LABORATORIUM INFORMATYKI LEDCZEJ

Lublin, dnia 13 stycznia 2012 r.

RAPORT Z EKSPERTYZY URZDZENIA TYPU PENDRIVE

Spis treci
1. 2. 3. 4. Testy za pomoc oprogramowania, cz 1......................................................................2 Testy za pomoc oprogramowania, cz 2......................................................................7 Testy sprztowe............................................................................................................. 15 Wnioski z bada ............................................................................................................ 20

Pami przenon typu pendrive dostarczono do Biura Ekspertyz Sdowych dnia 19.12.2011. Zgodnie z informacjami dostarczonymi przez osob zlecajc badania, nonik mia mie pojemno 128 GB. Taka te informacja bya wytoczona na obudowie urzdzenia, jednake w trakcie uytkowania nonika dochodzio do utraty zmagazynowanych na nim danych.

1. Testy za pomoc oprogramowania, cz 1

W pierwszej kolejnoci po rozpakowaniu urzdzenie poddano ogldzinom i wykonano zdjcia urzdzenia:

Rys. 1. Pendrive (widok z gry).

Strona 2 z 20 Biuro Ekspertyz Sdowych w Lublinie: http://www.ekspertyzy.net.pl/

Rys. 2. Pendrive (widok od spodu).

Rys. 3. Pendrive (widoczny wtyk).

Nastpnie pami podczono do komputera dziaajcego pod kontrol systemu Debian GNU/Linux (w trybie read-only, czyli tylko-do-odczytu). System wykry urzdzenie, pokaza model Udisk 2.0, producenta - Udisk, numer seryjny FFFCCFCFCFFAE44C oraz pojemno 136 GB; poniej zrzut ekranu z wynikiem polecenia dmesg:

Strona 3 z 20 Biuro Ekspertyz Sdowych w Lublinie: http://www.ekspertyzy.net.pl/

Rys. 4. Zrzut ekranu - dmesg.

W dalszej kolejnoci uruchomiono program fdisk; wida, e urzdzenie (tu: /dev/sdb) ma jedn partycj z systemem plikw HPFS, NTFS, bd exFAT sdb1:

Rys. 5. Zrzut ekranu - fdisk.

Program gparted dokadniej zidentyfikowa system plikw jako exFAT:

Rys. 6. Zrzut ekranu - gparted.

Wykonano kopi binarn zawartoci w celu sprawdzenia moliwoci odczytu z urzdzenia:

Strona 4 z 20 Biuro Ekspertyz Sdowych w Lublinie: http://www.ekspertyzy.net.pl/

Rys. 7. Zrzut ekranu wykonanie kopii binarnej nonika.

Uzyskano plik obrazu o wielkoci 136.314.880.000 bajtw, o ktrym bdzie jeszcze mowa w dalszej czci raportu. Wyliczono sum kontroln MD5 z uzyskanego obrazu:

Rys. 8. Zrzut ekranu suma MD5 z obrazu.

Wyliczono take sum MD5 dla caego (nadal niezamontowanego) urzdzenia, ma ona posta:

Rys. 9. Zrzut ekranu suma MD5 z urzdzenia.

Jak wida, sumy te nie s zgodne ze sob, cho powinny by, poniewa nie byo adnych ingerencji w urzdzenie (tryb read-only), nie byo take bdw odczytu. Kolejnym krokiem byo zamontowanie w systemie, istniejcej na pendrive, partycji z systemem plikw exFAT:

Rys. 10. Zrzut ekranu montowanie exFAT.

Poniej wynik z polecenia df; wida, e urzdzenie zamontowano poprawnie w utworzonym uprzednio katalogu /mnt/exfat/:

Rys. 11. Zrzut ekranu potwierdzenie zamontowania.

Strona 5 z 20 Biuro Ekspertyz Sdowych w Lublinie: http://www.ekspertyzy.net.pl/

Nastpnie przystpiono do testw na zapis danych stworzono kilka bardzo duych plikw tekstowych o wielkociach 1024 MB, 512 MB i 128 MB, skopiowano je na pendrive:

Rys. 12. Zrzut ekranu pliki zapisane na pendrive.

Po zapisaniu tych plikw urzdzenie samo si odmontowao i przestao pokazywa sw zawarto, poniej informacje o bdach z programu gparted oraz z polecenia df:

Rys. 13. Zrzut ekranu bdy.

Gdy urzdzenie zamontowano ponownie, pliki byy widoczne, jednak niemoliwe byo podejrzenie ich zawartoci. Zapisy innych typw plikw (np. wideo) te nie day pozytywnych rezultatw jedne pliki znikay, inne nie, adnego nie dao si poprawnie otworzy. Urzdzenie formatowano w innych systemach plikw: FAT32, NTFS, ext2, ext3 i ext4. Nie obyo si bez problemw przy tworzeniu systemu plikw NTFS pojawiy si bdy (poniej zrzut ekranu z programu gparted):

Strona 6 z 20 Biuro Ekspertyz Sdowych w Lublinie: http://www.ekspertyzy.net.pl/

Rys. 14. Zrzut ekranu formatowanie na NTFS.

Po stworzeniu danego systemu plikw przeprowadzano podobne testy, jak powyej opisano dla exFAT - z takim samym skutkiem, tzn. pliki znikay, nie daway si otworzy, etc.

2. Testy za pomoc oprogramowania, cz 2

Gdy ukoczono testy pod systemem Debian, przysza kolej na MS Windows 7, natywnie obsugujcy system plikw exFAT. Wykonany wczeniej plik obrazu oryginalnego pendrivea wczytano do specjalistycznego programu do informatyki ledczej o nazwie X-Ways Forensics.

Rys. 15. Zrzut ekranu X-Ways Forensics.

Strona 7 z 20 Biuro Ekspertyz Sdowych w Lublinie: http://www.ekspertyzy.net.pl/

Operacja odzyskiwania danych z pliku obrazu nie daa pozytywnego rezultatu, praktycznie nic nie znaleziono, jedynie fragment nagwka pliku wideo wikszo pliku obrazu zajmuj przypadkowe dane:

Rys. 16. Zrzut ekranu dane.

Z kolei do komputera podczono badany pendrive. Najpierw sformatowano go na system plikw exFAT:

Rys. 17. Zrzut ekranu formatowanie na exFAT.

Tu rwnie przeprowadzono testy zapisu i odczytu z urzdzenia. Na pendrive skopiowano skompresowany plik obrazu dysku o wielkoci 104 GB: Strona 8 z 20 Biuro Ekspertyz Sdowych w Lublinie: http://www.ekspertyzy.net.pl/

Rys. 18. Zrzut ekranu kopiowanie danych.

System Windows po kopiowaniu pokaza, e na urzdzeniu zajte zostao 114 GB:

Rys. 19. Zrzut ekranu informacje o zajtoci.

Skopiowany na pendrive plik wczytano do X-Ways Forensics, by sprawdzi, czy si otworzy, pojawi si jednak taki komunikat, wiadczcy o bdnym skopiowaniu danych:

Strona 9 z 20 Biuro Ekspertyz Sdowych w Lublinie: http://www.ekspertyzy.net.pl/

Rys. 20. Zrzut ekranu sprawdzenie w X-Ways Forensics.

Nie udao si rwnie wczyta tego obrazu do programu FTK Imager:

Rys. 21. Zrzut ekranu sprawdzenie w FTK Imager.

Kopiowanie innych, mniejszych plikw dao podobne efekty jak w systemie Debian niemoliwe byo ich odczytanie, pliki znikay. Podjto zatem prb sformatowania pendrivea w systemie plikw NTFS nie powioda si:

Rys. 22. Zrzut ekranu formatowanie NTFS.

Kolejnym krokiem byo sprawdzenie badanego urzdzenia w rnych programach testujcych pamici flash. Najpierw uruchomiono program CheckUDisk:

Strona 10 z 20 Biuro Ekspertyz Sdowych w Lublinie: http://www.ekspertyzy.net.pl/

Rys. 23. Zrzut ekranu program CheckUDisk.

Jak wida, pendrive zosta rozpoznany jako urzdzenie o pojemnoci 126,95 GB. Natomiast program ChipGenius rozpozna dodatkowo typ kontrolera (z serii

MXT6208E/MW8209):

Rys. 24. Zrzut ekranu program ChipGenius.

Nastpnie uruchomiono program H2testw, ktry sprawdza jako zapisu i odczytu z urzdze tego typu. Oto wynik testw: Strona 11 z 20 Biuro Ekspertyz Sdowych w Lublinie: http://www.ekspertyzy.net.pl/

Rys. 25. Zrzut ekranu program H2testw.

Weryfikacja danych wykazaa, e jedynie 57,2 MB z zapisanych 126,8 GB byo poprawnych. Na podstawie informacji o kontrolerze, uzyskanych z programu ChipGenius, uyto odpowiedniej wersji, dopasowanej do kontrolera, produkcyjnego programu do zarzdzania pamici flash o nazwie Ameco 8209/6208E Tools, poniej wynik skanowania:

Rys. 26. Zrzut ekranu program Ameco 8209/6208E Tools.

Model pamici zosta zidentyfikowany jako MT29F2G08AAA, o pojemnoci nominalnej 256 MB. Wykonano skanowanie i formatowanie urzdzenia na domylnych ustawieniach:

Strona 12 z 20 Biuro Ekspertyz Sdowych w Lublinie: http://www.ekspertyzy.net.pl/

Rys. 27. Zrzut ekranu - program Ameco 8209/6208E Tools (ustawienia).

Rys. 28. Zrzut ekranu - program Ameco 8209/6208E Tools (wynik).

Badana pami flash zostaa sformatowana do pojemnoci 62 MB, czyli wielkoci zblionej do wyniku otrzymanego uprzednio w programie H2testw (57,2 MB). Program sam zaprogramowa kontroler w ten sposb, by korzysta tylko z tych komrek pamici, ktre nadaj si do uytku. Program H2testw uruchomiono raz jeszcze, by zweryfikowa jako zapisu i odczytu:

Strona 13 z 20 Biuro Ekspertyz Sdowych w Lublinie: http://www.ekspertyzy.net.pl/

Rys. 29. Zrzut ekranu program H2testw.

Test zosta ukoczony pomylnie, nie wykryto bdw podczas weryfikacji. CheckUDisk wykry teraz pami o pojemnoci 62,85 MB (numer seryjny jest inny w stosunku do pierwszego skanowania, poniewa taki by domylnie ustawiony w programie Ameco 8209/6208E Tools).

Rys. 30. Zrzut ekranu program CheckUDisk.

Wykonano jeszcze jeden test na jako zapisu za pomoc programu MyDiskTest:

Strona 14 z 20 Biuro Ekspertyz Sdowych w Lublinie: http://www.ekspertyzy.net.pl/

Rys. 31. Zrzut ekranu program MyDiskTest.

W tym przypadku 15-krotny test rwnie zakoczy si powodzeniem pami staa si stabilna.

3. Testy sprztowe
Po ukoczeniu testw programowych przystpiono do bada wntrza badanej pamici USB. Zdjto skropodobne etui ochronne i otwarto plastikow obudow urzdzenia:

Rys. 32. Pendrive po usuniciu etui.

Strona 15 z 20 Biuro Ekspertyz Sdowych w Lublinie: http://www.ekspertyzy.net.pl/

Rys. 33. Pendrive po usuniciu etui (widok z gry).

Rys. 34. Pendrive po usuniciu etui (widok od spodu).

Rys. 35. Pendrive po otwarciu obudowy.

Rys. 36. Pendrive po otwarciu obudowy (widok z gry).

Strona 16 z 20 Biuro Ekspertyz Sdowych w Lublinie: http://www.ekspertyzy.net.pl/

Rys. 37. Pendrive po otwarciu obudowy (widok od spodu).

Ko pamici flash posiada nadrukowane nastpujce numery: FBNM29BNAK3WG 0632 RD3 VQT8.

Rys. 38. Ko pamici flash .

Wykonano te zdjcie kontrolera pamici (jest to rzeczywicie model MW8209, co raportowa program ChipGenius):

Rys. 39. Kontroler pamici.

Strona 17 z 20 Biuro Ekspertyz Sdowych w Lublinie: http://www.ekspertyzy.net.pl/

Za pomoc programu FlashGenius stwierdzono, i pami najprawdopodobniej zostaa wyprodukowana przez firm SpecTek:

Rys. 40. Zrzut ekranu program FlashGenius.

Nie naley jednak podchodzi do tych wynikw bezkrytycznie, poniewa na koci pamici nie ma logo producenta, jakie wida np. na poniszym zdjciu, pochodzcym ze strony www.spectek.com:

Rys. 41. Przykad pamici produkowanej przez firm SpecTek.

Kolejnym krokiem ekspertyzy byo zatem badanie samej koci flash, wykonali je specjalici z firmy VS Data z Gdyni, ktrzy za pomoc czytnika NAND Flash na podstawce TSOP-48 i oprogramowania o nazwie NAND Extractor, wykonali odczyt i testy opisywanej pamici. Wynik wida na poniszym zrzucie ekranu:

Strona 18 z 20 Biuro Ekspertyz Sdowych w Lublinie: http://www.ekspertyzy.net.pl/

Rys. 42. Zrzut ekranu program NAND Extractor.

Ko posiada nastpujce ID: 2C DA 80 15 (ID to chip device code - unikalny identyfikator zaprogramowany w kociach flash, uwierzytelniajcy dan ko), za pojemno nominalna wynosi 256 MB. Wedug nomenklatury SpecTek ko posiada numer: FNNM29B2GK3WG. Na pamici nadrukowany jest jednak inny - FBNM29BNAK3WG. Z powodu tej niezgodnoci skontaktowano si z firm SpecTek, by potwierdzi pochodzenie badanej koci wysano zdjcia i opis sprawy. Otrzymano odpowied od pracownika dziau pamici NAND Flash. Napisa on, e jest prawie pewien, i badana przez nas pami NAND Flash zostaa wyprodukowana przez firm SpecTek, jednak 100% potwierdzenia nie moe da bez przeprowadzenia penych testw elektrycznych na samej koci. Jest to ko z bardzo starej partii, z 2006 roku (informuje o tym nadrukowany numer 0632: 06 rok 2006, 32 tydzie 32). Absolutne maksimum pojemnoci dla tej pamici to 256 MB (MegaByte) lub 2 Gb (Gigabit); jednak fragment NA (NA Not Defined, nie ustalone) z numeru FBNM29BNAK3WG, wiadczy o tym, i rzeczywista pojemno jest znacznie mniejsza.

Strona 19 z 20 Biuro Ekspertyz Sdowych w Lublinie: http://www.ekspertyzy.net.pl/

Oznaczenie RD3 opisuje natomiast koci 3-rd pass, czyli takie, ktre uzyskuj skuteczn wydajno na poziomie 25% (bardziej przystpnie mona to okreli jako trzeci sort, gorsza jako). Przeznaczona by moga do nonikw typu pendrive o pojemnoci okoo 64MB. Brak logo SpecTek na koci tumaczy tym, e firma czasem sprzedaje swoje produkty bez takiego oznaczenia, poniewa kupujcy chc umieci na nich wasne logo.

4. Wnioski z bada
Podsumowujc, stwierdzi naley, e dostarczona do badania pami USB, ktra miaa mie 128 GB pojemnoci, ma tak naprawd pojemno duo mniejsz. Wewntrz znajduje si ko NAND flash o pojemnoci nominalnej 256 MB, z ktrych wykorzysta da si jedynie okoo 64 MB, poniewa jest to ko o gorszych parametrach (tzw. trzeci sort). Z pomoc produkcyjnego programu do zarzdzania pamici flash Ameco 8209/6208E Tools mona pami zmusi do raportowania wikszej ni rzeczywista pojemnoci, w tym przypadku ustawiono pojemno na 128 GB. Nadmieni trzeba, e w Internecie jest mnstwo stron powiconych tego typu urzdzeniom le dziaajcym pendriveom, ktre gubi dane, ktrych nie da si poprawnie sformatowa w innym systemie plikw ni exFAT (wystarczy wpisa w wyszukiwark haso fake pendrive). Miewaj one najrniejsze pojemnoci nominalne: od 1-2 GB do nawet 360 GB. czy je wszystkie fakt, i s w nich zamontowane koci NAND o rzeczywistych pojemnociach kilka rzdw wielkoci mniejszych ni deklarowane przez sprzedawcw.

Strona 20 z 20 Biuro Ekspertyz Sdowych w Lublinie: http://www.ekspertyzy.net.pl/