miércoles, 29 de agosto de 2012

HACKING DE HDD DE UN TOSHIBA SATELLITE PRO T110-11M PROTEGIDO MEDIANTE PASSWORD DE BIOS Y DE DISCO DURO NO CONOCIDOS CON EL FIN DE REALIZAR "COMPUTER FORENSICS"

HARDWARE:
• Notebook Toshiba Satellite Pro T110-11M
• HDD: Toshiba MK3263GSX (HDD2H23 V UL01 T) 320GB

CLONADO:
• El disco es inaccesible a través de la herramienta para la copia y adquisición de imágenes "Image Masster Solo III Forensic"
• El intento de realizar la clonación a través de distintas herramientas de adquisición lógica forensics dan el mismo resultado de imposibilidad de acceder al sistema de particiones del disco y ni siquiera al disco físicamente.
• La tecnología del equipo como la del disco duro así como el resultado de las pruebas de adquisición es compatible con protección de Password de HDD.

PRUEBAS NEGATIVAS ANULACIÓN DE LA SEGURIDAD:
• El intento de acceder a la BIOS Phoenix SecureCore del equipo para ver las opciones de seguridad es infructuoso por tener el equipo activado protección de acceso a la BIOS por password tanto como usuario como administrador.
• La prueba de las distintas contraseñas por defecto de la marca Toshiba así como las de la BIOS Phoenix es infructuosa.
• Se adquiere un disco similar a la evidencia Toshiba MK3263GSX (HDD2H23 V UL01 T) 320GB si bien aunque el PBC es a simple vista idéntico presenta en la placa base alguna diferencias de referencias impresas:

- en la evidencia
(G002439-0A) (FKN79A A002439-0 A) (MDK339V-0W)

- en el adquirido
(G002439-0A) (FKN79A A002439-0 A) (HannStar JMV-6 96V-0)
• El intercambio de PBC entre los dos HDD hacen ambos inaccesibles al intentar el montaje con sonidos propios de no acceso correctamente a los platos del disco.

HACKING:
• Se resetea el password de la BIOS del equipo a través de cortocircuitear el jumper G1 20 segundos (accesible al despegar la pegatina detrás de la RAM) con el equipo conectado a corriente y el otro extremo del cable al punto de soldadura lateral.


• Una vez eliminado el password de administración de la BIOS del equipo se debe proceder a eliminar la contraseña del disco duro.
• Se examina el disco a analizar el cual tiene activada la protección HDD/SSD Password Select: "User Only" no siendo posible acceder a la opción HDD/SSD Password Select.
• Se cambia el disco analizar por el adquirido, el cual evidentemente no está protegido, y ahora ya es posible acceder a esa opción activando en HDD/SSD Password Select: "User+Master".
• Después se accede a Master Password y en este status que nos pide que entremos la contraseña, desconectamos el HDD en caliente del equipo y conectamos el disco evidencia.


• Activamos un Master Password cualquiera contestándonos que los cambios han sido guardados.

• Accedemos de nuevo Master Password y cambiamos la contraseña dando a ENTER sin introducir ningún valor en los tres campos contestándonos que los cambios han sido guardados.
• Ahora se accede a HDD/SSD Password Select seleccionando: "User Only".
• Y ahora en User Password nos presentará la posibilidad de entrar el password que queramos, damos al ENTER sin introducir ningún valor y nos dará cambio realizado y ya tenemos el disco duro sin protección.


• En este punto desconectamos el disco y ya lo tenemos preparado para poder realizar con el clonado con la herramienta que queramos, dado que las particiones del mismo ya serán visibles y accesibles.

11 comentarios:

Abraham Pasamar dijo...

Interesante artículo. Mucho ánimo con el blog, mejor ir poco a poco que salir con fuerza y desinflarse :)

Carlos Alberto Ortiz Garcia dijo...

Hola disculpa tiene que ser en una laptop toshiba forzosamente o puede ser en otra ya que cuento con el disco duro toshiba pero no con la laptop...

Juan Carlos Ruiloba dijo...

Hola Carlos, yo lo realice con la misma Notebook que activó el cifrado del disco Toshiba. Aunque el control de la clave para el descifrado se guarde en el disco, la laptop y sobre todo el firmware del BIOS de la misma debe ser compatible con la gestión de discos protegidos por contraseña para poder gestionarlo. Asi que si tu no puedes tener acceso al Notebook original intenta realizar el proceso con uno del mismo modelo o compatible y si al conectar el HDD protegido te pide la contraseña de disco probablemente podrás acceder al mismo a través de las instrucciones que he puesto en el Post.

irvin dijo...

Hola tengo una toshiba l505 que tiene proteccion en el disco hice lo que dijiste peor no funciono le conecte el disco sin contraseña despues cuando accedo a colocar la contraseña le desconecto y conecto le que si tiene contraseña y coloco una contraseña y si deja pero jamas me dice cambios guardados y segui los pasos que me diste me puede ayudar algo que no este haciendo bien? porque siempre me pide la password

Juan Carlos Ruiloba dijo...

Hola Irvin,

Prueba en ponerle una contraseña al disco nuevo que conozcas antes de realizar el acceso al disco que no conoces y mira si te aparece: "Cambios han sido guardados". Si es asi comprueba si te guarda los cambios en ese HD, en caso de que tampoco te guarde los cambios puede que sea un problema de incompatibilidad del disco que tenga un firm no compatible.

Si te lo guarda con el disco nuevo intenta realizarlo accediendo con el disco nuevo protegido e intenta cambiar el password del que quieres resetear a uno nuevo, si ahora ya te aparece "changes have been saved" prosigue con el reseteo del mismo.

Otra de las posibles causa de que no te funcione es si el firmware del BIOS o de ese modelo de HD sea incompatible a este hack.

marc dijo...

Buenas, lo he intentado varias veces pero cuando hago el hotswapping (cuando inserto el disco duro original) el equipo se me apaga.
Hay algún truquillo para que no se apague?

Juan Carlos Ruiloba dijo...

El cambiar un disco duro SATA en caliente es una característica de esta tecnología, no debiera apagarse el equipo salvo que al contectarlo hiciera un mal contacto. Prueba desconectar en caliente el disco nuevo y volverlo a conectar y si no tienes problemas entonces es que los pines de contacto del disco original tienen juego y en algún momento debe cortocicuirtearse alguno. Intenta conectarlo de la forma más paralela posible al lateral inferior del disco

marc dijo...

Hola Juan, eso es lo que suponía, lo he conseguido un par de veces más siendo cauteloso.

Ahora mi problema es que no me funciona el paso de eliminar el Master password.. Tu escribiste esto:
Accedemos de nuevo Master Password y cambiamos la contraseña dando a ENTER sin introducir ningún valor en los tres campos contestándonos que los cambios han sido guardados.

Es correcto eso de los 3 campos vacíos? Yo lo que hago es poner de contraseña 12345, y luego cuando la pongo en Old password no me la acepta y al cabo de un par de intentos me apaga el equipo con "System disabled [numero]"

Juan Carlos Ruiloba dijo...

Como en la pantalla de Master Password sigue pensando que es el primer disco (el que no tenía password) cuando le decimos la segunda vez cambiar el password tenemos que poner todos los valores en blanco (old password)y luego la nueva contraseña también en blanco (para dejarlo sin contraseña), luego mira si ya puedes acceder de HDD/SSD Password al campo: "User Only" y alli también dejarlo en blanco para resetear el password

manuel alvarado dijo...

interesante, pero muy enredoso... no tendra un videotutorial ?? gracias :D

gusdelfin dijo...

Esta es la solucion correcta y simple de desbloqueo de HDD toshiba 320GB.
Voy a intentarlo y luego comento resultados.
Gracias

Web Statistics