expériences avec cela dans le passé. Ainsi la faible taille de bloc.

Ainsi, en clonant le disque dur, vous avez maintenant un clone complet de tout le disque dur sur votre ordinateur. Mais notez que cela ne fonctionnera pas sur un disque dur formaté ordinaire car il n'y a rien à cloner. Vous devrez d'abord récupérer les données corrompues, en utilisant un bon logiciel de récupération de disque comme EASEUS, même si elles sont illisibles, ce n'est pas un problème. Une fois récupéré, vous pouvez le cloner à l'aide de la commande dd. La raison en est que, si votre disque dur a des secteurs défectueux irrécupérables, le disque dur ne vous permettra même pas de lire le morceau de données restant à proximité de ce secteur. Mais nous pouvons le faire en clonant le lecteur. Une fois cloné, vous pouvez utiliser les outils suivants pour identifier et supprimer les secteurs défectueux et ne sauvegarder que les secteurs bons et récupérables, puis les lire:

1. HDDscan

(http://hddscan.com/)

2. HDDLLF

( http://hddguru.com/ )

3. Vérifier Flash

( http://mikelab.kiev.ua/index_en.php?page=PROGRAMS/chkflsh_en )

4. Chip Genius

( www.usbdev.ru/files/chipgenius/ )

Ainsi, en faisant cela, j'ai extrait environ 390 Go de données sur le disque dur de 500 Go, et à partir duquel j'ai pu récupérer des données non corrompues d'environ 236 Go. Maintenant, c'était un problème sérieux, puisque les informations que j'ai reçues étaient extrêmement confidentielles. En examinant les données, j'ai vu qu'il s'agissait du disque dur utilisé par l'équipe des ressources humaines pour enregistrer le salaire, le fonds de prévoyance et d'autres informations comptables. J'ai rapidement rapporté ces informations au chef du département informatique et je l'ai informé à ce sujet, mais comme il s'agit de l'Inde, aucune mesure appropriée n'a été prise. J'ai recommandé à l'entreprise de détruire les disques durs plutôt que de les vendre, car cela pourrait en fait être un cauchemar si les détails des informations de compte bancaire tombaient entre de mauvaises mains. Néanmoins, on m'a demandé de démissionner, mais cependant,J'ai eu une promotion à cause de cela, ce qui est tout à fait une autre histoire.

Forensics numériques et techniques de récupération de données: conséquences

Mais le point ici est que les techniques de récupération de données ne sont pas seulement applicables à toutes les autres organisations, mais également aux personnes normales utilisant des appareils électroniques pour stocker des données confidentielles. Je pourrais continuer encore et encore à ce sujet, mais cela n'a pas d'importance. La chose importante à savoir est de savoir comment détruire les preuves médico-légales numériques. De nos jours, les pirates utilisent le cryptage LUKS pour détruire les données si quelqu'un les falsifie, ce qui écrase chaque octet par des zéros plutôt que par tout autre nombre hexadécimal. Cela rend cependant les techniques de récupération de données inutiles. Mais encore une fois, ce n'est pas un jeu d'enfant pour tout le monde d'utiliser le cryptage LUKS. En outre, l'utilisation du cryptage LUKS présente un gros inconvénient: si vous oubliez vous-même le mot de passe des données stockées, il ne peut pas être récupéré quoi qu'il arrive. Vous serez coincé pour toujours. Mais évidemment,il vaut mieux que personne n'ait accès aux données, plutôt qu'un voleur les utilise à des fins malveillantes.

Les techniques de récupération de données et la criminalistique numérique sont une autre raison importante pour laquelle les pirates informatiques détruisent normalement toutes les données avec une suppression sécurisée de la victime ou de l'ordinateur esclave une fois leur travail terminé afin que rien ne puisse leur être retracé. Il y a toujours plus qu'il n'y paraît. Les techniques de récupération de données, comme toute autre chose sur la planète, sont à la fois une aubaine et une malédiction. Ce sont les deux faces d'une même médaille. Vous ne pouvez pas en sauver un tout en détruisant l'autre.