Conférence Acelab 2019 Prague - Atelier innovant issu de l'atelier de récupération de données

Acelab conference Prague 2019

Introduction aux nouvelles technologies et procédures de récupération de données à partir de disques durs tournants, de disques SSD, de cartes mémoire et de téléphones mobiles. 27 ans de développement et déjà 17ème conférence. Acelab est le leader de l'industrie et nous ne pouvions pas manquer la conférence.

Le mardi 26 avril, rendez-vous au Palais Cubex à Prague Pankrác, marqué par des innovations dans le domaine de la récupération de données à partir de supports de mémoire. La 17e Conférence Acelab, qui mettait l'accent sur les technologies de récupération de données à partir de disques durs modernes, de téléphones mobiles, de disques SSD, de mémoires flash NAND ou des APFS et partitions chiffrées, a commencé à 10 heures alors que les derniers participants conférence étaient arrivés et que la salle de conférence était presque pleine.

Au début, le modérateur a évoqué l'historique d'Acelab, qui remonte à 1992, et du premier testeur PC-2000, qui a été remplacé en 1994 par la série PC-3000. C'est ainsi que les produits Acelab sont étiquetés jusqu'à ce jour et incluent les derniers produits PC-3000 PORTABLE III ou PC-3000 MOBILE , présentés lors de la conférence de cette année.

Nouvelle version de PC-3000 Portable

Le premier des trois volets de la conférence était consacré au PC-3000 Portable III. Comme le nom du produit l'indique, il s'agit d'une solution particulièrement adaptée à la résolution des incidents de récupération de données directement sur place avec les clients. La possibilité de connecter jusqu'à 3 disques SATA III fait de ce puissant appareil un complément idéal au PC-3000 Express, ce qui sera apprécié par les professionnels de la récupération de données ainsi que par les experts légistes. Certaines fonctionnalités de l'appareil et du logiciel Data Extractor ont été présentées.

Un exemple de récupération de données à partir de nouvelles lignes de disques durs a été présenté. La marque Western Digital et sa famille de disques, appelée Palmer, est l’une des mises à jour du produit PC-3000 HDD (Express, UDMA, Portable). Un problème courant des disques WD avec leur ROM peut être résolu en ressoudant la ROM sur la carte du lecteur d'un donneur, ce qui augmente les risques que la récupération échoue en raison de la destruction de la ROM pendant le soudage. Cependant, les produits Acelab actuels vous permettent de lire la ROM des lecteurs Palmer directement à partir de la zone de service des lecteurs, puis d'accéder aux données utilisateur avec un "PCB spécial".

Dans la seconde moitié de la première partie de la conférence, un problème fréquent avec les disques Seagate et leur MediaCahce et de nouvelles extensions fonctionnant avec MediaCache incluses dans la dernière mise à jour du disque dur PC-3000 (Express, UDMA, Portable) ont été présentés. La mise à jour est disponible pour les clients Acelab à partir d'aujourd'hui.

Nouvelles de l'atelier Acelab - PC-3000 MOBILE

Un nouveau produit intéressant est le PC-3000 MOBILE, qui a été présenté aux visiteurs lors de la deuxième partie de la conférence. Roman Morozov a pris la parole et la présentation s'est concentrée sur les appareils Android avec eMMC (avec contrôleur + NAND) et les puces eMCP (avec contrôleur + NAND + RAM), qui peuvent notamment être utilisées avec un adaptateur universel auquel des réductions sont apportées pour une puce spécifique. Cela élimine le besoin de disposer d'une variété d'adaptateurs.

L’avantage indiscutable du PC-3000 MOBILE réside toutefois dans la possibilité (dans certains cas) de travailler avec un appareil mobile endommagé sans avoir à utiliser la méthode dite du "Chip-off". Le PC-3000 mobile fonctionne dans les modes suivants:



  • Utilisation d’une interface de périphérique standard, c’est-à-dire USB
  • JTAG pour les périphériques partiellement endommagés
  • Chip-off, c’est-à-dire lecture directe à partir d’une puce mémoire

Le système de fichiers du périphérique mobile est différent des systèmes de fichiers, comme par exemple les lecteurs flash. Certaines données sont stockées dans la base de données (contacts, SMS, journal du téléphone, etc.), d'autres sous forme de fichiers. C’est ici qu’intervient le logiciel PC-3000 MOBILE qui, à l'aide de fonctions avancées, peut analyser des données et les enregistrer sous forme de prévisualisation, d'exportation, ou directement sous forme de fichiers connus de tout utilisateur de smartphone, ainsi que dans un format conçu pour des enquêtes judiciaires approfondies.

Les puces UFS actuellement utilisées dans les appareils Android de classe supérieure seront utilisées par d'autres appareils à l'avenir, selon Aclab. Leur avantage indiscutable est leur vitesse nettement supérieure par rapport à celle des puces eMMC et eMCP et il est possible d’utiliser des capacités de puces plus importantes.

Les puces EZ NAND utilisées dans les appareils mobiles Apple plus anciens (version 6 et plus) et les puces NVMe utilisées dans les appareils mobiles Apple les plus récents (version 6S et ultérieures) n'ont été que marginalement mentionnées. Sur le site Acelab, nous pouvons lire que la prise en charge des appareils Apple est toujours en préparation. Nous allons donc probablement en apprendre davantage sur ces appareils lors d'une autre conférence Acelab. De même, ce sera probablement avec des puces UFS. Après tout, le PC-3000 MOBILE est toujours en développement et Acelab a présenté sa première mention de la solution lors de la conférence en 2017. Nous ne pouvons qu'espérer que les ingénieurs d'Acelab seront en mesure de relier le produit à la version de production à court terme.

Média Flash NAND

Une autre partie de la conférence portait sur les disques SSD. Dans l'introduction, Alexander Leonenko a évoqué le problème complexe des contrôleurs Marvell, notamment des disques SSD SanDisk dotés de commandes technologiques différentes, de facto pour chaque modèle. Les ingénieurs d'Acelab ont passé plus de 18 mois à développer et intégrer le support Sandisk dans les produits Acelab. La question de la récupération des données SanDisk SSD a également été évoquée lorsqu'il est nécessaire de lire directement la puce NAND, puis de reconstruire les données. Ce processus prend beaucoup de temps et une petite taille de bloc de disques modernes y contribue. La lecture de disques SSD de capacité courante peut prendre plusieurs dizaines d’heures et nécessite un ordinateur puissant. Le même contrôleur et des commandes technologiques similaires sont actuellement utilisés sur certains disques WD, en particulier la WD Blue série.

En rapport avec la récupération complexe des données des disques SSD SanDisk, on a également mentionné le cache SLC, dans lequel environ 10% des données avec lesquelles l'utilisateur travaillait sont stockées au moment de la défaillance du disque SSD en cours de d'exécution. Le cache SLC est similaire au cache MEDIA des disques magnétiques Seagate.

Après avoir montré comment travailler avec des disques SSD classiques, les disques SSD NVMe ont été présentés . En termes de récupération de données, il s’agit non seulement d’une interface différente, mais également d’autres protocoles de communication et commandes technologiques, c’est-à-dire le développement de facto et l’intégration du support de ces disques dans l'actuelle solution PC-3000 SSD.

APPLE HFS +, APFS, Fusion Dive, Reconstruction de lecteurs virtuels

Après une courte pause pour le déjeuner, la conférence s'est poursuivie avec d'autres sujets intéressants. La présentation a été faite par Alexander Leonenko. La troisième et dernière partie de la conférence était axée sur APFS (Apple File System) et Apple Fusion Drive avec HFS + et depuis peu avec APFS. Ces rubriques sont étroitement liées aux méthodes de cryptage et aux méthodes de récupération de données à partir de systèmes de fichiers cryptés corrompus d’Apple. En outre, de nouvelles méthodes de récupération de données à partir de lecteurs virtuels supprimés et de récupération de données à partir de systèmes de fichiers corrompus cryptés par Windows Bitlocker ont été expliquées.

APFS est un nouveau système de fichiers développé par Apple et principalement optimisé pour les supports de stockage Flash et les SSD. Il vient également avec une nouvelle méthode de cryptage des données et donc de nouveaux défis en matière de récupération de données

La méthode utilisée jusqu'à présent pour les périphériques Apple, lorsqu'une couche supplémentaire est ajoutée au système de fichiers HFS + existant - Filevault 2 - a été remplacée ou, pour le dire plus clairement, complétée par le cryptage des données au niveau du système de fichiers APFS.

Le jour de la conférence, de nouvelles mises à jour sont publiées par Acelab, où le support APFS est déjà inclus. La partition APFS se trouve maintenant dans le logiciel Data Extractor. La prise en charge APFS a également été ajoutée à la prise en charge du chiffrement existant avec Filevault, Bitlocker et Truecrypt.

Fusion Drive est un volume logique hybride à deux lecteurs (SSD et HDD classique) doté de la capacité des deux lecteurs. La vue de l'utilisateur est un lecteur unique. Le principal avantage de cette solution est l’accélération considérable de l’accès aux données fréquemment utilisées qui sont automatiquement transférées vers la partie SSD du volume. La première version de Fusion Drive a été introduite par Apple en 2012.

Avec l'avènement d'APFS, des modifications sont également apportées à l'utilisation des disques Fusion Drive. Comme mentionné ci-dessus, APFS est optimisé principalement pour une utilisation avec des disques SSD. Depuis macOS 10.14 Mojave, APFS peut également être utilisé dans Fusion Drive, une combinaison de SSD + HDD. APFS Fusion Drive fonctionne de manière différente avec les métadonnées sur les lecteurs de système de fichiers et le contenu des fichiers, ce qui signifie que des modifications sont nécessaires dans le domaine de la récupération des données.

La prise en charge de APFS Fusion Drive est également incluse dans la publication de la mise à jour logicielle de Data Extractor. Cependant, vous devez posséder une licence Data Extractor Raid Edition.

Reconstruction de lecteurs virtuels supprimés lorsque les données du lecteur virtuel sont fragmentées

Dans le domaine de la récupération données à partir du support de stockage, l'un des points intéressants est l'extracteur de données implémenté et le processus de reconstruction des lecteurs virtuels supprimés / perdus .

La méthode standard de récupération d'un disque virtuel (si les métadonnées de position de disque virtuel sont perdues) consiste à utiliser RAW. Mais le problème se pose lorsque les données des lecteurs virtuels sont fragmentées. Pour ces cas, Acelab a mis en place des procédures supplémentaires qui peuvent considérablement réduire le travail des professionnels de la récupération de données. Les nouvelles procédures ajoutées vous permettront de rechercher et d’utiliser automatiquement des résultats RAW non ambigus et de reconstruire la carte de disque virtuel en les utilisant. La nouvelle fonctionnalité utilise la détection des fichiers jpg, jpeg, png, rar, zip, doc, docx, xls et xlsx.

Comme l'a souligné Alexander Leonenko lors de la conférence, cette méthode peut ne pas toujours être applicable. Par exemple, si un disque virtuel contient des fichiers spécifiques et moins communs, la méthode ne fonctionnera pas car elle utilise les fichiers ci-dessus pour la détection.

Nouveau moyen de récupérer des données à partir de partitions chiffrées par Bitlocker

La dernière partie de la conférence était dédiée à la récupération de données à partir de partitions indisponibles chiffrées avec Bitlocker. Bitlocker stocke les méta-informations au début de la partition sous forme non chiffrée et peut être utilisé pour identifier la partition et la trouver à l'aide de RAW. Cette fonctionnalité a également été implémentée dans le logiciel Data Extractor et est disponible le jour de la conférence dans les mises à jour publiées. Outre la recherche de partition elle-même, la fonctionnalité de déchiffrement AES-XTS a été ajoutée directement dans Data Extractor. Bien entendu, cette fonctionnalité n'est pas absolument nécessaire, mais dans certains cas, par exemple, si un client est pressé, cela peut être utile.

À la fin de la conférence - un tirage au sort

Après la conférence, il y avait une petite diversification en attente pour les participants - sous la forme d'un tirage au sort. Le prix principal était un microscope électronique.

La conférence a certainement été, non seulement pour nous, une source très utile de nouvelles informations et de nouveaux contacts commerciaux. Merci à tous les Acelab qui ont participé à la conférence et nous sommes impatients de vous revoir en 2020!

 

 

Auteur: Frantisek Fridrich, Exalab Luxembourg