What is Cyber Forensics ? Part 28 Hard Disk Forensic . (Part 2) Hard Disk (bad Sector, slack space, firmware half or full damage )

Sector ဆုိတာ track ေပၚမွာ data ေတြသိမ္းဖုိ႕အတြက္ ဖြဲ႕စည္းထားတဲ့အေသးဆုံး physical storage ျဖစ္ပါတယ္။ အရင္ကေတာ့ sector တစ္ခုမွာ 512 (byte) ရွိေပမဲ့ ေနာက္ပုိ္င္း 2011 ေလာက္ကေန စၿပီး 4,096 bytes (4k) (Advanced Format ) စနစ္ ျဖစ္လာပါတယ္။

Bad sector ပ်က္စီးႏုိင္တာက စက္ရုံကေနထုတ္လုိက္ၿပီး သယ္ယူစဥ္ ထိမ္းသိမ္းထားစဥ္မွာ ပ်က္စီးျခင္း (အျဖစ္နည္းပါသည္)

head နဲ့ platter ၾကားမွာ အေၾကာင္းအမ်ဳိးမ်ဳိးေၾကာင့္ ဖုန္၀င္သြားတဲ့အခါ၊မွာ read/write head က platter ကုိ ျခစ္မိၿပီး Track ေပၚက sector မ်ား ပ်က္စီးႏုိင္ပါတယ္။

hard disk power on ေနတဲ့အခ်ိန္မွာ လြတ္က်တဲ့အခါ / ရုတ္တရက္ power Off သြားတဲ့ အခါမွာ sector မ်ား အမ်ားဆုံးပ်က္စီးႏုိင္ပါတယ္။arm နဲ့ platter ေတြ အေနထားမမွန္တဲ့အခါမွာ head က Platter ေပၚက Track လမ္းေၾကာင္းေပၚရွိ sector ေတြကုိ ျခစ္မိလုိ႕ bad sector ျဖစ္တတ္ပါတယ္။

ေနာက္တစ္ခ်က္က sector တစ္ခုျခင္းစီမွာပါတဲ့ ECC ပုိင္း ကေနfile ေတြကုိ error correction မလုပ္ႏုိင္တဲ့အခါမွာ ျဖစ္တတ္ပါတယ္. malware ေၾကာင့့္လဲ bad sector ျဖစ္ႏုိင္ပါတယ္။ အခု အခ်က္ ၂ ခ်က္ေၾကာင့္ bad sector ျဖစ္တာကေတာ့ data ေတြကုိ ၿပန္လည္ရယူဖုိ႕ အရမ္းမခက္ခဲပါဘူး။

ေနာက္ပုိင္း hard disk ေတြမွာ Hard disk Controller ကေန bad sector error ျဖစ္ေနတယ္လုိ သိရင္ bad ျဖစ္ေနတဲ့ sector ေတြကုိ မသုံးေတာ့ပါဘူး မေကာင္းေတာ့တဲ့ sector ေတြအစားသုံးႏုိင္ေအာင္ Reserved Sectors ေတြပါ၀င္လာပါတယ္။
====================================

Slack Space

Cluster ဆုိတာ ့hardisk ေပၚမွာ data သိမ္းဆည္းတဲ့ အငယ္ဆုံးေသာ logical storage unit တစ္ခုပါ။ data ေတြ track ေပၚက sector ေပၚမွာ တစ္ဆက္တည္း သိမ္းဆည္းပါတယ္။ အဲလုိ တစ္ဆက္စပ္တည္းျဖစ္ေနတဲ့ sector အစုအေ၀းကုိ cluster လုိ႕ေခၚပါတယ္။ HD ကုိ partation ပုိင္းတဲ့ အေပၚမူတည္ၿပီး cluster size အမ်ဳိးမ်ဳိးရွိႏုိင္ပါတယ္။ 4 sector ကုိ cluster တစ္ခု (သုိ႕) 64,128 ဆုိၿပီး ရွိနုိင္ပါတယ္။ cluster size ဆုိရင္ Eg= 4 x 4k(sector) = 1600 byte

ပုံထဲမွာေတာ့ sector 3 ခုေပါင္းၿပီး Cluster တစ္ခုအျဖစ္ ဥပမာ ဖြဲ႕စည္းထားပါတယ္။ 10000 bytes ရွိတဲ့ file တစ္ခုကုိ save မယ္ဆုိရင္ sector ၂ ခုနဲမေလာက္တဲ့ အတြက္ ေနာက္ sector ေပၚမွာပါ ထပ္ယူရပါတယ္။ cluster size က 12000 bytes ရွိတဲ့အတြက္ ပုိေနတဲ့ 2000 bytes က slack space ပါ။ ေနာက္ထပ္ file တစ္ခု save မယ္ဆုိရင္ ပုိေနတဲ့ 2000 bytes ကေန စၿပီး မသိမ္းေတာ့ပဲ။ ေနာက္ cluster တစ္ခုကေန စၿပီး သိမ္းမွာ ျဖစ္ပါတယ္။

ေနာက္ထပ္ ဥပမာ အေနနဲ႕ 10000 bytes ရွိတဲ့ file ကုိ cluster 2 ေပၚကေန ဖ်က္လုိက္ရင္ cluster 2 ေနရာက လြတ္သြားမွာျဖစ္ပါတယ္။ ေနာက္ထပက္ 9000 bytes ရွိတဲ့ file တစ္ခုကုိ ထပ္ၿပီး cluster 2 ေပၚမွာ သိမ္းလုိက္ရင္ ပုိေနတဲ့ 3000 bytes က slack space အျဖစ္က်န္ ေနမွာ ျဖစ္ပါတယ္။

ေတာ္ေတာ္မ်ားမ်ားေသာ paid forensics tools ေတြမွာ clone image (or) HD တပ္လုိက္ရင္ slack space ေတြပါ စစ္ေဆးမလားလုိ႕ choice ရပါတယ္။ အခ်ိန္ပုိမုိ ၾကာေပမဲ့ အခ်က္အလက္ ပုိမုိရႏုိင္ပါတယ္။

free ျဖစ္တဲ့ autopsy မွာဆုိရင္ slack space ကုိ သီးျခားခြဲၿပီး ၾကည့္ႏုိင္ပါတယ္။

====================================

HD firmware

HD firmware ဆုိတာ HD ရဲ႔ လုပ္ငန္းစဥ္ ေတြကုိ ထိန္းေက်ာင္းေပးတဲ့ software တစ္ခုျဖစ္ပါတယ္။ spin time , hade read/write , read write speen စတာေတြျဖစ္ပါတယ္ ။.

HD firmware ကုိ PCB (Printed Circuit Board) ေပၚမွာ တစ္ခုေတြ႔ႏုိင္ပါတယ္။ HD power on လုိက္တာနဲ႕ Spindle ေမာ္တာကုိ စလည္ဖုိ႕နဲ လည္ေနတဲ့ Platter ေပၚက အခ်က္အလက္ေတြကုိ ဘယ္ႏွဳန္းနဲ႕ ဖတ္ရမည္ဆုိၿပီး ညႊန္ၾကားခ်က္ ေပးပါတယ္။

ေနာက္တစ္ခုကေတာ့ service track ( အၿပင္ဘက္ဆုံး Track လမ္းေၾကာင္းေပၚမွာ ေရးထားတဲ့ firmware ပါ။ သူကေန microcode တစ္ခုကုိ ram ေပၚတင္ေပးပါတယ္။ ေပးလုိက္တဲ code ဟာ PCB ကေန ထုတ္ေပးလုိက္တဲ့ microcode နဲ့ ထပ္တူညီရမွာ ျဖစ္ပါတယ္။

တစ္စိတ္တစ္ပုိင္း ပ်က္စီးတဲ့ firmware ေတြကုိ ျပင္ဆင္လုိ႕ရႏုိင္ေပမဲ့ လုံး၀ပ်က္စီးေနတဲ့ firmware ကုိ ၿပင္ဆင္မယ္ ဆုိရင္ Special Recovery HD set ေတြ tools ေတြ လုိအပ္မွာ ျဖစ္ပါတယ္။

#computerforensics
#badsector #slackspace #firmware