Задача. Восстановить данные с дискового массива RAID-1+0
Описание проблемы. Массив поступил в виде дисков (не в составе сервера), без какой-либо нумерации или пометок. Диски с интерфейсом SATA, емкость каждого диска 80 ГБ. Все диски исправны. Требуется восстановить почтовые базы данных MS Exchange Server двухлетней давности
Результаты диагностики После сборки массива выяснилось, что база данных не имеет снапшотов и существует в актуальном состоянии, однако для базы включено ведение журналов. Данные за искомый период можно извлечь из имеющихся за все время работы почтового сервера журналов.
Необходимые для восстановления информации процедуры.
1) Создание полной посекторной копии каждого накопителя.
2) Определение конфигурации массива.
3) Сборка массива.
4) Извлечение необходимых для извлечения информации файлов.
4) Извлечение необходимых пользователю данных.
Результат.
Данные восстановлены полностью.
Особенности заказа.
Сборка самого массива не составила никакого труда, проблемы начались с извлечением данных за нужный период. При журналировании почтовой активности ПО MS Exchange Server не сохраняет вложения, указывая лишь их названия, поэтому письма с вложениями удалось восстановить не полностью (без вложений). Однако этот результат удовлетворил заказчика.
Не далее как вчера столкнулся с восстановлением данных с жесткого диска, когда заказчику нужно было найти определенные данные в текстовом формате. Заказчик установил на диск новую операционную систему, при этом удалив предыдущие разделы. Старую файловую систему восстановить не удалось – она оказалась полностью переписанной. В этом случае помочь может только RAW-восстановление: диск сканируется специальными программами, которые анализируют его сектор за сектором, производят поиск заголовков нужных вам типов файлов, определяют их размер, и затем – выводят результат такого сканирования в виде дерева файлов. Результат может быть сохранен в виде файлов, которые затем необходимо отсортировать вручную, так как оригинальные названия файлов не сохраняются.
Папка с файлами фотографий после отработки восстановления по типу “RAW”
Если с фотографиями и видео все можно решить относительно быстро – отсортировать фотографии по размеру, удалить слишком маленькие файлы, а затем рассортировать фотографии по превьюшкам, то с текстовыми документами этот метод не сработает, так как даже на превьюшках вы не увидите того, что написано в документе. Многие идут самым простым путем: открывают документы один за другим, просматривают содержимое и переименовывают файл в соответствии с ним. Это можно относительно легко сделать для нескольких сотен документов, но как быть, если их несколько десятков или даже сотен тысяч, и ищете вы конкретную информацию?
В этом случае вам на помощь придет автоматизация поиска.
Не секрет, что некоторые функции Windows позволяют находить документы по их содержимому. Однако у поиска операционной системы есть два серьезных недостатка: он хорошо работает только на проиндексированных папках и он обрабатывает не все типы документов. Соответственно, гарантий того, что нужная вам информация найдется поиском, нет. Для того, чтобы найти информацию гарантированно, нужно использовать специализированные функции файловых менеджеров. Они дают очень хорошие результаты, позволяют найти все файлы, в которых имеются интересующие вас слова, удобны для работы.
Как это делается?
Все просто. Для начала скачайте один из файловых менеджеров. Я рекомендую Total Commander по двум причинам: он условно-бесплатный, то есть работает без регистрации, и у него дружественный и интуитивно понятный интерфейс. Cкачать последнюю версию Total Commander можно по ссылке
Допустим, мы ищем документ, в котором содержится номер телефона интересующего нас человека. Он записан в текстовом файле, расположенном в папке «Мои документы», нам известно имя контакта, и больше никаких сведений о нем у нас нет. Чтож, мы можем долго искать его, открывая один файл за другим, или воспользоваться расширенными опциями поиска файлов в программе Total Commander. Давайте пройдем по всему процессу поиска от начала до конца.
1. Открываем Total Commander. Интерфейс представляет собой окно, разделенное на две части, в которых можно открыть два разных источника (из одного в другой можно копировать и переносить данные, и т.п.). Нам все равно, в какой части окна работать; я обычно выбираю правую панель – я правша =). Выбираем нужным нам источник (мы работаем с папкой «Мои документы», поэтому я выбираю его).
Рабочая панель программы “Total Commander”, выбираем нужную нам папку
2. Комбинацией клавиш «CTRL + A» (нажимаем одновременно, или CTRL моментом раньше, чем А) мы выбираем все содержимое папки. Если мы наведем и установим курсор на одной папке, то поиск будет работать только в ней.
Рабочая панель программы “Total Commander”, выбраны все папки и файлы нажатием комбинации клавиш «CTRL + A»
3. Открываем инструмент поиска. Находится он в меню «Инструменты» -> «Поиск файлов».
Открываем инструмент поиска программы Total Commander
4. Теперь нам важно указать, что именно мы ищем. В поле «Искать файлы» можно указать типы файлов, которые следует просмотреть (например: *.txt, *.doc – программа будет производить поиск только этих файлов, и будет пропускать остальные). Если вы не уверены, в каком именно типе файла сохранили свои данные, оставьте это поле пустым – тогда программа будет анализировать все файлы. Самое важное для нас поле – «С текстом». Ставим на нем галочку и указываем текст, который мы ищем. В нашем примере с контактом – это имя контакта (я указал «Иван»). Далее можно настроить опции текстового поиска: ищем мы слово целиком, или это фрагмент какого-то составного слова (например, если мы уверены, что Иван был написано отдельно, то можно выставить опцию «Только слово целиком», если же мы не уверены в этом, и было что-то типа «Иван_Петров» или «ИванИванов», то лучше этот чекбокс не трогать); соблюдать ли регистр (если эта галочка не установлена, то программа будет искать слово во всех регистрах); тип кодировки. Тип кодировки важен, так как символы в разных кодировках пишутся в файл по-разному. В Windows по умолчанию это своя кодировка ANSI, и кодировка выбирается Total Commander по умолчанию – этот чекбокс можно не трогать.
Настраиваем поиск в программе “Total Commander”: ищем слово «Иван» во всех файлах папки «Мои документы»
5. После того, как вы настроили все опции поиска, нажмите кнопку «Начать поиск». Процесс может занять довольно продолжительное время, если у вас много файлов. Дождитесь его завершения (в нижней части окна поиска появится надпись «Найдено файлов – ХХХ, каталогов – ХХХ, а программа издаст звуковой сигнал события Windows). В процессе поиска в окне внизу будут появляться его результаты.
Поиск файлов в программе Total Commander в работе
Поиск файлов в программе Total Commander завершен
6. В окне поиска можно перейти к интересующему вас файлу (кнопка «Перейти к файлу»), если вы уверены, что это именно то, что вам нужно. Если же такой уверенности нет, то можно вывести все файлы на панель для удобства работы, и просматривать их по одному (кнопка «Файлы на панель»).
Результаты поиска программой Total Commander выведены на панель
7. В нашем примере нашлось довольно много файлов, содержащих текстовое поле «Иван» — даже среди картинок. Записывать информацию контакта в изображение мы вряд ли могли, поэтому картинки можно сразу пропустить. Для удобства дальнейшего поиска лучше всего рассортировать файлы по типу (просто нажав на кнопке «Тип» в панели с файлами).
Результаты поиска программой Total Commander отсортированы по типу, интересующий нас файл выделен
8. Очевидно, что в первую очередь проверять следует текстовые файлы. Такой файл нашелся только один (их может быть и больше). Установим на него курсор и нажмем функциональную клавишу F3 (просмотр файла) – и мы увидим его содержимое. Поздравляю! Вместо нудного поиска файла по всему каталогу «Мои документы» вручную, которые может занять продолжительное время, мы нашли нужный нам файл за пару минут.
Файл, найденный программой Total Commander, открыт для просмотра
Как видим, процедура поиска может быть сильно облегчена, нужная нам информация может быть найдена быстро, а представляемый программой результат поиска удобен и понятен.
Не теряйте своих данных, а если потеряли – IT-Doctor всегда готов помочь ее восстановить.
Задача. Восстановить данные с HDD Hitachi HTS541010A7E630
Описание проблемы. Накопитель поступил в составе ультрабука ASUS UX303U. Из корпуса ультрабука явственно слышны клацающие звуки. Предварительный диагноз: неисправность блока магнитных головок.
Результаты диагностики. Для диагностики накопитель извлечен из корпуса ультрабука и подключен на ПАК РС-3000. Выяснено, что неисправна головка 0 накопителя (всего у диска 4 головки). Нужный заказчику объем данных был небольшой, поэтому было принято решение вычитать накопитель по исправным головкам, ознакомить заказчика с полученным результатом и по нему принимать решение о целесообразности замены БМГ.
Необходимые для восстановления информации процедуры.
1) Запуск накопителя в технологическом режиме.
2) Создание карты головок накопителя.
3) Вычитывание исправных головок по построенной карте.
4) Вычитываение накопителя в технологиеском режиме.
5) Извлечение данных из полученного образа.
Результат.
Данные восстановлены полностью.
Особенности заказа.
У накопителей этого семейства размер зон (участков поверхности, расположенных по одной головке) достаточно велик, поэтому шансы на попадание файла среднего размера в одну и ту же зону достаточно велики. Заказчику требовалось восстановить лишь несколько документов Word, которые попали в исправную часть диска, поэтому нужные ему данные удалось восстановить без дополнительных затрат на запасные части.
Пару дней назад обратился клиент с нетривиальным случаем: USB-флешка Kingston Data Traveler Locker+. Накопители этого типа имеют аппаратное шифрование, соответственно, после выхода устройства из строя специалисту по восстановлению данных приходится бороться не только с непосредственно неисправностью, но также и со всеми проблемами, порождаемыми шифрованием.
В нашем случае устройство было исправным, пароль на устройство имелся, но оно было отформатировано. Как оказалось, даже этого хватает, чтобы потерять доступ к данным. Файловая система FAT32, в которой форматируется подавляющее большинство флеш-устройств, не сохраняет никаких следов файловых записей при формате, сама таблица полностью перезаписывается, и после такого форматирования восстановление файловой структуры обычно достигается нетривиальными методами (анализ всех данных с построением файловых деревьев по сохранившимся записям о файлах и папках). Однако в случае с шифрованием анализировать нечего, и если таблицы FAT обнулены, то взять данные о файлах и папках уже просто неоткуда.
Но хуже всего не это. В обычных условиях даже при полной потере данных о расположении файлов (file allocation table – FAT) как минимум часть данных можно восстановить так называемым черновым восстановлением – поиском файлов по их сигнатурам. При этом для поиска фрагментированных файлов используются особые программные продукты собственной разработки (следите за разделом о наших разработках на нашем сайте, мы обязательно познакомим вас с этим ПО). В целом с использованием чернового восстановления получается восстановить от 50 до 99.99% всех потерянных данных. Единственное неудобство чернового восстановления заключается в том, что на выходе мы получаем просто набор файлов одного типа: Word документы, JPEG-картинки, и т.п., разложенные по соответствующим папкам. Однако, во-первых, это лучше, чем ничего, а во-вторых, объемы записываемой на флеш-карты информации обычно невелики, и их ручная обработка после восстановления не занимает много времени.
Вернемся к нашему Kingston Data Traveler Locker+. Устройство нормально определяется в системе, полностью отдает «поляну», однако поляна, увы, зашифрована. Файловой системы нет (флешка отформатирована). Пароль на флешку имеется и работает, то есть получить доступ к данным мы можем. Флешка не шифрует файловые таблицы, шифруется только область данных (что само по себе довольно необычно, но вполне оправдано: зачем шифровать область, описывающую расположение файлов, если без ввода пароля флешка все равно не откроется?). Однако механизм шифрования таков, что шифруются не отдельные сектора, а вся «поляна» флешки целиком, и если файловых таблиц нет, то узнать, где лежали те или иные файлы, невозможно.
Так было и в этом случае. Восстановление данных с самой флеш-карты оказалось невозможным (сильный алгоритм шифрования, зашитый в микроконтроллере уникальный ключ без возможности его «подсмотреть»), однако нашему заказчику мы все же помочь смогли. Все дело в том, что эти флешки автоматически используют резервирование данных в облако по технологии USBtoCLOUD, и если знать эту их особенность, то потерять данные оказывается довольно сложно.
Зашифрованная карта Kingston DataTraveler Locker+, область FAT
Зашифрованная карта Kingston DataTraveler Locker+, область данных
Задача. Восстановить данные с жесткого диска Samsung ST2000LM003
Описание проблемы. Накопитель поступил в работу с диагнозом: не определяется в системе, не раскручивает шпиндельный двигатель.
Результаты диагностики. Для диагностики накопитель был исследован в чистой зоне (ламинарный шкаф вертикальной тяги класса 100). Обнаружено залипание блока магнитных головок на поверхности накопителя.
Необходимые для восстановления информации процедуры.
1) Подбор и адаптация донорского устройства.
2) Извлечение залипших на поверхности головок.
3) Замена блока магнитных головок.
4) Запуск накопителя в технологическом режиме.
5) Подготовка накопителя к вычитыванию данных.
6) Вычитываение накопителя в технологиеском режиме.
7) Извлечение данных из полученного образа.
Результат.
Данные восстановлены полностью.
Особенности накопителя.
Данный накопитель — первый на рынке устройств форм-фактора 2.5′ емкостью 2 ТБ. Его конструктивная особенность — три магнитные пластины и 6 головок, размещенные в корпусе стандартного (высотой 9.5 мм) размера. По этой причине (достаточно тяжелый пакет пластин) залипание головок на поверхности — достаточно характерная проблема этих дисков. К сожалению, наша статистика по расклиниванию этих дисков с использованием специализированных съемников головок оказалась достаточно печальной: больше половины расклиненных блоков магнитных головок оказывались повреждены, не читали данные. С учетом этой статистики мы всегда предлагаем своим клиентам полный цикл работ с заменой блока магнитных головок как наименее опасный для данных и для накопителя.
История объединения исследователей в области технологий восстановления данных – HDD Research Group (Группа Исследователей НЖМД) берет свое начало в 2003 г., и в 2018-м ей исполнилось ровно 15 лет. Именно к этому юбилею я и решил приурочить эту заметку, рассказывающую о том, как, кем и почему была организована Группа, какие преследовала цели, чего добилась.
Начало 2000-х – то благословенное время, когда объемы НЖМД прирастали ежегодно минимум в 2 раза. Менялись линейки (семейства) НЖМД, производители держали высокий темп смены накопителей на рынке. Исследования в области восстановления данных становились все более и более трудоемкими и все менее и менее осуществимыми силами одного – двух человек. В таких условиях вполне естественными становятся различного рода объединения исследователей, направленные на облегчение труда их членов. Одним из таких объединений и стала HDD Research Group.
…Зимой 2003 года в Нижний Новгород приехал один из самых сильных в настоящее время специалистов по восстановлению данных в Украине – Роман Зубарев. Целью его приезда было перенять кое-какой опыт у меня, передать кое-какой опыт мне, ну и пообщаться за жизнь :). Итогом бурных обсуждений явилась констатация того факта, что в условиях бурного научно-технического прогресса поспевать за ним в одиночку нереально. Решение этой проблемы: собрать группу единомышленников, способных решить круг поставленных проблем: исследование НЖМД, разработка технологий восстановления данных и внедрение этих технологий. После того, как круг необходимых действий был очерчен, мы решили приступить к их реализации. Как у Романа, так и у меня были знакомые специалисты, страдающие от той же проблемы: отсутствие времени для того, чтобы объять необъятное. Они были приглашены к сотрудничеству с целью создания и реализации технологий восстановления данных; забегая вперед, скажу, что только один человек не принял приглашения – о нем через какое-то время перестали поступать какие-либо новости: очевидно, что он не справился с все расширяющимся информационным потоком и просто сошел с дистанции. Но это – лишь предположение…
Выделив перспективные направления исследований, группа начала активную работу по их реализации. Результатами этой работы в скором времени стали десятки документов «только для HDD Research Group» с описаниями технологий восстановления данных, специализированное ПО для работы с накопителями Seagate, Samsung, Western Digital, описание и чертежи специальных приспособлений и т.п. За каждым из этих документов, за каждой строкой кода в ПО – многие часы, дни, месяцы кропотливой работы, десятки и сотни экспериментов, огромные временные и материальные затраты. Они, без всяких сомнений, совершенно невозможны для одного или двух человек – тут могла справиться только команда.
Технология – вот основной секрет работы специалиста в области восстановления данных. Знания не только системы команд, но и общих принципов функционирования HDD того или иного производителя позволяют быстро и самое главное – качественно достучаться до «поляны». Без этих знаний работа превращается в тупой перебор способов – залить служебку, залить ПЗУ, провести тест сервометок и т.п. Работа над технологией тяжела и кропотлива. Иногда приходится месяцами сидеть и биться всего лишь над комбинацией из 2 — 3 бит, но когда комбинация вычислена, рождается шедевр инженера – технология.
Одним из основных достижений Группы я считаю организацию Первого международного симпозиума специалистов по восстановлению данных в августе 2005 г. В работе этого симпозиума приняли участие почти все члены HDD Research Group, было заслушано несколько докладов, обсуждались перспективные направления исследований, намечались планы. Но главным следствием симпозиума стали не организационные или научно-технические решения, а возможность членам Группы познакомиться друг с другом лично. Персональный контакт не с обезличенным адресом в интернете, а с живым человеком – вот что открыло новые перспективы развития группы. Без преувеличений скажу, что в последующие 2 года по количеству разработок и их реализаций HDD Research Group заняла одно из лидирующих мест на рынке услуг по восстановлению данных СНГ. И продолжает удерживать эти позиции.
Конечно же, без теплых и дружеских отношений между членами Группы многие направления работы не получили бы своего развития. Поэтому мы часто обменивались дружескими визитами, что, естественно, шло на пользу как нам самим (как минимум – расширение кругозора и знакомство с ранее неведомыми городами), так и нашей работе и в конечном итоге – нашим клиентам. Ведь имея непосредственный дружеский контакт с коллегой намного проще решать возникающие проблемы :).
В настоящее время специалисты, входящие в HDD Research Group, работают в России, Кыргызстане, Китае, Украине, Финляндии, США и Беларуси.
HDD Research Group на Первой международной конференции по восстановлению данных и ремонту HDD
Специалисты группы HDD Research Group Специалисты группы HDD Research Group разбирают RAID-массив из 4 дисков, побывавший в пожаре HDD Research Group на Первой международной конференции по восстановлению данных и ремонту HDD
Задача. Восстановить данные с твердотельного диска ADATA SU800 емкостью 256 GB
Описание проблемы. С твердотельного диска удалены данные.
Результаты диагностики. Для диагностики накопителя использован ПАК РС-3000. Выяснено, что при удаении данных в накопителе отработала технология TRIM. Восстановление данных не представляется возможным
Результат.
Восстановление данных невозможно.
Особенности заказа.
Новые операционные системы, оптимизированные для использования SSD, имеют специализированные опции, направленные на продление срока службы твердотельных дисков. Кроме прочих, это технология TRIM, о которой мы уже писали. Принцип прост: чем больше свободного места имеется на SSD, тем более длинной будет его жизнь. Поэтому при удалении данных с дисков, поддерживающих технологию TRIM, даже если в файловых таблицах (MFT, Catalog File и т.п.) остается имя удаленного файла с пометкой «удален», сам файл удаляется перманентно, место, где он находился, полностью очищается (в зависимости от операционной системы, либо с использованием заполнения сигнатурой 00h, либо FFh). В этом случае, естественно, восстановление данных невозможно уже даже в теории, так как переписанные в ячейках памяти NAND-микросхем данные невозможно «откатить» обратно.
Наверное, почти каждому владельцу компьютера знакомы эти словосочетания – «бэд-блоки» или «дефектные сектора». Все их боятся и, когда их находят, обычно начинается паника. В этой статье я расскажу про дефектные сектора, что это такое, нужно ли их бояться и как с ними бороться.
Дефекты – что это?
Поверхность жесткого диска имеет строгую организацию. Основная единица поверхности – сектор; это порция данных, имеющая определенную структуру. Как правило, эта структура включает в себя заголовок, тело (которое, собственно, и несет данные) и контрольную сумму. У некоторых накопителей сектор может также нести служебную информацию (маркер физического адреса, маркер принадлежности к поверхности и т.п.), но для нас это не важно – важны именно заголовок, тело и контрольная сумма. Сектора организованы в треки, или цилиндры, а последние, в свою очередь – в зоны.
Поверхность жесткого диска, хотя и изготавливается в идеальных условиях, ввиду громадного количества единиц хранения данных (секторов) не может быть изготовлена без дефектов. Эти дефекты поверхности могут быть различной природы – от банальных царапин до мест, где нанесение ферромагнитного состава было проведено с ошибками (тоньше или толще чем нужно). Попадающие в эти области сектора, очевидно, не будут нормально работать, и на этом основании исключаются из использования и помечаются как дефектные.
Таким образом, дефектные сектора – это любые проблемы поверхности жесткого диска, SSD или флеш-карты, приводящие к затруднению или невозможности операций чтения и записи.
Какие бывают дефекты?
Дефектные сектора принято разделять по происхождению и по времени возникновения. По происхождению дефекты бывают:
Аппаратные – дефектный сектор образовался в результате физического повреждения поверхности;
Программные – дефектный сектор образовался в результате сбоя программного обеспечения, причем не важно – пользовательская это программа или микропрограмма накопителя.
По времени возникновения дефекты делятся на: заводские и послезаводские.
Заводские дефекты – те, которые были обнаружены и скрыты на заводе-изготовителе.
Послезаводские дефекты – те, которые образовались уже после выпуска устройства с завода и были скрыты в процессе его эксплуатации.
Что такое дефект-менеджмент?
Скрытие дефектных секторов и оперирование скрытыми секторами называется дефект-менеджментом (управление дефектами). Суть его заключается в обеспечении бесперебойной работы диска с использованием только исправных, нормально читающихся и записывающихся областей поверхности. Упрощенно дефект-менеджмент построен по следующей схеме:
1) обработка заводского списка дефектов и построение системы трансляции накопителя с его использованием;
2) обработка растущего списка дефектов и подстройка имеющейся системы трансляции с его использованием;
3) постоянный мониторинг состояния поверхности;
4) добавление в случае необходимости дефектов в растущий список дефектов и перестроение системы трансляции в связи с этим.
Что такое система трансляции (транслятор)? На диске все сектора, и хорошие, и плохие, расположены один за другим; для того, чтобы использовать только хорошие сектора, требуется пропустить плохие. Этим и занимается транслятор: в самом упрощенном представлении это карта поверхности, на которой неисправные области (бэд-блоки) имеют соответствующее обозначение и при работе диска будут пропускаться, а исправные имеют сквозную нумерацию (с пропуском неисправных) и будут использоваться.
Система трансляции в современных дисках учитывает не только сектора, но и другие единицы организации дискового пространства: треки, диапазоны секторов, сервометки и даже зоны. Это особенно важно для дисков с исходно низким качеством поверхности: при большом количестве дефектов (несколько миллионов) «утрамбовывание» их всех в дефект-листы по одному сделает работу системы трансляции слишком громоздкой и может привести к ошибкам. Если же убрать из трансляции целый трек (а это, для некоторых дисков и зон, десятки тысяч секторов), то в дефект-лист попадает не несколько тысяч, а одна запись, и транслятор будет работать гораздо надежнее и оперативнее.
Отдельно следует сказать о том, какой может быть система трансляции. Наиболее широкое распространение получили три типа транслятора: статический, динамический и многоуровневый. Работа статического транслятора обеспечивается особым модулем служебной информации; грубо говоря, все таблицы трансляции поверхности у такого накопителя уже построены и каждый раз загружаются из готового модуля транслятора из служебной зоны. Динамический транслятор работает по другому принципу: таблицы трансляции накопителя строятся в его памяти при каждом его старте с использованием имеющихся таблиц дефектов; отдельно модуля транслятора в служебной зоне таких накопителей нет. Наконец, многоуровневый транслятор подразумевает работу в накопителе нескольких систем трансляции (первого уровня, второго уровня и т.п.), при этом транслятор первого уровня обычно отвечает за физическую систему трансляции, а второго – за логическую. Многоуровневый транслятор разработан для обеспечения высокой скорости уничтожения данных: в случае необходимости одна из таблиц трансляции просто обнуляется (упрощенно при любом запросе диск отдает один и тот же сектор, заполненный нулями).
P-List, G-List и прочая
Непосредственно с дефект-менеджментом связаны таблицы дефектов (дефект-листы). Наиболее известными являются P-List и G-List (заводская и растущая таблицы дефектов); кроме них, в зависимости от производителя, могут иметься и таблицы других дефектов: треков (T-List), серво-разметки (S-List) и пр. Таблицы дефектов хранят в приемлемом для накопителя виде записи о бэд-блоках. Как правило, эти записи включают в себя физический адрес первого дефектного сектора и длину дефектной области (если это один сектор – то, соответственно, длина будет 1).
Потеря некоторых из этих таблиц может привести к недоступности данных пользователя, это крайне важно понимать.
Как проявляют себя диски с дефектами поверхности?
Дефекты поверхности диска – это, прежде всего, невозможность считать какую-то его область. Следовательно, при попытке чтения этой области проблемы с чтением будут сразу же заметны. Файл, который вы пытаетесь прочитать, не будет читаться; данные, которые вы будете пытаться скопировать, не будут копироваться; и т.д. В системе это обычно сопровождается сообщением типа «A read/write error has been detected» или подобной; если для копирования данных вы пользуетесь файловым менеджером, то вы увидите сообщение типа «Невозможно скопировать файл. Невозможно произвести чтение с диска или устройства».
Если область с бэд-блоками попала на какие-то установленные программы, то они либо перестанут запускаться вообще, либо их запуск будет затруднен, либо работа самой программы начнет завершаться с ошибками.
Ну и, наконец, если дефектная область попала на критически важные файлы операционной системы, та перестанет запускаться (как примеры: бесконечный первый экран Windows или «синий экран смерти» с характерными для проблем с жестким диском кодами ошибок: 0x00000010, 0x00000019, 0x00000022, 0x00000026, 0x0000004C, 0x00000051, 0x00000052, 0x00000068, 0x00000073, 0х00000077, 0х0000007А, 0х0000007В, 0х0000009В, 0х000000ED, 0x000000F4, 0xC0000135, 0xC0000218).
В областях с проблемами чтения (сильное замедление доступа к данным в секторе) система может подвисать (фризы), иногда – довольно надолго. Как пример: у вас имеется Word-документ, с которым вам нужно работать. Вы кликаете на этот файл, начинается запуск MS Word, и он продолжается значительно дольше обычного (десятки секунд или даже минуты). Это говорит о том, что медленно читаются сектора либо части программного обеспечения MS Word, либо – в самом документе.
Замедления еще не являются дефектными секторами, но их наличие – четкий сигнал к тому, что вам совершенно необходимо резервное копирование данных и, возможно, замена жесткого диска.
SMART и его атрибуты: как определить, что состояние поверхности критическое?
Для контроля за состоянием диска разработана подсистема микропрограммы, имеющая название SMART (Self Montoring, Analysis and Reporting Technology; технология самомониторинга, анализа и предупреждения). Эта подсистема работает независимо от других частей микропрограммы (хотя в некоторых современных дисках это не так и приводит к проблемам, но это – тема для отдельной статьи), ее работу можно упрощенно описать следующей схемой:
1) В подсистеме выделяются несколько характеристик (которые названы «атрибуты SMART»);
2) По выделенным атрибутам производится сбор «сырых» данных;
3) Собранные «сырые» данные анализируются микропрограммой, в результате этого анализа генерируется число (текущее значение атрибута);
4) На основании комбинации значений атрибутов формируется ответ на вопрос о текущем состоянии диска (Good, OK, Must be replaced и т.п.).
Обычно атрибуты SMART читаются из дисков при старте компьютера, и если с диском начинаются проблемы, Вы узнаете об этом еще до запуска Windows по сообщению примерно такого содержания: Hard Drive SATA0: SMART status BAD. Это означает, что по сумме атрибутов или даже по единственному из них диск «просел» до критических значений и более не может считаться исправным. В таких случаях рекомендуется произвести резервное копирование данных и замену накопителя.
Атрибуты SMART может читать не только операционная система, но и специальные программы, наиболее известные из которых: Victoria for Windows, Hard Disk Sentinel и т.п. Мониторя изменение атрибутов SMART, вы можете примерно предсказать, сколько еще времени отпущено вашему устройству. Например, наблюдая за атрибутом “Relocated sectors count” (счетчик переназначенных секторов; упрощенно – количество записей растущего списка дефектов), вы будете видеть, сколько секторов в день у вашего диска из нормальных превращается в плохие. Наблюдать, однако, я рекомендую не за отдельными атрибутами, а за их комплексом, и причина проста: например, у вашего диска начнет расти атрибут «Spin errors» (или подобный) – это означает, что диск не смог раскрутить шпиндельный двигатель. Как результат – при попытке очередной раскрутки может произойти сбой и головки спровоцируют возникновение дефектного сектора или, еще хуже – застрянут на поверхности. Если же вы вовремя заметили начало роста этого атрибута, то и меры для исправления ситуации с ним тоже примете вовремя: поменяете шлейфы (это наиболее частая причина возникновения таких ошибок) или блок питания.
Для примера приведу анализ нового SSD (ADATA SU800 емкостью 512 Гбайт) и бывшего в употреблении около полугода HDD Seagate Mobile HDD 2 Тбайт. Как мы видим, у SSD прекрасный SMART и график чтения без единой ошибки. А вот с HDD все достаточно грустно: уже есть дефекты, около половины атрибутов SMART уже в желтой зоне, и один атрибут (как раз отвечающий за бэд блоки) – в красной зоне. Данные необходимо резервировать, а накопитель или ремонтировать, или менять.
Состояние SMART твердотельного диска ADATA SU800 емкостью 512 Гбайт Состояние поверхности твердотельного диска ADATA SU800 емкостью 512 Гбайт Состояние SMART жесткого диска Seagate Mobile HDD емкостью 2 Тбайт Дефект поверхности жесткого диска Seagate Mobile HDD емкостью 2 Тбайт
Тестируем на бэд-блоки
Я рекомендую периодически (один раз в 2 – 3 недели) проводить проверку ваших носителей на дефектные сектора. Оптимально делать это следующим образом:
1) Скачать из интернета образ загрузочной флешки (часто называется Live CD), в состав которого входит программа для тестирования дисков (обычно это Victoria);
2) Записать скачанный образ на флешку (я использую для этого программу Rufus);
3) Загрузить ваш компьютер с записанной флешки (указав при загрузке компьютера в качестве загрузочного устройства вашу флешку – это достаточно просто, при запуске на одном из первых экранов вы увидите фразу типа «Boot options – F10” или подобную. Жмите на соответствующую кнопку, и у вас появится меню с возможностью выбора загрузочного устройства.
Экран загрузки, на котором указана функциональная клавиша для активации загрузочного меню Загрузочное меню компьютера, вызванное соответствующей функциональной клавишей
4) После загрузки – запускайте программу для проверки и проверяйте диск на дефекты. Внимание! Важно! При выборе теста никогда не отмечайте галку «запись» — это сотрет все ваши данные. Наилучшим режимом проверки является верификация (verify).
Возможно два варианта – либо вы не обнаружите на диске дефектов, либо – обнаружите. Если обнаружились дефекты, то вам нужно оценить следующие показатели:
1) Сколько нашлось дефектов?
2) К каким типам ошибок относятся дефекты?
3) Как расположены дефекты?
Если дефектов немного (до 100 штук) – то волноваться не стоит и, скорее всего, после описываемых ниже процедур ваш диск продолжит трудиться. Если дефектов много (свыше 100) – скорее всего, диск требует замены. Значение 100 в данном контексте не стоит воспринимать как приговор для диска – все сильно зависит от его объема и условий эксплуатации. Но в любом случае, если количество обнаруженных дефектов многократно превышает 100, диск подходит (если уже не подошел) к своей последней черте.
По типам ошибок наиболее распространены ABR (Abort, Command Aborted) – команда, которую получил диск при обращении к сектору, отвергнута; UNC (Uncorrectable ECC Error) – при чтении диска обнаружена нескорректированная ошибка данных (обычно контрольной суммы сектора); INF (Sector ID Not Found) – не удалось обнаружить идентификатор сектора. Все остальные ошибки встречаются реже и останавливаться на их обсуждении мы не будем. О чем же говорят нам эти ошибки? Если при чтении сектора отвергнута команда, то наиболее вероятная причина этого – ошибка микропрограммы (например, «зависшие» операции журналирования SMART). Скорее всего, при повторном тестировании такой ошибки или не появится вообще, или она выскочит в другом месте.
Ошибки типа INF говорят о тяжелых повреждениях поверхности, связанных с разрушением сервисной информации поверхности (или заголовок сектора, или (чаще) заголовок трека). При обнаружении ошибок такого типа я настоятельно рекомендую подумать о срочной замене накопителя и немедленном резервировании данных. Разрушение поверхности – абсолютно непредсказуемое явление, один диск может прожить с широкой царапиной несколько лет, а другой от почти невидимого следа удара полностью запилиться за пару секунд.
Наконец, ошибки типа UNC могут возникать и как результат аппаратных проблем (непосредственные проблемы с поверхностью), и как результат неправильной работы программ (например, при записи данных не финализирована контрольная сумма сектора). Такие ошибки чаще всего легко «лечатся» и диск продолжает нормально работать годами.
И последнее – это то, как дефекты расположены. Скопления по несколько десятков или сотен дефектов должны вас насторожить – возможно, это небольшая царапина, которая вполне может превратиться в запил. Если дефекты расположены поодиночке, поводов для беспокойства меньше.
Что делать, если обнаружены дефектные сектора?
Первый, и наиболее правильный совет – не паниковать.
Определитесь, имеются ли на вашем начавшем «сыпаться» диске нужные вам данные. Если они есть – немедленно приступите к их резервированию. Любые действия с диском, которые будут описаны ниже, можно проводить только после того, как у вас появится полная резервная копия ваших данных.
Итак, данные зарезервированы. Проверьте еще раз, что вы скопировали в резерв именно те файлы, которые нужны, а также то, что эти файлы работают. Если все нормально, то можно приступать к процедуре лечения диска от дефектных секторов.
Образование дефектов – это нормально. Жесткий или твердотельный диск устроен таким образом, что новообразующиеся дефектные сектора по мере их обнаружения будут скрыты средствами самого накопителя. Если вы обнаружили 1 – 2 бэд-блока, то, скорее всего, накопителю просто не хватило времени на их «ремонт» (скажем, диск обнаружил дефектный сектор и уже собирался приступить к его замещению, как вы выключили компьютер). Вот этот вот принцип (автоматического скрытия дефектного сектора при его обнаружении) мы и будем использовать для лечения диска.
Поменяйте шлейфы (и SATA, и питание) – часто ошибки образуются по причине плохого контакта (любой разъем имеет свойство расшатываться, контакт – ухудшаться). Это обезопасит вас от образования новых программных дефектов и продлит жизнь вашего диска.
Выше я уже описывал, как создать загрузочную флешку для запуска тестирования жесткого диска на выявление дефектов. Нам нужно будет снова использовать эту флешку.
Загружаемся с флешки и запускаем программу для тестирования носителей информации (обычно это Victoria). И теперь начинается самое интересное – лечение. Для того, чтобы излечить диск от дефектов, мы используем только механизмы, заложенные в сам накопитель: программные бэд-блоки (так называемые софт-бэды) уберутся, когда у сектора появится правильная контрольная сумма, а реальные дефекты мы попробуем заставить диск убрать автоматически. Обоих зайцев будем убивать записью.
Настоятельно рекомендую еще раз убедиться в том, что все нужные данные были зарезервированы – после того, как мы прогоним диску запись, данных на нем не будет. Если все хорошо и вы уверены, что все ваши данные надежно сохранены на другом носителе – приступаем к лечению. Для этого в Victoria, после выбора нужного диска, переходим на вкладку тестов и выбираем write (запись). Внимание! Данный тест полностью и безвозвратно стирает данные на физическом уровне!
Нажимаем Start и ждем окончания теста. После того, как он завершился, во вкладке тестов выбираем верификацию (verify) и снова нажимаем Start. После окончания верификации оцениваем график чтения. Он должен стать ровнее, дефекты должны исчезнуть. Если этого не произошло – можно попробовать пройтись записью еще один – два раза. Как правило, в случае с софт-бэдами и небольшим количеством новообразовавшихся дефектов достаточно одного прохода записью. Если их нужно больше – значит, диск работает уже на пределе своих возможностей и остро нуждается в замене. Подумайте, захотите ли вы доверять данные такому накопителю.
Почему я советую провести процедуру лечения записью прежде, чем ставить на диске крест? Если проблемы крылись в программных ошибках или в плохом контакте (расшатанные разъемы, плохое качество шлейфов и т.п.), то замена разъемов/шлейфов и запись их полностью излечит и поверхность диска станет как новая. По нашей статистике не меньше половины дисков с бэд-блоками – это диски, имеющие софт-бэды, с прекрасной (на самом деле) поверхностью. «Заваленный» SMART, провалы в графиках чтения и прочие прелести казалось бы умирающего диска – лишь следствие плохого контакта и программных ошибок, аппаратно диск может быть еще весьма и весьма далек от путешествия в свой битовый рай. Ну а если его можно спасти малой ценой (по два доллара за шлейфы хорошего качества и ночь работы компьютера в режиме записи и верификации) – то почему бы и нет?
Заключение
Как я уже писал выше, образование на диске дефектных секторов — нормальное явление при эксплуатации любого носителя информации, и их микропрограмма приспособлена для того, чтобы в автоматическом режиме решать эту проблему. Поэтому при обнаружении нескольких дефектов особых поводов для беспокойства нет — как только диск их обнаружит, он с ними самостоятельно справится. Если дефектов обнаружилось много, это может уже быть серьезно, и в этом случае я настоятельно рекомендую начать с резервного копирования данных, после которого пробовать описанный выше механизм лечения. Если же он не помог — не пытайтесь использовать диск, «обходя» дефектные области с помощью создания разделов разного размера и расположения. Диск нужно менять — риск того, что дефектная область будет увеличиваться, очень велик, при современных ценах на накопители есть ли смысл так рисковать?
Задача. Восстановить данные с дискового массива из сервера с 14 дисками
Описание проблемы. В работу поступил blade-сервер, в составе которого работает 14 SAS-дисков. При запуске сервер не может распознать дисковые сборки (array), соответственно, пользовательские данные не дступны. Однако сигналов о том, что какие-то диски вышли из строя и массив перешел в degraded-состояние, нет.
Результаты диагностики Произведен анализ массива. Выяснено, что по неизвестной причине (скорее всего, саботаж) дисковый массив удлен. Для восстановления данных требуется сборка массива с использованием специализированного ПО, извлечение данных из собранного массива, создание нового массива средствами сервера и копирование восстановленных данных на вновь созданный массив.
Необходимые для восстановления информации процедуры.
1) Определение параметров массива (в нашем случае оказалось RAID5+0)
2) Сборка массива по определенным параметрам.
3) Извлечение пользовательских данных на наши носители.
4) Создание нового массива средствами сервера.
5) Копирование восстановленных данных в созданный массив.
Результат.
Данные восстановлены полностью.
Особенности массива.
Достаточно стандартная схема построения массива, в которой два подмассива RAID-5 объединены посредством страйпирования. Таким образом, при достаточно высокой надежности RAID-5 получается некоторое увеличение производительности и емкости посредством использования технологии страйпирования (RAID-0). Проблема именно этого пользователя заключалась в том, что к утилите конфигурирования массива сервера имелся доступ у большого количства людей, что и привело к саботажу. Мы рекомендовали использовать встроенные средства безопасности серверного ПО, а именно: сменить пароли доступа в админ-панель серверной ОС, на BIOS RAID-части сервера, к службам управления доменами, и уменьшить количество людей, имеющих доступ к этим инструментам.
Задача. Восстановить данные с SSD Samsung MMCRE64G5MPP
Описание проблемы. Накопитель поступил с жалобой на то, что он не определяется компьютером.
Результаты диагностики. Для диагностики накопителя использованы ПАК РС-3000, цифровой мультиметр и цифровой осциллограф. Выяснено, что электроника накопителя исправна, а причина отказа — невозможность проинициализировать транслятор (циклическая загрузка в память диска одного и того же содержимого, имеющего поврежденную структуру).
Необходимые для восстановления информации процедуры.
1) Запуск накопителя в режиме загрузчика.
2) Загрузка в накопитель модифицированной микропрограммы (загрузчик диска).
3) Построение системы трансляции, применение ее в буферном ОЗУ диска.
4) Подготовка накопителя к вычитыванию данных.
5) Вычитываение накопителя в технологиеском режиме.
6) Извлечение данных из полученного образа.
Результат.
Данные восстановлены полностью.
Особенности накопителя.
Твердотельные накопители, в отличие от жестких дисков, не имеют в своей конструкции движущихся частей. У большинства SSD стандартной проблемой является повреждение или разрушение модулей трансляции, которое можно исправить только с использованием специализированных программно-аппаратных или программных продуктов.
