Пример фейковой флешки на 32 GB. Восстановление данных в Бишкеке, Кыргызстан

Сегодня поступила в работу довольно любопытная флеш-карта – USB PEN-drive ADATA 32 GB. Устройство примечательно тем, что является практически новым, куплено буквально несколько дней назад, и после записи на него данных перестало работать. В системе флешка определяется как Generic USB Flash Disk USB Device, однако при попытке доступа к устройству его емкость определяется системой как 0 байт.

Пристальное знакомство с устройством показало, что оно является довольно грубой подделкой известного бренда ADATA. Давайте рассмотрим все признаки «фейковости» этой флешки.


Идентификация в системе нашей фейковой флешки

Начнем с внешних признаков. Обратите внимание на качество печати надписей на корпусе флешки. Даже небольшого увеличения достаточно для того, чтобы увидеть, насколько неаккуратно сделаны надписи. Особенное мое внимание привлекло качество печати цифры «0» в названии модели – у нуля явственно виден небольшой «хвостик», который делает его похожим на букву «Q». Я сначала подумал, что это мусор налип, но при увеличении оказалось, что это просто потекла краска при печати надписи.


Внешний вид фейковой флешки, с увеличенными фрагментами надписей

Еще один момент, на который нужно обратить внимание – это качество изготовления черного ободка между корпусом флешки и USB-разъемом. На фотографии отчетливо видно, что он неровный, как будто бы мятый. У оригинальной флешки надписи на корпусе будут выполнены четко и без огрехов, а все пластиковые элементы корпуса будут гладкие и ровные. Заглянем внутрь флешки. Тут все становится еще более очевидно. Во-первых, c NAND-микросхемы стерта маркировка. Соответственно, узнать по маркировке, с каким чипом мы имеем дело, невозможно. Во-вторых, контроллер флешки залит компаундом – соответственно, на каком контроллере построена флешка, визуально мы не узнаем. Ну и в-третьих – качество пайки. Элементы посажены криво, припой нанесен неровно, флюс до конца не смыт – пайка явно не имеет ничего общего с заводской.


NAND-микросхема фейковой флешки. Все маркировки стерты

Контроллер нашей фейковой флешки и общий вид пайки электронных компонентов

Увеличенные изображения, показывающие некачественность пайки электронных компонентов нашей фейковой флешки

Ну и контрольный в голову. На флешке – единственный NAND-чип. Берем его, выпаиваем, ставим в NAND-reader комплекса РС-3000 Flash. Читаем идентификатор микросхемы – это TC58NVG5D2FTA00. Чип емкостью 4 GB. 32 GB тут и не пахнет =).


Идентификация NAND-микросхемы из нашей фейковой флешки с помощью комплекса РС-3000 Flash

Станислав К. Корб ©2019

Источник: Хабр

Восстановление информации в Бишкеке: монолитные флеш-карты Silicon Power

Довольно любопытный сегодня день. На восстановление данных поступило две флешки одного производителя – Silicon Power. И обе монолитные. Будем доставать данные через технологические контакты, до которых можно добраться, только убрав лак на оборотной стороне карты памяти.

Что такое монолитная флешка? В стандартом виде флеш-карта – это небольшая печатная плата, на которой распаяны: интерфейсный разъем, контроллер, чип или несколько чипов NAND-памяти, кварцевый генератор и вспомогательные элементы. Это все можно пощупать мультиметром, выпаять, замерить. В монолитном исполнении все эти электронные компоненты спрятаны под слоем компаунда, и флеш-карта внешне представляет собой монолитный кусок пластика (почему и называется – «монолит»). Естественно, когда из куска пластика наружу торчат только интерфейсные контакты, доступа ни к контроллеру, ни к NAND-микросхеме, ни к другим элементам устройства нет. Это все негативно сказывается на возможности ремонта, так как заменить сгоревшие предохранительные резисторы или «просевший» кварц физически невозможно. Поэтому – только чистить лак, искать назначение технологических контактов и считывать информацию через них.

Кстати, найти технологические контакты и получить доступ к NAND – еще полдела. Нужно еще определить, какой в карте памяти стоит контроллер – без этого знания дамп NAND-микросхемы практически бесполезен, ведь надо знать, как извлечь из него данные. Для этих целей используется логический анализатор и глубокое знание спецификации ONFI (не протокола, не интерфейса, как обычно говорят очень далекие от профессионализма в области восстановления данных люди, а именно спецификации).

В компании IT-Doctor мы готовы восстановить данные с большинства монолитных карт памяти. В случае физического повреждения карты (если карта переломлена) мы выполним ее исследование и определим, возможно ли восстановление в принципе. Для этого мы используем физико-химические методы, которые, в отличие от широко распространенного заблуждения об использовании рентгеноскопии, не уничтожают данные. Использование рентгеноскопии сопряжено с довольно серьезным риском: ионизированные излучения могут повреждать данные, хранящиеся в ячейках памяти NAND-микросхем, что неоднократно показывалось серьезными исследованиями (например: Effects of x-ray exposure on NOR and NAND flash memories during high-resolution 2D and 3D x-ray inspectionImpact of X-Ray Exposure on a Triple-Level-Cell NAND Flash, и т.д. Мы не используем в своей работе потенциально опасные методы, которые могут привести к потере данных – тем более, что имеются общефизические и химические методики, позволяющие производить первоначальную оценку возможности восстановления данных с физически поврежденных карт памяти абсолютно безопасно для информации.

Флешки Slicon Power, с которыми нам предстоит работать сегодня, не слишкoм сложны: диагностические контакты, можно сказать, на виду, между слоями ничего не спрятано, а расположение и назначение технологических контактов давно известно.

Станислав Корб, ©2018



Мы принимаем к оплате | We accept payments


Мы стажировались и работали в странах | We worked or practiced in following countries