[Sor_Zitroën]

Hola!

a todos nos suenan herramientas como dd o dd_rescue/ddrescue, entre otras cosas por el genial post que se curró Arakiss sobre herramientas interesantes para forense

Siempre se comenta que dd es para trabajar con discos que no tengan errores y dd_rescue/ddrescue para aquellos con sectores estropiciados. Pero creo que decir eso es quedarse corto, por lo tanto comento las diferencias que veo entre estos comandos después de lo que he estudiado, y a ver qué podéis aportar.

Lo primero comentar que cuando se habla de bloques con este tipo de herramientas, es necesario saber que no es el mismo concepto de bloque que el de un sistema de ficheros. En ese caso éstos se utilizan para contener datos, y con herramientas del tipo dd hace referencia a una agrupación de sectores con la que se trabaja al mismo tiempo, independientemente de lo que contengan (gestor arranque, tabla de particiones, metadatos del sistema de ficheros, datos, etc).


Y las diferencias que yo veo son las siguientes:

Tal y como se comenta en el manual de ddrescue, la diferencia respecto a otros software como dd_rescue de Garloff, estriba en que este software trabaja de forma intensiva cuando se encuentra errores. En cambio ddrescue se preocupa primero por recuperar la máxima cantidad de datos posible, volviendo después a los bloques que contienen sectores erróneos para recuperar tanto como sea posible. En resumen dd_rescue de primeras trabaja con las zonas erróneas que se va encontrando, pudiendo repercutir esto de forma negativa en el disco. Ddrescue en cambio salva todo lo posible antes, y luego se centra en las zonas dañadas.

La diferencia entre dd y ddrescue cuando se trabaja con discos con errores, es que el primero con las opciones conv=noerror,sync escribe ceros al encontrarse con un bloque con sectores dañados y no se detiene en la lectura de los mismo. Es decir, se escriben tantos ceros como tamaño de bloque se haya indicado con la opción bs. Ddrescue en cambio opera a nivel de sector cuando trabaja con bloques dañados, por lo tanto recupera la máxima información posible.

Éstas son las conclusiones que he sacado. Si estoy en un error corregidme y si me he dejado cosas, ampliádlo.
Por otro lado, me he redactado un mini mini HOWTO de qué hacer con un disco con sectores erróneos, porque en esos momentos no se suele pensar con mucha claridad. Si a alguien le interesa que avise

Saludos

[Newhack]

Por otro lado, me he redectado un mini mini HOWTO de qué hacer con un disco con sectores erróneos, porque en esos momentos no se suele pensar con mucha claridad. Si a alguien le interesa que avise

Si, ¿porque no?, incluyelo. Sobre todo en mi caso, que ya sabes que yo trabajo con un geriatrico de discos jubilados, y esto a veces da sorpresas.

Y también es casualidad, porque acabo de subir a mi espacio en red un par de imágenes para un tip de "resucitación" de discos que posiblemente
publique en mi próxima sesión.

¿Hacemos trato?.

[Sor_Zitroën]

Trato hecho, aquí lo tienes

Pasos:

1) desmontar los sistemas de ficheros que contengan las particiones/discos que se vayan a copiar. Sino, se podrían escribir datos mientras se realiza el clonado, de forma que la copia contenga un sistema de ficheros corrupto (por ejemplo, una parte de un fichero es la original y otra contiene datos modificados).

2) Ejecutar ddrescue en dos pasadas, de forma que la primera sólo recupera los bloques que no contenga sectores defectuosos y el segundo se centre en recuperar el máximo de los defectuosos. Esto permite que cuando acabe el primer comando (primera pasada) tengamos buena parte de los datos recuperados. En el primer comando se reliza copia de gran cantidad de datos, pero el segundo resulta también costoso al trabajar con sectores dañados:

Código: Seleccionar todo

# ddrescue -v -n /dev/sda /dev/sdb log_ddrescue.txt

NOTA: con -b se puede indicar el tamaño de bloque para acelerar el clonado de datos. Según cgsecurity es adecuado trabajar con bloques de 256k-500k

Código: Seleccionar todo

# ddrescue -v -r2 -d /dev/sda /dev/sdb log_ddrescue.txt

NOTA: en este comando no tendría sentido indicar un tamaño de bloque, ya que ddrescue cuando trabaja con bloques que contienen sectores dañados lo hace sector a sector.


3) Finalmente se intentan solventar incoherencias en los sistemas de ficheros recuperados mediante fsck

[Newhack]

Y este es el mio.

viewtopic.php?f=17&t=6213

[Sor_Zitroën]

Ahí, ahí, cumpliendo la palabra

[Jeyko]

Yo antes de utilizar dd_rescue suelo tratar de ver un poco el tipo de error que da el disco duro y si se puede reparar o mejorar un poco el error. Hay muchas técnicas, desde utilizar en congelador hasta cambiar la controladora... aquí tenéis un buen puñado de técnicas para reparar discos duros dañados http://cursohacker.es/solucion-reparar-disco-duro. Con esto aumentas significativamente las probablidades de éxito.

Un saludo.

[Newhack]

Vaya, esto de congelarlo lo había oido para baterias de portátil, pero no para discos.
Bueno, ahora que recuerdo, había un metodo algo asi para sectores erroneos en floppys, pero para
discos duros no lo había oido.
Una cosa mas a probar.

Lo de cambiarlo de posición me ha hecho gracia porque en algún caso aislado yo también lo habia observado.
Y pensaba "vaya disco caprichoso". pero parece que de vez en cuando debe suceder.

Gracias por el enlace, y se bienvenido.