TRIM. Опасности технологии и как с ними бороться

Пользователи новых версий Windows (Windows 8, 8.1 и 10), Mac OS X (начиная с версии 10.10.4) и новейших сборок Linux, компьютеры которых оборудованы твердотельными дисками (SSD), даже не подозревают, что может произойти, если они вдруг, случайно, удалят нужные данные или отформатируют раздел на своем SSD.

А произойдет вот что. Данные будут удалены навсегда, их невозможно будет восстановить никакими программами. Почему?

Потому что последние версии операционных систем поддерживают технологию TRIM.

Что такое TRIM?

TRIM (от английского to trim — вырезать) — АТА-команда, позволяющая операционной системе указать твердотельному диску, в каких блоках его памяти нет данных. Это позволяет SSD физически удалять ненужные данные из этих ячеек памяти, чтобы можно было проводить процессы внутренней дефрагментации информации и таким образом увеличить срок службы накопителя.

Как работает TRIM?

Работа этой технологии предельно проста. Удаляя данные, операционная система отправляет SSD своего рода «уведомление»: данные, находящиеся по таким-то координатам, больше не нужны. Контроллер твердотельного диска преобразует логические координаты операционной системы в физические, и блоки памяти, которые попали в список содержащих ненужную информацию, проходят очистку: в них больше не содержится никаких данных.

После того, как SSD очистит достаточное количество блоков памяти, начнется процесс переноса: области, содержащие информацию, будут группироваться с такими же областями, а области, не имеющие информации, также будут группироваться. Это заметно повышает производительность и ресурс SSD и называется фоновой дефрагментацией.

Чем опасен TRIM?

Единственная опасность этой технологии заключается в том, что после удаления информации ее уже невозможно восстановить, так как твердотельный накопитель необратимо очистит блоки, содержавшие удаленные данные. Вы скажете: и что с того? Ведь данные-то удалены, а значит они не нужны больше.

К сожалению, это не всегда так. Да, бесспорно, большинство операций удаления информации производятся добровольно, но случаются (и довольно часто) операции случайного удаления или форматирования. И вот в таких случаях удаляются нужные данные, и удаляются навсегда.

Я проиллюстрирую это на примере.

В работу поступил ноутбук HP Probook 430, оборудованный SSD емкостью 256 GB. На этом ноутбуке проводились работы по написанию диссертации. И вот, в один «прекрасный» момент пользователь, при удалении с рабочего стола ненужного ярлыка, случайно зацепил две нужные папки. И очистил корзину. Спохватился он через время — но было уже поздно, данные исчезли навсегда. Теперь пользователю предстоит кропотливо восстанавливать набранный текст вручную.

Файл JPEG после того, как он прошел через TRIM
Исправный JPEG-файл

Отключение TRIM

Если вы считаете, что безопасность ваших данных важнее потери производительности и некоторого уменьшения ресурса твердотельного накопителя, то я бы рекомендовал отключить TRIM. Если на вашем накопителе нет таких данных, потеря которых была бы для вас ощутима, TRIM можно не трогать. В любом случае, решение принимать вам. На моих накопителях TRIM отключен.

В системе Windows проверить состояние TRIM и отключить или задействовать его достаточно просто. Для начала нажмите кнопку «Пуск» и наберите в строке поиска cmd. В появившемся результате, в разделе «Программы» выберите cmd и запустите ее от имени администратора.

Поиск и запуск командной строки Windows
Ответ на запрос состояния TRIM в операционной системе: TRIM отключен

В открывшемся окне командной строки необходимо ввести команду:

fsutil behavior query DisableDeleteNotify

Ответом на эту команду будет состояние TRIM в вашей операционной системе. Если в строке DisableDeleteNotify стоит статус 0, значит TRIM включен. Если 1 — выключен.

Для включения или отключения TRIM также используется командная строка, но вместо команды запроса (query) нужно использовать команду установки (set):

fsutil behavior set DisableDeleteNotify 0

для включения TRIM, и

fsutil behavior set DisableDeleteNotify 1

для отключения TRIM.

Включение TRIM с последующей проверкой статуса

Почему восстановленные файлы не работают?

Даже после того, как на накопителе отработал TRIM, если диск отсканировать программами, предназначенными для восстановления данных, эти программы «найдут» удаленные данные. Многие пользователи вздыхают с облегчением: фух, данные нашлись, страшного не произошло. Но, увы, ни один из восстановленных файлов работать не будет. Почему?

Выше я привел скриншоты с нормальным и удаленным после TRIM JPEG-файлами (обычно этот формат используется для сохранения фотографий). Прошедший через TRIM JPEG-файл не несет в себе данных, он полностью заполнен нулями. Но при этом программа для восстановления данных его обнаружила. Как так?

Все очень просто. Программа работает с файловыми таблицами — и представляет результат их сканирования. В этих таблицах хранится информация обо всех (включая удаленные, но еще не переписанные) файлах. Поскольку TRIM работает не с записями в файловой таблице, а с файлами, то очищается именно область, в которой находился файл — при этом запись в файловой таблице не очищается. Вот и получается, что запись есть, а файла по факту уже нет.

Запилы. Коротко о страшном

Любому специалисту по восстановлению информации известно такое неприятное явление, как запил поверхности жесткого диска. Да что там говорить — неприятное. Катастрофическое! Ужасное! Фатальное для данных.

Что такое этот запил, и чем он отличается от других повреждений поверхности НЖМД?

Повреждения поверхности жесткого диска

  1. Дефектные сектора (бэд-блоки). Такие повреждения обычно не видно невооруженным глазом, они проявляются при копировании информации: диск или зависает окончательно при попытках скопировать файлы, или начинает срываться в стук и перестает работать, или данные копируются очень долго.
  2. Царапины. Эти повреждения имеют или радиальную, или концентрическую направленность, и, как правило, очень тонкие. Часто они настолько тонкие, что определить их можно только с помощью фог-теста (поверхность на короткое время покрывается парами дистиллированной воды, при этом изменяются преломляющие свет свойства поверхности и становятся видны микроповреждения).
  3. Запилы. Как правило, бывают в основном концентрическими. Запилы хорошо видно невооруженным взглядом, это серьезные и крупные повреждения поверхности. Характеризуются глубоким внедрением не только в лубрикант, но также и в несущий информацию магнитный слой. Имеют тенденцию к лавинообразному разрастанию за очень короткое время.

Что такое запил

Запил на поверхности жесткого диска, увеличение х10

Запил — это глубокое и необратимое повреждение поверхности жесткого диска. При запиле повреждаются не только верхние, защитные слои поверхности, но также и более глубокие слои: несущий данные ферромагнетик и, довольно часто, даже подложка.

Запиленная поверхность накопителя HGST. Неповрежденным остался только участок поверхности под парковочной рампой.

Чем опасен запил

Самое неприятное, что привносит запил в работу жесткого диска — это мелкодисперсная (а иногда и крупнофракционная, вплоть до опилок) пыль. Пыль внутри диска, в котором магнитные поверхности вращаются с гарантированной скоростью свыше 5000 оборотов в минуту, почти мгновенно начинает разрушать не затронутые запилом поверхности — вначале бомбардируя их и приводя к образованию множества дефектных секторов; затем частицы пыли попадают на исправные головки, выводят их из строя и те, в свою очередь, начинают запиливать еще исправную поверхность. Если диск, который начал запиливаться, не остановить — будет безвозвратно потеряно все его содержимое. Именно поэтому современные НЖМД при старте опрашивают все головки, и если хотя бы одна из них не прочитает и не запишет данные, диск немедленно останавливает свою работу.

Запил в парковочной зоне накопителя Seagate Barracuda 7200.11

Как образуется запил

Основной источник запиливания жестких дисков — свободно двигающиеся в гермоблоке частицы. Например, при парковке головок на внешнюю рампу обломился небольшой кусочек рампы (она пластиковая). При следующем включении диска потоками воздуха его начало «гонять» по гермоблоку, и вопрос того, когда произойдет соударение этого кусочка с головками или поверхностью — лишь вопрос времени. Во время соударения происходят необратимые изменения, и начинается процесс запиливания.

Реже бывает так, что при резкой потере питания не срабатывает магнитный замок, и головки падают на поверхность. При следующем запуске, если шпиндель может провернуть диски, головки срывает с кронштейнов, а пока набирается необходимая скорость вращения, они пилят поверхность.

Также образование запилов возможно в тех случаях, когда происходят разрушения или повреждения пъезоэлементов современных головок, или нарушения в работе микропрограммы (например, распарковка головок до набора шпинделем необходимой скорости вращения).

Есть ли шансы восстановить данные при запиливании диска?

Это — самый главный вопрос. Если диск запилен, можно ли из него извлечь данные хотя бы частично?

Практика показывает, что в большинстве случаев, если диск не пилился непозволительно долго, часть данных из него достать можно. Это делается разными методами — поверхность покрывается особыми полимерами, поврежденная поверхность исключается из трансляции, изготавливаются специальные устройства для обхода запилов, ограничители и т.п.

Стоимость таких работ ввиду их сложности достаточно высока.

Если вы подозреваете у своего накопителя запил, немедленно отключайте его от питания и несите профессионалам. Диагностика в этом случае включает разборку диска и оценку масштабов повреждений, на основании которых делается смета затрат и оцениваются шансы успешного проведения работ.

Очередная ловушка злоумышленников: несуществующий трекинг

Письмо с фишинговой ссылкой; ссылка частично прикрыта для безопасности

Очередное изобретение злоумышленников, желающих получить доступ к вашему компьютеру — рассылка фишинговых писем с предложением отследить некую посылку.

Люди часто пользуются службами доставки или почтой, поэтому для многих такое предложение не покажется подозрительным. Не ожидая ничего плохого, они пройдут по имеющейся в письме ссылке, в результате чего загрузят на свой компьютер вредоносное ПО. Чем это чревато?

Наиболее распространенная возможная проблема — включение вашего компьютера в ботсеть для осуществления распределенных вычислений. Следующая по степени распространенности — троянская программа для кражи персональных данных (включая данные банковских карт или реквизиты интернет-банкинга). Наконец, вам могут просто зашифровать файлы с последующим требованием выкупа за их расшифровку.

Поэтому, получая любое электронное письмо с неизвестного вам адреса, тем более — содержащее внутреннюю ссылку — не нажимайте на ссылку сразу, проверьте ссылку, обращались ли вы в службу, которая ссылается за ссылкой, ранее, взвесьте все «за» и «против», и только после этого принимайте решение — посещать эту ссылку или удалить письмо.

Стоимость восстановления данных. Замена блока магнитных головок

Вместо введения

Замена блока магнитных головок (БМГ) — одна из наиболее часто встречающихся услуг, требующихся для восстановления информации с физически неисправного жесткого диска. Необходимость этой процедуры возникает тогда, когда БМГ накопителя выходит из строя и требуется вычитать информацию, для чего и применяется БМГ из другого накопителя в качестве запчастей.

Стоимость работ по замене БМГ варьирует в довольно широких пределах: от 5000 сом в легких случаях до 20000 — 25000 в тяжелых. Бывают и более дорогие работы по замене БМГ, они определяются индивидуальными особенностями накопителя и особой сложностью работ.

Для проведения замены БМГ требуются три обязательных компонента:

  1. Наличие совместимого донорского устройства, с которого будет взят исправный БМГ;
  2. Наличие специального оборудования для работы в гермозоне (съемники головок, ламинарный шкаф);
  3. Наличие специального оборудования для вычитывания накопителя в технологическом режиме (ПАК РС-3000).

Кроме того, требуется большой объем опыта и знаний. В некоторых случаях может потребоваться несколько тренировочных замен головок на исправных накопителях для того, чтобы отработать технологию (обычно это касается новых семейств накопителей, имеющих нестандартные технологические решения в гермоблоке).

Еще один фактор, влияющий на стоимость работ по замене БМГ — количество головок в пакете. Чем их больше, тем больше требуется времени для проведения работ, и тем дороже, соответственно, сами работы.

Оборудование для замены БМГ

Едва ли не самый затратный пункт во всей смете. Для замены БМГ, как правило, требуются три дорогостоящих инструмента: съемники головок (стоимость варьирует от 20 (дешевые изделия низкого качества) до 500 (high-end решения) евро), ламинарный шкаф (стоимость от 1500 долларов США) и ПАК РС-3000 или его аналог (стоимость от 2000 долларов США). Съемники головок, к слову, не бывают универсальными — они производятся отдельно для каждого семейства (а в некоторых случаях — для каждой модели) НЖМД.

Доноры запчастей

Другая часть расходов — доноры запчастей. Далеко не всегда диск, с которого будет взят БМГ, имеет ту же номинальную стоимость, как его аналог в розничной торговой сети. Часто бывает так, что такой накопитель стоит в два, а то и больше, раз дороже. Это зависит от множества факторов.

Как правило, любая компания по восстановлению данных имеет ограниченную базу донорских устройств, с которых запасные части могут быть оперативно взяты для текущих работ. Но иметь полную базу запчастей с учетом разнообразия выпущенных моделей и модификаций — совершенно неподъемная задача, поэтому часто доноры запчастей покупаются либо на специализированных ресурсах (например, donor drives), либо на торговых интернет-площадках (локальные сайты объявлений, amazon, eBay и т.п.).

Резюме

Таким образом, стоимость замены БМГ в стандартных случаях складывается из следующих частей:

  1. Амортизация оборудования (самая большая доля расходов).
  2. Стоимость аренды помещения и сопутствующие расходы (коммунальные услуги и пр.).
  3. Стоимость запасных частей.
  4. Расходные материалы.
  5. Заложенная прибыль.

Стоимость восстановления данных. Проблемы в служебной зоне

Служебная зона накопителя — то его пространство, которое используется для его собственных, служебных, нужд. Это: обеспечение работы накопителя (запуск, функционирование, трансляция физических адресов в логические и т.п.), ведение различных системных журналов (SMART, общее время работы, дефекты и пр.) и так далее. Функционирование накопителя без служебной зоны невозможно.

Организация служебной зоны может быть разной, но в подавляющем большинстве случаев служебная зона — это область дискового пространства, куда нет доступа в штатном режиме. В этой области находятся части микропрограммы и других фрагментов служебной зоны, которые называют модулями.

Неисправности служебной зоны, как правило, не приводят к полному выходу из строя накопителя, они проявляются или в неправильной его идентификации, или в сильной заторможенности его работы, или в невозможности получить доступ к данным, или в блокировании работы микропрограммы. Физически диск при этом остается исправным.

Стоимость работ по возвращению служебной зоне работоспособности и обеспечению доступа к данным варьирует от 1000 до 5000 сом, но в некоторых особо сложных случаях может достигать 14000 сом. Как вы уже поняли, стоимость будет напрямую зависеть от сложности и от того, какие ресурсы для успешного завершения работ должны быть задействованы.

1. Легкие случаи

Легкие случаи — те, для восстановления которых не требуется подбора совместимой версии микропрограммы. К ним относятся те неисправности служебной зоны, которые либо корректируются самим накопителем при подаче соответствующей команды (например: переполнение логов подсистемы SMART), либо могут быть скорректированы простой перезаписью поврежденного модуля служебной зоны от аналогичного диска, либо — отключением этого модуля в таблице модулей накопителя.

Стоимость работ по легким случаям составляет 1000 сомов, время выполнения работ — не более получаса. В стоимость таких работ включаются:

  1. Амортизация специализированного оборудования;
  2. Расходные материалы;
  3. Заложенная прибыль.

2. Случаи средней тяжести

При средней степени тяжести повреждения служебной информации накопитель уже не может сам исправить имеющиеся проблемы соответствующей командой, а простой перезаписи неисправных частей микропрограммы оказывается недостаточно для организации доступа к пользовательским данным. К таким повреждениям относятся: повреждения системы трансляции; установка максимального уровня парольной защиты при забытом пароле; активированное аппаратное шифрование накопителя (SED — Self Encrypted Drive — самошифрующийся диск) и пр. Для восстановления доступа к пользовательским данным потребуется провести несколько манипуляций, включающих в себя: организацию доступа к служебной зоне; внесение в служебную зону необходимых исправлений; проверку корректности изменений; запуск накопителя и копирование данных.

Стоимость работ по таким случаям составляет от 2000 до 3500 сомов, время выполнения работ составляет от одного часа. В стоимость таких работ включаются:

  1. Амортизация специализированного оборудования;
  2. Расходные материалы;
  3. Заложенная прибыль.

3. Тяжелые случаи

К этой группе относятся неисправности служебной зоны, которые еще можно исправить, используя только диск-пациент, но исправление требует глубокого знания функционирования накопителя, организации его служебной информации и шестнадцатеричной системы счисления.

Например: частичное разрушение модулей дефект-листов во всех копиях служебной зоны; частичное разрушение оверлеев микропрограммы во всех копиях служебной зоны; разрушение или повреждение модулей адаптивной информации; и пр.

Для приведения к рабочему состоянию в таких случаях обычно требуется максимально полное вычитывание данных из служебной зоны, а затем восстановление утерянных частей модулей с помощью шестнадцатеричного редактора. Эта работа стоит 5000 сом и может занимать несколько дней.

В стоимость таких работ включаются:

  1. Амортизация специализированного оборудования;
  2. Расходные материалы;
  3. Заложенная прибыль.

4. Случаи, требующие использования исправного диска

Бывают ситуации, когда исправление проблем в служебной зоне накопителя невозможно. Например, разрушения служебной зоны так велики, что накопитель теряет возможность корректной записи. В таких случаях потребуется подготовка диска-клона неисправного накопителя и запуск неисправного диска с использованием диска-клона.

Для этого из служебной зоны неисправного диска вычитывается максимальное количество информации, производятся (если необходимо) манипуляции с модулями (восстановление, ремонт и т.п.), а затем нужные для функционирования диска модули записываются в исправный носитель. После этого исправный диск, если все сделано верно, запускается со всеми параметрами (включая систему трансляции) как у неисправного диска, и нам достаточно перенести проинициализированную таким образом плату электроники с подготовленного носителя на неисправный.

Стоимость этой услуги, по очевидным причинам (необходимость использования исправного диска в качестве запчастей) является достаточно высокой, и может достигать 14000 сомов.

В стоимость таких работ включаются:

  1. Амортизация специализированного оборудования;
  2. Расходные материалы;
  3. Исправный диск;
  4. Заложенная прибыль.

При этом имеется риск, что исправный диск после всех манипуляций уже будет невозможно вернуть в исходное состояние, то есть диск физически будет исправен, но не будет нормально функционировать. Это связано с тем, что в случае записи в накопитель чужих (от неисправного диска) адаптивных параметров у части накопителей запись по этим параметрам окажется невозможной. Это нужно учитывать при планировании расходов, связанных с восстановлением.

Стоимость восстановления данных. Логические случаи

Ситуации, когда приходится объяснять, отчего стоимость тех или иных услуг именно такая, а не какая-то другая, случаются не только в IT, но и в целом во всей сфере оказания услуг. Я уже писал о том, как и почему стоимость той или иной услуги по восстановлению данных составляет именно ту сумму, которую вам озвучили, однако вопросов не становится меньше, поэтому было принято решение разложить прайс на пять частей (логические проблемы, проблемы в служебной области накопителя, замена блока магнитных головок, прочие физические проблемы, дисковые массивы) и по каждой из этих частей написать подробную статью. Перед вами первая часть из запланированных пяти — о том, из чего складывается стоимость логического восстановления данных.

Что такое логические проблемы? Под этим общим названием принято понимать те случаи, когда накопитель физически исправен, но по каким-то причинам пользователь не может получить доступ к своим данным. Замечу сразу, что при некоторых проблемах со служебной зоной поведение накопителя может быть таким же: накопитель исправен, но доступа к данным нет. Какая именно проблема приключилась с конкретным диском, можно выяснить в ходе диагностики, которая у нас бесплатна.

Логические проблемы условно можно разделить на следующие типы:

  • Полная или частичная перезапись данных (переустановка операционной системы без предварительного резервирования данных; удаление информации с последующей записью новых данных; и т.п.).
  • Форматирование раздела.
  • Удаление информации.
  • Шифрование данных (как инициированное вирусом-шифровальщиком, так и самим пользователем).
  • Ошибки операционной системы (запись в сектора модифицированных или неверных данных).
  • Проблемы интерфейса (криво установленный кабель, в результате чего происходит искажение сигнала и запись неверных данных; помехи от сильного источника электромагнитного поля, приводящие к искажению сигнала; и т.п.).
  • Преднамеренное или непреднамеренное изменение структуры данных (например, замещение некоторых секций файла другими секциями того же или другого файла).

Полная или частичная перезапись данных

Перезапись данных всегда приводит к невозможности 100%-ного восстановления информации. Наиболее распространена переустановка операционной системы без предварительного резервирования данных.

Стоимость работ по извлечению информации после ее перезаписи варьирует в широких пределах. В нашей лаборатории вы можете получить эту услугу по цене от 1000 до 5000 сомов в зависимости от сложности. В лабораториях крупнейших мировых центров по восстановлению информации (с некоторыми из них мы имеем партнерские отношения, поэтому в некоторых случаях мы можем помочь через наших партнеров) стоимость таких работ может составлять до нескольких сотен тысяч долларов. Такая цена возможна в случаях, когда производится восстановление данных по остаточной намагниченности с использованием туннельного электронного микроскопа. Это кропотливая, длительная и непростая процедура, требующая дорогостоящего оборудования (туннельного микроскопа) и программного обеспечения (сшивающего RAW-споты слоев остаточной намагниченности в треки и декодирующего их в бинарном виде).

Стоимость услуги по восстановлению данных после перезаписи в нашей лаборатории складывается из следующих компонент:

  1. Создание посекторного клона накопителя, с которого производится восстановление данных (все операции мы производим с клоном для того, чтобы исключить любой риск повреждения исходных данных).
  2. Сканирование текущей файловой системы для определения карты секторов, которые используются в ней.
  3. Создание карты секторов, не использующихся в текущей файловой системе.
  4. Поиск валидных данных в обеих созданных картах, выливка данных на диск-приемник.
  5. Анализ полученного результата, удаление поврежденных файлов.
  6. Амортизация ПО, используемого для восстановления информации.
  7. Амортизация используемого для подключения диска в режиме «только чтение» оборудования.
  8. Накладные расходы (электроэнергия, аренда и т.п.).
  9. Заложенная прибыль.

Работа может проводиться не в один проход. Финальная стоимость зависит от того, какой объем данных нам придется обрабатывать — чем больше объем, тем больше на работы требуется времени, тем большее время будет занято специальное оборудование и тем выше будет окончательная стоимость работ.

Форматирование раздела

Также, как и предыдущая проблема, является одной из наиболее широко распространенных. Форматирование раздела может происходить как случайно, так и намеренно. Результат: раздел имеется, данных в нем нет.

Стоимость восстановления данных из разделов после форматирования варьирует от 1000 до 10000 сомов. Складывается она из следующих моментов:

  1. Создание посекторного клона накопителя, с которого производится восстановление данных (все операции мы производим с клоном для того, чтобы исключить любой риск повреждения исходных данных).
  2. Сканирование файловой системы и реконструкция ее структуры до форматирования.
  3. Выливка данных на внешний приемник.
  4. Анализ полученного результата, уточняющее сканирование накопителя, если результат неудовлетворительный.
  5. Амортизация ПО, используемого для восстановления информации.
  6. Амортизация используемого для подключения диска в режиме «только чтение» оборудования.
  7. Накладные расходы (электроэнергия, аренда и т.п.).
  8. Заложенная прибыль.

В случае с форматированием раздела цена работ зависит от объема накопителя (чем он больше, тем больше требуется времени на производство работ и тем выше, соответственно, их стоимость) и от типа раздела. Дешевле всего восстановить данные из форматированных разделов NTFS, так как структурные особенности разделов этого типа позволяют полностью реконструировать исходную файловую систему с минимальными затратами времени. Наиболее дорогими для восстановления информации после форматирования являются разделы FAT и ZFS, так как их структурные особенности требуют больших объемов ручной работы (в первом случае как результат фрагментации, во втором — сжатия информации).

Удаление информации

Довольно часто бывает так, что пользователь или третье лицо случайно удаляет нужный файл или папку. Восстановление данных в этом случае достаточно непредсказуемо — если данные удалены с жесткого диска, и после удаления работа с ним не велась, то шансы на восстановление достаточно велики. Если данные удалены с телефона или SSD, шансы на восстановление обратно пропорциональны времени использования устройства после удаления файла.

Стоимость работ по восстановлению удаленных данных складывается из следующих моментов:

  1. Безопасное подключение и подготовка носителя к извлечению данных.
  2. Сканирование файловой системы и поиск удаленных файлов.
  3. Копирование найденных данных на внешний приемник.
  4. Анализ полученного результата, уточняющее сканирование накопителя, если результат неудовлетворительный.
  5. Амортизация ПО, используемого для восстановления удаленных файлов.
  6. Амортизация оборудования, используемого для подключения накопителя в режиме «только чтение».
  7. Накладные расходы (электроэнергия, аренда и т.п.).
  8. Заложенная прибыль.

Средний ценник на восстановление удаленных файлов с жесткого диска в настоящее время составляет 1000 сом, с телефона 3000 сом.

Шифрование данных

Данные могут быть зашифрованы как вирусом-шифровальщиком, так и самим пользователем (BitLocker, FileVault, EFS и пр.). В первом случае вирус сам сообщает о том, что данные зашифрованы, и начинает вымогать вознаграждение за расшифровку. Во втором случае проблемы обычно возникают в трех случаях:

  1. Возникновение на накопителе дефектных секторов, приводящих к проблемам с штатной расшифровкой.
  2. Переустановка системы без учета того, что данные были зашифрованы (при этом теряются ключи шифрования).
  3. Утеря информации о ключах или паролях (забыли, потеряли листок где это записано, и пр.).

Стоимость услуги восстановления данных в случае с их зашифровкой варьирует от 7000 до 10000 сом в случае если это шифрованная файловая система (BitLocker, FileVault, TrueCrypt и пр.); в случае, если данные зашифрованы вирусом, стоимость расшифровки может составлять до 25000 сом. Из чего складывается данная услуга:

  1. Создание посекторного клона накопителя, с которого производится восстановление данных (все операции мы производим с клоном для того, чтобы исключить любой риск повреждения исходных данных).
  2. Сканирование накопителя, поиск информации для восстановления (ключи шифрования, метаданные и пр.).
  3. Применение ключей шифрования, потоковая расшифровка данных на внешний диск-приемник.
  4. Анализ полученного результата, уточняющее сканирование накопителя, если результат неудовлетворительный.
  5. Амортизация ПО, используемого для восстановления информации.
  6. Поиск алгоритмов шифрования в ручном режиме, если они не были обнаружены в автоматическом.
  7. Амортизация используемого для подключения диска в режиме «только чтение» оборудования.
  8. Накладные расходы (электроэнергия, аренда и т.п.).
  9. Заложенная прибыль.

Высокая стоимость расшифровки данных в нестандартных случаях объясняется большим количеством ручной работы. Если дело касается стандартных случаев шифрования (BitLocker, FileVault), стоимость ниже, и зависит главным образом от того, насколько долго будет занят специализированный ПАК для извлечения данных.

Ошибки операционной системы

В некоторых случаях потеря данных может быть следствием некорректной работы операционной системы. Такие случаи достаточно редки, однако они все же встречаются. Наиболее распространенным типом ошибки при этом является работа штатной программы проверки диска checkdisk в ОС Windows.

Работа этой программы направлена на то, чтобы выявить и исправить ошибки файловой системы жесткого диска. При этом, если выявляются ошибки, связанные с дефектными секторами (например, повреждена часть записей в MFT), то данные, которые относятся к этим ошибкам, программа переносит (именно переносит, а не копирует) в особые папки, которые сама создает на диске. Чем это чревато? Во-первых, при больших объемах таких переносов может возникать перезапись данных. Во-вторых, программа не гарантирует, что будет произведен перенос всего файла.

Возможны и другие ошибки работы ОС, приводящие к утере доступа к данным — например, запись неверных данных в заголовок раздела или в файловые таблицы.

Работа с ошибками операционной системы тарифицируется также, как работа с удаленными данными, и составляет обычно 1000 сом. Что сюда входит:

  1. Безопасное подключение и подготовка носителя к извлечению данных.
  2. Сканирование файловой системы и поиск ошибок ОС.
  3. Копирование найденных данных на внешний приемник.
  4. Анализ полученного результата, уточняющее сканирование, если результат неудовлетворительный.
  5. Амортизация ПО, используемого для восстановления удаленных файлов.
  6. Амортизация оборудования, используемого для подключения накопителя в режиме «только чтение».
  7. Накладные расходы (электроэнергия, аренда и т.п.).
  8. Заложенная прибыль.

Проблемы интерфейса

Встречаются крайне редко, являются наиболее сложно диагностируемыми логическими проблемами с наиболее сложными методами восстановления. Стоимость работ с такими заказами составляет от 5000 сом за 1 Тбайт емкости диска.

В чем проявляются такие неисправности? При неправильной установке коннектора data-кабеля (будь то SATA, SAS/SCSI или USB) нестабильный контакт приводит к искажениям записи информации, имеющим определенный повторяемый характер. Например, одна из линий данных может вместо байтов 00h записывать FFh. При этом файл будет записан на устройство, но при его работе будут возникать ошибки: он либо не будет запускаться вообще, либо после запуска его содержимое будет искажено или повреждено.

Для восстановления поврежденных таким образом данных потребуется сделать следующее:

  • Обнаружить все сектора, в которых имеются поврежденные или модифицированные данные;
  • Настроить скрипт-машину таким образом, чтобы произвести пакетное потоковое исправление ошибок;
  • Проконтролировать результат.

Таким образом, в стоимость работ указанного типа заложены следующие моменты:

  1. Безопасное подключение и подготовка носителя к извлечению данных.
  2. Создание посекторной копии накопителя.
  3. Определение алгоритма повреждения данных.
  4. Настройка скрипт-машины на потоковое пакетное исправление повреждений.
  5. Анализ полученного результата, уточняющее сканирование, если результат неудовлетворительный.
  6. Амортизация ПО, используемого для восстановления удаленных файлов.
  7. Амортизация оборудования, используемого для подключения накопителя в режиме «только чтение».
  8. Накладные расходы (электроэнергия, аренда и т.п.).
  9. Заложенная прибыль.

Преднамеренное или непреднамеренное изменение структуры данных

Встречается еще реже, чем предыдущий тип логических неисправностей. Суть проблемы заключается в том, что в определенном файле часть данных замещается другими, не имеющими отношения к этому файлу. Как правило, это происходит при сбоях операций переноса или копирования. Также, как правило, замещенные данные на целевом носителе имеются, но являются «потерянными».

Работы в этом случае заключаются в поиске утерянных фрагментов данных и «посадке» их на место. Задача эта весьма нетривиальна, так как требует глубокого знания форматов файлов, с которыми производятся работы, а также, обычно, кропотливого поиска утерянных фрагментов данных в ручном режиме. Проблема в том, что обычно RAW-данные в фрагментированном виде не имеют уникальных структур, позволяющих их обнаруживать автоматически (таких, как заголовки), поэтому их поиск возможен только вручную.

Стоимость работ по восстановлению работоспособности единичного файла составляет от 500 до 10 000 сом и зависит от его типа, размера и характера повреждений. В эти работы закладываются:

  1. Безопасное подключение и подготовка носителя к извлечению данных.
  2. Определение алгоритма повреждения данных.
  3. Поиск фрагментов утерянных данных.
  4. Анализ полученного результата, уточняющее сканирование, если результат неудовлетворительный.
  5. Амортизация ПО, используемого для восстановления удаленных файлов.
  6. Амортизация оборудования, используемого для подключения накопителя в режиме «только чтение».
  7. Накладные расходы (электроэнергия, аренда и т.п.).
  8. Заложенная прибыль.

Заключение

Как видите, стоимость восстановления информации даже в относительно «легких» случаях логических проблем складывается из массы моментов, однако основными являются оборудование и ПО. И то, и другое имеет приличную стоимость; например, комплект оборудования компании ACE Lab для восстановления данных с жестких дисков (ПАК РС-3000) имеет стоимость 1500 долларов США в минимальной комплектации. Как профессиональный сервис, мы используем десятки наименований различного оборудования, имеющего аналогичную стоимость.

В следующей части этой статьи мы расскажем о том, из чего складывается стоимость работ при восстановлении информации с накопителей с проблемами в служебной зоне.

Восстановление информации с карты памяти CFast 2.0

Профессиональные карты памяти CFast стандарта 2.0 появились на рынке относительно недавно (более-менее массово их стали использовать в профессиональных камерах, главным образом Canon, с 2016 года). Не смотря на это, они начали попадать в поле нашего зрения практически сразу после выпуска — но всегда с логическими проблемами (удаленные файлы или карта была отформатирована).

Но все течет, все изменяется — и вот в наших руках первая карта CFast 2.0, неисправная физически. Карта не отдает свой ID, не показывает емкость и вообще ведет себя довольно тихо. Увы, другого выхода, кроме как выпаивать NAND-микросхемы и вычитывать их дампы с последующей сборкой образа, у нас нет.

Тут следует сказать пару слов о том, что такое CFast 2.0. Для многих это просто карта памяти Compact Flash, пусть и с другим коннектором. Однако по факту это твердотельный диск (SSD) со стандартным SATA-соединением. Правда, разъем питания отличается от SATA, но это не мешает устройству по факту оставаться SSD в SATA-исполнении.

Что это значит для нас? Стандартная сборка дампов для этого накопителя невозможна, необходимо использовать алгоритмы, характерные для SSD.

Карта памяти CFast 2.0 Lexar 128 GB, поступившая к нам в работу

Пришедшая в работу карта CFast 2.0 Lexar 128 GB построена на довольно проблемном контроллере SM2246XT — сборка данных на этом контроллере имеет свои сложности, и довольно часто — фатальные для данных. Особенно, когда микросхемы памяти вычитаны с проблемами.

В нашем случае память прочиталась хорошо, а битовые ошибки были почти полностью скорректированы механизмами ЕСС. Мы получили «чистые» дампы в количестве 16 штук (в нашей карте 4 NAND-микросхемы, в каждой микросхеме по 4 банка) по 4 Гбайт каждый.

Карта CFast 2.0 Lexar 128 GB внутри
Коннектор карты CFast 2.0
NAND-микросхема из карты памяти CFast 2.0 Lexar 128 GB (BGA 152)

Для восстановления информации с этой карты пришлось комбинировать два инструмента. Дампы памяти считывались с использованием PC-3000 Flash через специализированный адаптер (BGA-152/132). В этом же комплексе производилась первоначальная обработка дампов (коррекция с использованием ЕСС и перечитывание нескорректированного). После этого дампы были перенесены в PC-3000 SSD, где проводились дальнейшие работы по восстановлению данных.

Безопасное извлечение USB-устройств. Почему и зачем?

Когда вышла из строя USB-флешка, как минимум в половине случаев это связано с тем, что она не была извлечена из компьютера корректно. Почему так происходит? Давайте разберемся.

USB и Plug-and-Play

Один из неоспоримых плюсов USB — легкость его монтирования в операционную систему. Принцип Plug-and-Play (вставил и работай) реализован давно, и для разных устройств, но все же наиболее полно он оказался открыт для USB-устройств. Подключая к компьютеру USB-флешку, смартфон, камеру, мышку или любое другое устройство с этим интерфейсом, мы получаем это устройство работающим практически незамедлительно после подключения. Поддержка устройств USB давно стала общемировым стандартом практически для всех операционных систем.

Современный внешний твердотельный накопитель на базе шины USB 3.1 (тип коннектора USB-C)

Не многие помнят, как это было в Windows 95, Windows 98 и других операционных системах того времени. Для того, чтобы подключить USB-флешку, требовалось сначала установить ее драйвер: или с дискеты, или с CD-ROM. Только после установки драйвера флешка начинала распознаваться в системе и с ней можно было работать. Соответственно, для того, чтобы перенести данные с одного компьютера на другой на этой самой флешке, требовалось нести с собой и диск с драйверами — в противном случае перенос был невозможен.

Скорости USB. Быстрее, выше, сильнее!

Надо ли говорить о том, что скорость работы первых устройств USB, ограниченная интерфейсом USB первого поколения, была весьма и весьма скромной?

Настоящий прорыв наступил с разработкой стандарта USB 2.0 в 2000 году и последовавшим за ним выходом в 2001 году Windows XP. Эта операционная система уже широко поддерживала огромный спектр USB-устройств, для их использования уже не требовалось установки каких-то особых драйверов (лишь в редких случаях, для устройств, для которых Windows XP не имел встроенного драйвера: некоторые сканеры, принтеры и т.п.; устройства хранения информации на базе интерфейса USB требовали установки особого драйвера крайне редко). Стандарт USB 2.0 обеспечивал неплохую скорость, и шина из Useless Serial Bus (бесполезная последовательная шина; так USB в шутку называли на заре его возникновения, поскольку устройств с его поддержкой было очень мало) революционными темпами превратилась в Universal Serial Bus (универсальная последовательная шина).

Однако скоростей USB 2.0 очень быстро перестало хватать, и разработчики стандарта предложили USB 3.0 — стандарт, скорости которого были максимально приближены к SATA. За короткое время были разработаны три стандарта: 3.0, 3.1 и 3.2; в итоге производители решили, что для третьего поколения USB стандартов как-то многовато, и объединили их все под крылом USB 3.2.

В настоящее время устройства с интерфейсом 3.2 позволяют, например, копировать огромные объемы информации за короткое время. При соблюдении некоторых условий реальная скорость работы внешнего твердотельного диска на шине USB 3.2 будет больше, чем скорость работы внутреннего жесткого диска на интерфейсе SATA.

Безопасное извлечение USB-устройства. Как это работает?

Ну а теперь можно поговорить и о том, о чем, собственно, написана эта статья. Что такое безопасное извлечение USB-устройства?

Впервые эта функция появилась в операционной системе Windows XP, и была реализована на уровне драйверов системы. Конкретно за безопасное извлечение устройств в Windows отвечает драйвер hotplug.dll.

Меню безопасного извлечения устройств в трее Windows 8.1

Для того, чтобы безопасно извлечь USB-устройство, нужно перевести указатель мышки в область системного трея, где выбрать соответствующий значок (см. скриншот выше). После этого нажать на него, подождать, пока система оповестит о возможности безопасного извлечения, и уже после этого извлекать устройство.

При активации безопасного извлечения устройства происходят следующие акции:

  1. Если в очереди записи/чтения на устройство имелись задачи, им ставится наивысший приоритет и производится их выполнение и финализация.
  2. Производится очистка системных областей буферной памяти, имеющих отношение к отключаемому устройству.
  3. Закрываются окна, имеющие отношение к отключаемому устройству (работает не во всех версиях операционных систем).
  4. Производится отмена любых операций внутренней активности устройства с их завершением.
  5. Отключается питание с порта USB, где будет извлекаться устройство, или этот порт переводится в режим ожидания.

Почему так важно безопасно извлекать устройство?

Давайте теперь представим, как будет работать USB-устройство, если мы не используем безопасное извлечение и выдергиваем это устройство, что называется, на живую.

Начнем с того, что устройство вполне может не содержать тех данных, которые вы на него отправили. Я уже показывал то, как работает отложенная запись Windows (ниже привожу это видео еще раз).

Другими словами, то, что вы отправили на устройство какие-то файлы, при небезопасном извлечении устройства вовсе не гарантирует того, что эти файлы будут на вашей флешке.

Это первая опасность.

Вторая опасность заключается в том, что при небезопасном извлечении устройства оно может выйти из строя. Небольшой перекос при извлечении, неравномерность движения в разъеме, слишком сильный нажим и т.п. — могут привести к тому, что произойдет электрическое повреждение устройства (а при небезопасном извлечении оно в разъеме находится под током). После этого устройство остается или ремонтировать, или (в случае невозможности ремонта) восстанавливать более радикальными методами, связанными с выпаиванием NAND-микросхем.

Третья опасность — возможный выход из строя микропрограммы устройства. Любой USB-накопитель, кроме микросхем, в которых хранятся данные (NAND-микросхемы), имеет контроллер. Этим контроллером и управляется устройство. Для функционирования устройства имеется микропрограмма, одной из важных частей которой является трянслятор.

Транслятор — это часть микропрограммы, которая соединяет физиескую адресацию пространства внутри флешки с логической адресацией пространства для операционной системы. Грубо говоря, физические адреса секторов переводятся в LBA, понятные операционной системе. При этом физически первый сектор для Windows во флешке может быть где-то в середине или в конце (совпадение физической и логической адресаций нынче скорее исключение, чем правило).

Так вот, во включенном состоянии флешка довольно часто совершает операции по оптимизации своего адресного пространства, производя соответствующие изменения в микропрограмме. Если в момент начала записи каких-то критических данных флешку выдернуть из компьютера, то эти данные записаны не будут. При следующем включении микропрограмма начнет искать эти данные, не сможет их найти и, как следствие, остановит работу. Устройство попадет в состояние «ошибка». Вывод из ошибки USB-устройств возможен далеко не всегда, для восстановления данных могут потребоваться довольно дорогостоящие процедуры.

Ну и еще одна опасность (четвертая) — это возможный выход из строя внешних жестких дисков, подключаемых через USB. Внешние жесткие диски получают питание через USB, и, соответственно, при внезапном обесточивании (то есть небезопасном извлечении) могут не успеть запарковать головки. При этом головки останутся на поверхности, упадут на нее, что неизбежно приведет к повреждению и головок, и поверхностей — а значит, к потере данных. Извлечение данных с USB-дисков с заклинившими на поверхности головками часто является весьма нетривиальной задачей.

Пятая опасность — выход из строя самого разъема USB. Это возможно по тем же причинам, которые характерны для второй опасности.

Как обычно. Пара практических советов в конце =)

Первый и самый главный совет — не забывайте о безопасном извлечении устройств. Даже если вы очень спешите — поверьте, лишние 20 — 30 секунд, потраченные на эту несложную операцию, могут уберечь вас от значительно больших затрат времени, к которым может привести потеря данных.

Второй совет. Извлекая устройство, старайтесь не перекашивать его, ведь после активации протокола безопасного извлечения часто USB-порт находится в режиме ожидания, и при перекосе может случиться так, что флешка потеряет контакт с портом и потом восстановит его; для системы это будет сигналом того, что в порт попало новое устройство, и система начнет процедуру его определения и использования. А вы при этом устройство уже извлекаете. Системные или аппаратные ошибки при этом весьма вероятны.

Заказчик сделал невозможным восстановление информации: Seagate в печальном состоянии на нашем столе

Радиальные царапины от неудачных попыток заказчика самостоятельно вывести задранные головки.

Очередной заказ на восстановление информации, увы, из категории «безнадежный». Диск прибыл во вскрытом состоянии и с весьма плачевным состоянием поверхностей. Головки сорвало в парковочной зоне (скорее всего, упор позиционера деформировался, что привело к удару слайдерами об ось шпинделя). В парковочной области образовался концентрический запил.

Такие типы запилов (тем более, в парковке) можно обойти. Это не просто, но возможно (модифицируется программа старта накопителя, который, вместо того, чтобы проводить полный цикл запуска с рекалибровкой, просто позиционирует головки в нужное нам место). Если бы проблема была только с запилом в парковочной зоне, за данные можно было бы еще повоевать.

Но, увы, заказчик решил самостоятельно демонтировать блок магнитных головок (для чего, сформулировать не смог). Работал без защиты от пыли и грязи, на обычном письменном столе. Как результат: отпечатки пальцев на поверхностях (что в целом не страшно и может быть убрано) и (что намного хуже) несколько радиальных царапин неправильной формы.

Радиальные царапины полностью исключают возможность использования донорского блока магнитных головок, так как при каждом вращении головки неизбежно попадут в область турбулентности, генерируемую царапиной, очень быстро перегреются и выйдут из строя. Кроме того, неизбежны микротравмы поверхности выбиваемой из этих царапин пылью.

Вердикт: восстановление данных невозможно.

Отпечатки пальцев на поверхности. Заказчик работал без соблюдения элементарной чистоты.

Очередная китайская подделка: жесткий диск якобы на 500 Гбайт

Восстановление информации в Бишкеке | Data Recovery Bishkek | Восстановление данных в Кыргызстане | DataRecovery.KG

Сегодня к нам в лабораторию поступил довольно любопытный диск. Нет, вначале мы подумали, что это будет рядовой, заурядный заказ — Western Digital на 500 Гбайт, ничего вроде бы особенного, но… При подключении диска к ПАК РС-3000, после вывода диска на интерфейс, оказалось, что его емкость 320 Гбайт, а серийный номер диска при идентификации отличается от того, который написан на этикетке.

Тщательный осмотр показал: гермоблок накопителя относится совсем к другому семейству. Судя по этикетке, диск должен быть Tahoe и иметь явственно выраженные ребра по краям крышки гермозоны. По факту же накопитель оказался из семейства Rider с соответствующим строением крышки.

Собственно, те, кто подделал накопитель, особенно и не скрывали своей активности. Торцевая этикетка накопителя, дублирующая серийный номер, даже не была отделена от печатной основы — мы легко удалили ее, и нашему взору предстала оригинальная, исходная этикетка с серийным номером.

Вполне логично спросить: а для чего наклеивать на накопитель емкостью 320 Гбайт этикетку, на которой указано 500? Кто знает… Судя по истории этого компьютера, был он куплен давно, в те времена, когда такая разница в емкости была существенной по деньгам. Поэтому, думается, меркантильный интерес тут самый оправданный.

Восстановление информации в Бишкеке | Data Recovery Bishkek | Восстановление данных в Кыргызстане | DataRecovery.KG
Восстановление информации в Бишкеке | Data Recovery Bishkek | Восстановление данных в Кыргызстане | DataRecovery.KG
Восстановление информации в Бишкеке | Data Recovery Bishkek | Восстановление данных в Кыргызстане | DataRecovery.KG



Мы принимаем к оплате | We accept payments


Мы стажировались и работали в странах | We worked or practiced in following countries