В работу поступил твердотельный накопитель ADATA SU650 емкостью 240 Гбайт. Особенностью дисков этого семейства является то, что они могут быть собраны на четырех разных контроллерах — и, соответственно, к разным дискам этой модели может оказаться разный подход.
Задача. Восстановить данные с твердотельного диска ADATA SU650
Описание проблемы. Накопитель не определяется в системе.
Результаты диагностики. Диагностика проведена с использованием ПАК РС-3000. Выяснено, что при подаче питания диск не взводит статус готовности, остается в состоянии «занят» и не выходит из этого состояния.
Необходимые для восстановления информации процедуры.
Запуск накопителя в безопасном режиме.
Загрузка в накопитель исполняемого кода.
Построение транслятора накопителя.
Вычитывание накопителя в образ по построенному транслятору.
Извлечение пользовательских данных из полученного образа.
Результат.
Данные восстановлены с небольшими потерями (около 0,5%).
Особенности заказа.
Как указано выше, SSD этой модели могут быть собраны на 4 разных микроконтроллерах, что накладывает отпечаток на подходы к восстановлению данных. Накопитель, о котором идет речь в настоящем отчете, построен на микроконтроллере SMI, соответственно, для извлечения из него данных потребовалась загрузка в его память сервисной микропрограммы соответствующего типа. Выход накопителя из строя оказался связан с разрушением системы трансляции: диск слишком активно «терял» сектора (образовывалось большое количество дефектов за единицу времени), система саморемонта не справилась, и диск завис.
Задача. Восстановить данные из разбитого мобильного телефона Philips Xenium W6500.
Описание проблемы. Телефон пострадал физически в результате сильного падения. Корпус (включая сенсорный экран) разбит. Телефон включается, но управление не работает.
Результаты диагностики. Неисправность: физическое повреждение части узлов.
Необходимые для восстановления информации процедуры.
Подготовка телефона к созданию клона его внутреннего накопителя.
Создание клона внутреннего накопителя телефона.
Анализ полученного клона.
Оценка целостности данных.
Извлечение и копирование данных на накопитель заказчика.
Результат.
Данные восстановлены полностью.
Особенности заказа.
Мобильный телефон — достаточно непростое устройство для восстановления данных. Проблема телефона заключается в том, что в операционной системе его невозможно подмонтировать как носитель данных, а следовательно — невозможно просканировать его специализированным ПО. Для того, чтобы это сделать, телефон приходится клонировать в образ. Техническая возможность клонирования имеется не для всех аппаратов, однако большинство наиболее распространенных моделей мы клонировать умеем.
Задача. Восстановить данные с жесткого диска Seagate ST3100528AS.
Описание проблемы. Накопитель вскрыт до обращения в нашу лабораторию. Со слов заказчика, стучит.
Результаты диагностики. Диагностика проведена с использованием ламинарного шкафа класса чистоты 100. Выяснено, что в результате непрофессионального вскрытия в далеких от необходимых условиях, внутри диска имеется много пыли. Верхняя поверхность диска имеет многочисленные кольцевые царапины.
Необходимые для восстановления информации процедуры.
Очистка гермоблока накопителя.
Модификация блока магнитных головок для чтения только по исправным поверхностям.
Замена блока магнитных головок.
Подготовка к запуску накопителя в технологическом режиме.
Запуск накопителя в технологическом режиме.
Создание посекторной копии диска-пациента с обходом поврежденных областей.
Извлечение пользовательских данных из полученного образа.
Результат.
Данные восстановлены полностью.
Особенности заказа.
Вскрытие накопителя в неподобающих условиях всегда приводит к плачевному результату. Не оказался исключением и этот заказ. Часть поверхности была необратимо испорчена (царапины); эти места вычитать не удалось в силу повреждений физического характера. Однако все нужные заказчику файлы оказались на неповрежденных поверхностях, что позволило восстановить их без потерь.
Накопители этого семейства (Seagate Barracuda 7200.12, Pharaoh) при объеме в 1 Тбайт имеют 4 головки; поврежденной оказалась только самая верхняя. При таких раскладах вероятность того, что необходимые файлы окажутся на неисправной головке, составляет 25% — соответственно, шансы на успешное извлечение данных около 75%.
Задача. Восстановить данные с жесткого диска Samsung HN-M101MBB (ST1000LM024)
Описание проблемы. Накопитель вскрыт до обращения в нашу лабораторию.
Результаты диагностики. Диагностика проведена с использованием ламинарного шкафа класса чистоты 100. Выяснено, что в результате непрофессионального вскрытия в далеких от необходимых условиях, внутри диска имеется много пыли; исследование блока магнитных головок показало его неисправность.
Необходимые для восстановления информации процедуры.
Очистка гермоблока накопителя.
Замена блока магнитных головок.
Подготовка к запуску накопителя в технологическом режиме.
Запуск накопителя в технологическом режиме.
Создание посекторной копии диска-пациента.
Извлечение пользовательских данных из полученного образа.
Результат.
Данные восстановлены с небольшими потерями (около 5%).
Особенности заказа.
Вскрытие накопителя в неподобающих условиях всегда приводит к плачевному результату. Не оказался исключением и этот заказ. Часть поверхности была необратимо испорчена попавшей в накопитель пылью; эти места вычитать не удалось в силу повреждений физического характера.
Довольно часто поступают звонки с теми или иными вопросами относительно восстановления данных из мобильных телефонов. В большинстве случаев это вопросы по нашему профилю (восстановить удаленные фотографии, чаты WhatsApp и т.п.), но иногда поступают и довольно необычные вопросы. Здесь мы остановимся в деталях на том, в каких случаях следует обращаться к нам, а в каких мы не сможем помочь.
Какие случаи подпадают под восстановление данных?
Наша работа — восстанавливать данные из устройства, к которому имеется физический доступ. Что это значит?
Если у вас имеется телефон, с которого были удалены данные, либо телефон пострадал физически (утонул, упал, разбился и так далее) — то вы можете обращаться к нам. В этом случае мы будем иметь дело с устройством хранения данных (media), с которого требуется восстановить информацию.
Шансы на успех в этом случае напрямую зависят от того, сколько долго телефон находился в использовании после потери доступа к данным, и проводились ли с ним какие-то операции. Например, если из внутренней памяти телефона были удалены фотографии, после чего пользователь продолжал активно использовать аппарат, снимать другие фотографии и т.п., то шансы на успешное окончание работ по восстановлению данных стремительно тают с каждым часом использования устройства. Напротив, если после удаления фотографий телефон был немедленно выключен, шансы на успех достаточно велики.
В каких случаях мы не сможем помочь с восстановлением данных?
Если у нас нет физического доступа к устройству, с которого требуется восстановить информацию, мы не сможем вам помочь.
Прежде всего, это связано с тем, что у нас просто не будет физического носителя данных (media), а восстанавливать данные из воздуха, увы, мы не умеем.
Приведу пример.
Поступил звонок от пользователя мобильного телефона, с которого требовалось восстановить чаты WhatsApp. В процессе разговора выяснилось, что телефон утонул, и найти его не удалось. Номер (SIM-карта) был восстановлен у сотового оператора, и теперь требуется восстановить чаты WhatsApp. Но — откуда? Доступа к серверам популярного мессенджера у нас нет. Резервные копии в облаке также не делались. Самого устройства (пусть и утонувшего) нам не предоставили. Откуда брать данные?
Многие почему-то думают, что раз мы работаем в области IT, то можем получить доступ к серверам популярных онлайн-сервисов и добыть оттуда необходимые данные. Вынужден огорчить: подобного рода деяния являются уголовно наказуемыми преступлениями и не имеют ничего общего с восстановлением информации.
Почему мы не помогаем извлекать данные из удаленных серверов?
Все очень просто. Потому что сервисы, предоставляющие такие услуги, не предусматривают доступа к своим серверам третьих лиц. А значит, чтобы получить к ним доступ, необходимо произвести взлом.
Взлом, или по-юридически, получение неправомерного доступа к компьютерной информации, является уголовным преступлением и может наказываться крупными штрафами или тюрьмой на срок от трех (Кыргызстан) до десяти (США) лет.
Вчера в нашу лабораторию поступил ноутбук MacBook Pro 2013 года выпуска с диагнозом «завис при обновлении на ОС Big Sur». Пользователь пробовал загрузку в безопасном режиме и сброс параметров памяти — ничего не помогло. Ноутбук в результате обновления превратился в… тыкву =).
Что же случилось? Как оказалось, ноутбуки MacBook Pro этого года выпуска являются «крайними» в линейке поддерживаемых новой операционной системой устройств. Очевидно, часть этих устройств имеет уже критические для поддержки этой операционной системы параметры и в силу последнего обновление завершается ошибкой.
Из зависшего наглухо ноутбука требовалось извлечь данные, с чем мы успешно справились методом прямого доступа к его накопителю. Ну а после восстановления информации удалось и вернуть ноутбук к работе.
Как оказалось, проблема c последним обновлением операционной системы от Apple выявилась у довольно большого числа пользователей; об этом говорят темы, созданные пользователями устройств Apple на форумах в Интернете. Наиболее интересными являются темы, созданные на официальном форуме Apple, например вот эта.
В общем, если у вас ноутбук Apple MacBookPro выпуска 2013 или первых месяцев 2014 года — не торопитесь с его обновлением до операционной системы MacOS Big Sur, потому как вас может ждать неприятный Surприз =).
В условиях пандемии COVID-19 услуги очного восстановления данных становятся менее востребованными, на первый план выступают услуги удаленного или заочного восстановления информации. Это связано с очевидными рисками заражения при личном контакте, не смотря на использование масок, санитайзеров и других средств защиты. Компания IT-Doctor идет в ногу со временем и не хочет лишний раз подвергать опасности здоровье своих клиентов, поэтому по возможности оказывает свои услуги удаленно или заочно. Для этого компанией разработаны соответствующие протокола.
Протокол 1. Удаленное восстановление информации
Данный протокол вступает в силу в случае, если имеется техническая возможность удаленного восстановления информации.
Восстановление данных осуществляется либо посредством подключения нашего специалиста к удаленному компьютеру с последующим выполнением необходимого для восстановления данных комплекса работ, либо посредством отправки нам удобным для пользователя удаленного компьютера способом файла-образа диска, поврежденного файла либо другого модуля информации для осуществления анализа и работ по восстановлению данных.
Оплата осуществляется по принципу депозита: необходимая сумма депонируется на счетах компании IT-Doctor до начала работ. По окончанию работ стороны приходят к соглашению, что работы выполнены; на основании этого соглашения подписывается Акт выполненных работ, являющийся основанием для зачисления депозита в качестве оплаты за работы. Подписание Акта выполненных работ осуществляется удаленно.
Порядок действий по Протоколу:
Оформление заявки в компанию IT-Doctor на сеанс удаленного восстановления информации (любым удобным способом, см. Контакты).
Определение стоимости удаленных услуг.
Депонирование стоимости на счетах компании IT-Doctor.
Подключение к удаленному компьютеру, выполнение работ / Отправка файлов компании IT-Doctor для проведения работ.
Приемка выполненных работ. Подписание Акта выполненных работ.
Зачисление депозита в качестве оплаты выполненных работ.
Протокол 2. Заочное восстановление информации
Данный протокол вступает в силу, если для восстановления информации требуется физическая передача устройства в лаборатории компании IT-Doctor. Передача может происходить через службы доставки (особенно это касается клиентов компании, проживающих в других городах или странах).
Порядок действий по Протоколу:
Оформление заявки в компанию IT-Doctor на услугу восстановления информации (любым удобным способом, см. Контакты).
Подготовка накопителя к отправке или транспортировке.
Доставка накопителя в офис компании IT-Doctor.
Обработка устройства антисептичческим средством.
Диагностика устройства.
Определение стоимости работ и запчастей (если требуется), сроков работ.
Согласование стоимости и сроков работ.
Проведение работ.
Передача результата проведенного восстановления данных заказчику.
Оплата всегда производится после окончания работ.
Упаковка накопителя
Для отправки накопителя информации, с которого необходимо восстановить файлы, его необходимо правильно упаковать. Чем лучше будет упакован накопитель, тем меньше у него шансов получить повреждения при транспортировке.
Какие требования предъявляются к упаковке:
Снаружи упаковка должна быть достаточно прочной, чтобы выдерживать удары, которым может подвергаться отправление при транспортировке (включая возможные падения посылки).
Внутри, между упаковкой и устройством, должен быть проложен достаточный слой материала, гасящего вибрации. Оптимальным является использование воздушно-пупырчатой пленки, однако, в случае ее отсутствия, с задачами гашения вибраций вполне справляется мятая бумага или обычная, но несинтетическая, вата.
Устройство внутри упаковки должно находиться примерно посередине.
Размер упаковки должен быть больше упаковываемого устройства приблизительно в 3 — 5 раз; тогда количество гасящего вибрации материала будет достаточным для безопасной транспортировки.
Оптимальной упаковкой для транспортировки жесткого диска является стандартная почтовая коробка размером 300 х 200 х 150 мм (гофрокороб) или ее доступные аналоги; для транспортировки карты памяти или оптического диска — почтовая упаковочная коробка наименьшего доступного размера.
Задача. Восстановить данные с жесткого диска SCSI IBM Ultrastar 18 GB
Описание проблемы. Накопитель не определяется.
Результаты диагностики. Диагностика проведена с использованием ПАК РС-3000 SCSI. Выяснено, что имеются повреждения микропрограммы накопителя.
Необходимые для восстановления информации процедуры.
Резервирование максимального количества данных из служебной зоны накопителя.
Подготовка пациента к запуску в технологическом режиме.
Ремонт микропрограммы.
Запуск накопителя в технологическом режиме.
Создание посекторной копии диска-пациента.
Извлечение пользовательских данных из полученного образа.
Результат.
Данные восстановлены полностью.
Особенности заказа.
Накопители с интерфейсом SCSI довольно редко попадают в работу в силу двух факторов: их относительно неширокого распространения и значительного устаревания технологии. Работа с этими дисками кардинально отличается от работы с накопителями, сделанными по технологии АТА. Для обеспечения доступа к данным требуется не только специализированное (и довольно старое) оборудование, но также специализированный набор команд.
Пользователи новых версий Windows (Windows 8, 8.1 и 10), Mac OS X (начиная с версии 10.10.4) и новейших сборок Linux, компьютеры которых оборудованы твердотельными дисками (SSD), даже не подозревают, что может произойти, если они вдруг, случайно, удалят нужные данные или отформатируют раздел на своем SSD.
А произойдет вот что. Данные будут удалены навсегда, их невозможно будет восстановить никакими программами. Почему?
Потому что последние версии операционных систем поддерживают технологию TRIM.
Что такое TRIM?
TRIM (от английского to trim — вырезать) — АТА-команда, позволяющая операционной системе указать твердотельному диску, в каких блоках его памяти нет данных. Это позволяет SSD физически удалять ненужные данные из этих ячеек памяти, чтобы можно было проводить процессы внутренней дефрагментации информации и таким образом увеличить срок службы накопителя.
Как работает TRIM?
Работа этой технологии предельно проста. Удаляя данные, операционная система отправляет SSD своего рода «уведомление»: данные, находящиеся по таким-то координатам, больше не нужны. Контроллер твердотельного диска преобразует логические координаты операционной системы в физические, и блоки памяти, которые попали в список содержащих ненужную информацию, проходят очистку: в них больше не содержится никаких данных.
После того, как SSD очистит достаточное количество блоков памяти, начнется процесс переноса: области, содержащие информацию, будут группироваться с такими же областями, а области, не имеющие информации, также будут группироваться. Это заметно повышает производительность и ресурс SSD и называется фоновой дефрагментацией.
Чем опасен TRIM?
Единственная опасность этой технологии заключается в том, что после удаления информации ее уже невозможно восстановить, так как твердотельный накопитель необратимо очистит блоки, содержавшие удаленные данные. Вы скажете: и что с того? Ведь данные-то удалены, а значит они не нужны больше.
К сожалению, это не всегда так. Да, бесспорно, большинство операций удаления информации производятся добровольно, но случаются (и довольно часто) операции случайного удаления или форматирования. И вот в таких случаях удаляются нужные данные, и удаляются навсегда.
Я проиллюстрирую это на примере.
В работу поступил ноутбук HP Probook 430, оборудованный SSD емкостью 256 GB. На этом ноутбуке проводились работы по написанию диссертации. И вот, в один «прекрасный» момент пользователь, при удалении с рабочего стола ненужного ярлыка, случайно зацепил две нужные папки. И очистил корзину. Спохватился он через время — но было уже поздно, данные исчезли навсегда. Теперь пользователю предстоит кропотливо восстанавливать набранный текст вручную.
Файл JPEG после того, как он прошел через TRIM
Исправный JPEG-файл
Отключение TRIM
Если вы считаете, что безопасность ваших данных важнее потери производительности и некоторого уменьшения ресурса твердотельного накопителя, то я бы рекомендовал отключить TRIM. Если на вашем накопителе нет таких данных, потеря которых была бы для вас ощутима, TRIM можно не трогать. В любом случае, решение принимать вам. На моих накопителях TRIM отключен.
В системе Windows проверить состояние TRIM и отключить или задействовать его достаточно просто. Для начала нажмите кнопку «Пуск» и наберите в строке поиска cmd. В появившемся результате, в разделе «Программы» выберите cmd и запустите ее от имени администратора.
Поиск и запуск командной строки Windows
Ответ на запрос состояния TRIM в операционной системе: TRIM отключен
В открывшемся окне командной строки необходимо ввести команду:
fsutil behavior query DisableDeleteNotify
Ответом на эту команду будет состояние TRIM в вашей операционной системе. Если в строке DisableDeleteNotify стоит статус 0, значит TRIM включен. Если 1 — выключен.
Для включения или отключения TRIM также используется командная строка, но вместо команды запроса (query) нужно использовать команду установки (set):
fsutil behavior set DisableDeleteNotify 0
для включения TRIM, и
fsutil behavior set DisableDeleteNotify 1
для отключения TRIM.
Включение TRIM с последующей проверкой статуса
Почему восстановленные файлы не работают?
Даже после того, как на накопителе отработал TRIM, если диск отсканировать программами, предназначенными для восстановления данных, эти программы «найдут» удаленные данные. Многие пользователи вздыхают с облегчением: фух, данные нашлись, страшного не произошло. Но, увы, ни один из восстановленных файлов работать не будет. Почему?
Выше я привел скриншоты с нормальным и удаленным после TRIM JPEG-файлами (обычно этот формат используется для сохранения фотографий). Прошедший через TRIM JPEG-файл не несет в себе данных, он полностью заполнен нулями. Но при этом программа для восстановления данных его обнаружила. Как так?
Все очень просто. Программа работает с файловыми таблицами — и представляет результат их сканирования. В этих таблицах хранится информация обо всех (включая удаленные, но еще не переписанные) файлах. Поскольку TRIM работает не с записями в файловой таблице, а с файлами, то очищается именно область, в которой находился файл — при этом запись в файловой таблице не очищается. Вот и получается, что запись есть, а файла по факту уже нет.
Прогнозы сбываются. Корпорация Seagate начала поставлять на рынок новые жесткие диски — Seagate SkyHawk AI емкостью 18 Тб с элементами искусственного интеллекта.
Новые диски предназначены для использования в системах видеонаблюдения высокой четкости и, как заявляет производитель, благодаря элементам искусственного интеллекта, включенным в специально разработанную Seagate микропрограмму ImagePerfect AI, производят запись без пропущенных кадров даже при самых интенсивных нагрузках — диски способны работать при 64 потоках видео высокой четкости (и 32 потоках данных ИИ).
Утверждается, что диски имеют среднее время наработки на отказ 2 млн часов (хм… ну, посмотрим) при средней загрузке 550 Тб в год — то есть, путем несложных вычислений, такой диск можно полностью переписать за год 30 раз. Не скажу, чтобы эта цифра меня впечатлила — если диск реально будет работать в системе видеонаблюдения с 64 потоками (то есть, 64 камеры) с разрешением Full HD, то полная перезапись диска такого объема должна произойти немногим меньше чем за 5 суток — то есть ресурс диска будет вырабатываться примерно в 2 раза быстрее расчетного. Опять же — посмотрим.
Естественно, что накопитель такой емкости выполняется по гелиевой технологии. И не менее естественно, что внутри расположено большое количество головок и магнитных пластин. При таких раскладах надежность этих дисков достаточно условна.
Ну и вишенка на торте — цена. Диски ST18000VE002 продаются в США по цене около 510 долларов за штуку.
