Podrobiony pendrive

Studium przypadku

Kolejny pendrive i kolejny ciekawy przypadek. Odzyskanie danych nie było możliwe, ale warto pokazać to jako przestrogę przed zakupem nośników poza oficjalną dystrybucją. Klient zakupił pendrive o deklarowanej pojemności 32GB na portalu aukcyjnym. Nagrał na niego materiał wideo i po pierwszym użyciu nośnik przestał funkcjonować poprawnie. Metodą odczytu po tzw. logice można było wykonać kopię nośnika – 32GB danych, większość wykonanego obrazu była jednak pusta. Pozostała metoda chip-off. Środek nośnika wzbudził już pierwze podejrzenia, bardzo rzadki kontroler MW8209E z jeszcze bardziej nietypową kością pamięci TY8A0A111162KC BGA107. Na kilka tysięcy przerobionych przypadków w końcu trafił się taki na którym mogliśmy przetestować adapter do tych kości 🙂 Pamięć przedstawiła się ID: 98 d1 90 15 76 14. Opracowaliśmy nowe parametry odczytu i okazało się że pamięć nie ma 32GB, tylko… 128MB ‼️ Klient nagrał na nośnik ponad 1GB danych, więc przekroczył rzeczywistą pojemność modułu pamięci i nośnik przestał działać. Na załączonym zdjęciu widzimy że adresacja przykładowego pliku wskazuje na obszar w okolicach 10GB. Ze względu na podrabiany nośnik Klient utracił dane bezpowronie. Nieprawdopodobne ile ktoś musiał włożyć wysiłku żeby podrobić dobrej jakości nośnik, który w detalu kosztuje 20PLN…