Десять мифов о восстановлении информации

Восстановление данных – одна из наиболее «таинственных» и обросших мифами сторон IT-индустрии. Это связано как с тем, что большая часть методов и приемов восстановления данных скрыта от большинства пользователей, так и с тем, что до сих пор не существует места, где можно было бы получить образование по специальности «восстановление данных»: практически все специалисты в этой области – самоучки. Перечислим десять наиболее ярких мифов о восстановлении данных.

Миф первый

Существует специальный аппарат, в который можно вставить «блин» от жесткого диска и считать данные.

Опровержение мифа. Некоторые фирмы по восстановлению данных активно используют этот миф в рекламных целях, публикуя на своих сайтах изображения каких-то сложных машин (обычно – медицинских), которые, по их заверениям, и есть тот самый волшебный аппарат. На самом деле такой машины, с определенными оговорками, не существует. Несколько крупных компаний, занимающихся восстановлением данных, вели разработки в этой области, но из-за дороговизны реализации и достаточно скромных результатов эти работы были свернуты. Одна из таких машин – Signal Trace – имеется в двух экземплярах в лабораториях компании Action Front. Я имел счастье познакомиться с этой машиной в Торонто (Канада); ее возможности – считывание информации с «блинов» очень ограниченного количества жестких дисков с низкой плотностью записи. Ни один современный накопитель такая машина считать не может. Проблема в том, что каждый отдельно взятый «блин» уникален, имеется масса таблиц и настроек в самом жестком диске, которые позволяют уверенно читать с него данные, пропускать дефекты и строить в итоге файлы и каталоги; читая «блины» поодиночке, мы получим бессвязный набор байтов, соединить которые в реальные данные может только микропрограмма конкретного жесткого диска.


Ваш покорный слуга во время визита в лабораторию Action Front в Торонто (Канада)

Миф второй

Данные с жесткого диска можно восстановить даже после стирания, с помощью сканирующего туннельного микроскопа.

Опровержение мифа. Действительно, некоторое время назад бытовала легенда о том, что даже после стирания данных их можно восстановить по так называемой «остаточной намагниченности», для чего магнитные слои следует исследовать послойно с помощью сканирующего туннельного микроскопа. Именно поэтому был разработан так называемый английский стандарт стирания данных, который, по задумке его разработчиков, полностью исключает возможность восстановления информации по остаточной намагниченности (жесткий диск подвергается процедуре перезаписи с использованием разного заполнения сектора от трех до девяти раз). Между тем сканирующий туннельный микроскоп предназначен не для снятия магнитных характеристик поверхности, а для определения его нанорельефа: он применяется для получения двумерных и трехмерных изображений на молекулярном и надмолекулярном уровне (кристаллическая решетка и т.п.) и никак не может применяться для поиска остаточных явлений намагниченности.


Микроскопы широко применяются для работ по восстановлению данных.

Миф третий

Внутри жесткого диска вакуум

Опровержение мифа. Вакуум – это безвоздушная среда; согласно устоявшемуся мифу, только с помощью вакуума можно добиться абсолютно чистой среды внутри гермоблока жесткого диска. На самом деле это не так. Во-первых, если из диска откачать весь воздух, то будет создана разница давлений, которая не скажется благотворно на прочности устройства. Во-вторых, головки внутри жесткого диска парят с использованием аэродинамических сил, для этого им нужна атмосфера. Современные жесткие диски содержат внутри либо полностью очищенный воздух, и компенсация разницы давлений осуществляется через специальный «дыхательный клапан», закрытый тонким фильтром (в корпусе жесткого диска имеется отверстие, рядом с которым обычно имеется надпись «Do not cover any drive holes» или подобная), либо имеют гелиевое заполнение (для уменьшения последствий рения); в последнем случае диски герметически закрыты.


Предупредительная надпись рядом с «дыхательным» отверстием жесткого диска.

Миф четвертый

Восстановление данных с флешек намного проще, чем с жестких дисков

Опровержение мифа. Флешки и любые устройства хранения информации, основанные на NAND-памяти, имеют ограниченный ресурс службы, связанный с конечным количеством записей данных в ячейку памяти. Если использовать сектора NAND-микросхем также, как используется жесткий диск – напрямую – то наиболее часто используемые ячейки памяти неизбежно будут изношены намного быстрее тех ячеек, в которые запись осуществляется намного реже. Для того, чтобы избежать преждевременного износа, производители флеш-устройств используют различные механизмы перераспределения данных. Упрощенно говоря, информация на флеш-карте распределяется таким образом, чтобы по возможности все ячейки микросхемы использовались примерно одинаково. Поэтому данные во флеш-карте и любом другом устройстве, работающем на NAND-памяти, обычно распределены более-менее равномерно по максимально большому массиву ячеек памяти, и по мере их износа перемещаются в другие ячейки. Восстановление данных с таких устройств заключается в том, чтобы определить, по какому алгоритму (или алгоритмам, если их несколько) распределены данные внутри ячеек, каким образом ячейки памяти организованы в сектора, те – в страницы, страницы в блоки и блоки – в банки памяти; после определения алгоритма производится обратная сборка данных для того, чтобы получить пригодный для извлечения данных образ устройства (обычно – раздел). Кроме того, в NAND-памяти для исправления постоянно возникающих из-за процессов переноса данных ошибок, реализованы механизмы коррекции ошибок, которые также нужно учитывать при восстановлении данных. И, наконец, в любой микросхеме памяти имеются области сбойных ячеек, которые при восстановлении данных из анализа следует исключить. Все это в совокупности делает восстановление данных с флеш-устройств значительно более трудоемким, чем восстановление информации с обычных жестких дисков.


Чтение данных из NAND-микросхемы монолитных флеш-карт возможно только через технологические контакты.

Миф пятый

Твердотельные диски намного надежнее жестких дисков

Опровержение мифа. В отличие от жестких дисков, в твердотельных накопителях нет движущихся частей (шпиндельного двигателя, магнитных пластин и блока магнитных головок), однако это не выводит их на новый уровень надежности. Проблема твердотельных дисков – конечный ресурс ячейки памяти, которая не может перезаписываться практически бесконечно, как сектор жесткого диска. Как было показано исследованиями, проведенными в университете Торонто (Канада), время жизни твердотельного накопителя конечно и в целом не зависит от того, был он в использовании или нет: по прошествии определённого времени, даже если накопитель не использовался и просто лежал на полке, он выйдет из строя. И это случится примерно в тех же временных рамках, как выйдет из строя другой такой диск, активно использующийся все это время. Другая сторона этой медали – сложности, связанные с восстановлением данных с твердотельных накопителей. Здесь применимы все те нюансы, которые описаны в четвертом мифе, а бонусом идет шифрование данных многих современных SSD. Даже если специалисту по восстановлению данных удастся вычитать NAND-микросхемы и собрать правильный образ, он встретится с глухой стеной стойкого шифрования, преодолеть которую в подавляющем большинстве случаев могут только спецслужбы очень высокого уровня (подробнее тут.


Распайка разъема SSD для вычитывания данных.

Миф шестой

Восстановление данных – всегда очень дорого

Опровержение мифа. На самом деле большинство ситуаций, когда пользователь теряет доступ к своим данным, лежат в плоскости разного типа логических проблем: форматирование, переразметка раздела, удаление файлов и каталогов, шифрование. Физические неисправности накопителей — лишь вторая по распространенности причина потери доступа к данным, причем и физические неисправности бывают разными. При необходимости замены головок или переноса магнитных пластин в другой гермоблок цена будет достаточно высокой, если же у диска возникли проблемы с микропрограммой или платой электроники – цена меньше. Средний ценник восстановления данных в большинстве компаний не превышает 200 долларов США. Конечно, бывают и очень дорогие восстановления (иногда – сотни тысяч долларов), но делаются они в основном для крупных предприятий и крупными компаниями по восстановлению данных; последние, к слову, стараются не восстанавливать данные дешевле чем за 500 долларов, поэтому, обращаясь в такую компанию, следует быть готовым к высокой цене работ.


Средний ценник восстановления данных в случае с логическими проблемами составляет у нас 2000 сом.

Миф седьмой

Если диск стучит, значит нужно менять головки

Опровержение мифа. Действительно, если ваш диск застучал, это обычно означает выход из строя блока магнитных головок или микросхемы предусилителя-коммутатора. Однако это не всегда так. В отдельных случаях диск может стучать при ошибках микропрограммы – если в силу какой-то ошибки в дефект-листы накопителя добавился дефект из несуществующей области диска и накопитель время от времени пытается «увести» туда головки (это сопровождается ударом ограничителя головки об упор позиционера); «циклические» ошибки оверлеев, когда диск многократно перезапускает процесс старта; срыв рекалибровки (например, при сильных вибрациях или нестабильном чтении каких-то областей диска), при этом диск начинает процесс старта заново; дефекты поверхности, на которых происходит «срыв» чтения и головки производят аварийную парковку; и т.п. Поэтому, даже если ваш диск вдруг начал стучать – это еще не значит, что вас ожидает дорогостоящая процедура замены головок, возможно, что проблему удастся решить дешевле.


Необратимые повреждения поверхности. В этом случае диск будет стучать.

Миф восьмой

Любой сисадмин может восстановить данные

Опровержение мифа. Системные администраторы – это своеобразная каста IT-специалистов, которым часто приписывают функции, которым они на самом деле не обучены. Основная функция сисадмина, как следует из названия его профессии – администрирование систем, то есть поддержание их в рабочем и функциональном состоянии, а также решение проблем на уровне операционной системы или ПО. Ремонт компьютерных комплектующих – совершенно другая работа, которая требует значительного погружения в мир электроники и специальных знаний. Восстановление данных, кроме умений ремонтника, требует специального оборудования, которое в подавляющем большинстве случаев недоступно системным администраторам. Конечно, многие из них в силу хорошего знания ПО и принципов функционирования операционных систем могут восстанавливать данные в простейших случаях, однако когда дело касается вмешательства в работу микропрограммы накопителей или алгоритмов вычитывания и сборки данных, реализованных в специальных инструментах, системные администраторы бессильны.


Работа сисадмина обычно не связана с восстановлением данных.

Миф девятый

Нельзя потерять данные в облаке

Опровержение мифа. Конечно, облачные сервисы – весьма надежные хранилища информации, однако вероятность потерять данные в облаке все же имеется. В первую очередь, это связано с возможностью потери контроля над учетной записью вашего облачного хранилища – причем не важно, потеряли вы пару логин-пароль, или их украл и изменил злоумышленник. Вторая вероятность – просроченная оплата хранилища, если вы пользуетесь ее платной версией (соответственно, используете больший объем, чем предлагает тот же сервис бесплатно). Какое-то время при просроченной оплате сервис хранит ваши данные, по истечении этого времени ваше место уходит другому владельцу, а данные уничтожаются. Это полностью автоматический процесс. Наконец, время от времени в дата-центрах провайдеров облачных сервисов случаются аварии, что приводит ко временным проблемам с доступом к данным; крайне редко, но такие аварии приводят и к полной потере части данных пользователей этих сервисов.


Проблемы с загрузкой содержимого облака Google Drive при слабом соединении с интернетом.

Миф десятый

Восстановление данных с физически неисправного жесткого диска невозможно без чистой комнаты

Опровержение мифа. Большинство людей не знают, что между чистой комнатой и чистым боксом (ламинарный шкаф) огромная разница, и считают чистой комнатой именно ламинарный шкаф. Между тем чистая комната, в отличие от шкафа – это именно помещение, которое отвечает определенному классу чистоты. Для работы с жесткими дисками принят класс 100 – то есть в одном кубометре воздуха не должно содержаться больше 100 частиц пыли. Естественно, чем ниже класс чистоты, тем лучше для работы. Оборудование чистой комнаты – очень дорогое удовольствие: необходимо покрыть пол, потолок и стены специальной краской, которая не продуцирует пыль; необходимо проложить окна специальными прокладками, через которые не может проходить пыль; необходимо оборудовать специальный шлюз, в котором инженеры будут переодеваться в специальную (не производящую пыли) одежду, и откуда будет откачиваться пыльный воздух, привнесенный снаружи; необходимо, наконец, наладить систему фильтрации поступающего воздуха. В отличие от чистой комнаты, ламинарный шкаф стоит намного дешевле и при этом дает тот же уровень чистоты. Работа в ламинарном шкафу намного комфортнее, так как не требует одевания специального костюма. Действительно, зачем очищать весь воздух помещения, если можно очистить только ту его часть, в которой находится жесткий диск?


В ламинарном шкафу производятся все работы в гермозоне жесткого диска.

Станислав Корб, ©2018



Мы принимаем к оплате | We accept payments


Мы стажировались и работали в странах | We worked or practiced in following countries