Задача. Восстановить данные с флешки 2 GB M2 Lexar
Описание проблемы. Флешка поступила в рабочем состоянии. Устройство было отформатировано. Требуется логическое восстановление данных.
Результаты диагностикиПроизведена диагностика файловой системы, выяснено, что обе копии файловых таблиц стерты. Возможно только восстановление данных в черновом исполнении (RAW).
Необходимые для восстановления информации процедуры.
1) Сделать файл-имидж устройства.
2) Просканировать файл-имидж специализированным ПО, способным находить файлы по их сигнатурам.
3) Произвести извлечение найденных файлов.
4) Анализ извлеченных файлов, поиск испорченных, устранение проблем (выяснение дополнительной фрагментации и сборка фрагментированных файлов).
Результат.
Данные восстановлены полностью.
Особенности восстановления.
Форматирование накопителей в файловой системе FAT имеет массу ограничений, к наиболее известным из которых относятся размер раздела и размер файла, который может быть создан в разделе. Еще один минус этой файловой системы — обнуление файловых таблиц в случае форматирования; при этом обе копии таблиц FAT заполняются стандартным паттерном (00 или FF), и вся информация о расположении и заголовках файлов теряется. В этом случае восстановление информации возможно только определением файлов по сигнатурам без сохранения информации об их расположении и названии. Если файл был фрагментирован, требуется дополнительный поиск фпагментов файла. Нами реализован алгоритм поиска фрагментов, основанный на построении карты «дыр» в данных после завершения полного анализа и создания карты нефрагментированных файлов.
Довольно редкий на настоящее время диск – Western Digital Raptor с прозрачной крышкой. Предлагаю посмотреть, как ведет себя исправный и неисправный жесткий диск. У неисправного вышел из строя блок магнитных головок.
Исправный диск, как мы видим, раскручивает шпиндельный двигатель, распарковывает головки, а затем производит рекалибровку – последовательность операций чтения-записи, призванных проверить исправность блока магнитных головок и провести необходимые первоначальные калибровки. После того, как диск заканчивает рекалибровку, если к нему нет запросов, он возвращает головки в парковочную зону и ждет обращения.
Неисправный диск раскручивает шпиндель, распаковывает головки, но не может спозиционироваться на треке – поэтому рекалибровки не происходит, диск начинает двигать головками в поисках треков – это сопровождается мерным стуком. Такое поведение в зависимости от модели и производителя диска может быть либо коротким (несколько мерных ударов, затем головки уводятся в парковочную зону и, в зависимости от производителя и модели диска, либо диск продолжает вращаться, либо (чаще) останавливает шпиндельный двигатель и начинает «ждать», пока ему дадут дополнительные инструкции), либо долгим (иногда – до тех пор, пока диск не выключат). Связано это с особенностями работы прошивки диска: в одном случае в прошивке заложено строго заданное количество тестов (рекалибровок), и если они не завершились успехом – то производится остановка работы диска, в другом случае – в прошивке нет такого ограничения, и она будет пытаться искать треки и рекалиброваться, что называется, до победного конца.
Диагностика неисправностей жесткого диска по звуку – один из наиболее старых и действенных методов диагностики неисправностей этих устройств. Опытный специалист знает, как должно рекалиброваться то или иное устройство, если звуки из диска будут отличаться от эталонных, то по характеру звуков будет ставиться предварительный диагноз. Например, если жесткий диск даже не начинает рекалибровку (как говорят специалисты по восстановлению данных, «не цепляет серву»), а сразу уходит в мерный стук – скорее всего, вышла из строя микросхема коммутатора-предусилителя; если стук сопровождается шипящими звуками, как будто внутри гермоблока работает точилка для ножа – скорее всего, головки упали на поверхность и поверхность запиливается; если диск начинает рекалибровку, а затем уходит в стук – при этом время от времени делается новая попытка рекалибровки – то скорее всего либо неисправна микропрограмма, либо – одна из головок; и т.п.
Описание проблемы В работу поступили три карты памяти небольшой емкости. Заказчик не знает, на какой из карт находятся нужные ему данные. Карты не определяются в системе.
Результаты диагностикиПроизведена диагностика с использованием РС-3000 Flash. Выяснено, что две из трех карт памяти имеют неисправный контроллер, у одной карты диагностировано короткое замыкание.
Необходимые для восстановления информации процедуры.
1) Для оптимизации процесса восстановления данных заказчику предложено восстанавливать данные с карт памяти по одной (после восстановления с очередной карты знакомить заказчика с результатами восстановления для принятия решения, восстановлено нужное или нет).
2) Карта памяти читается с использованием microSD-ридера из комплекта РС-3000 Flash.
3) Данные анализируются после вычитывания, производится извлечение данных.
4) Третья карта вычитывалась с использованием spider board.
Результат.
Данные восстановлены полностью.
Особенности накопителя.
Карты microSD — традиционно довольно трудные устройства для восстановления данных, так как у них не имеется прямого доступа к микросхеме памяти. Восстановление данных с таких карт обычно сопряжено или с чтением с пониженным напряжением питания, или с распайкой карт (либо с их распиновкой) на плате spider board или circuit board.
Время от времени поступают заказы, когда нужно не просто спасти данные, а сделать полный клон исходного диска, включая название модели и серийный номер. Это нужно в тех случаях, когда диск трудился в каком-то станке или машине с цифровым управлением, гарантия на которую давно закончилась, а простой стоит немалых денег. Как правило, такие станки покупаются за рубежом, и вызывать соответствующего ремонтника намного дороже, чем восстановить работоспособность управляющего модуля (сиречь диска) на месте.
Как делаются такие клоны? Сначала мы вычитываем неисправный диск посекторно. После того, как диск вычитан, эта копия переносится на тот диск, который мы будем использовать для создания полного клона. Данные на такой диск также переносятся посекторно — то есть, мы получаем точную копию больного диска.
Читаем один WD 250 GB на другой такой же (подготовленный с помощью ПАК РС-3000, теперь он имеет такое же название модели и серийный номер); исходный диск из автономной метеорологической станции, система охладения которой вышла из строя и плата диска сгорела.
После того, как все сектора больного диска перенесены на здоровый накопитель, производится модификация микропрограммы будущего клона. Во-первых, изменяется его паспорт (название модели, серийный номер и емкость). Это можно сделать двумя способами: записать в будущий клон паспорт от неисправного диска, или изменить паспорт будущего донора, записав в него название модели, емкость и серийный номер больного.
В качестве донора для создания полного клона может использоваться, в принципе, любой диск. С помощью программно-аппаратного комплекса РС-3000 можно изменить паспорт любого из существующих жестких дисков. Кстати, емкость диска совсем не обязательно «закреплять» в паспорте — вполне можно обойтись механизмом HPA (Host Protected Area), который также позволяет ограничивать емкость диска. При использовании этого механизма полную емкость диска всегда можно вернуть без использования ПАК РС-3000 (если это, конечно, будет нужно).
Задача. Восстановить данные с карты памяти SD Canon 32 MB
Описание проблемы. Карта памяти не определяется компьютером
Результаты диагностики Для диагностики на карте памяти произведены процедуры замеров на контрольных точках. Выяснено, что карта имеет неисправных контроллер
Необходимые для восстановления информации процедуры.
Карта памяти небольшого объема, использовалась в старом (одном из первых с поддержкой карт памяти этого типа) цифровом фотоаппарате. Сложностей с работой с данной картой памяти нет: NAND-микросхема вычитывается очень хорошо, ни одной битовой ошибки во время чтения; сборка образа также произведена очень легко, микс в образе имелся, но очень примитивный (побайтовая инверсия и разделение по страницам).
Часть внешних жестких дисков производства корпорации WD форм-фактора 2.5 дюйма используют шифрование. Само по себе шифрование – не новость, но в USB-дисках оно может быть двух типов: внешнее (данные шифрует контроллер USB-бокса) и внутреннее (данные шифрует сам диск). В случае с внутренним шифрованием нам помогает программно-аппаратный комплекс РС-3000, который умеет расшифровывать такие диски; а вот если шифрование внешнее, то приходится использовать «эталонную» плату USB-расширения из USB-бокса. Для продуктов WD форм-фактора 3.5 дюйма используется 4 разных алгоритма внешнего шифрования; у нас имеются все 4 платы, с помощью которых они могут быть расшифрованы.
ПАК РС-3000 умеет работать и с зашифрованными дисками из внешних USB-коробок, шифрование в которых осуществляется внешним контроллером. Однако в любом случае, для того, чтобы добраться до данных, диск необходимо считать посекторно.
В таких случаях есть два варианта действий: либо поиск совместимой платы SATA и замена ей платы USB с переносом блока адаптивной информации, либо напайка на USB-плату SATA-разъема. Первый способ проще, так как не требует или почти не требует пайки.
Почему случаются такие проблемы? На плате электроники USB-жесткого диска устанавливается микросхема, преобразующая SATA в USB; эту микросхему обычно называют USB-SATA-мост. Эта микросхема и является слабым звеном устройства: при выходе ее из строя полностью исправный за ней SATA-диск становится недоступен. Приходится либо обходить мост, напаивая SATA-разъем, либо использовать плату электроники, где моста нет вообще (SATA-плата).
Кстати, это справедливо не только в отношении Western Digital, но и в отношении других производителей, замеченных в разработке и производстве USB-дисков: Samsung и Toshiba.
Задача. Восстановить данные с карты памяти SD Lexar 64 GB, которую погрызла собака
Описание проблемы. Накопитель поступил в работу в поврежденном виде: часть корпуса накопителя отсутствует, видны следы укусов. Накопитель погрызла собака.
Результаты диагностики. Для диагностирования карта памяти была очищена (разборка карты, обработка спиртом, просушка), затем распаяна на Crcuit Board HC-3000 Flash от АСЕ Lab. Карта оказалась вполне исправной, пострадала только область коннектора.
Необходимые для восстановления информации процедуры.
1) Очистка карты памяти.
2) Подготовка карты для вычитывания (распайка на Circuit Board).
3) Чтение карты в штатном режиме.
Результат.
Данные восстановлены полностью.
Особенности накопителя.
Накопитель — стандартная профессиональная SD-карта. Особенным восстановление данных с этой карты делает характер ее повреждений. Прежде всего, в силу того, что карту грызло домашее животное, нельзя было исключить попадание слюны внутрь карты. Поэтому прежде чем приступать к диагностике и работам по восстановлению данных, мы очистили карту. После этого были проведены диагностические и реанимационные процедуры в стандартном режиме.
Задача. Восстановить данные с жесткого диска ST94811A
Описание проблемы. Накопитель поступил в работу с посторонними звуками из гермозоны: скрежет, удары.
Результаты диагностики. Для диагностирования неисправности диска произведены исследования накопителя в чистой зоне (ламинарный шкаф, класс очистки 100). Диагностирована неисправность блока магнитных головок (БМГ): выход из строя головки 1 (в пакете две головки).
Необходимые для восстановления информации процедуры.
Задача. Восстановить данные с дискового массива RAID-60EE
Описание проблемы. Массив поступил в виде дисков (не в составе сервера), без какой-либо нумерации или пометок. Со слов заказчика, утром при обращении к массиву оказалось, что диска в системе нет. В работу поступило 14 дисков, каждый емкостью 146 Гб, тип интерфейса: SAS.
Результаты диагностики В целях диагностики по стандартной методике проверялся каждый диск. Выяснено, что в массиве из 14 дисков вышли из строя одновременно 3 устройства, что привело к включению в процедуру ребилда одновременно всех ЕЕ-spare накопителей. Поскольку ребилд проводился сразу на трех дисках, контроллер перестал отвечать на запросы и диск «выпал» из системы.
Необходимые для восстановления информации процедуры.
1) Создание полной посекторной копии каждого накопителя.
2) Определение актуальных дисков, исключение дисков hot-spare и вышедших из строя давно.
3) Определение конфигурации массива.
4) Сборка массива.
4) Извлечение пользовательских данных.
Результат.
Данные восстановлены полностью.
Особенности массива.
Массив является довольно нестандартным, его основная особенность заключается в наличии дисков ЕЕ-spare, которые заметно увеличивают скорость работы и усиливают надежность системы в целом. Выход из строя одного диска не будет влиять на скорость и работоспособность системы; в нашем случае, произошел одновременный выход из строя трех дисков, что привело к зависаниям контроллера. Теоретически, если бы заказчик подождал, ребилд массива должен был законситься успешно и он получил бы доступ к данным без нашего участия. Однако прервав процесс ребилда, он тем самым нарушил целостность массива и сделал невозможным успешное завершение этой операции.
Восстановление данных – одна из наиболее «таинственных» и обросших мифами сторон IT-индустрии. Это связано как с тем, что большая часть методов и приемов восстановления данных скрыта от большинства пользователей, так и с тем, что до сих пор не существует места, где можно было бы получить образование по специальности «восстановление данных»: практически все специалисты в этой области – самоучки. Перечислим десять наиболее ярких мифов о восстановлении данных.
Миф первый
Существует специальный аппарат, в который можно вставить «блин» от жесткого диска и считать данные.
Опровержение мифа. Некоторые фирмы по восстановлению данных активно используют этот миф в рекламных целях, публикуя на своих сайтах изображения каких-то сложных машин (обычно – медицинских), которые, по их заверениям, и есть тот самый волшебный аппарат. На самом деле такой машины, с определенными оговорками, не существует. Несколько крупных компаний, занимающихся восстановлением данных, вели разработки в этой области, но из-за дороговизны реализации и достаточно скромных результатов эти работы были свернуты. Одна из таких машин – Signal Trace – имеется в двух экземплярах в лабораториях компании Action Front. Я имел счастье познакомиться с этой машиной в Торонто (Канада); ее возможности – считывание информации с «блинов» очень ограниченного количества жестких дисков с низкой плотностью записи. Ни один современный накопитель такая машина считать не может. Проблема в том, что каждый отдельно взятый «блин» уникален, имеется масса таблиц и настроек в самом жестком диске, которые позволяют уверенно читать с него данные, пропускать дефекты и строить в итоге файлы и каталоги; читая «блины» поодиночке, мы получим бессвязный набор байтов, соединить которые в реальные данные может только микропрограмма конкретного жесткого диска.
Ваш покорный слуга во время визита в лабораторию Action Front в Торонто (Канада)
Миф второй
Данные с жесткого диска можно восстановить даже после стирания, с помощью сканирующего туннельного микроскопа.
Опровержение мифа. Действительно, некоторое время назад бытовала легенда о том, что даже после стирания данных их можно восстановить по так называемой «остаточной намагниченности», для чего магнитные слои следует исследовать послойно с помощью сканирующего туннельного микроскопа. Именно поэтому был разработан так называемый английский стандарт стирания данных, который, по задумке его разработчиков, полностью исключает возможность восстановления информации по остаточной намагниченности (жесткий диск подвергается процедуре перезаписи с использованием разного заполнения сектора от трех до девяти раз). Между тем сканирующий туннельный микроскоп предназначен не для снятия магнитных характеристик поверхности, а для определения его нанорельефа: он применяется для получения двумерных и трехмерных изображений на молекулярном и надмолекулярном уровне (кристаллическая решетка и т.п.) и никак не может применяться для поиска остаточных явлений намагниченности.
Микроскопы широко применяются для работ по восстановлению данных.
Миф третий
Внутри жесткого диска вакуум
Опровержение мифа. Вакуум – это безвоздушная среда; согласно устоявшемуся мифу, только с помощью вакуума можно добиться абсолютно чистой среды внутри гермоблока жесткого диска. На самом деле это не так. Во-первых, если из диска откачать весь воздух, то будет создана разница давлений, которая не скажется благотворно на прочности устройства. Во-вторых, головки внутри жесткого диска парят с использованием аэродинамических сил, для этого им нужна атмосфера. Современные жесткие диски содержат внутри либо полностью очищенный воздух, и компенсация разницы давлений осуществляется через специальный «дыхательный клапан», закрытый тонким фильтром (в корпусе жесткого диска имеется отверстие, рядом с которым обычно имеется надпись «Do not cover any drive holes» или подобная), либо имеют гелиевое заполнение (для уменьшения последствий рения); в последнем случае диски герметически закрыты.
Предупредительная надпись рядом с «дыхательным» отверстием жесткого диска.
Миф четвертый
Восстановление данных с флешек намного проще, чем с жестких дисков
Опровержение мифа. Флешки и любые устройства хранения информации, основанные на NAND-памяти, имеют ограниченный ресурс службы, связанный с конечным количеством записей данных в ячейку памяти. Если использовать сектора NAND-микросхем также, как используется жесткий диск – напрямую – то наиболее часто используемые ячейки памяти неизбежно будут изношены намного быстрее тех ячеек, в которые запись осуществляется намного реже. Для того, чтобы избежать преждевременного износа, производители флеш-устройств используют различные механизмы перераспределения данных. Упрощенно говоря, информация на флеш-карте распределяется таким образом, чтобы по возможности все ячейки микросхемы использовались примерно одинаково. Поэтому данные во флеш-карте и любом другом устройстве, работающем на NAND-памяти, обычно распределены более-менее равномерно по максимально большому массиву ячеек памяти, и по мере их износа перемещаются в другие ячейки. Восстановление данных с таких устройств заключается в том, чтобы определить, по какому алгоритму (или алгоритмам, если их несколько) распределены данные внутри ячеек, каким образом ячейки памяти организованы в сектора, те – в страницы, страницы в блоки и блоки – в банки памяти; после определения алгоритма производится обратная сборка данных для того, чтобы получить пригодный для извлечения данных образ устройства (обычно – раздел). Кроме того, в NAND-памяти для исправления постоянно возникающих из-за процессов переноса данных ошибок, реализованы механизмы коррекции ошибок, которые также нужно учитывать при восстановлении данных. И, наконец, в любой микросхеме памяти имеются области сбойных ячеек, которые при восстановлении данных из анализа следует исключить. Все это в совокупности делает восстановление данных с флеш-устройств значительно более трудоемким, чем восстановление информации с обычных жестких дисков.
Чтение данных из NAND-микросхемы монолитных флеш-карт возможно только через технологические контакты.
Миф пятый
Твердотельные диски намного надежнее жестких дисков
Опровержение мифа. В отличие от жестких дисков, в твердотельных накопителях нет движущихся частей (шпиндельного двигателя, магнитных пластин и блока магнитных головок), однако это не выводит их на новый уровень надежности. Проблема твердотельных дисков – конечный ресурс ячейки памяти, которая не может перезаписываться практически бесконечно, как сектор жесткого диска. Как было показано исследованиями, проведенными в университете Торонто (Канада), время жизни твердотельного накопителя конечно и в целом не зависит от того, был он в использовании или нет: по прошествии определённого времени, даже если накопитель не использовался и просто лежал на полке, он выйдет из строя. И это случится примерно в тех же временных рамках, как выйдет из строя другой такой диск, активно использующийся все это время. Другая сторона этой медали – сложности, связанные с восстановлением данных с твердотельных накопителей. Здесь применимы все те нюансы, которые описаны в четвертом мифе, а бонусом идет шифрование данных многих современных SSD. Даже если специалисту по восстановлению данных удастся вычитать NAND-микросхемы и собрать правильный образ, он встретится с глухой стеной стойкого шифрования, преодолеть которую в подавляющем большинстве случаев могут только спецслужбы очень высокого уровня (подробнее тут.
Распайка разъема SSD для вычитывания данных.
Миф шестой
Восстановление данных – всегда очень дорого
Опровержение мифа. На самом деле большинство ситуаций, когда пользователь теряет доступ к своим данным, лежат в плоскости разного типа логических проблем: форматирование, переразметка раздела, удаление файлов и каталогов, шифрование. Физические неисправности накопителей — лишь вторая по распространенности причина потери доступа к данным, причем и физические неисправности бывают разными. При необходимости замены головок или переноса магнитных пластин в другой гермоблок цена будет достаточно высокой, если же у диска возникли проблемы с микропрограммой или платой электроники – цена меньше. Средний ценник восстановления данных в большинстве компаний не превышает 200 долларов США. Конечно, бывают и очень дорогие восстановления (иногда – сотни тысяч долларов), но делаются они в основном для крупных предприятий и крупными компаниями по восстановлению данных; последние, к слову, стараются не восстанавливать данные дешевле чем за 500 долларов, поэтому, обращаясь в такую компанию, следует быть готовым к высокой цене работ.
Средний ценник восстановления данных в случае с логическими проблемами составляет у нас 2000 сом.
Миф седьмой
Если диск стучит, значит нужно менять головки
Опровержение мифа. Действительно, если ваш диск застучал, это обычно означает выход из строя блока магнитных головок или микросхемы предусилителя-коммутатора. Однако это не всегда так. В отдельных случаях диск может стучать при ошибках микропрограммы – если в силу какой-то ошибки в дефект-листы накопителя добавился дефект из несуществующей области диска и накопитель время от времени пытается «увести» туда головки (это сопровождается ударом ограничителя головки об упор позиционера); «циклические» ошибки оверлеев, когда диск многократно перезапускает процесс старта; срыв рекалибровки (например, при сильных вибрациях или нестабильном чтении каких-то областей диска), при этом диск начинает процесс старта заново; дефекты поверхности, на которых происходит «срыв» чтения и головки производят аварийную парковку; и т.п. Поэтому, даже если ваш диск вдруг начал стучать – это еще не значит, что вас ожидает дорогостоящая процедура замены головок, возможно, что проблему удастся решить дешевле.
Необратимые повреждения поверхности. В этом случае диск будет стучать.
Миф восьмой
Любой сисадмин может восстановить данные
Опровержение мифа. Системные администраторы – это своеобразная каста IT-специалистов, которым часто приписывают функции, которым они на самом деле не обучены. Основная функция сисадмина, как следует из названия его профессии – администрирование систем, то есть поддержание их в рабочем и функциональном состоянии, а также решение проблем на уровне операционной системы или ПО. Ремонт компьютерных комплектующих – совершенно другая работа, которая требует значительного погружения в мир электроники и специальных знаний. Восстановление данных, кроме умений ремонтника, требует специального оборудования, которое в подавляющем большинстве случаев недоступно системным администраторам. Конечно, многие из них в силу хорошего знания ПО и принципов функционирования операционных систем могут восстанавливать данные в простейших случаях, однако когда дело касается вмешательства в работу микропрограммы накопителей или алгоритмов вычитывания и сборки данных, реализованных в специальных инструментах, системные администраторы бессильны.
Работа сисадмина обычно не связана с восстановлением данных.
Миф девятый
Нельзя потерять данные в облаке
Опровержение мифа. Конечно, облачные сервисы – весьма надежные хранилища информации, однако вероятность потерять данные в облаке все же имеется. В первую очередь, это связано с возможностью потери контроля над учетной записью вашего облачного хранилища – причем не важно, потеряли вы пару логин-пароль, или их украл и изменил злоумышленник. Вторая вероятность – просроченная оплата хранилища, если вы пользуетесь ее платной версией (соответственно, используете больший объем, чем предлагает тот же сервис бесплатно). Какое-то время при просроченной оплате сервис хранит ваши данные, по истечении этого времени ваше место уходит другому владельцу, а данные уничтожаются. Это полностью автоматический процесс. Наконец, время от времени в дата-центрах провайдеров облачных сервисов случаются аварии, что приводит ко временным проблемам с доступом к данным; крайне редко, но такие аварии приводят и к полной потере части данных пользователей этих сервисов.
Проблемы с загрузкой содержимого облака Google Drive при слабом соединении с интернетом.
Миф десятый
Восстановление данных с физически неисправного жесткого диска невозможно без чистой комнаты
Опровержение мифа. Большинство людей не знают, что между чистой комнатой и чистым боксом (ламинарный шкаф) огромная разница, и считают чистой комнатой именно ламинарный шкаф. Между тем чистая комната, в отличие от шкафа – это именно помещение, которое отвечает определенному классу чистоты. Для работы с жесткими дисками принят класс 100 – то есть в одном кубометре воздуха не должно содержаться больше 100 частиц пыли. Естественно, чем ниже класс чистоты, тем лучше для работы. Оборудование чистой комнаты – очень дорогое удовольствие: необходимо покрыть пол, потолок и стены специальной краской, которая не продуцирует пыль; необходимо проложить окна специальными прокладками, через которые не может проходить пыль; необходимо оборудовать специальный шлюз, в котором инженеры будут переодеваться в специальную (не производящую пыли) одежду, и откуда будет откачиваться пыльный воздух, привнесенный снаружи; необходимо, наконец, наладить систему фильтрации поступающего воздуха. В отличие от чистой комнаты, ламинарный шкаф стоит намного дешевле и при этом дает тот же уровень чистоты. Работа в ламинарном шкафу намного комфортнее, так как не требует одевания специального костюма. Действительно, зачем очищать весь воздух помещения, если можно очистить только ту его часть, в которой находится жесткий диск?
В ламинарном шкафу производятся все работы в гермозоне жесткого диска.
