【還原「物業帶動鐵路」的歷史時空】 #永續港鐵霸權 #7月專研

港鐵霸權一大核心就是長期壟斷「鐵路上蓋物業發展權」，今時今日香港土地問題走到如斯局面，與經常被吹噓為「國際成功模式」的「鐵路加物業」(Rail + Property) 不無關係，但服務大眾的鐵路公司搖身一變成為追求利潤的發展商，絕對不是一夕間發生的合理事情。「鐵路上蓋物業」的原意又與今日有沒有變化? 是次研究專題將會透過回顧過上千頁有關香港地下鐵發展的英國解密檔案，還原70年代「物業帶動鐵路」發展模式的源起及原意，將有助進一步理解現時逐漸扭曲的港鐵發展形態。

▌構思初現：初期鐵路物業的背景與概念

「以地養鐵」更早可以在日本找到相類似發展模式 (Murakami, J., & Gregory, K. I.,2012)，然而最早「引進」香港的來源暫不可考。但從現有官方內部檔案中，可找到早於1970年交通諮詢委員會 (Transport Advisory Committee)提交的一份《集體運輸計劃總報告書》，報告中建議除了計劃興建已設計的4條鐵路路線，並分9期(nine distinct stages) 完成「理想」鐵路系統(preferred system)外，已有提及「發展上蓋物業」的構思。在報告提及鐵路系統的長期發展影響：

”Wherever subway systems have been built experience shows that property and land increase in value. This opens up the strong possibility that a part of the cost of providing station concourses could be met through arrangements which permit the private development of station superstructures and surrounds.”

當年報告所述，由於預視到鐵路系統的帶動下，當地物業及地價將會升值。因而報告提到有很大可能可以容許私人發展 (private development) 上蓋物業去補貼鐵路站的建設成本。值得注意的是，報告除了提出上蓋 (station superstructures)發展外，首次提到發展上蓋周邊 (surrounds) 的發展概念。可見，現時港鐵圈地/上蓋物業發展一早出現在早期鐵路系統構思之中。

70年代還有差點讓鐵路系統觸礁的財政艱難，更清晰定位鐵路中的「物業收益」有何功能。參考早期關於興建鐵路系統的英國解密檔案顯示，早於1972年，香港政府成立集體運輸臨時管理局(Mass Transit Railway Provisional Authority)，打算先行興建較全面、工程單一批予日資財團(Japanese consortium)的早期系統(initial system)，但後來石油危機爆發，日本經濟陷入危機，財團先是提出可否修訂興建成本價格上限由50億為60億，遭到管理局拒絕後則宣佈退出鐵路興建，檔案中可看到港英政府曾一度為此而與日資財團就賠償爭執，甚至有香港主要大班 (怡和除外) 都因財政理由反對繼續推展興建鐵路計劃。

當年港英內部評估1980年代交通系統會超負荷，即使鐵路系統已被日資延遲一年(have effectively delayed the MTR project for 12 months)，連帶物料通賬的財政問題，但卻認為必須「頂硬上」，調整鐵路系統的財政預算、規模以及未來發展方向，於是臨急推出後來實現的修正早期系統 (Modified Initial System)。在1975年一份關於修正早期系統行政局內部文件，港英將會排除必要鐵路系統以外的多餘支出 (eliminate all expenditures not strictly necessary for resultant simpler system)，不僅使整個鐵路規模「大縮水」，同時更建議以溢價債卷(Premium bond)作為融資措施，以及發展沿線上蓋物業(property development on lines)抵消(offset)財赤，皆為確保(safeguard)鐵路在任何情況下的財政可負擔性(the financial viability in any event)，讓減少後規模的總興建成本能夠保持於49億的水平。可見，當初「鐵路加物業」發展的概念是在財政大緊縮的特定歷史脈絡生成，目的為防止鐵路興建所帶來財政不穩定情況的其中一法。

▌立業辟地：港鐵上蓋四小龍

直到1975年，為了確保鐵路系統的財政可負擔性以及應急儲備，集體運輸臨時管理局向政府申請批出四個鐵路上蓋物業的綜合發展權(comprehensive development)。而當時行政局內部討論中，一份十分詳細記錄有關批予集體運輸臨時管理局四個上蓋發展權的行政局文件顯示，最早期物業上蓋發展的具體情況：

—九龍灣車廠上蓋物業(現時德福花園)：

當時除了作為首個利用鐵路車廠上蓋作物業發展的項目，而且亦成為物業上蓋住宅發展的先例，佔地165,800平方呎，打算興建大型屋苑，滿足18,000個人口的住宅需求。

—亞皆老站(即現今旺角站)上蓋物業(現時旺角中心第一期)：

首個非鐵路站上蓋作物業發展，只是相鄰於(adjacent to) 鐵路站，為首個利用鐵路通風樓(ventilation shaft)的物業發展。

—金鐘站上蓋物業(現時海富中心)：

佔地60,000平方呎的海富中心，當時金鐘站上蓋物業批地條例原來有列明非工業用途，包括興建酒店(non-industrial purposes which may include a hotel)。

—畢打/遮打站(即現今中環站)上蓋物業(Pedder/Chater)(現時環球中心)：

當時批中環商業靚地予鐵路公司的理據明顯為商業利益最大化(maximum exploitation of the commercial possibilities)，一來可以善用土地資源(物業建於鐵路站上蓋)，二來物業及鐵路站同時興建，可以減少工程興建時發展阻礙(development disturbance)。

其後地鐵公司分別與恆隆、合和、長實多間發展商共合發展上述四個上蓋物業，作為「鐵路加物業」發展模式的雛型，當時內部估計以上物業收入將會佔地鐵公司總收益的20%。當年批出九龍灣車廠上蓋物業上公頃的市區發展土地，整體政府部門都相當歡迎，認為可以平衡當區公屋主導的房屋格局，與及能夠為該區提供額外設施的機會，甚至具體要求屋苑內有至少10戶1車位的發展條件 (XCC(75)52)。此四幅最早批出的上蓋物業發展，從通風樓到車廠、由單一大廈到綜合發展，已是奠定了日後鐵路物業發展的主要選址方式與發展類型。

▌誰主上蓋物業？

這份行政局文件亦載有早期鐵路用地發展權的重要批地原則(principles to be adopted in respect to land grant to Mass Transmit Railway Corporation)，是還原物業上蓋發展歷史一份重要參照。文件清楚列出，上蓋物業不一定是地鐵公司「囊中物」，鐵路物業發展權是否批出，或批給誰，完全是政府「話事」 (the grant of comprehensive development rights on land affected by railway installations will be discretionary)。

文件亦同時指出，程序上地鐵公司需要先向政府申請(formally apply)批地，政府可以基於實際考慮 (practical consideration) 決定如何運用這些鐵路上蓋用地的發展潛力 (for government to decide on how to dispose of any development potential remaining in the land over and above its Mass Transit usage) 。換言之，港鐵的上蓋發展絕對可以由政府主導及決定，包括根據現時的實際考慮（公營房屋供應長期落後及不足）用作興建公屋，不一定用於與發展商合作興建私樓供港鐵公司利潤最大化。

▌物業收益應急而起

70年代尾，鐵路系統打算擴建至荃灣區。翻查1978年有關鐵路擴建荃灣(Mass Transit Railway extension to Tsuen Wan)的行政局文件顯示，當時除了提及車廠上蓋物業發展的選址爭議外，亦有提及港英對發展上蓋物業的財政原則。物業發展的收入原本並不用作補貼鐵路成本 (revenue from property development was not originally envisaged as being used as a means of financing the capital cost of the railway itself)，而是作為應急儲備及改善現金流(contingency reserve and to improve its cash flow)。而且更補充荃灣車廠上蓋物業發展的剩餘收入，可以用作應對以下4個應急情況：

—抵消「超支」建築成本(offset any excess construction costs)

—抵消收入財赤(offset any revenue deficiencies)

—加速還債(accelerate loan repayments)

—提早鐵路公司對港英政府的投資分股息的日子(bring forward the date when the Corporation begins to pay the Government as share holder on behalf of the public dividends on its investment)

可見，港英多次強調，鐵路上蓋物業收入為確保財政可負擔性(viability)及應急(contingency)，而非像現時政府愈來愈恆常化送地予港鐵興建私樓賺錢。

引述法國城市學者Aveline-Dubach整理地鐵公司至其後港鐵自1980至2016年收入可見，明顯看見90年代末東涌綫及其後的將軍澳線所帶動的物業發展收入比例愈來愈重，已經超越鐵路票務收入，現時每年物業收益足足佔港鐵總收入四成。可見，透過重現當初的批地原意，更能突顯漸走向扭曲的港鐵發展形態，形成尾大不掉之勢。

▌賣樓補車費：明言物業發展利潤補貼車費

港鐵不應用上蓋物業賺盡的討論，亦見於地下鐵路公司條例的立法階段的重要討論。一份1975年討論地下鐵路公司草案(Mass Transit Railway Corporation Bill)的行政局文件，提及鐵路公司需要按照審慎商業原則 (prudent commercial principles)。鐵路作為公共交通工具，不應最大化其投資回報 (maximize its return on investment)，只應賺取足夠(enough)收入作營運開支。

文件亦可見當年政府就發展上蓋物業項目的收益，會清晰公開回應指物業發展可為鐵路帶來的額外利潤，以維持一個「保守的車費政策」 (assist the railway by providing extra revenue to maintain a conservative fares policy）。比起今天已經與物業收益「脫勾」的「可加可減」車費制度，當日港英政府明顯認為物業收益有助更平宜的車費定價。

在40多年前的歷史時空，當初「鐵路加物業」發展模式跟現時已經不可同日而語，發展上蓋物業不論就其發展型態、財政狀況、規劃模式、補貼原意，明顯有其特定的歷史脈絡及原意。是次研究專題透過還原早期興建地鐵的歷史討論，帶出現時不斷被政府吹奏作為「國際級典範」—港鐵發展模式，並不是一套千秋萬世的發展方程式。

參考資料

1971 FCO 40 358 Construction of an underground railway system in Hong Kong

1975 FCO 40 658 Construction of an underground railway system in Hong Kong

1975 FCO 40 659 Construction of an underground railway system in Hong Kong

1975 FCO 40 660 Construction of an underground railway system in Hong Kong

1978 FCO 40 974 Construction of an underground railway system in Hong Kong

Aveline-Dubach, N., & Blandeau, G. (2019). The political economy of transit value capture: The changing business model of the MTRC in Hong Kong. Urban Studies, 56(16), 3415-3431.

Murakami, J., & Gregory, K. I. (2012). Transit value capture: New town codevelopment models and land market updates in Tokyo and Hong Kong. Value capture and land policies, 285-320.

研究自主 月捐撐起最新專研系列：https://liber-research.com/support-us/
FPS ID：5390547
HSBC PayMe 捐款支持：https://bit.ly/32aoOMn
戶口號碼：匯豐銀行 640-198305-001 (LIBER RESEARCH COMMUNITY (HK) COMPANY LIMITED)
義工招募：https://bit.ly/2SbbyT3

【一帶一路砸鍋？習近平能否在兩會順利維穩？】

知名中國研究專家裴敏欣(Minxin Pei)在日經亞洲評論Nikkei Asian Review的最新專欄文章談的其實是很有趣的問題，標題是：Will China let Belt and Road die quietly?（中國會讓一帶一路安靜退場嗎？）

這篇文章論理清晰，值得一讀。由於是英文撰寫，為了讓讀者能夠較快進入討論，我簡單摘譯一下：

裴敏欣的論點主要在講，中國野心勃勃在2013年所提出的一帶一路倡議（Belt and Road Intitative, BRI）看來不妙，包括馬來西亞、巴基斯坦及馬爾地夫在內國家，都對一帶一路下的大型計畫表示取消或重新談判。

一個明顯的觀察是，中國官方媒體談到一帶一路的次數明顯下降，裴敏欣嗅到中國對於一帶一路計畫可能將出現政策改變。

裴敏欣的論證包括：中國的經濟條件不比2013年。彼時中國外匯存底高達四兆美元，一帶一路計畫可以解決中國產能過剩問題，順帶幫助中國海外承包商。但今日中國經濟衰退，資金外流，外匯存底縮水一兆美元。

中美的貿易戰是個重要變數。中國對美的貿易順差，幾乎等於中國全部的經常帳盈餘，故中國對美的貿易出口下滑，將導致中國的經常帳赤字（除非中國能在對他國出口市場彌補）。中國的國際收支（balance of payments）惡化將迫使北京使用外匯存底固守人民幣，以維持投資者對中國總體經濟的信心。

（*這一段有點難度，我試著以淺顯的總體經濟學說明一下，也歡迎高手指正。

“經常帳最主要的組成就是貿易收支（balance of trade）。當貿易出現赤字時，人民幣有貶值壓力（因為人民幣貶值，將有利中國出口，進而改善貿易赤字）。但貶值是雙面刃，因為貶值也將造成進口原物料變貴，影響中國投資環境的穩定。中國政府為了固守人民幣匯率，只好用外匯購買人民幣（導致人民幣需求上升），以維持人民幣穩定匯率。”

原文：
Since China's trade surplus with the U.S. accounts for nearly all its overall current account surplus, a substantial fall in Chinese exports to the U.S. will result in a current-account deficit for China if it cannot offset the shortfall with increased exports to other markets (an impossible feat). China's deteriorating balance of payments will force Beijing to use it foreign exchange reserves mainly to defend its currency, the yuan, and maintain investors' confidence in China's macroeconomic stability.）

除了貿易問題，中國財政面也出現問題，例如養老金（pension）成本缺口。中國財長劉昆在2018年年底表示，中國各級政府將勒緊褲帶。2018年中國的財政收入相較2017，減少1.2%。（收入減少的部分原因是減稅，至於為什麼叫減稅？因為要刺激經濟。經濟學真是一環扣一環啊！）

中國的養老金缺口問題嚴重，原因是人口的老化，例如黑龍江到2016年為止養老金的赤字高達230億人民幣。根據財政部資料，2017年中國政府必須花1.2兆來彌補養老金缺口。

一帶一路是習近平的優先外交政策，但如今在國內可能得面臨支持一帶一路的聲浪逐漸變小，因為一帶一路搶走了養老金及其他內政所需的資源。

＊＊＊

為什麼要花這些功夫摘譯？

因為中國的兩會即將在這兩天（政協：3/3, 人大：3/5）開會，媒體報導，習近平的權威遭到國內政敵的挑戰，主因當然是中國的經濟衰退以及美中貿易戰下，中國國內開始對習近平的能力開始出現質疑。所謂維穩，除了適用於中國社會，當然也意指習近平的權力能否固守。

在這個背景下，來讀裴敏欣的這篇文章，是很有意思的。一帶一路在2013年剛開始時，真的是風生水起，習近平意氣風發，幾乎全世界國家都買帳了。為了推動一帶一路，中國還弄了個亞投行（亞洲基礎設施投資銀行Asian Infrastructure Investment Bank，AIIB）。

AIIB是啥？它的本質是一個區域性政府間國際金融機構，總部設於北京，目前成員共93國，陣容龐大。AIIB首任也是現任的行長叫金立群，這人說實話也是硬底子，當過中國財政部副部長、亞洲開發銀行副行長。順帶一提，她的女兒叫金刻羽，很傑出，外型也好，1982年次，哈佛大學經濟學博士，現在已是倫敦政經學院終身教授。總之金氏父女都是經濟學強者。

跟世銀(World Bank)或亞銀（Asian Development Bank, ADB）目標以減貧(poverty reduction)不同，AIIB主要是協助基礎設施建設。

什麼意思？

講白話，就是幫中國承包商包工程。

各位不要忘了，2013年當時中國經濟淹腳目，產能過剩，在這個背景下，一帶一路跟AIIB一搭一唱，美其名幫助其他國家大型基礎設施開發，其實就是藉機掌握他國鐵路或港口等交通命脈，順便讓中國承包商發大財。

不得不說習近平這招很聰明，不是嗎？怪不得許多國家趨之若鶩。但是當中國的野心逐漸暴露後，其他國家反對聲浪開始出來了，最有名就是斯里蘭卡的漢班托塔（Hambantota）港口，歐盟也開始批評。批評者稱這些都是中國設下的債務陷阱（debt trap）。由於一帶一路許多都是重要的港口鐵路或交通案，在債務國付不出利息時，只好將港口等設施的使用權交給中國。

台灣呢？馬政府時期的2015年，參加博鰲論壇的蕭萬長就「當面」跟習近平表示台灣也要參加。一直拖到2016年4月（蔡總統已經當選尚未就職），我們參與AIIB確定破局，因為有損國家尊嚴，原因是名稱喬不攏，以及中國堅持，台灣的入行案必須由中國財政部代為申請。

只能說好在台灣沒加入，不然我預期一帶一路跟AIIB搭配起來，剛好成為在台灣的中國政商買辦最好用的套餐。

時空拉回2019。習近平的一帶一路現在面臨內憂外患。對內，包括養老金在內等其他政策都需要錢，政敵開始質疑，為什麼要花這麼多錢在一帶一路上？對外，許多國家看出中國的債務陷阱，不再像以往那樣買帳。

習近平的權力能否固守？他能否繼續當習皇帝？不曉得，只能說成也一帶一路，敗也一帶一路。

青年外交官 劉仕傑
Line: @jerryliu
Instagram: old_dog_chasing_ball

（歡迎分享）

https://asia.nikkei.com/Opinion/Will-China-let-Belt-and-Road-die-quietly

https://www.facebook.com/photo.php?fbid=10216019118603397
分享資安前輩 Kuon大大文

剛好上禮拜收到了一座 WD DUO 3TB*2 Raid 1
用戶說沒有設定密碼
就算沒有設定用戶密碼 一樣有eDEK密鑰
預設就是全扇區AES硬體加密
拿起昂貴資料救援設備來分析.
PC3000 跟MRT,從韌體Module 25,38讀出來
WTF?Keyblock (eDEK不正確)解密錯誤...
好 OSSLab Geek Lab還算看得懂論文跟原始碼
eDEK除了韌體外,在硬碟Lba也有備份
https://github.com/andlabs/reallymine/issues/45…
不同晶片的 Keyblock LBA位置
3 TB 5860528160
3 TB 5860529539
3 TB 5860533120
都翻過了 都是00 都沒有eDEK...
學前文Kuon大大查簽名
57 44 76 31
53 59 4D 57
53 49 6E 45
57 44 01 14 都失敗.
https://github.com/andlabs/reallymine/issues/15…

這案子搞到頭有點痛..看起來是都沒有人對WD DUO JMS561做過完整加解密分析.如果如同前文只是主控版損壞那就簡單..晚點再從與Usb to Bridge EEPROM內找看看eDEK

看不懂前文請先看這篇
https://www.osslab.com.tw/wd-usb-aes-recovery/
資料救援真的不一定會100%成功,只是我們會盡力研究與處理.

#OSSLab

咚！

#資料救援

這兩天剛好有朋友資料掉了，也是 WD 外接硬碟系列，來分享我今年的處理過程。

這篇會是個長篇，各位看倌要有心理準備 XD

也因為早就預期是個長篇，所以想了很久卻一直沒有開動。

====

[為什麼需要救援]

7 月份辦公室事故，樓下的高溫粒子沿著 1) 管道間 或 2)玻璃帷幕與牆壁中間的夾縫 亂竄，管道間旁，除了窗戶冷氣外，還堆了一堆易燃雜物 (紙 & 塑膠包材)，這些雜物熔點一到自燃，所以我在路邊吃冰淇淋的時候，可以看到火苗從窗戶冒出。

吃冰淇淋的同時，我念茲在茲的只有硬碟(裡面的資料)，因為備份用的幾十 TB 硬碟平常是離線儲存，擺在鐵櫃裡，而鐵櫃離火源非常接近....

幸好火源在窗戶旁邊，所以很快被發現並被撲滅。

到我可以進入現場，第一件事情就是開鐵櫃，手摸到鐵櫃的第一感覺，更，鐵櫃是溫熱的 :(

最重要的那顆 16TB 硬碟，是鐵櫃內最靠近火源的角落，連外包裝的紙盒都是燙的...，而且紙盒的底部，黏在鐵櫃上，我用力拔出來...

熔化了 :( 心都涼了！(拍一下驚堂木)

由於 1) 當時已經晚上 6 點左右，雖是夏日但天色已晚，室內當然因為事故無光源 2) 事故中間，開放進入現場不到 5 分鐘又撤離，二次燃燒

所以，為了避免可能的三次燃燒(?)，當下我就把 16TB 隨手一扔，連放進可以上鎖的鐵櫃都沒有，先搶救其他設備，逃離現場。

因為我以為沒救了。物理毀損ㄟ...

====

[取出硬碟]

事後回想，把那顆硬碟隨便一丟，是個 #潛在的錯誤，因為如果後來建築物又發生什麼狀況，那硬碟可能就真的找不回來了。

我使用的外接硬碟，是 WD My Book Duo 16TB，USB 3.0，外觀可以參考 [1]，是亮銀色的外觀。

事故第一晚，我想來想去，都覺得我太心急了，雖然那個外接盒，看起來快要 1/6 的比例熔掉，像是面積用 3x2 六等份排列時缺了一個角，是真的熔了一些東西。

硬碟外接盒，外包裝是紙盒，紙盒內還有一組保麗龍用來固定硬碟外接盒，紙盒在鐵櫃內，鐵櫃還在，紙盒和鐵櫃接觸面僅有焦掉，代表熔點低於這兩者，Google 查了一下保麗龍和塑膠熔點，研判是保麗龍和塑膠被(鐵櫃傳導熱度)熔掉，溫度僅需要 50C~60C，也查了硬碟工作時溫度，大概還撐得住 70C 高溫。

覺得應該慎重點，隔天就去把那顆熔掉的外接盒帶出來研究。

這個外接盒是自帶 2 顆硬碟的，買來插電就可以使用，所以原本也不知道裡面長什麼樣。

前面所提到的，亮銀色部分，研判是熱塑型塑膠，遇熱整個都軟化變形了，變形完一冷，就又固定住了，也就變得很難拆。

我在拆解的時候，很怕塑膠去黏到硬碟的軟板或是堵住氣孔，那就麻煩了，幸好沒有。原來，塑膠裡面是一個(有各種小孔呈網狀的)鐵盒子，硬碟和控制電路板，都在鐵盒子裡面，變形過的塑膠只有黏在鐵盒子外圍。

鐵盒子打開後，硬碟除了有碳粒附著和焦味外，外觀看起來都沒有受損。硬碟拆下來，我就把鐵盒子和塑膠丟掉了。

====

[資料救援前置作業]

事後回想，那個鐵盒子上面還有控制電路版，我在沒有確認電路板(或上面的 ROM)是壞掉的狀況下，就把它丟掉(因為塑膠碎片整個卡在上面，不想聞那個味道)，是個 #潛在的嚴重錯誤。萬一外接盒的 1)控制晶片 2) I/O 演算法 3) 金鑰產生方式，依賴硬體，那我就真的救不回來了！！

獲得硬碟之後，因為外接盒(殘骸和那個鐵盒子)被我丟了，所以要再買一組新的。

當我上去 PCHome 看時 (原本的也是 PCHome 買的)，我找到的是 [2]，同樣都是 WD My Book Duo 16TB，[1] 和 [2] 的區別在一個是 USB 3.0，新的是 USB 3.1。

舊款 USB 3.0 的在別的購物平台有賣，牌價要 2 萬多，新款 3.1 的只要 1 萬 6。

#第一個抉擇來了，要買新款還是舊款？新款便宜個好幾千元，I/O 傳輸速度還比較快 ...

後來我決定打電話，問 WD 的代理商聯強，我還記得是在高鐵接駁車回台南市區的路上。舊款各種容量它們庫存都還有貨，但 16TB 的只剩一台。

#第二個抉擇來了，如果控制晶片都一樣，要買最小容量 6TB 就好，還是要跟原本一樣，買到 16TB？這關乎到 $$$$$$ 啊 ...

我後來決定買舊款，因為我怕新款的控制晶片不同顆，而且買了一樣容量 16 TB，因為在跟聯強工程師通話過程中，得知一個資訊，我覺得我得 Sector-by-Sector 複製了 ....

聯強：「WD 這個系列有 AES 加密」
我 ：「我知道，但我沒有開啟，我也沒設過密碼」
聯強：「#就算你沒有設密碼_它還是有一組預設金鑰_而且是硬體加密」
我 ：「...」(我瞬間知道這代表的意義，以及對救援難度的增加！！)

SATA-to-USB 轉接線，由於我手上原本的線材也在辦公室，當然得重買新的，跑去北門路買了 2 條。

====

[第一次救援]

在真的討論救援前，讓大家瞭解一下目前的資料架構。

軟體 -- USB -- 硬體

軟體： Data -- Linux EXT4 -- Linux LUKS -- USB
硬體： USB -- Firmware -- HDD

其中，LUKS 作了一次加密，Firmware 層又作了一次加密。也就是將硬碟拔出外接盒的時候，是 2 層加密，LUKS 的密碼是我設的，外接盒 Firmware 設的密碼，#我不知道！！

舊的外接盒中的硬碟，稱為舊硬碟，新的類推。

由於不知道新的控制晶片，會不會偷偷寫入 metadata 到舊硬碟，我不敢貿然的將舊硬碟插入新的外接盒，所以，我直接用 2 條 USB-to-SATA 傳輸線，採用 Linux dd 整顆對拷。

對了，我在拆舊硬碟的時候，有特別注意硬碟的順序。

每一次 copy 前，我都會檢查 3 次命令列參數和磁碟資訊，看看 if 和 of 有沒有設反 (設反就會把舊硬碟資料覆蓋過去....）

#三十小時過去，16 TB 總算拷完

拷完將新硬碟插回新的外接盒 (儘量不使用舊硬碟)，這樣就搞定收工了。

.
.
.
.
.
.
.
.
.
.
.
.
.

(USB 接上電腦) ＷＴＦ！！！Linux 認不到 LUKS Header，這樣代表在 Firmware 那層的解密就有問題了！我可是 Sector-by-Sector 對拷，怎麼會這樣？

#啟動備案，透過 USB-to-SATA 傳輸線直接對新硬碟 I/O，直接在這層就先破密，不使用外接盒。

為什麼會有備案呢，因為我以前讀過 "got HW crypto? On the (in)security of a Self-Encrypting Drive series" 這系列文件 (參考附圖一)，知道 WD 外接盒系列加密演算法有漏洞，想說趁這個機會練習一下。

找了一些 GitHub 專案，要來對 WD 外接盒加密過的硬碟，進行破密，結果一直出現錯誤訊息，回去看 Source Code，發現是 Signature 找不到。

回去對照簡報檔 和 Source Code，發現外接盒 Firmware 會將 Metadata 存到硬碟的尾部，為了識別 Metadata，有一組固定的常數 Signature。

沒有找到 Signature，當然就意味著無法讀取正確的 Metadata。仔細讀過工具的 Source Code，發現沒有支援 8TB 的 offset (用來定位硬碟尾部位置)，新增了一組我自己算的 offset，還是沒有找到。

有可能是我算錯，所以我改寫了工具，直接在一個比尾部更大許多的範圍，開始暴力搜尋 Signature，還是沒有找到。

囧了，只好直接拿起 Linux hd 指令，看 hexdump 結果，在我搜尋許多位置後，在 4TB 位置，觀察到一件事，就是 4TB 之後的內容都是 0x00！！

不對啊，我記得我這組外接硬碟使用超過 2/3 了，在有加密的情況下 (而且這個情況是雙重加密)，不可能大量的 0x00 啊 ...

我重新思考了所有可能性，最後，發現了一件事情，我新買的 USB-to-SATA 傳輸線，外包裝盒寫著 "支援 4TB"，它又沒說是 "最大支援 4TB" 阿 @@ TMD 採到雷！！！

我要找的 signature 會配置在硬碟的尾部，也就是 4TB~8TB 之間，傳輸線讀不到，當然找不到。

====

[第二次救援]

第一次救援的時候，我們家三寶還沒出生，中間那個禮拜特別忙，忙完三寶就出來 "Hello World!!\n" 了，所以，第二次救援已經是在月子中心處理的 XD

這次不用(雷雷的) USB-to-SATA 傳輸線了，請家裡人從光華帶了一台 4bay 的外接盒，有確認支援到單顆 8TB，而且故意挑沒有 RAID 功能。

#RAID！各位看完前面的描述，都沒有人注意到這件事情。WD My Book Duo 的 16TB，是由 2 顆 8TB WD 紅標組成。

當外接盒 WD My Book Duo 插進電腦時，預設只會出現一顆外接硬碟。也就是說，這個外接盒的預設模式，要麼是 JBOD 要麼是 RAID 0 (以下通通簡稱 RAID-like)。這也是我前面提到，我必須特別注意，2 顆 8TB 硬碟順序的原因。

#六十小時過去，真 16 TB 總算拷完
.
.
.
.
.
.
.
.
.
.
.
.
.

(USB 接上電腦) ＷＴＦ！！！Linux 認不到 LUKS Header，這樣代表在 Firmware 那層的解密就有問題了！我可是 Sector-by-Sector 對拷，怎麼會這樣？

#啟動備案的備案，不對，我沒有備案的備案了阿...

我用前面提到的改寫過的工具，直接在一個比尾部更大許多的範圍，開始暴力搜尋 Signature，還是沒有找到。但硬碟尾部是有亂碼資料沒錯。

重新翻閱文件 "got HW crypto? On the (in)security of a Self-Encrypting Drive series" ，你會發現文件是針對 WD 的 My Book 和 My Passport 系列的外接盒，這些都是單顆硬碟的外接盒。我的是 My Book Duo，多了個 Duo 也就多了個 RAID-like 的行為。

很好，我的情況 no prior art .... 那麼現在的硬體處理資料的流程將會是：

#第一種可能，USB -- AES -- RAID-like -- HDD
#第二種可能，USB -- RAID-like -- AES -- HDD
#第三種可能，USB -- 我不知道 -- HDD

而韌體面，Signature 也有可能換一個未知的，但這點和上面的資料流程，都非得對韌體逆向工程才會知道。

我甚至都已經想過，寫 Linux 上的 FUSE 或 dm-* module，自己疊 RAID-like + AES 的透明轉換層 ... 如果我知道 AES 的 Key 的話，#可是我不知道阿。

坦白說，這個時候，我心都涼了，#我真的覺得救回來的機率很渺茫了。

要特別注意，這時候無論是新硬碟在 WD My Book Duo 裡面或是 4bay 外接盒，都無法正確判斷是 LUKS。

我可是 dd 的說，雖然不是 ddrescue，但拷貝過程就算有 bit error，對解密的錯誤擴散過程，也相當有限阿，除非好死不死，bit error 剛好發生在 Metadata 結構吧。

====

[第三次救援]

#這時候有馬比無馬好，有馬才能當活馬醫 XDD

我想說，好，至少我已經有一份 1:1 的備份了，把舊的硬碟按順序，插上新的 WD My Book Duo。

視窗彈出來了，不是小算盤，是 GNOME Disk 彈出來要求我輸入 LUKS 密碼的輸入框，嘿嘿，輸入密碼，16TB Get Back :)

這次前面有一些錯誤，資料能 100% 救回來，真的是運氣好。另外，也是 WD 的演算法有考慮到一些東西，至少沒有完全依賴控制電路板。

#我都已經準備好要逆向韌體了，雖然好玩，但還是資料救回來比較重要！

====

#自己的硬碟自己救

收工。

[1] https://support.wdc.com/product.aspx?ID=134&lang=en
[2] https://24h.pchome.com.tw/prod/DRAA6H-A9008G9W6?fq=/S/DRAA6H

#牆壁文