Archivi tag: dd

QNAP Formatting failed(Cannot unmount disk)

In un NAS QNAP ho dovuto aggiungere due hard disk da 4 TB.

Dopo aver inserito il primo, ho notato che la formattazione manuale falliva. Accedendo ai System Logs ho trovato le seguenti righe:

... 19:37:17 [Single Disk Volume: Drive 1] Formatting failed(Cannot unmount disk).
... 19:37:15 [Single Disk Volume: Drive 1] Formatting failed.
... 19:37:13 [Single Disk Volume: Drive 1] Start formatting.

Per risolvere il problema ho:

  • spento il NAS
  • staccato il primo disco nuovo che avevo inserito
  • collegato tale disco ad un altro PC utilizzando un adattatore USB
  • avviato quel PC con una distribuzione di Linux (ho usato una versione live di Ubuntu)
  • avviato il programma GParted Partition Editor
  • cancellato tutte le partizioni dal disco finché non ho visto tutto lo spazio “unallocated”
  • avviato il Terminal e lanciato il comando (ATTENZIONE: USATE QUESTO COMANDO SOLO SE SAPETE COSA STATE FACENDO, altrimenti rischiate di effettuare cancellazioni non volute. Dovete modificare /dev/sdb in base a come viene visto il vostro disco esterno. Lo vedete comodamente su GParted):
sudo dd if=/dev/zero of=/dev/sdb bs=446 count=1
  • smontato il disco dal PC e montato sul NAS
  • effettuato le stesse operazioni sull’altro disco nuovo che dovevo inserire e l’ho montato sul NAS
  • acceso il NAS

Entrambe le formattazioni sono avvenute con successo. Questo il risultato dei log:

23:17:26 [Single Disk Volume: Drive 2] Formatting completed.
23:08:32 [Single Disk Volume: Drive 2] Start formatting.
23:05:15 [Single Disk Volume: Drive 2] Start initialization.
22:54:03 [Single Disk Volume: Drive 1] Formatting completed.
22:43:47 [Single Disk Volume: Drive 1] Start formatting.
22:40:25 [Single Disk Volume: Drive 1] Start initialization.
22:34:32 Drive 2 plugged in.
22:00:24 Drive 1 plugged in.

Digital Forensics tools

  • Autopsy \”[…] The Autopsy Forensic Browser is a graphical interface to the command line digital investigation tools in The Sleuth Kit […]\”
  • Sleuthkit \”[…] is a library and collection of command line tools that allow you to investigate volume and file system data\”
  • Foremost (for file carving)
  • sha256deep command (to compute file hash)
  • grep command (to search keywords)
  • awk command (to analyse the output)
  • sed command (to analyse the output)
  • dd command

Forensics Wiki Tools

Sovrascrivere un hard drive con \”zero\”

Volete cancellare il vostro hard drive? Lo volete \”sterilizzare\” prima di una digital investigation? Con il semplice comando dd (o dd_rescue) inserirete sul disco il pattern 0x00 dal primo settore alla fine del disco:

dd if=/dev/zero of=/dev/<nome_device> bs=2048

oppure:

dd_rescue /dev/zero /dev/<nome_device>

Al posto di <nome_device> inserire il device corretto (hda, sda,…). Per verificare la completa sovrascrittura potete usare il comando:

dd if=/dev/hdYY | xdd | grep -v \"0000 0000 0000 0000 0000 0000 0000 0000\"

Con l\’opzione -v (invert-match) di grep si cerca qualsiasi riga non contenente tutti \”0\”.