Письмо с фишинговой ссылкой; ссылка частично прикрыта для безопасности
Очередное изобретение злоумышленников, желающих получить доступ к вашему компьютеру — рассылка фишинговых писем с предложением отследить некую посылку.
Люди часто пользуются службами доставки или почтой, поэтому для многих такое предложение не покажется подозрительным. Не ожидая ничего плохого, они пройдут по имеющейся в письме ссылке, в результате чего загрузят на свой компьютер вредоносное ПО. Чем это чревато?
Наиболее распространенная возможная проблема — включение вашего компьютера в ботсеть для осуществления распределенных вычислений. Следующая по степени распространенности — троянская программа для кражи персональных данных (включая данные банковских карт или реквизиты интернет-банкинга). Наконец, вам могут просто зашифровать файлы с последующим требованием выкупа за их расшифровку.
Поэтому, получая любое электронное письмо с неизвестного вам адреса, тем более — содержащее внутреннюю ссылку — не нажимайте на ссылку сразу, проверьте ссылку, обращались ли вы в службу, которая ссылается за ссылкой, ранее, взвесьте все «за» и «против», и только после этого принимайте решение — посещать эту ссылку или удалить письмо.
Вчера на сайте журнала Forbes появилась весьма тревожная статья: объявлено, что облачный сервис Canon подвергся хакерской атаке и с него было украдено около 10 Тбайт данных пользователей.
Новость эта тревожна по двум причинам. Во-первых, уж если такие крупные гиганты IT-индустрии, как Canon, не могут обеспечить безопасность своих онлайн-сервисов, то что говорить о нас, простых смертных? И, во-вторых, а если в следующий раз злоумышленники не станут красть чужие данные, а зашифруют их? Как известно, современные вирусы-шифровальщики весьма тяжело поддаются расшифровке.
Что известно на настоящий момент? 5 августа 2020 года хакеры из группировки Maze (разработчика одноименного зловреда) взломали защиту серверов Canon и украли около 10 Тбайт данных, включая персональную информацию. Что именно было украдено, не раскрывается — но, надо думать, хакеры вряд ли стали бы тянуть с серверов фоточки и видосики пользователей. Всего пострадало 24 домена Canon — случай беспрецедентный по своему размаху. Скорее всего, злоумышленники получили полный доступ к корневым директориям главных серверов компании.
В настоящее время компания Canon проводит расследование данного инцидента. Самое неприятное, что мне, как пользователю сервисов Canon, не поступало никаких предупреждений о том, что требуется мое внимание к безопасности моего аккаунта.
В свете всего этого я бы посоветовал тем, кто пользовался облачными сервисами Canon, озаботиться обновлением защиты: как минимум, поменять пароли. Оевидно, что корпорации сейчас не до оповещения пользователей о возможных проблемах и рисках. А зря.
Плата электроники накопителя информации — устройство сложное. Как любое другое сложное устройство, она может выходить из строя — и случается это, к слову, довольно часто. Диагностировать неисправности платы электроники порой очень легко, а порой — очень не просто. А еще бывают ситуации, когда плату до обращения к нам уже кто-то пытался лечить. В таких случаях, если «лечение» проходило паяльником в стиле «паять ламповые телевизоры», платы имеют весьма характерный вид, и диагностика не вызывает никаких проблем.
Немалую роль при диагностике неисправностей плат электроники играет визуальный осмотр. В этой заметке я продемонстрирую несколько примеров неисправностей платы электроники. Охватить все их многообразие в рамках одной публикации такого рода невозможно, но в качестве отправной точки этого более чем достаточно.
1. Прогоревшие чипы
Электрические разрушения микросхем бывают разного типа, наиболее легко визуально диагностируется так называемый прогар микросхем. В чипах отчетливо видны дырки, часто (при прогаре не сверху, а сбоку) — сгорает также одна или даже несколько ножек микросхемы.
Этот тип неисправностей, как мы видим, диагностировать относительно легко. Лечение производится двумя основными способами: или заменой сгоревшего чипа, или заменой платы электроники.
Серьезно прогоревший чип VCM and motor driver накопителя Western Digital
Тот же чип, увеличение х10. Хорошо видно две медные точки — остатки двух сгоревших проводников
Остатки двух сгоревших проводников микросхемы VCM and motor driver накопителя Western Digital, увеличение х40
Прогоревшая микросхема VCM and motor driver с платы электроники накопителя Seagate
Та же микросхема, увеличение х10
При увеличении х40 видны разрушения компаунда: трещины в самом компаунде и рваные ошметки оболочки чипа
2. Нарушение контакта
Не часто случающийся тип неисправности платы электроники. Может проявляться по-разному: нарушение контакта в интерфейсном разъеме или разъеме питания за счет вдавления проводников при неаккуратном подключении устройства; нарушение контакта между SMD-элементом и платой электроники за счет некачественной пайки, нарушение контакта между отдельными частями платы электроники за счет оборванной или сгоревшей дорожки; нарушение контакта между платой электроники и гермоблоком за счет окислившихся или поврежденных контактных площадок; и пр. Ниже представлены два примера нарушения контакта между гермоблоком накопителя и контактными площадками платы электроники механо-химического происхождения. Штырьки, торчащие из гермоблока, и упирающиеся в контактные площадки, железные, а контактные площадки покрыты олово-содержащим припоем. При долгом контакте железа и олова в условиях повышенной влажности между ними образуется окисловая пленка, препятствующая прохождению сигнала или серьезно его искажающая.
Нарушение контакта между платой электроники и гермоблоком накопителя Samsung
Контактные площадки предыдущей платы, увеличение х20. Темные участки — места нарушения контакта.
Аналогичное предыдущему нарушение контакта между платой электроники и гермоблоком, накопитель HGST
Предыдущая плата электроники, контактные площадки, увеличение х20. Более темные участки — места нарушения контакта.
3. Попытки самолечения
Едва ли не каждый второй диск с неисправностями электроники приходит к нам со следами самолечения. Причем 80% из них — паяются явно не предусмотренными для такой пайки инструментами и припоями. Ниже размещаем несколько примеров таких «работ».
Грустнее всего выглядят попытки паять микросхемы с большим количеством выводов. Обычно это заканчивается тем, что часть выводов или не попадает на предназначенные для них контактные площадки, или (что хуже) замыкает их. При включении платы с такой пайкой можно сжечь и микросхему, и плату.
Просто посмотрите на фото ниже. Нужны ли вам подобные попытки «ремонта», или все-таки лучше обратиться к специалисту?
Следы самодеятельной пайки, увеличение х10
Увеличение х20, то же, что и на предыдущем снимке
Криво посаженный при самостоятельной пайке чип, увеличение х5
Тот же чип, увеличение х30. Отчетливо видно, как ножки микросхемы замыкают контактные площадки.
Некачественная пайка в цепи питания накопителя Seagate
Некачественная пайка в цепи питания накопителя Seagate, увеличение х20. Видно, что плата перегрета. Кроме того, не смыта канифоль, что привело к налипанию на плату большого числа электропроводящего мусора.
Заключение
Это — лишь малая толика того, что может произойти с платой электроники накопителя. Разнообразие неисправностей огромно, далеко не все из них можно диагностировать визуально. Часто для диагностики требуется использование измерительной аппаратуры. Это — наша специальность. Помните: самолечение здесь также вредно, как и в человеческом здоровье, и также может привести к весьма плачевным последствиям.
Задача. Восстановить данные из профессионального диктофона ZOOM Handy Recorder H6.
Описание проблемы. Карта памяти из диктофона была отформатирована в фотоаппарате, данные не видны. При восстановлении данных свободно распространяемым через интернет ПО аудиозаписи повреждены.
Результаты диагностики. В результате форматирования утеряна информация о фрагментации аудиофайлов.
Необходимые для восстановления информации процедуры.
Посекторное копирование карты памяти в образ.
Анализ образа, отделение аудиопотока от остальных данных.
Анализ аудиопотока, реконструкция метода записи диктофона.
Подготовка скрипта для сборки аудиопотока.
Сборка аудиопотока, контроль результата.
Результат.
Данные восстановлены полностью.
Неисправная аудиозапись
Та же аудиозапись после исправления
Особенности заказа.
Диктофон ZOOM Handy Recorder H6 записывает многоканальный звук сразу с нескольких микрофонов и компонует аудиозапись таким образом, чтобы максимально увеличить производительность при записи. При этом особенное внимание уделяется качеству звука — звук записывается в формате wav с высоким битрейтом. Файлы при этом получаются достаточно большими. Для оптимизации записи диктофон пишет эти файлы на носитель фрагментированно.
После форматирования флеш-карты из диктофона информация о фрагментировании теряется, и аудиофайл перестает нормально работать. Восстановленный классическими свободно распространяемыми через Сеть приложениями, такой файл проигрывается, но запись представляет собой смесь звуков.
Размер фрагментов зависит от количества подключенных микрофонов и интенсивности записи. Не имея информации о том, каким образом диктофон записывал конкретный аудиофайл, восстановить правильный порядок и величину блоков невозможно.
В каждой папке проекта (аудиозаписи) диктофона имеется файл-описатель формата hprj. В этом файле содержится вся необходимая информация для сборки аудиофайла, пригодного для проигрывания: величина блоков записи, их расположение и порядок. Поскольку данный формат файлов нигде не описан, нам пришлось самостоятельно разбираться с ним и подготовить на его основе скрипт для нашего сборщика mov-файлов.
Процедура восстановления информации с диктофона ZOOM Handy Recorder H6 заняла в нашей лаборатории 2 часа.
Как только Президент РФ Владимир Путин объявил о том, что в связи с коронавирусом из бюджета России будут совершены выплаты на несовершеннолетних детей — единовременно по 10 000 рублей на ребенка — тут же активизировались разного рода цифровые мошенники. На почтовые ящики пользователей начали приходить письма идентичного или очень похожего содержания: для получения компенсации требуется пройти некую процедуру регистрации на сайте.
Пример фишингового письма
Адрес сайта, где нужно «пройти регистрацию».
На скриншотах выше только один такой сайт; их было 5 разных за три дня активной «бомбежки» нашего специального почтового ящика для спама (некоторое время назад мы зарегистрировали специальный электронный ящик на mail.ru, который постоянно «засвечивается» в Интернете, и на котороый по этой причине приходят тонны спама, фишинга и пр.; это нужно нам для того, чтобы отслеживать тренды, в которых в настоящий момент работает мысль злоумышленников).
Переход на эти сайты чреват серьезными проблемами (именно поэтому название сайта я заблюрил). Проверка на виртуальной машине показала, что два из пяти сайтов загружают на ваш компьютер вредоносное ПО (вирус), начинающее зашифровывать ваши данные с целью в дальнейшем вымогать средства за их расшифровку. На трех из пяти сайтов вас попросят пройти регистрацию, одним из пунктов которой будет указание реквизитов вашей банковской карты (кардерство — воровство данных банковских карт для последующего снятия с них денег).
Не ведитесь на подобное завлекалово, помните, что получить федеральные выплаты можно только через сайт Госуслуги.
*Настоящее сообщение адресовано прежде всего жителям России, Кыргызстана и Казахстана, среди которых достаточно много людей с двойным (Россия — страна рождения) гражданством, на коорых и направлена эта атака.
Задача. Восстановить данные из SSD ADATA SU650 240GB.
Описание проблемы. Накопитель не определяется в системе.
Результаты диагностики. Неисправность микропрограммы накопителя: во время инициализации зависает одна из частей микропрограммы, что приводит к невозможности запуска SSD.
Необходимые для восстановления информации процедуры.
Подготовка накопителя к запуску в режиме ROM.
Модификация микропрограммы накопителя и загрузка ее в память SSD.
Запуск накопителя с применением модификаций микропрограммы.
Построение транслятора накопителя.
Копирование данных заказчика.
Результат.
Данные восстановлены полностью.
Особенности заказа.
Особенность этого заказа заключается в том, что накопитель построен на микроконтроллере SM2258XT, который не поддерживается коммерческими продуктами для восстановления информации из твердотельных дисков. Для восстановления доступа к информации требуется загрузка в память диска модифицированной прошивки, которая извлекается из файлов Field Update накопителя, которые можно найти на сайте производителя.
Если прошивку не модифицировать, а просто загрузить в память и запустить, произойдет обновление микропрограммы, одним из этапов которого является pretest — аналог селфскана накопителей на жестких магнитных дисках. Во время pretest, который длится секунды, происходит инициализация (грубо говоря, стирание; хотя процесс на самом деле значительно сложнее, но нам важен результат — данные из ячеек памяти исчезают без возможности восстановления) всех областей NAND-памяти.
Модификация микропрограммы заключается в отключении всех деструктивных для данных этапов ее работы, включая pretest.
Меня часто спрашивают: а чем так опасны эти запилы и царапины на поверхности жесткого диска? Вы же профессионал, наверняка есть технологии, позволяющие вычитать данные и с запиленных или зацарапанных поверхностей — почему вы так их не любите?
Да, конечно, технологии имеются. Но давайте будем объективны: из области запила или царапины данные нам уже не достать, так как в этом месте магнитная поверхность разрушена (конечно же, вместе с данными). Кроме того, вокруг самой царапины определенная область (в каждом индивидуальном случае — своего, индивидуального, размера) не может быть прочитана в силу термического разрушения намагниченности (когда поверхность «пилится», она сильно нагревается и проходит точку Кюри). Наконец, третье, и самое главное — при запиливании или зацарапывании образуется масса мелких частиц (стружка, опилки), которые начинают летать внутри гермоблока и могут находить себе «пристанище» не только на внутреннем фильтре, но также и на поверхностях диска, головках и т.д.
Не стоит забывать и о том, что вычитывание информации с поврежденных поверхностей — значительно более дорогостоящая процедура, чем чтение неповрежденных пластин, в силу применения тех самых технологий (первое) и в силу необходимости использования большего количества запчастей (второе). Накопитель должен быть обязательно очищен от опилок и стружки, которая появилась в нем в результате запиливания.
Об опилках и стружке я и хочу поговорить поподробнее, на одном весьма показательном примере.
Запиленный жесткий диск
Специалист по восстановлению информации с многолетним стажем, такой, как я, относительно легко определяет жесткий диск, в котором происходит процесс запиливания или зацарапывания поверхностей, по звуку. Передать это словами сложно — нужно иметь опыт. Скажем так, звук жесткого диска, который начал запиливаться, начинает разительно отличаться от нормального в сторону шипений, свистов и частых ударов, сливающихся в резонирующие вибрации.
Такой накопитель поступил к нам на днях. При малейшем подозрении на запиливание или зацарапывание накопитель подвергается тщательному осмотру — особенно его блок магнитных головок. Осмотр выявил типичную картину быстро прогрессирующих повреждений.
Нижняя головка (head 0)
Как правило, запиливание диска начинается с одной поверхности, и затем, по мере накопления внутри гермозоны свободно перемещающихся частиц, перекидывается на другие. По статистике, этот процесс чаще начинается или с верхней, или с нижней головки — просто потому, что и та, и другая ограничены с одной стороны (верхняя — крышкой гермоблока, нижняя — его дном) — при соударении с таким ограничителем шансы головки на разрушение гораздо больше, чем при соударении расположенных друг напротив друга головок.
В нашем случае все началось с нижней головки. Образовалось два концентрических запила — первый в зоне парковки, второй — в служебной зоне. Головка, которая работала с этой поверхностью, является самой грязной. Опилками покрыта вся ее поверхность, включая слайдер и кронштейн. Пазы слайдера ими просто забиты.
Такие загрязнения очень опасны, так как при работе головка парит над поверхностью на расстоянии в несколько десятков или сотен нанометров — размер опилок значительно больше, а значит, контакт головки и поверхности (через частицы опилок) неизбежен, что обязательно приведет к увеличению разрушений.
Нижняя головка, с которой, собственно, и начались проблемы диска. Опилками покрыта вся ее поверхность.
Опилки в верхней части слайдера нижней головки накопителя.
Опилки на кронштейне нижней головки накопителя.
Головка 1
Следующая в пакете головка находится с другой стороны магнитной поверхности; это головка 1. Разрушения по ее поверхности намного меньше и имеют явно сгенерированную проблемами по головке 0 природу.
Нижняя поверхность, когда по ней начались разрушения, стала активно продуцировать опилки и стружку; большая часть этих «материалов» оставалась на неисправной поверхности и оседала на ее головке, но вскоре, после того, как объем выделяемых нижней поверхностью частиц превысил критическое значение, они начали распространяться внутри гермоблока. Часть их оседала на фильтре гермозоны, другая часть продолжала «путешествовать» внутри, оседая на головках, поверхностях и стенках гермозоны. По простой теории вероятности, чем ближе к разрушениям расположен объект, тем больше шанс того, что продукты разрушения покроют именно его; именно по этой причине на головке 1, самой близкой к нижней головке пакета, опилок больше, чем на других, расположенных дальше, головках.
Третья сверху головка накопителя (вторая снизу).
Опилки на слайдере второй снизу головки.
Головка 2
Расположенная над головкой 1, головка 2 — вторая в пакете сверху и третья снизу. Она находится в одной пазухе с головкой 1 и, по этой причине, должна иметь примерно одинаковые с ней разрушения. В действительности ее разрушения несколько больше.
Прежде всего, бросается в глаза пучок стружки, имеющийся на этой головке. Кроме того, хорошо видны скопления опилок в углублениях слайдера. Основание слайдера в его вершине относительно чистое (относительно предыдущей головки, конечно).
Стружка — это первый признак зарождающегося запила. Головка срезает с поверхности при соударении длинные ленты лубриканта; эта стружка скапливается в той части головки, которая соприкасалась с пластиной. Опилки образуются, когда эта стружка попадает в промежуток между слайдером и поверхностью; здесь стружка измельчается по принципу абразива, и разлетается отсюда по всему гермоблоку. Также, когда слайдер царапает уже те слои, которые находятся под лубрикантом, он выбивает из них опилки.
Следующая за верхней головка накопителя. Пучок стружки, в области вершины слайдера начинают собираться опилки.
Опилки в верхней части слайдера показанной выше головки.
Пучок стружки на показанной выше головке.
Головка 3 (верхняя)
Головка 3 — самая верхняя в пакете. До нее разрушительное воздействие запила должно дойти в последнюю очередь — собственно, так оно и случилось. Слайдер и кронштейн головки чистые от опилок, но имеется пучок стружки. Верхняя поверхность диска не имеет повреждений, следовательно, эта стружка прилетела сюда снизу, с других головок.
Очевидно, что разрушение третьей головки едва началось, поверхность пока еще чистая, но если бы диск продолжал работать, разрушение этой поверхности было бы вопросом времени. Весьма небольшого времени.
Верхняя головка накопителя. Сама головка чистая, но на слайдере накопился пучок тонкой стружки. Это означает, что по этой головке процесс запиливания еще не начался, но вот-вот начнется.
Пучок тонкой стружки по верхней головке.
Заключение
Что можно сказать в заключение? Бывает, что пользователь, сам того не зная, делает восстановление информации невозможным. Описанный выше случай — один из таких.
Диск вначале начал себя странно вести, срывался с рекалибровки, подстукивал и исчезал из системы. Казалось бы — самое время обратиться к специалисту, но хозяин устройства решил иначе. Первое, что он сделал — это подключение диска через другие разъемы (как питания, так и интерфейса). Это не помогло. После этого была запущена утилита проверки диска (Windows CheckDisk), которая, конечно же, начала свою работу — но на физически неисправном диске завершить ее она не могла, циклично обращаясь в адреса, которые не могли быть прочитаны. Как результат — полуживой диск быстро исчерпал остаточный ресурс, нижняя головка упала на поверхность и начала запиливание. Ну а дальше, по мере накопления внутри гермозоны «пиломатериалов», повредились и остальные поверхности.
Вывод из той печальной истории достаточно прост. Если вы видите, что накопитель ведет себя не так, как обычно; если вы слышите из накопителя незнакомые звуки, которых не было раньше — это повод обратиться к специалисту — как минимум позвонить и поинтересоваться, что может означать текущее поведение диска. Это будет бесплатно и убережет вас от потери информации.
В Международный Женский День 8 марта к нам обратилась одна из крупных организаций города Бишкека с отказавшим RAID-массивом. Массив из 11 SAS-дисков емкостью 900 Гбайт каждый, и в дополнение — двенадцатый диск горячей замены (hot spare). На 11 дисках был собран RAID-5 (странно, но, как говорится, выбор сисадмина священен). Массив перестал работать в ночь на 7 марта, обслуживающий его персонал ожидал сутки в надежде на то, что тот поднимется сам, но чуда не случилось. Массив остался неисправен, так как для запуска ребилда в нем банально уже не хватало участников.
Предстояло выяснить следующее:
Порядок, в котором «уходили» и «приходили» диски массива, поскольку в полке (а массив физически был собран в стандартном blade-server) имелся диск горячей замены.
Последнюю рабочую конфигурацию массива.
Причину выхода массива из строя.
Основная конфигурация массива, к счастью, оказалась доступной через управляющее приложение RAID. Поэтому с размером страйпа (порции данных в секторах, распределяемой по дискам), типом массива и некоторыми другими характеристиками все было ясно исходно. Проблему составлял только состав массива: какие именно диски исключались, какие включались в его состав, и в каком составе он окончательно вышел из строя.
Этикетка сервера.
Работу начали с поиска метаданных массива. Современные дисковые массивы, собранные на серьезных контроллерах, часто несут массу служебной информации, необходимой для функционирования RAID, прямо на дисках. Эта информация может быть как зашифрованной, так и находиться на дисках в открытом виде. Но, в любом случае, она исключительно полезна и должна использоваться в работе по восстановлению данных.
В нашем случае эта информация оказалась частично открытой, частично ее пришлось расшифровывать. Порядок дисков в метаданных хранился в открытом виде, по серийным номерам; статус дисков (активный, не активный, горячая замена) был зашифрован битовыми флагами.
На основании метаданных удалось выяснить, что массив относительно недавно пережил ребилд: из массива был исключен один из дисков, и на его место встал диск горячей замены. Ребилд завершился успешно, и массив продолжил свою работу.
После этого из массива «ушел» еще один диск. С этого момента массив начал работать в весьма рискованном для данных состоянии degraded (деградирован). Что это означает?
RAID-5 — это дисковые массивы с контролем четности, допускающие потерю одного участника массива. При этом блоки четности (XOR-блоки) распределяются на всех дисках массива по определенному алгоритму, как правило — равномерно. Если один из дисков массива исчезает (по любой причине — например, ломается), данные с этого диска восстанавливаются по блокам четности контроллером массива, и массив продолжает работать. Если в массиве предусмотрен диск горячей замены, контроллер включит его в состав массива, при этом будет запущена процедура ребилда — восстановления содержимого исключенного члена массива на основании блоков четности с других дисков.
Однако если диска горячей замены нет, массив начинает работать в деградированном состоянии. Это означает, что исключенный из массива диск воссоздается контроллером на основании блоков четности с остальных дисков, но запаса прочности у массива уже нет — если выйдет из строя еще хотя бы один диск, контроллеру не хватит информации из блоков четности для воссоздания потерянных дисков, целостность данных нарушится, и массив перестанет существовать — контроллер должен будет перевести его в состояние offline.
Фрагмент метаданных поступившего в работу массива
В нашем случае в массив включался один диск, а исключалось из него три. Для корректного восстановления информации требовалось определить, вместо какого диска встал в массив накопитель горячей замены (таким образом определялось, какой диск покинул массив первым); затем следовало определить, какой из двух оставшихся исключенных накопителей был исключен раньше.
С диском горячей замены проблем не было: он оказался в метаданных массива, ведь он был включен в него штатно и, следовательно, был также штатно прописан в метаданные. По его положению в массиве мы определили, какой из исходных дисков был исключен из массива первым. Этот диск был исключен и из анализа.
Статистика (включая карту энтропий) участников массива, фрагмент.
Трехмерная визуализация энтропии одного из дисков массива, в двух разных проекциях.
Для определения наиболее актуального участника массива мы воспользовались наиболее достоверным методом — анализом энтропии. Разные инструменты представляют энтропию данных по разному. В спорных случаях оптимальнее всего использовать несколько методов визуализации энтропии, так как традиционный «плоский» метод может оказаться малоинформативен. Наш случай оказался как раз таким, спорным — так как исключение дисков из массива происходило в течение небольшого времени.
Поэтому, кроме традиционного «плоского» метода визуализации энтропии (гистограммы), мы использовали также трехмерную визуализацию, дающую гораздо более детальную картину распределения данных внутри анализируемого объекта. Результат: менее актуальный диск определен, диски выстроены в массиве в правильном порядке, массив собран и данные доступны.
Данный массив, ввиду того, что все диски массива оказались исправны, был собран нами по цене копирования, по акции «соберем RAID по цене копирования».
Профессиональные карты памяти CFast стандарта 2.0 появились на рынке относительно недавно (более-менее массово их стали использовать в профессиональных камерах, главным образом Canon, с 2016 года). Не смотря на это, они начали попадать в поле нашего зрения практически сразу после выпуска — но всегда с логическими проблемами (удаленные файлы или карта была отформатирована).
Но все течет, все изменяется — и вот в наших руках первая карта CFast 2.0, неисправная физически. Карта не отдает свой ID, не показывает емкость и вообще ведет себя довольно тихо. Увы, другого выхода, кроме как выпаивать NAND-микросхемы и вычитывать их дампы с последующей сборкой образа, у нас нет.
Тут следует сказать пару слов о том, что такое CFast 2.0. Для многих это просто карта памяти Compact Flash, пусть и с другим коннектором. Однако по факту это твердотельный диск (SSD) со стандартным SATA-соединением. Правда, разъем питания отличается от SATA, но это не мешает устройству по факту оставаться SSD в SATA-исполнении.
Что это значит для нас? Стандартная сборка дампов для этого накопителя невозможна, необходимо использовать алгоритмы, характерные для SSD.
Карта памяти CFast 2.0 Lexar 128 GB, поступившая к нам в работу
Пришедшая в работу карта CFast 2.0 Lexar 128 GB построена на довольно проблемном контроллере SM2246XT — сборка данных на этом контроллере имеет свои сложности, и довольно часто — фатальные для данных. Особенно, когда микросхемы памяти вычитаны с проблемами.
В нашем случае память прочиталась хорошо, а битовые ошибки были почти полностью скорректированы механизмами ЕСС. Мы получили «чистые» дампы в количестве 16 штук (в нашей карте 4 NAND-микросхемы, в каждой микросхеме по 4 банка) по 4 Гбайт каждый.
Карта CFast 2.0 Lexar 128 GB внутри
Коннектор карты CFast 2.0
NAND-микросхема из карты памяти CFast 2.0 Lexar 128 GB (BGA 152)
Для восстановления информации с этой карты пришлось комбинировать два инструмента. Дампы памяти считывались с использованием PC-3000 Flash через специализированный адаптер (BGA-152/132). В этом же комплексе производилась первоначальная обработка дампов (коррекция с использованием ЕСС и перечитывание нескорректированного). После этого дампы были перенесены в PC-3000 SSD, где проводились дальнейшие работы по восстановлению данных.
