effacement HD et recup donnees, plus d'infos

Pierre Vandevenne wrote:

Une petite dose de parano quand même: j'avoue qu'en écrivant les posts
précédents, je ressens toujours une petite angoisse. Celle de voir
deux "agents secrets" se foutre de ma gueule devant la console du
BlueGene L connecté au MFM du feu de Dieu en se disant "on a bien
besoin de cons crédules comme Vandevenne pour rassurer les foules".
Mais je me sens un peu moins seul maintenant ;-)

Puisqu'on cause parano, ce sont les moyens dont disposent certains services
spécialisés, ou des administrations comme le FBI, la CIA, etc, qu'il serait
intéressant de connaître. Les spécialistes, les spécialistes... tout dépend
de pour qui ils bossent :-).

Si tu veux vraiment n'avoir aucune crainte avec les données de vieuxs HD,
fais comme avec mon dernier qui a rendu l'âme. Dépeçage, lustrage de sol
(abrasif) avec les plateaux (au passage, les chats aiment s'y faire les
griffes dessus), explosion des plateaux en dizaines de morceaux, puis
poubelle. Là, même McGyver ypeupa.

--
Arnold McDonald (AMcD®)

http://arnold.mcdonald.free.fr/

Pierre Vandevenne <pierre@datarescue.com> écrit sur:

la récupération de données vraiment effacées sur disque durs
j'ai fréquemment exprimé mes doutes sur la faisabilité de
la chose, par exemple ici
http://tinylink.com/?JDwwDr6v4G

ou ici
http://tinylink.com/?6Ws3qfVNZw

Et bien je tombe à l'instant sur ce pdf,
http://cmrr.ucsd.edu/hughes/CmrrSecureEraseProtocols.pdf

pondu par Gordon F. Hughes, Associate Director, U. California
San Diego Center for Magnetic Recording Research, que l'on
supposera qualifié.

Je voudrais apporter un témoignage sur la lecture de données
magnétiques illisibles par des moyens normaux, que j'ai
pratiqué sur deux médias de basse densité: disquete 5,25" 140ko
d'Apple ][ (j'ai protégé des programmes contre la copie);
et cartes magnétiques (j'ai participé à la mis au point
de terminaux de paiement).

Sur le lecteur de disquette de l'Apple ][, le programmeur
pilote les moteurs pas à pas de déplacement des têtes. Cela
permet de déplacer exprès la tête sur une demi-piste, voire
(en activant 2 phases) un quart de piste. Le contenu d'une
piste écrite avec un drive, puis ré-écrite avec d'autres
données par un *autre* drive (aligné différemment,
ou surtout de modèle plus récent que le premier, avec
des têtes moins larges) était souvent relisible moyennant
un petit décallage de tête, réalisable par soft. Pour
vraiment effacer une disquette Apple ][ il était donc sain
de l'effacer demi-piste par demi-piste, voire par quart de
piste pour les paranos.
L'article CmrrSecureEraseProtocols.pdf procède sur le même
principe quand il recommande de faire deux écritures
décallées de 10% de chaque côté de la piste.

Un outil bon marché pour litéralement voir ce qui est inscrit
sur une carte magnétique (par exemple carte de crédit) est la
"loupe magnétique". C'est un petit disque de 5cm de diamètre
que l'on pose sur la piste, et avec lequel on voit parfaitement
les inscriptions magnétiques. Le principe: un liquide contenant
une suspension (coloïdale ?) de particules magnétiques est mis
entre une lame (d'aluminium ?) très fine en contact avec la
piste, et une lame transparente; on observer les particules
magnétiques, dont l'orientation est guidée par le champ
magnétique de la piste. Je crois qu'il existe aussi une
technique aboutissant au meàme résultat avec un aérosol,
mais avec une meilleure résolution.
Avec cet outil, on peut à l'oeil nu lire bit à bit une piste
magnétique de carte de crédit. J'ai utilisé cet outil pour
comprendre pourquoi certaines cartes magnétiques étaient mal
lues par certains lecteusr quand la partie "syncro" au début
de la piste était légèrement endommagée ou trop courte.
J'ai aussi pu voir qu'il reste sur le côté d'une piste écrite
par un encodeur les infos écrites par un autre encodeur, s'il
y a un désalignement (mauvais guidage de la carte par exemple).

Malgré ces illustrations que le principe physique de
l'écriture magéntique est compatible avec la relecture de
données maculées par une autre écriture, pour ma part, je
suis comme Pierre Vandevenne de l'avis que la récupération
de données physiquement effacées sur un disque dur, ce n'est
pas réellement pratiqué.
Les sociétés spécialisées dans la récupération des disques
illisibles les plus compétentes dont j'ai entendu parler
savent récupérer les fichiers effacés, réorganiser les données
qui restent lisibles sur un disque formatté logiquement ou
partiellement illisible, réparrer une panne de connectique,
remplacer une carte électronique HS par une qui fonctionne,
résoudre un problème mécanique de base (tête collée au plateau,
roulement coincé, palier en mal de lubrifiant) et n'utilisent
une salle blanche que pour cela.
Je suis pas sur qu'il soit vraiment pratiqué de récupérer un
plateau de disque pour le relire avec une autre tête, même si
certaines pubs montrent des plateaux de disque dur apparement
en cours de réassemblage. Quand à relire ce qui subsiste de
données effacées par une seule réécriture, c'est AMHA une
expérience de l'esprit, type chat de Schrödinger. Je parie
que Pierre Vandevenne ne perdra pas son pari sur ce sujet.


François Grieu

Pour compléter <fgrieu-1DF5A7.21021003122005@news14-e.proxad.net>

On me pointe
http://www.essdatarecovery.com
qui serait une boite compétente, capable de remplacer une tête
abimée sur un drive afin d'en récupérer les données.
Eh bien ils disent que si il y a eu réécriture, il ne peuvent
rien tenter:
"There are few situations in which hard disk data recovery
is not possible. The only exception is when the (RAID) drives
have been rebuilt in the wrong configuration. In this case,
overwriting may have occurred making data recovery impossible."


François Grieu

Francois Grieu wrote:

Je voudrais apporter un témoignage sur la lecture de données
magnétiques illisibles par des moyens normaux, que j'ai
pratiqué sur deux médias de basse densité: disquete 5,25" 140ko
d'Apple ][ (j'ai protégé des programmes contre la copie);
et cartes magnétiques

Je pense utile pour la compréhension de tous (mais pas pour celle de
François) de signaler que ce contexte est extrêmement différent du
contexte d'utilisation des disques dur modernes.

Dans ces technologies anciennes, on avait une densité de stockage
d'information assez faible, ce qui explique que toutes les parties de la
surface du disque n'était pas complètement utilisées et que l'on pouvait
y trouver des demi ou des quarts de piste.

Sur les disque durs modernes, il y a eu une énorme compétition
technologique pour stocker le maximum de données sur la plus petite
unité de surface possible, les piste sont donc reserrées d'une manière
qui n'a aucune comparaison avec les médias cités ci-dessus.

Le positionnement des pistes du coup n'est plus ni mécanique, ni
magnétique mais a dû passer au laser pour obtenir une précision
suffisante (http://www.thic.org/pdf/Jul99/quantum.sscully.990714.pdf,
c'est un doc de 99, si ça se trouve on a trouvé encore plus sophistiqué
depuis) et placer de l'ordre de 30 000 pistes sur 2,5 cm
(http://www.storagereview.com/guide2000/ref/hdd/geom/tracksDensity.html).
A ce niveau de densité, le microscope à effet tunnel est plus adapté que
la "loupe magnétique" ;-)

Avec des pistes aussi reserrées, non seulement il n'y a aucun écart
entre les pistes, mais en fait si on essaie d'écrire un niveau 1 ou 0
franc dessus, elles se marchent dessus les unes sur les autres. Donc on
a réduit l'intensité du signal, qui du coup devient difficilement
distinguable du bruit. Aucun soucis pour les fabricants de disque dur
qui sont passés à la technoloqies PRML pour la lecture. Rien que le nom
est tout un poème : "Partial Response, Maximum Likelihood". Après la
lecture, des algorythmes de traitements du signal sophistiqués son
utilisées pour repérer ce qui correspond aux zéros et aux uns dans le
signal dans lequel il n'est plus certain de les retrouver directement.
Mais le PRML est lui même dépassé et on parle maintenant d'"extended PRML".
http://www.storagereview.com/guide2000/ref/hdd/geom/dataEPRML.html

Si vous êtes surpris qu'un systèmes aussi complexe arrive à lire
efficacement les données, vous avez raison. Il reste des erreurs, et les
disques durs récents utilisent un nombre de bits assez impressionnant
pour y stocker les codes correcteurs d'erreur nécessaires pour arriver à
des données correctes.
http://www.storagereview.com/guide2000/ref/hdd/geom/errorECC.html

Bref, la meilleure arme contre la NSA c'est un disque dur de 400 Go !
La lecture normal y est déjà un miracle de technologie, et rend inutile
de se soucier de celle après ré-écriture.

Si vous voulez plus d'info sur les disques durs, le site ci-dessus
référencé plus haut est pas mal, mais probablement déjà un peu dépassé
(il ne cite pas vraiment l'utilisation du laser pour le positionnement,
et les capacités de centaines de Go n'y sont que des projections ):
http://www.storagereview.com/guide2000/ref/hdd/index.html

Jean-Marc Desperrier <jmdesp@alussinan.org> a écrit:

Le positionnement des pistes du coup n'est plus ni mécanique, ni
magnétique mais a dû passer au laser pour obtenir une précision
suffisante (http://www.thic.org/pdf/Jul99/quantum.sscully.990714.pdf,
c'est un doc de 99, si ça se trouve on a trouvé encore plus
sophistiqué depuis)

Ce document traite des bandes, pas des disques durs. Je n'ai pas
entendu parler de guidage laser dans ce dernier contexte. J'avoue
ne pas savoir comment ça marche vraiment dans les drives 400Go
que l'on trouve de nos jours; j'ai cru comprendre que l'on se fie
à des traces incrites sur les surfaces elle-même, une fois, en
fabrication, voir par exemple la description du brevet US 6,411,459
http://patft.uspto.gov/netahtml/srchnum.htm
[y saisir 6411459, valider, descendre jusqu'à Description]

Je suis bien sur absolument d'accord que la lecture des données
normalement écrites sur un disque moderne se fait sans beaucoup
de marge, et que cela me convainc tout à fait que la lecture des
données précédemment écrites après qu'elles aient été physiquement
réécrites, ce n'est pas un risque réel.


François Grieu

Francois Grieu wrote:

Ce document traite des bandes, pas des disques durs. Je n'ai pas
entendu parler de guidage laser dans ce dernier contexte.

Effectivement, mais il me semble bien avoir déjà entendu parler du
guidage laser dans le contexte des disques dur, et c'était cette
référence là que je cherchais au départ même si je n'ai trouvé l'article
que pour les bandes. Sans chercher à fond.

J'avoue
ne pas savoir comment ça marche vraiment dans les drives 400Go
que l'on trouve de nos jours; j'ai cru comprendre que l'on se fie
à des traces incrites sur les surfaces elle-même, une fois, en
fabrication, voir par exemple la description du brevet US 6,411,459
http://patft.uspto.gov/netahtml/srchnum.htm

Ca ressemble à ce que décrit cette partie du site :

http://www.storagereview.com/guide2000/ref/hdd/op/actServo.html

The servo codes are written to the disk surfaces at the time the hard
disk is manufactured. Special, complex and expensive equipment is
employed to record this information, which as you can imagine must be
placed very precisely on each surface. The machines that do this are
called ... wait for it... servowriters. [...]
The hard disk heads themselves are locked out at the hardware level by
the drive's controller from writing to the areas where servo information
is written. The creation of this precise pre-written information is part
of the low-level formatting of a modern drive, and the need for the
fancy machine is one reason why modern disks cannot be
low-level-formatted outside the factory.

Jean-Marc Desperrier <jmdesp@alussinan.org> wrote in news:dn1nqg$i9j$1
@reader1.imaginet.fr:

Effectivement, mais il me semble bien avoir déjà entendu parler du
guidage laser dans le contexte des disques dur, et c'était cette
référence là que je cherchais au départ même si je n'ai trouvé l'article
que pour les bandes. Sans chercher à fond.

C'est de l'"embbeded servo" depuis l'arrivée de l'IDE. C'est pour cette
raison que le formatage bas niveau qu'ont connu les pratiquants du MFM et
du RLL a disparu avec l'arrivée de l'IDE. C'est aussi pour cette raison
qu'il n'y a plus eu d'incertitude sur la position des pistes et c'est là
que l'examen des pistes non-alignées a perdu de son intérêt.

(pour une époque technologique donnée, je ne voudrais pas jurer que les
moyens d'aujourd'hui ne permettraient pas quelque chose sur des vieux
disques - il faudrait faire un calcul approximatif)

The hard disk heads themselves are locked out at the hardware level by
the drive's controller from writing to the areas where servo information
is written. The creation of this precise pre-written information is part
of the low-level formatting of a modern drive, and the need for the
fancy machine is one reason why modern disks cannot be
low-level-formatted outside the factory.

Et bien voilà, je ne fais que répéter.


--
Pierre Vandevenne - DataRescue sa/nv - www.datarescue.com
The IDA Pro Disassembler & Debugger - world leader in hostile code analysis
PhotoRescue - advanced data recovery for digital photographic media
latest review: http://www.pcmag.com/article2/0,1759,1590497,00.asp

Francois Grieu wrote:

Pierre Vandevenne <pierre@datarescue.com> écrit sur:

Un outil bon marché pour litéralement voir ce qui est inscrit
sur une carte magnétique (par exemple carte de crédit) est la
"loupe magnétique". C'est un petit disque de 5cm de diamètre
que l'on pose sur la piste, et avec lequel on voit parfaitement
les inscriptions magnétiques. Le principe: un liquide contenant
une suspension (coloïdale ?) de particules magnétiques est mis
entre une lame (d'aluminium ?) très fine en contact avec la
piste, et une lame transparente; on observer les particules
magnétiques, dont l'orientation est guidée par le champ
magnétique de la piste. Je crois qu'il existe aussi une
technique aboutissant au meàme résultat avec un aérosol,
mais avec une meilleure résolution.
Avec cet outil, on peut à l'oeil nu lire bit à bit une piste
magnétique de carte de crédit. J'ai utilisé cet outil pour
comprendre pourquoi certaines cartes magnétiques étaient mal
lues par certains lecteusr quand la partie "syncro" au début
de la piste était légèrement endommagée ou trop courte.
J'ai aussi pu voir qu'il reste sur le côté d'une piste écrite
par un encodeur les infos écrites par un autre encodeur, s'il
y a un désalignement (mauvais guidage de la carte par exemple).

Bonjour a tous,

Remarque :
Pour info Patrick Gueulle dans son livre "Cartes magnetiques et PC"
explique que en utilisant de l'encre d'imprimante (a cause de ses
proprietes electrostatiques) melangee avec de l'amidon, il est
possible de visualiser les donnees sur une piste magnetique de carte.

Il est vrai que cela marche tres bien et que on peut meme parfois
se passer d'amidon. C'est la version du pauvre.

Bien evidemment il explique egalement comment utiliser un circuit dedie
et une tete d'enregistrement de magnetophone pour ecrire sur une piste.

Avant de me faire flammer, il ne s'agissait que d'une petite remarque.

David

Pour ceux qui voudraient se lancer dans l'exprimentation:

lien vers des produits que je n'ai PAS utilisés et qui permettent
PARAIT-IL de "voir" un enregistrement magnétique à une haute
résolution (1 um ?), couplé à un microscope optique
classique, éventuellement avec éclairage et/ou filtre polarisant.

http://www.sigma-hc.co.jp/english/media.html


Liens vers les deux "loupes magnétiques" (magnetic viewer) que
j'ai utilisées:

http://www.arnoldmagnetics.com/products/compression/pdf/plastiform_compcat.pdf
[pages 7 et 8 du PDF]

Vieux produit, résolution pas géniale, peut-être 50um.


http://www.sigma-hc.co.jp/english/magnet_viewer.html

Résolution meilleure, peut-être 10um.
Fragile, le fond est très fin et sensible aux poussières.


François Grieu