Po dłuższej przerwie wracamy do tematu ukrytych/skasowanych partycji. Rozpoczęliśmy od charakterystyki dysku twardego i jego podziału na partycje. W drugiej części skupiliśmy się na przypadkach, kiedy partycja została usunięta z dysku twardego tak, aby utrudnić nam znalezienie plików na niej się znajdujących. Dzisiaj zajmiemy się przypadkiem, kiedy użytkownik komputera wykazał się większym zaangażowaniem i nie poprzestał jedynie na usunięciu partycji (skasowanie wpisu w tabeli partycji), ale również albo rozszerzył obszar innej istniejącej na dysku partycji tak, aby obejmowała ona obszar partycji skasowanej, albo utworzył nową w celu nadpisania nią skasowanej partycji.

W którejkolwiek z powyższych sytuacji odzyskanie danych może być utrudnione. Dostępność danych znajdujących się uprzednio na dysku zależy od czasu, jaki upłynął od takiego działania (skasowania partycji) oraz aktywności użytkownika komputera od tego czasu. Ponieważ obszar skasowanej partycji został na nowo udostępniony do zapisu danych, działanie systemu operacyjnego oraz wszelkie nowe pliki pojawiające się w systemie mogą zostać zapisane w sektorach, w których wcześniej były zapisane pliki znajdujące się na usuniętej partycji. Dlatego przystępując do naszych działań musimy być tego świadomi i liczyć się z tym, że dane nie będą już dostępne.

Wyszukiwanie partycji

W każdym przypadku, kiedy nie jesteśmy w stanie zlokalizować początku skasowanej partycji (czy to w opisanej wyżej sytuacji, czy w przypadku przedstawionym w poprzedniej części) możemy zawsze wyszukać słów charakterystycznych dla VBR, które są powiązane z nazwą OEM vendor name. Najczęściej spotykane wartości, których możemy szukać to:

• MSWIN4.1
• MSDOS5.0
• NTFS

Inne możliwe wartości, z których większość jest raczej niespotykana to (IBM 3.3, DRDOS7, MSDOS3.3, NWDOS7.0, BOOT MGR, IBM 10.0, IBM 20.0, OS2 20.0, IBM 4.0, IBM 5.0, IBM 6.0, IBM 7.0, PARAGON, DLDOS5.0, DLDOS6.0, UNIX-xx (większość dostawców systemów UNIX), MSWIN4.0).

Po przeszukaniu całego obszaru dysku, podczas analizy wyników, interesowały nas będą jedynie te sektory, w których znalezione słowo zaczyna się na pozycji Sector Offset 3 oraz ostatnie dwie wartość hex w danym sektorze to 55 AA (sygnatura VBR). W przypadku identyfikacji takiego wpisu, w aplikacji EnCase możemy dodać partycję wykonując kroki opisane w poprzedniej notce.

Nadpisane dane

Po odtworzenie partycji w oparciu o zidentyfikowany sektor VBR może się okazać, że część (lub wszystkie) pliki, dla których istnieją wpisy w tabeli systemu plików (np. MFT lub FAT) są nadpisane i nie jesteśmy w stanie zobaczyć ich zawartości. Możemy również nie odnaleźć żadnego śladu istnienia wcześniejszych partycji. W takim przypadku, jeżeli ostatecznie zależy nam na odnalezieniu plików, które znajdowały się wcześniej na dysku, możemy, a nawet musimy skorzystać z funkcji carving, czyli spróbować wyszukać plików w obszarach takich jak np. unallocated space czy file slack. Ale to… to już zupełnie inna historia, do której wkrótce wrócimy.