Вопрос задан:
Как определить XOR или не XOR кодирование использовано. Спасибо.
Методика определения наличия или отсутствия XOR преобразований на жестком диске или флешке достаточно простая. Нужно понимать, что основная цель использования ксор во флешках — это создание "белого шума" для повышения срока эксплуатации NAND чипов памяти.На жестких дисках XOR применяют в основном как аналог шифрования (если не брать в расчет raid массивы, конечно).
Основной путь определения наличия или отсутствия XOR в процессе проведения работ по восстановлению данных, заключается в анализе содержимого диска комбинированным методом с использованием визуального отслеживания содержимого секторов на предмет наличия регулярных паттернов в ожидаемых местах (например, в наверняка незаполненных пользовательскими данными секторах в конце диска должна быть сигнатура 00h которая будет отличаться в случае использования 16-ти байтной маски AES шифрования (как это делают USB мосты дисков WD) от наложения XOR.
Можно скопировать некоторое количество секторов и запаковать с помощью WinRAR. "Белый шум" сжатию практически не подвержен. Можно так же дополнительно воспользоваться средствами, предоставляемыми мощнейшим hex-редактором WinHEX который позволяет проводить анализ выделенного фрагмента с построением диаграммы на основании анализа блоков.