Memento Digitale

26 agosto 2016

Come sopravvivere alle Fake USB


Chiavette USB finte. Già. Esistono.
Non parlo delle chiavette modificate per friggervi i computer (nonostante esistano), e nemmeno di quelle pennette anonime spacciate per prodotti di marca.
Le Fake USB delle quali parlo sono quelle modificate per risultare molto più capienti di quanto siano in realtà.

Avete presente quando su Aliexpress/Ebay/Amazon Marketplace et similia troviamo una chiavetta USB da 64GB a 4€ (spedizione inclusa), e sembra troppo bello per essere vero? Appunto, non lo è.

Da quanto ho capito, l'inghippo è il seguente: vengono prese pennette con memory chip da 1 GB (se proprio siamo sfigati) a 16 GB (se invece siamo fortunelli) e ne viene modificato il firmware del controller chip, di modo che le pennette una volta inserite in un dispositivo vengano riconosciute con una capienza maggiore di quanto il memory chip invece non sia.

Pare esista anche la possibilità che controller chip di chiavette dalle grosse dimensioni vengano smontate da unità difettose e riciclate su pennette con memory chip di infime dimensioni.
Il risultato è che quella chiavetta da 128GB che avete pagato 15€ ed aspettato per un mese, in realtà è da 2GB.
Una differenza ragguardevole, direi.

E' facile accorgersi dell'inganno, ma alcuni non lo capiscono comunque.
In un primo momento la chiavetta sembra funzionare, ed il computer, anche riformattando la memoria, sembra confermare le dimensioni indicate dal venditore. Ma se proviamo a salvare molti files, una volta superata la reale capacità del chip di memoria andremo semplicemente a sovrascrivere i primi files salvati.
Questo accade perchè una volta riempiti tutti i settori di memoria realmente disponibili non vi sarà impedito di salvare nuovi files. Arrivati ai settori inesistenti, questi rimanderanno ai settori che già abbiamo utilizzato in precedenza, danneggiando i vecchi files (e tenendo buoni i files appena scritti).

Subdolamente, le icone dei files che sono stati sovrascritti saranno ancora presenti, con le loro belle indicazioni di peso, quindi saremo portati a credere che vada tutto bene. Se però provassimo ad aprire uno dei primi files salvati sulla pennetta, ci accorgeremmo che i files sono andati.

Se questo è il vostro caso, avete una Fake USB.
Per capire quale sia la reale capacità della pennetta potete usare diversi programmi: a me piace H2testw.
Inseriamo la nostra chiavetta sospetta, lanciamo il programma (come amministratore), selezioniamo la lingua inglese e premendo "Select target" andiamo a selezionare la nostra chiavetta.


Ora non ci resta che premere "Write + Verify", e lasciare che il programma lavori (a lungo) per noi. Più è grande la chiavetta e più lungo sarà il processo. Occhio, che questo processo spazzerà via qualsiasi cosa ci sia sulla chiavetta.

Una pennetta spacciatasi da 16 GB si è rivelata esser da 8 GB. Dopo più di un'ora.

A questo punto abbiamo 2 strade da poter seguire:
  • cercare di flashare il corretto Firmware, riportando la chiavetta alle sue realdi dimensioni
  • creare una partizione che includa i soli settori reali, e lasciare non formattati i settori farlocchi

La prima opzione è quella migliore, ma anche la più impervia. Dovremo provare ad identificare i chip della nostra pennetta, o aprendola, o usando programmi quali ChipGenius, che ci aiuteranno ad individuare VID e PID della nostra periferica farlocca.


Una volta trovati questi due valori, possiamo cercare su siti quali flashboot.ru il corrispettivo tool per flashare il giusto firmware, o provare il software che ChipGenius ci consiglia (in fondo allo screenshot qui sopra). Il vantaggio di questo metodo è che anche riformattando normalmente la chiavetta non verranno più visti i valori farlocchi, quindi se la vostra memoria è realmente da 8 GB vi verrà proposta la formattazione a 8 GB.
Come Esplora Risorse di Windows vedrà la finta chiavetta da 16 GB riflashata

Come la gestione disco di Windows vedrà la finta chiavetta da 16 GB riflashata

Il problema è che talvolta i manigoldi che producono le pennette contraffatte modificano anche VID e PID, rendendo molto difficile (se non impossibile) risalire al corretto tool da utilizzare, ma anche con i valori originali non è semplice capire che programma usare, in quanto ogni seriale ha la sua versione specifica del tool. Nel mio piccolo, solo 1 volta su 4 ho potuto riflashare il firmware corretto.

Nei restanti 3 casi nessun tool ha riconosciuto le periferiche, quindi ho dovuto percorrere l'altra strada, ovvero la formattazione parziale dello spazio realmente disponibile.
Per far ciò useremo MyDiskFix. Apriamo quindi il programma come amministratore, e selezioniamo la nostra pennetta.


Come Format Methods selezioniamo Low-Level, ed immettiamo il valore del numero di settori validi trovati in precedenza da H2testw (16039344 nel caso dei miei screenshot).
Premiamo START Format, ed attendiamo fiduciosi.
Dopo diversi minuti comparirà una finestra che ci consentirà di formattare solo i settori validi della pennetta, lasciando non partizionati tutti quelli farlocchi.
Come Esplora Risorse di Windows vedrà la finta chiavetta da 16 GB riformattata ad 8 GB

Come la gestione disco di Windows vedrà la finta chiavetta da 16 GB riformattata ad 8 GB

Come vedete anche questo metodo funziona, ma se andremo a formattare di nuovo la pennetta tramite esplora risorse, la dimensione tornerà quella farlocca, reintroducendo tutte le problematiche che volevamo evitarci.

In ogni caso, per fabbricare queste chiavette contraffatte non vengono usati chip di prima scelta (anzi, tutt'altro), quindi se anzichè buttare la chiavetta volete usarla per metterci qualche mp3 da legger sull'autoradio è un conto, ma se volete salvarci dei documenti lavorativi o le foto delle vacanze ripensateci: ormai con pochi euro si prendono chiavette USB 3.0 di marca.
Share This

10 commenti:

  1. Ehi! la mia splendida chiavetta OTG/USB da 16 giga (3,65 euro spedizione compresa) aveva un tot di problemi che adesso mi paiono risolti grazie a Te.
    La vera dimensione testata è di 564 Mb, ossia mezzo giga !!! e si che ci si caricava di tutto il problema era poi leggerli i dati.
    Un po' come quel viaggiatore che aveva scambiato l'oblo per un armadio a muro :)
    Grazie per lo sbattimento, guida interessante e ben fatta.

    RispondiElimina
  2. grazie per la guida. in effetti ho acquistato su wish.com (da evitare assolutamente) una pennetta usb addirittura da 2TB. il problema è che copia alcuni dati (probabilmente fino alla capienza effettiva della chiavetta) e gli altri solo una directory che in realtà risulta sempre vuota. sto cercando un tool per flashare l'unità ma ancora non l'ho trovato.

    RispondiElimina
    Risposte
    1. Puoi usare i programmi indicati in guida, H2testw e successivamente MyDiskFix, così almeno potrai usarla per la sua effettiva capienza.

      Elimina
    2. stessa fregatura presa su wish ... scritto e dopo 2 giorni mi hanno restituito i soldi ... pennetta huawey da 500 super fake ... ho scoperto ora grazie a voi che è 32gb

      Elimina
  3. ciao, ma non c'è modo di recuperare i file?

    RispondiElimina
  4. Esiste un programma come mydiskfix ma che sia per mac?

    RispondiElimina
  5. Puoi provare Fight Flash Fraud (F3)
    https://github.com/AltraMayor/f3

    RispondiElimina
  6. Buongiorno,
    ho seguito passo passo la tua guida ma ho avuto risultati molto diversi.
    Dopo aver eseguito H2testw mi ha restituito il seguente risultato:

    Media has filled up earlier than expected!
    In the beginning there were 1999980 MByte free, but only
    1998659 MByte could be written.
    Warning: Only 1999980 of 1999983 MByte tested.
    Writing speed: 11.6 MByte/s
    H2testw v1.4

    E' come se la pennetta fosse da 2 TB...impossibile!!!

    Cosa posso fare per verificare meglio?

    Grazie in anticipo della risposta.

    Ciao

    Francesco

    RispondiElimina
  7. Sei l'unico che spiega veramente tutto in modo chiaro e comprensibile.Grazie
    (a differenza di un personaggio molto conosciuto che si prodiga nella spiegazione del nulla)

    RispondiElimina
  8. Salve, ho effettuato un test su una SDXC Kingston da 128GB tramite una chiavetta/lettore portatile, perchè quello interno al PC non la legge (forse un problema di formato?) e questo è il risultato:

    Warning: Only 118938 of 118939 MByte tested.
    The media is likely to be defective.
    116.1 GByte OK (243584992 sectors)
    16 KByte DATA LOST (32 sectors)
    Details:0 KByte overwritten (0 sectors)
    0 KByte slightly changed (< 8 bit/sector, 0 sectors)
    16 KByte corrupted (32 sectors)
    0 KByte aliased memory (0 sectors)
    First error at offset: 0x000000170b2be000
    Expected: 0x000000170b2be000
    Found: 0xa5a5a5a5a5a5a5a5
    H2testw version 1.3
    Writing speed: 4.78 MByte/s
    Reading speed: 17.9 MByte/s
    H2testw v1.4

    Da premettere che è nuova, appena sballata...che significa 16KB data lost?
    E' farlocca?
    Grazie

    RispondiElimina

Designed By Blogger Templates | Distributed By Gooyaabi Templates