Задача. Восстановить данные с переломленной флешки.
Описание проблемы. Флешка имеет физическое повреждение: переломлена.
Результаты диагностики. Методом визуального осмотра определено, что флешка переломлена в области соединения USB-разъема.
Необходимые для восстановления информации процедуры.
Распайка разъема USB на монтажной плате.
Напайка проводников для соединения флешки и USB-разъема.
Проверка соединения.
Включение флешки в штатном режиме, копирование данных заказчика.
Результат.
Данные восстановлены полностью.
Особенности заказа.
Такие заказы обычно не являются сложными, так как возможность привести устройство к состоянию «чтение в штатном режиме» всегда лучше, чем восстановление информации в технологическом режиме.
Задача. Восстановить данные с разбитого мобильного телефона Philips Xenium W6500.
Описание проблемы. Телефон подвергся серьезному физическому воздействию, экран разбит.
Результаты диагностики. Телефон частично исправен: на звук включается. Принято решение восстанавливать данные без распайки eMMC.
Необходимые для восстановления информации процедуры.
Перевод телефона в режим Recovery.
Снятие графического ключа.
Рестарт телефона в нормальном режиме.
Получение root-доступа.
Установка в аппарат необходимых утилит.
Клонирование телефона в файл, извлечение данных из полученного файла-образа.
Результат.
Данные восстановлены полностью.
Особенности заказа.
Основная сложность при выполнении данного заказа заключалась в том, что у телефона не работает дисплей. Получить доступ к информации можно было двумя способами: установить новый модуль дисплея (в силу старости аппарата, его пришлось бы ждать от недели до двух), либо клонировать аппарат по USB. Было принято решение идти по второму пути, так как он был очевидно быстрее. Для загрузки в телефон нужных приложений использовался отладочный режим. Удачей было то, что в телефоне уже был включен режим разработчика и отладка по USB; если бы этого не было, возможен был бы только первый вариант, либо выпаивание микросхемы памяти и прямое ее чтение.
В 2007 г. корпорацией Seagate были представлены Self Encrypting Drives (самошифрующиеся диски). Позже эта технология была имплементирована и в диски других производителей (Western Digital, Toshiba, HGST и т.п.). Большинство твердотельных накопителей (если не все) также являются самошифрующимися.
Суть технологии достаточно проста. В схему обработки данных устройства встраивается аппаратный модуль шифрования, отвечающий за зашифровывание и расшифровывание данных на лету. В качестве стандарта шифрования используется AES c длиной ключа 128 или 256 бит.
Основной функцией SED является моментальное стирание диска по команде извне. Если для стирания данных ранее требовалось записать в каждый сектор определенные данные, то теперь достаточно просто изменить ключ шифрования. Данные, которые были на диске, уже не получится прочитать, ведь они будут аппаратно дешифровываться жестким диском уже с новым ключем. Соответственно, на выходе будут получаться не работающие файлы, а бессмысленный набор байт.
Казалось бы, вот она — надежная схема! Открытый ключ лежит на поверхности диска, но он зашифрован. В открытом виде он появляется только в аппаратной части диска (в той самой шифрующей микросхеме) — следовательно, его невозможно ни перехватить, ни подсмотреть. Однако, как оказалось, это не так.
Сначала компания АСЕ Lab, а потом и другие компании, выпускающие ПО и ПАК для восстановления данных, научились вытаскивать ключи шифрования из служебной или пользовательской зон жесткого диска. SED-шифрование накопителей Western Digital и Seagate перестало быть трудной задачей восстановления информации.
Тогда производители жестких дисков пошли дальше. Они заблокировали доступ к служебной области, где хранятся ключи шифрования. Некоторое время извлечение данных с таких накопителей представляло проблему — но, в итоге, и это было решено, и решение появилось в продуктах для восстановления информации.
Заметим, что до текущего года данные с самошифруемых дисков можно было восстановить и с использованием чужой (донорской) платы электроники. Скажем, часто для дисков, имеющих распаянный на плате электроники USB-разъем, подбиралась совместимая SATA-плата.
Очевидно, что производители HDD не могли мириться с тем, что их технология SED, позиционировавшаяся как очень надежная (АНБ США даже признало AES с длиной ключа 128 — 256 бит достаточной для защиты государственной тайны уровней secret и top secret). И вот этот момент, наконец, наступил.
Примерно с середины 2019 года жесткие диски, поддерживающие технологию SED (а это подавляющее большинство выпускаемых на рынок моделей), перешли на принципиально новый алгоритм обработки шифрования. Теперь ключ шифрования не будет работать на сторонней плате электроники. Ключи шифрования, что называется, намертво прибиваются гвоздями к уникальному ID микроконтроллера — без него расшифровать диск просто не получится, даже если удастся как-то достать ключи.
Это означает, что если у вас диск, произведенный с 2019 г., у которого активирована и работает функция самошифрования, выходит из строя, то восстановление с него информации будет возможно тогда и только тогда, когда сохранена его оригинальная плата электроники. Поставить «чужую» плату пока еще возможно — но лишь для того, чтобы получить доступ в служебную зону. Доступ к пользовательским данным может обеспечить только «родная» плата электроники — родной микроконтроллер. Если он по каким-либо причинам сгорел — данные на современном этапе развития технологий восстановления информации, увы, уже не восстановить.
Возможно, что в будущем будет решена и эта проблема — и скорее всего, так и будет. Однако сложность задачи очень высокая, и когда появится такое решение — никому неизвестно.
Поэтому мы дадим вам два простых совета.
Старайтесь запитывать ваш жесткий диск максимально аккуратно, чтобы не произошел электрический шок устройства.
Если ваш диск по каким-либо причинам вышел из строя, обращайтесь только к профессиональным специалистам, которые знают, что делать с самошифрующимися дисками нового поколения.
Потрясающая новость в области развития индустрии восстановления данных! Два продукта, занимающих лидирующее положение в этой области, объединились. Программное обеспечение UFS Explorer (R.Explorer в новой редакции) и PCIe-система восстановления данных и криминалистического анализа информации DeepSpar Disk Imager теперь могут работать совместно.
Эту информацию мы попросили прокомментировать Андрея Широбокова, президента компании DeepSpar (ACE Data Recovery Engineering) и автора одной из основополагающих технологий восстановления данных: 3D Data Recovery (3D: Disk restoration, Disk imaging, Data retrieval – восстановление работоспособности диска, клонирование восстановленного диска, извлечение данных из полученного клона).
Комментарий Андрея:
«UFS Explorer может работать с DeepSpar Imager (DDI) напрямую через локальную сеть, то есть он может найти DDI в сегменте сети и подключившись к нему может совершать все те же операции как и с обычным, подключенным напрямую, диском. В таком режиме DDI будет создавать посекторную копию анализируемого диска на лету, то есть, когда UFS Explorer читает блок с диска, DDI сначала клонирует этот блок с неисправного диска на исправный, а потом передает данные для анализа в UFS Explorer. Естественно, если этот блок уже был предварительно склонирован, то, он передается для анализа сразу с исправного диска.
UFS также работает с картами прочитанных секторов, то есть он знает, какие сектора прочитаны без ошибок, а какие сектора были прочитаны с ошибками, не прочитаны или пропущены при клонировании. На основании этих данных генерируется список поврежденных/целых файлов. Работа с картами поддерживается как через сетевое подключение к DDI, так и напрямую с подключенным к системе исправным диском с готовым образом, сделанным на DDI системе.
Но есть еще всякие мелочи. Ребята постоянно работают над поддержкой DDI, так что возможно в UFS Explorer еще что-то будет добавлено в ближайшее время.»
От себя скажу, что такие новости по уровню их значимости в индустрии восстановления данных – и особенно в области сложных восстановлений данных с дисковых массивов продвинутого и корпоративного уровней – являются очень важными. Принципиальное значение имеет связка «программное обеспечение – реализация в виде компьютерной платы расширения». Суть в том, что UFS Explorer поддерживает не только широко распространенные файловые системы, такие как NTFS или FAT, но и значительно менее распространенные, применяемые в основном в корпоративном сегменте, файловые системы: BTRFS, UFS, XFS и так далее. При этом UFS Explorer позволяет восстанавливать дисковые массивы, построенные на указанных выше и многих других файловых системах. Соединение возможностей UFS Explorer по извлечению данных из таких файловых систем и DeepSpar Disk Imager по созданию посекторных копий неисправных или частично исправных носителей превращает эту связку оборудования в мощнейший инструмент восстановления информации с дисковых массивов продвинутого и корпоративного уровней.
Блоки магнитных головок жестких дисков Seagate Mobile HDD
Наступила осень, и в работу стало поступать больше жестких дисков из внешних USB-коробочек, в особенности — Seagate Mobile HDD. С чем это связано, еще предстоит выяснить, но факт налицо: общая статистика по этим дискам показывает увеличение их числа в работе в сентябре и октябре на без малого 30%.
Следует отметить, что Seagate Mobile HDD — это одни из наиболее широко распространенных дисков для внешних устройств в настоящее время. Такая популярность объясняется очень просто: эти накопители имеют относительно низкую цену, довольно скромные размеры (высота диска составляет всего 7 мм, то есть такой накопитель можно установить не только во внешнюю USB-коробку, но также и в любой ноутбук, ультрабук, second caddy и подобное устройство) и приличные емкости (от 500 Гбайт до 2 Тбайт).
Вполне логично, то при высокой популярности их покупают больше, чем диски других производителей, и именно по этой причине эти диски поступают на восстановление данных чаще. К сожалению, их конструктив довольно слаб, особенно крышка гермоблока. Она сделана из довольно тонкого железа, по этой причине ее очень легко погнуть. Если диск подвергнется физическому воздействию (изгибание, удар или падение), в подавляющем большинстве случаев страдает верхняя головка и верхняя поверхность, так как крышка, как сказано выше, тонкая.
Для того, чтобы обезопасить себя от потери данных с такого диска, мы рекомендуем относиться к нему максимально аккуратно: не бросать, не ударять, не двигать резко во время работы. Если соблюдать простейшие меры предосторожности, характерные для хрупких (fragile) устройств, то ваш Seagate Mobile HDD будет жить долго и счастливо. Примером тому — мой собственный накопитель, который работает в ноутбуке, с которого я пишу этот пост, уже больше года.
Ну а если вы столкнулись с отказом работы Seagate Mobile HDD, равно как и любого другого жесткого, твердотельного, гибкого, оптического диска, сотового телефона, стриммера, флеш-карты и т.п. цифрового устройства хранения информации — мы здесь для того, чтобы помочь вам. Мы занимаемся восстановлением информации уже 27 лет, и уверены, что сможем вам помочь.
Дисковая подсистема ноутбука, с которого написан этот пост. Второй диск подсистемы — Seagate Mobile HDD
Благодарность от Союза Кинематографистов Кыргызстана
Всегда приятно получать благодарности. Эта благодарность нам приятна особенно — мы помогли сохранить частичку культуры Кыргызстана, готовый фильм, и сопутствующие его производству материалы.
Флеш-карта монолит Silicon Power и ее брат-близнец для опытов.
Монолит — это карта памяти, выполненная в едином блоке компаунда, в которой все микросхемы находятся внутри этого компаунда. Как правило, выполняется на подложке, с одной стороны которой имеется медное напыление, на котором вытравлены (или нанесены другим способом) дорожки (контактные группы, проводники и прочее), а на другой находятся сами электронные компоненты. Доступ к электронным компонентам напрямую невозможен, его организация производится строго через указанные дорожки.
Время от времени обращаются клиенты с флешками, имеющими монолитное исполнение. Восстановление данных с таких флешек значительно труднее, чем с устройств аналогичного типа, но имеющих распаянные на печатной плате NAND-микросхемы. Связано это с тем, что для доступа к данным на NAND-микросхеме ее достаточно просто выпаять и прочитать на специальном устройстве, а для доступа к данным монолита нужно зачистить контактные площадки, определить назначение контактов и правильно припаяться к ним.
Между тем временами встречаются флешки, которые, скажем так, скорее живы, чем мертвы. Например, герой этого рассказа — монолит, который на короткий миг появляется в системе (и даже показывает свое содержимое), но при любой попытке доступа к поверхности — исчезает. Этакая флешка-фантом.
Восстановление данных с такой флешки возможно двумя способами. Более сложный — определить назначеие технологических контактов, напаяться на них и читать через них данные. Более простой — подобрать правильное питание и вычитать флешку напрямую. Естественно, что более простой метод будет и более дешевым, и более надежным.
Так мы и сделали. Через специализированный адаптер флешка была запитана, работа ее стала стабильной. Ну а дальше это было лишь дело техники: считать устройство в образ, разобрать его и доставить клиенту данные.
Вычитывание карты памяти с использованием адаптера питания
Последнее время участились звонки с просьбой восстановить удаленные чаты WhatsApp. В этой статье мы постараемся объяснить, как сделать это самостоятельно — ведь в тех случаях, когда телефон не проходил через сброс на заводские настройки, все данные, нужные для восстановления удаленных чатов, все еще находятся в нем.
Удалить чаты можно по разному. Первый, и наиболее распространенный способ — «очистить чат» — когда удаляется все содержимое одного чата по нажатию кнопки. Второй способ — удаление программы (вместе с программой теряются и чаты). Ну и третий — это сброс телефона на заводские настройки. В первых двух случаях обычно получается восстановить все данные из утерянных чатов, в третьем случае — только то, что было сохранено при резервном копировании в облако.
Резервная копия чатов в облаке
По умолчанию резервное копирование чатов WhatsApp в облако не активирована, поэтому, чтобы иметь резервную копию данных из WhatsApp на Google Drive, вам нужно ее настроить.
Настройка резервного копирования переписки WhatsApp на GoogleDrive
Настройка резервного копирования в облако предельно проста (см. скриншот выше). Требуется указать аккаунт Google, который будет использоваться для создания резервной копии, периодичность копирования (в настоящий момент на скриншоте там указано «Никогда» — достаточно нажать на этот пункт и выбрать интересующую вас периодичность) и использование сетей (если поставить ползунок «Использовать только Wi-Fi», который находится в самом низу этого меню и не попал на скриншот, то для резервирования данных не будет использоваться мобильная сеть).
Проверить, что резервная копия у вас есть, очень просто. Зайдите в ваш аккаунт Google, выберите утилиту Drive, а в ней — раздел «Резервные копии». В этом разделе должна появиться запись со значком облачка «Резервная копия Whatsapp» и в скобочках — номер телефона аккаунта WhatsApp (см. скриншот ниже).
Резервная копия WhatsApp в облаке (Google Drive)
Восстановление переписки из облачной копии крайне просто. Если вы безвозвратно потеряли все чаты (телефону сделали сброс на заводские настройки, или телефон сломался/потерялся), устанавливайте WhatsApp, и после подтверждения номера (вам придет СМС) в следующем экране будет предложение восстановить чаты из локальной или сетевой (Google Drive) копии. Выбирайте восстановление из Google Drive, разрешите аппарату его использовать, и ждите. Процесс восстановления сильно зависит от скорости вашего интернета и может занимать часы.
Восстанавливаем чаты из локальной резервной копии
Первое, что нам нужно сделать — это убедиться в том, что WhatsApp резервировал данные а автоматическом режиме. Сделать это очень просто. На вашем телефоне найдите утилиту «Файлы» (может называться по разному: «Мои файлы», «Файловый менеджер» и т.п. — но суть всегда одна — утилита дает возможность просмотра файлов на вашем телефоне), и зайдите попеременно в папки WhatsApp на карте памяти и в памяти телефона. В этих папках должны храниться данные, имеющие отношение к вашей переписке WhatsApp: медиа-файлы (картинки, видео, аудио и т.п.), файлы настроек и, что нас больше всего сейчас интересует — резервные копии (папка Databases).
Содержимое папки WhatsApp в памяти телефона
Открываем папку Databases. В ней должны находиться файлы, в названии которых присутствует слово «msgstore». Основной файл резервной копии, созданный по нажатию кнопки на резервное копирование или по расписанию — msgstore.db.crypt12. Автоматические копии за последние несколько дней — msgstore-YYYY-MM-DD.1.db.crypt12, где YYYY — год, MM — месяц, а DD — день создания резервной копии. Как мы видим, программа довольно долгое время хранит копии чатов в памяти телефона.
Файлы резервных копий переписки WhatsApp в памяти телефона.
Ну а теперь — порядок действий для восстановления удаленных чатов WhatsApp из имеющихся автоматических копий.
Подключаем телефон к компьютеру и копируем полностью содержимое папок WhatsApp на обоих носителях телефона (и из памяти телефона, и из карты памяти) на жесткий диск компьютера. Таким образом мы создаем резервную копию данных WhatsApp.
После создания резервной копии данных WhatsApp на компьютере, создаем резервную копию чатов WhatsApp (меню «Настройки» — «Чаты» — «Резервная копия чатов». Это делается для того, чтобы не потерять то, что было получено на текущий момент. Файл msgstore.db.crypt12, который WhatsApp создаст (свежая резервная копия) также копируем на компьютер, но уже в другое место, чтобы не затереть предыдущую резервную копию.
Теперь мы готовы к восстановлению. Удаляем WhatsApp.
Выбираем файл резервной копии, который нас интересует (скажем, самая свежая копия переписки для нас не подходит, в ней еще нет того, что было удалено, но вот копия на два дня раньше — как раз то, что нужно), и переименовываем его в msgstore.bd.crypt12.
Копируем полученный файл в папку WhatsApp/Databases в памяти телефона и на карте памяти (обычно сообщения резервируются на карту памяти, но для того, чтобы не было накладок, лучше скопировать и туда, и туда).
Устанавливаем WhatsApp, проходим процедуру подтверждения (будет прислан код в СМС).
В следующем окне выбираем пункт «Восстановить из локальной копии». Программа сама найдет файл резервной копии и развернет из него сообщения.
Для того, чтобы в сообщениях появились медиафайлы, на телефон перед тем, как устанавливать WhatsApp, нужно вернуть и папку WhatsApp/Media.
Заключение
Как видите, ничего сложного с восстановлением данных переписки WhatsApp при наличии резервных копий, нет. Старайтесь производить или настраивать резервное копирование с той периодичностью, которая для вас наиболее оптимальна, и тогда вы не попадете в сложную ситуацию с восстановлением ваших чатов.
Ну а если все-таки чаты были удалены, а резервных копий вы найти не можете — приходите к нам, мы обязательно вам поможем.
Кстати, таким методом (перенос файла базы данных и папки Media) можно перенести ваш WhatsApp на другой телефон вместе с чатами, фотографиями, видео и аудио ;).
Довольно часто для успешного восстановления информации решающую роль играет техническое оснащение (хотя, конечно, не всегда). Часто оказывается так, что без определенных технических средств восстановить данные просто нельзя. К счастью, мы занимаемся восстановлением данных уже 27 лет, и к оборудованию относимся очень щепетильно.
На днях в нашу лабораторию поступил довольно любопытный заказ — microSD карта из китайского видеорегистратора. Карта памяти упорно не хотела определяться ни одном устройством, куда ее устанавливали. При этом на карте должно было находиться видео аварии, в которой, как мы понимаем, обвиняли хозяина флешки.
Неисправная флешка из регистратора
Действительно, при штатном подключении флешка не определилась. Это означает, что она физически неисправна, и может потребоваться сложная процедура определения пинаута, подключения на технологические контакты, вычитывания данных с последующей их сборкой. Как вы понимаете из перечисления необходимых акций, восстановление могло оказаться довольно дорогим.
Однако, прежде чем включать тяжелую артиллерию, мы всегда пробуем пойти более легким путем. Для этого у нас имеется специализированное оборудование: SD/microSD адаптер для РС-3000 Flash. В сочетании с модулем чтения NAND-микросхем 4-го поколения, этот прибор позволяет производить тонкую настройку чтения карты памяти по нескольким параметрам, включая напряжение питания.
Далеко не всегда проблемы флеш-карты связаны с транслятором или ошибками микропрограммы, и далеко не всегда распайка на самом деле необходима. Важно понимать, что распайка — это значительно более дорогая услуга, и не очень добросовестные компании могут предлагать вам ее как единственно возможное решение лишь потому, что хотят заработать на вас максимум денег. Мы идем другим путем: если более простое и более дешевое решение возможно, мы его непременно предложим.
Лог инициализации карты памяти при стандартном напряжении питания виден на картинке внизу. Из этого лога очевидно, то карта практически инициализирована, но на подаче последней команды случился сбой — причем РС-3000 успела считать с карты загрузочный сектор и некоторое количество секторов за ним, после чего карта памяти перестала определяться. Заметим, что в загрузочном секторе обнаружились вполне вменяемые данные: программа определила раздел. Следовательно, карту можно назвать неисправной лишь частично: на короткое время она дает доступ к поверхности и позволяет забрать порцию информации.
Инициализация карты памяти при стандартном напряжении питания 3.3 Вольт
Такое поведение карты памяти обычно говорит о частичном или только начавшемся выходе из строя (деградации) ее контроллера. Контроллер карты памяти — это небольшая микросхема, которая организует миллионы ячеек памяти NAND-микросхем в единый массив данных, определяет алгоритмы сохранения ресурса карты памяти и делает массу другой работы, направленной на то, чтобы карта памяти функционировала правильно и как можно более долго.
Наиболее логичным способом обхода таких ошибок является понижение питания флешки. При этом контроллер получает меньшее питание и меньше нагревается, что позволяет ему хоть и ненадолго, но вернуть карте работоспособность. Собственно, нам надолго и не надо: наша задача забрать информацию с неисправной карточки. Само устройство, в силу его малой цены, обычно никому уже не интересно.
Применение пониженного напряжения (3 Вольт) на карту памяти microSD
Опытным путем мы установили, что карты памяти с подобного рода повреждениями лучше всего работают при напряжениях 2.8 — 3.0 Вольт. Берем верхнюю границу этого значения, и получаем стабильно работающую карту памяти. Не теряя времени, забираем с нее интересующие нашего заказчика видеофайлы.
MicroSD-карта, проинициализировавшаяся при напряжении 3.0 Вольт
Дальше это было лишь делом техники. Нужные заказчику видеофрагменты были выделены и скопированы на наши носители. Вся операция заняла не более 15 минут, и довольный заказчик понес в ГАИ доказательства своей невиновности.
