In letzter Zeit hatten wir einige USB Sticks zu bearbeiten, bei denen ein PHISON Controller mit der Bezeichnung “PS2251″ verbaut ist. Eigentlich ein alter Bekannter, jedoch zeigte sich schnell, dass wir in den meisten Fällen zwar die Verzeichnisstruktur rekonstruieren konnten, jedoch die Dateien fast ausnahmslos defekt waren.
Grund dafür war ein neuer XOR-Algorithmus, den der Hersteller einsetzte.
Wir mussten feststellen, dass wir mit den bekannten Algorithmen nur Teile der Datenblöcke entschlüsseln konnten. Somit hatten wir auch dir Ursache gefunden, die für eine funktionierende Verzeichnisstruktur und scheinbar ordentlich gerettete Dateien verantwortlich war.
Die jeweils ersten Blöcke der Dateien waren richtig entschlüsselt, somit auch die “magic bytes” (die Dateisignatur). Jedoch war der Rest der Daten noch immer unvollständig entschlüsselt.

Die Dateisignaturen sind für Datenretter und auch Forensiker enorm wichtig, da sich oft Daten nur noch anhand ihrer Signaturen identifizieren lassen.

FF D8 FF E0 ist der Hex-Code für die Signatur einer JPEG Datei.
Diese Signatur markiert den Beginn einer JPEG Datei, der Code FF D9 markiert das Ende einer JPEG Datei.

In unserem Beispiel war die Signatur also entschlüsselt, die Endmarkierung (und ein großer Teil des Bildes) waren nicht vorhanden.

Mittlerweile sind wir in der Lage, diese “Datenfalle” zu umgehen und die Datenstruktur vollständig zu entschlüsseln.