diferencias dd/dd_rescue/ddrescue

Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.

Moderador: Moderadores

diferencias dd/dd_rescue/ddrescue

Notapor Sor_Zitroën » Dom Mar 06, 2011 11:32 am

Hola!

a todos nos suenan herramientas como dd o dd_rescue/ddrescue, entre otras cosas por el genial post que se curró Arakiss sobre herramientas interesantes para forense :)

Siempre se comenta que dd es para trabajar con discos que no tengan errores y dd_rescue/ddrescue para aquellos con sectores estropiciados. Pero creo que decir eso es quedarse corto, por lo tanto comento las diferencias que veo entre estos comandos después de lo que he estudiado, y a ver qué podéis aportar.

Lo primero comentar que cuando se habla de bloques con este tipo de herramientas, es necesario saber que no es el mismo concepto de bloque que el de un sistema de ficheros. En ese caso éstos se utilizan para contener datos, y con herramientas del tipo dd hace referencia a una agrupación de sectores con la que se trabaja al mismo tiempo, independientemente de lo que contengan (gestor arranque, tabla de particiones, metadatos del sistema de ficheros, datos, etc).


Y las diferencias que yo veo son las siguientes:

    Tal y como se comenta en el manual de ddrescue, la diferencia respecto a otros software como dd_rescue de Garloff, estriba en que este software trabaja de forma intensiva cuando se encuentra errores. En cambio ddrescue se preocupa primero por recuperar la máxima cantidad de datos posible, volviendo después a los bloques que contienen sectores erróneos para recuperar tanto como sea posible. En resumen dd_rescue de primeras trabaja con las zonas erróneas que se va encontrando, pudiendo repercutir esto de forma negativa en el disco. Ddrescue en cambio salva todo lo posible antes, y luego se centra en las zonas dañadas.


    La diferencia entre dd y ddrescue cuando se trabaja con discos con errores, es que el primero con las opciones conv=noerror,sync escribe ceros al encontrarse con un bloque con sectores dañados y no se detiene en la lectura de los mismo. Es decir, se escriben tantos ceros como tamaño de bloque se haya indicado con la opción bs. Ddrescue en cambio opera a nivel de sector cuando trabaja con bloques dañados, por lo tanto recupera la máxima información posible.


Éstas son las conclusiones que he sacado. Si estoy en un error corregidme y si me he dejado cosas, ampliádlo.
Por otro lado, me he redactado un mini mini HOWTO de qué hacer con un disco con sectores erróneos, porque en esos momentos no se suele pensar con mucha claridad. Si a alguien le interesa que avise :)

Saludos
Última edición por Sor_Zitroën el Dom Mar 06, 2011 11:33 pm, editado 1 vez en total
[Padre] ¿Crees en el fracaso?
[Hijo] Sí
[Padre] Entonces lo experimentarás
Avatar de Usuario
Sor_Zitroën
-<|:·þ
-<|:·þ
 
Mensajes: 2064
Registrado: Vie Nov 25, 2005 2:01 am

Re: diferencias dd/dd_rescue/ddrescue

Notapor Newhack » Dom Mar 06, 2011 7:54 pm

Sor_Zitroën escribió:Por otro lado, me he redectado un mini mini HOWTO de qué hacer con un disco con sectores erróneos, porque en esos momentos no se suele pensar con mucha claridad. Si a alguien le interesa que avise
:)
Si, ¿porque no?, incluyelo. Sobre todo en mi caso, que ya sabes que yo trabajo con un geriatrico de discos jubilados, y esto a veces da sorpresas.

Y también es casualidad, porque acabo de subir a mi espacio en red un par de imágenes para un tip de "resucitación" de discos que posiblemente
publique en mi próxima sesión.

¿Hacemos trato?. ;)
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1871
Registrado: Jue Dic 20, 2007 7:36 pm

Re: diferencias dd/dd_rescue/ddrescue

Notapor Sor_Zitroën » Dom Mar 06, 2011 11:41 pm

Trato hecho, aquí lo tienes ;)

Pasos:

1) desmontar los sistemas de ficheros que contengan las particiones/discos que se vayan a copiar. Sino, se podrían escribir datos mientras se realiza el clonado, de forma que la copia contenga un sistema de ficheros corrupto (por ejemplo, una parte de un fichero es la original y otra contiene datos modificados).

2) Ejecutar ddrescue en dos pasadas, de forma que la primera sólo recupera los bloques que no contenga sectores defectuosos y el segundo se centre en recuperar el máximo de los defectuosos. Esto permite que cuando acabe el primer comando (primera pasada) tengamos buena parte de los datos recuperados. En el primer comando se reliza copia de gran cantidad de datos, pero el segundo resulta también costoso al trabajar con sectores dañados:

Código: Seleccionar todo
# ddrescue -v -n /dev/sda /dev/sdb log_ddrescue.txt

NOTA: con -b se puede indicar el tamaño de bloque para acelerar el clonado de datos. Según cgsecurity es adecuado trabajar con bloques de 256k-500k


Código: Seleccionar todo
# ddrescue -v -r2 -d /dev/sda /dev/sdb log_ddrescue.txt

NOTA: en este comando no tendría sentido indicar un tamaño de bloque, ya que ddrescue cuando trabaja con bloques que contienen sectores dañados lo hace sector a sector.


3) Finalmente se intentan solventar incoherencias en los sistemas de ficheros recuperados mediante fsck
[Padre] ¿Crees en el fracaso?
[Hijo] Sí
[Padre] Entonces lo experimentarás
Avatar de Usuario
Sor_Zitroën
-<|:·þ
-<|:·þ
 
Mensajes: 2064
Registrado: Vie Nov 25, 2005 2:01 am

Re: diferencias dd/dd_rescue/ddrescue

Notapor Newhack » Mar Mar 08, 2011 7:20 pm

Y este es el mio. :)

viewtopic.php?f=17&t=6213
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1871
Registrado: Jue Dic 20, 2007 7:36 pm

Re: diferencias dd/dd_rescue/ddrescue

Notapor Sor_Zitroën » Mar Mar 08, 2011 8:05 pm

Ahí, ahí, cumpliendo la palabra :lol:
[Padre] ¿Crees en el fracaso?
[Hijo] Sí
[Padre] Entonces lo experimentarás
Avatar de Usuario
Sor_Zitroën
-<|:·þ
-<|:·þ
 
Mensajes: 2064
Registrado: Vie Nov 25, 2005 2:01 am

Re: diferencias dd/dd_rescue/ddrescue

Notapor Jeyko » Mar Sep 30, 2014 12:01 am

Yo antes de utilizar dd_rescue suelo tratar de ver un poco el tipo de error que da el disco duro y si se puede reparar o mejorar un poco el error. Hay muchas técnicas, desde utilizar en congelador hasta cambiar la controladora... aquí tenéis un buen puñado de técnicas para reparar discos duros dañados http://cursohacker.es/solucion-reparar-disco-duro. Con esto aumentas significativamente las probablidades de éxito.

Un saludo.
Jeyko
:-)
:-)
 
Mensajes: 3
Registrado: Lun Sep 29, 2014 11:58 pm

Re: diferencias dd/dd_rescue/ddrescue

Notapor Newhack » Jue Oct 02, 2014 6:16 pm

Vaya, esto de congelarlo lo había oido para baterias de portátil, pero no para discos.
Bueno, ahora que recuerdo, había un metodo algo asi para sectores erroneos en floppys, pero para
discos duros no lo había oido.
Una cosa mas a probar. :)

Lo de cambiarlo de posición me ha hecho gracia porque en algún caso aislado yo también lo habia observado.
Y pensaba "vaya disco caprichoso". pero parece que de vez en cuando debe suceder.

Gracias por el enlace, y se bienvenido.
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1871
Registrado: Jue Dic 20, 2007 7:36 pm


Volver a Análisis Forense

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado