Switch to full style
Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.
Publicar una respuesta

Vie May 29, 2009 5:16 pm

¿Quizas porque los 2 discos con LVM no fueron sobreescritos? ¿Sera por la redundancia de LVM?

Vie May 29, 2009 5:19 pm

Quizá. Será. Al menos ahora lo tengo claro. Gracias nen.

Dom May 31, 2009 7:37 pm

Ya he vuelto. Y ya que estoy aqui voy a aprovechar para dar una pequeña charla sobre la grabación en el disco,
tal como la veo yo.


Vlan7 escribió: Los discos actuales, al mas bajo nivel, se basan en procesos analogicos. Los discos
duros actuales no son codificados digitalmente como los que usabamos en 1996.

La evolución tecnológica en los dias actuales tiende mas bien a digitalizar todos los procesos
analógicos que no a
pasar uno digital hacia el reino analógico, mas dificil de controlar y cuantificar.

A parte de eso, no se si habrá llegado a existir nunca un disco puramente analógico, ya que el
almacenamiento de datos
en base magnética nació pensado precisamente para máquinas digitales, y ha de adaptarse a las
necesidades de ellas.

- "Pero en los artículos hablan de señales analógicas. Y lo dicen bien claro. ¿Que pasa?".

Bueno, bueno. Una cosa es que un dispositivo sea analógico, y otra que rompa las leyes de la
física para nuestra conveniencia.

Las cabezas r/w de los discos suelen ser dispositivos de naturaleza inductiva. Muchos emplean
bobinas, otros han
empleado inventos mas o menos raros, pero que al final han de acabar haciendo lo mismo que hace una
bobina. En mi explicación, para mayor claridad, y ya que no estoy versado en dispositivos exóticos,
tomaremos como ejemplo unas cabezas bobinadas.


Si tomamos un libro de física o de electricidad básica, veremos que las bobinas tienen un
comportamiento peculiar.
A causa del fenómeno llamado autoinducción (selfinduction), estudiado por los grandes físicos,
entre ellos
Michel Faraday, las bobinas presentan un desfase entre la tensión aplicada y la corriente que las
atraviesa, esto es,
la diferencia de tensión se establece casi al instante, pero la bobina se opone a los cambios en
su estado de uso,
ya sean a mas o a menos. (Las bobinas son muy "conservadoras" :-) ), por lo que la intensidad
subirá mas lentamente,
a medida que vaya venciendo esta oposición y creando el nuevo campo magnético hasta llegar al valor
elgido o al punto de saturación magnética, donde ya no acepta mas incrementos de corriente.
Esto quiere decir que si el campo magnético producido está en función de la corriente que atraviesa
la bobina y esta aumenta despacio el campo magnético no puede pasar "rápidamente" del 0 al 1 ni
saltar como un canguro

¡Vaya por Dios!. Nuestra bonita onda cuadrada con tanto esmero manejada acaba de quedar convertida
en una elegante rampa en curva!. :evil:

Asi vemos como la tensión 1a nos dará como resultado un campo magnético con la evolución 1b.
Imagen Fig. 1

-"Epa!, pero ¿y el final de la onda que?, si ya le he quitado la tensión ¿de donde quieres que se
alimente y produzca el campo?".

Ya hemos dicho que una bobina se opone tanto a la subida como a la bajada. El campo magnético
generado sirve
como su propia fuente de donde tomar energía. Hasta que no se disipe este no cesará la intensidad
circulante.
Es como un condensador pero en plan magnético.


Bien, pues ya tenemos nuestra onda mas o menos (des)cuadrada grabada en la superficie del plato.
Vamos a recuperarla.

En cuanto el entrehierro de nuestra bobina pasa por encima del campo magnético grabado el núcleo
es sometido
a los correspondientes cambios magnéticos, que como veíamos originan cambios eléctricos
equivalentes.
Nuestra señal eléctrica está de vuelta con nosotros. :-).
Pero oh! que te ha pasado hija!, si no parece la misma que envié a las cabezas del disco. (señal 1c)

Efectivamente, debido a los cambios por la impedancia, la reactancia, - y otros terminos ;-) - de la
bobina, la señal recuperada se parece mas a una senoide que a la onda cuadrada que le envió el
circuito de grabación.
Si a esto le añadimos que la transmisión de energía por acoplamiento magnético no es un prodigio
de eficiencia,
obtendremos que ademas de "abollada" ha vuelto pequeñísima y tendremos que tratarla con mucho
cuidado si no
queremos que se pierda entre el ruido eléctrico lo poco que ha vuelto.


Supongo que es por eso que con razón dicen que están tratando con señales analógicas y no digitales
ya que una senoide realmente no tiene demasiado de digital.
Y ahora que la hemos recuperado y amplificado, habrá que "escuadrarla" para que la reconozcan los
circuitos digitales antes de entregarla para su procesado.

__________________________________________________________________________________________________



Otra cosa que me ha gustado (y sobre la cual no había podido leer aún) es el cambio en la detección
de la señal, que a medida que va siendo mas rápida y corta se va haciendo mas dificil.

Vamos a suponer, - porque no tengo las proporciones ni valores - que en un disco antiguo la señal
recuperada del plato en un disco antiguo fuera mas o menos como la onda de la fig. 2a.

Imagen Fig. 2


Con el aumento de la densidad de datos, los campos están mas juntos y cuesta mas diferenciarlos,
y puede ser que hayan aumentado las inducciones parásitas captadas que se juntan al ruido eléctrico.
El aumento de velocidad también produce señales mas cortas que dejan menos tiempo de reacción a
las bobinas de las cabezas.
Esto y algún otro factor podrían llevar a una eventual disminución del nivel del pico registrado.
(onda 2b) (Se supone detección MFM sobre un disco actual)

Si añadimos a todo eso la aparición aleatoria de algún pequeño "spike" en la señal obtenida, el
cual ahora ya se iría pareciendo mas a un pico de señal, reconoceremos la buena idea de retocar
el sistema de recomocimiento de una señal auténtica. (onda 2c , (E)PRML sobre disco actual).



Y concluyo el tocho argumentando, con referencia al quote que abría el texto, que sin duda el
disco duro no es un dispositivo analógico, como un cassete.
Nació digital, siempre ha sido digital, y aún es digital. Al menos de cabezas para arriba.
Los "pequeños cambios y redondeos a la baja" que pueda tener durante su fase de existencia
magnética son inevitables, pero no desvirtúan que su fase activa como señal eléctrica se encuadra
netamente en lo digital.




He dicho!.

Lun Jun 01, 2009 4:17 am

Hola:

Interesante explicación... Para los que no han estudiado nada de electrónica analógica seguramente se les haga algo difícil de digerir... La verdad, a mi nunca me ha apasionado tanto como digital, más sencillo y más divertido...

Lo que sí, hay muchas cosas en común, en diferentes sistemas, a la hora de pasar "algo analógico" a digital...

Un saludo.

Mar Jun 02, 2009 5:35 pm

Pues animate, es solo cuestión de empezar. Se coje un libro básico y sencillito, (Como ¿La
electricidad?, pero
si es muy facil, o Fisica y elctrónica para todos), e ir leyendo. Se encuentran cositas muy
entretenidas e interesantes.

Aunque reconozco que yo lo he tenido mas fácil, pues empecé con la analógica, y para cuando empecé
a "digitalizarme" las bases de lo otro ya estaban puestas y funcionando.
Y aunque no sean conocimientos muy avanzados siempre me ha ido muy bien tenerlos a mano. Incluso
para el mundo digital.

Mié Jun 03, 2009 1:21 pm

Hola:

No, si yo ya he empezado con analógica... hace tiempo, cuando empecé a estudiar Telecomunicaciones :p

Pero rotundamente, no es lo mio, no me gusta. Auqnue es cierto que tengo una pequeña base sobre ella... ;)

Un saludo.

Mié Jun 03, 2009 10:47 pm

Joder Newhack, si que te lo curras tio... asi me he quedado :shock:

mas tareas pendientes pa la saca...

Jue Jun 04, 2009 6:15 pm

:) . Gracias.

Dom Nov 08, 2009 5:16 pm

¡Hola!

Buscando informacion sobre anti-forense, di con estos dos enlaces:

http://www.anti-forensics.com/disk-wiping-one-pass-is-enough

http://www.anti-forensics.com/disk-wiping-one-pass-is-enough-part-2-this-time-with-screenshots

Un saludo gente.

Dom Nov 08, 2009 6:22 pm

Me han parecido muy interesantes los dos enlaces.
Se agradece ;)

Dom Nov 08, 2009 8:20 pm

Gracias por el aporte, ya me los leeré, a ver si han aparecido cosas nuevas.
Publicar una respuesta