Toshiba MD04ACA600: 6 терабайт из внешнего диска

В работу поступил накопитель Toshiba MD04ACA600 емкостью 6 Тбайт из внешнего бокса. Внешний бокс падал, после чего его пытались включать. Скрежет изнутри накопителя, увы, не насторожил пользователя, который пытался включать диск раз за разом.

Накопитель был вскрыт с использованием ламинарного шкафа; внутри диска была вполне ожидаемая (исходя из звуков) картина. Головки застряли между парковочной рампой и поверхностями и при включении накопителя активно пилили поверхность в этой области.

Извлеченный из гермоблока фильтр оказался сильно засорен в вертикальном направлении: очевидно, поток пыли поступал с краев пластин и накапливался на фильтре в основном в местах его продуцирования.

В случае таких повреждений восстановление информации хотя и не тривиально, но возможно. Требуется серьезная подготовительная работа по очистке магнитных пластин от пыли, после чего производится штатная процедура замены блока магнитных головок и вычитывания информации на программно-аппаратном комплексе РС-3000.

ADATA SU650: восстановление информации с твердотельного диска

Восстановление данных в Бишкеке | Data Recovery in Bishkek
ADATA SU650. Твердотельный диск

В работу поступил твердотельный накопитель ADATA SU650 емкостью 240 Гбайт. Особенностью дисков этого семейства является то, что они могут быть собраны на четырех разных контроллерах — и, соответственно, к разным дискам этой модели может оказаться разный подход.

Задача. Восстановить данные с твердотельного диска ADATA SU650

Описание проблемы. Накопитель не определяется в системе.

Результаты диагностики. Диагностика проведена с использованием ПАК РС-3000. Выяснено, что при подаче питания диск не взводит статус готовности, остается в состоянии «занят» и не выходит из этого состояния.

Необходимые для восстановления информации процедуры.

  1. Запуск накопителя в безопасном режиме.
  2. Загрузка в накопитель исполняемого кода.
  3. Построение транслятора накопителя.
  4. Вычитывание накопителя в образ по построенному транслятору.
  5. Извлечение пользовательских данных из полученного образа.

Результат.

Данные восстановлены с небольшими потерями (около 0,5%).

Особенности заказа.

Как указано выше, SSD этой модели могут быть собраны на 4 разных микроконтроллерах, что накладывает отпечаток на подходы к восстановлению данных. Накопитель, о котором идет речь в настоящем отчете, построен на микроконтроллере SMI, соответственно, для извлечения из него данных потребовалась загрузка в его память сервисной микропрограммы соответствующего типа. Выход накопителя из строя оказался связан с разрушением системы трансляции: диск слишком активно «терял» сектора (образовывалось большое количество дефектов за единицу времени), система саморемонта не справилась, и диск завис.

Восстановить данные с разбитого телефона: Philips Xenium W6500

Задача. Восстановить данные из разбитого мобильного телефона Philips Xenium W6500.

Описание проблемы. Телефон пострадал физически в результате сильного падения. Корпус (включая сенсорный экран) разбит. Телефон включается, но управление не работает.

Результаты диагностики. Неисправность: физическое повреждение части узлов.

Необходимые для восстановления информации процедуры.

  1. Подготовка телефона к созданию клона его внутреннего накопителя.
  2. Создание клона внутреннего накопителя телефона.
  3. Анализ полученного клона.
  4. Оценка целостности данных.
  5. Извлечение и копирование данных на накопитель заказчика.

Результат.

Данные восстановлены полностью.

Особенности заказа.

Мобильный телефон — достаточно непростое устройство для восстановления данных. Проблема телефона заключается в том, что в операционной системе его невозможно подмонтировать как носитель данных, а следовательно — невозможно просканировать его специализированным ПО. Для того, чтобы это сделать, телефон приходится клонировать в образ. Техническая возможность клонирования имеется не для всех аппаратов, однако большинство наиболее распространенных моделей мы клонировать умеем.

Восстановить данные с диска Seagate ST3100528AS (Seagate Barracuda 7200.12)

Задача. Восстановить данные с жесткого диска Seagate ST3100528AS.

Описание проблемы. Накопитель вскрыт до обращения в нашу лабораторию. Со слов заказчика, стучит.

Результаты диагностики. Диагностика проведена с использованием ламинарного шкафа класса чистоты 100. Выяснено, что в результате непрофессионального вскрытия в далеких от необходимых условиях, внутри диска имеется много пыли. Верхняя поверхность диска имеет многочисленные кольцевые царапины.

Необходимые для восстановления информации процедуры.

  1. Очистка гермоблока накопителя.
  2. Модификация блока магнитных головок для чтения только по исправным поверхностям.
  3. Замена блока магнитных головок.
  4. Подготовка к запуску накопителя в технологическом режиме.
  5. Запуск накопителя в технологическом режиме.
  6. Создание посекторной копии диска-пациента с обходом поврежденных областей.
  7. Извлечение пользовательских данных из полученного образа.

Результат.

Данные восстановлены полностью.

Особенности заказа.

Вскрытие накопителя в неподобающих условиях всегда приводит к плачевному результату. Не оказался исключением и этот заказ. Часть поверхности была необратимо испорчена (царапины); эти места вычитать не удалось в силу повреждений физического характера. Однако все нужные заказчику файлы оказались на неповрежденных поверхностях, что позволило восстановить их без потерь.

Накопители этого семейства (Seagate Barracuda 7200.12, Pharaoh) при объеме в 1 Тбайт имеют 4 головки; поврежденной оказалась только самая верхняя. При таких раскладах вероятность того, что необходимые файлы окажутся на неисправной головке, составляет 25% — соответственно, шансы на успешное извлечение данных около 75%.

Восстановить информацию. Вскрытый Samsung NH-M101MBB (ST1000LM024)

Задача. Восстановить данные с жесткого диска Samsung HN-M101MBB (ST1000LM024)

Описание проблемы. Накопитель вскрыт до обращения в нашу лабораторию.

Результаты диагностики. Диагностика проведена с использованием ламинарного шкафа класса чистоты 100. Выяснено, что в результате непрофессионального вскрытия в далеких от необходимых условиях, внутри диска имеется много пыли; исследование блока магнитных головок показало его неисправность.

Необходимые для восстановления информации процедуры.

  1. Очистка гермоблока накопителя.
  2. Замена блока магнитных головок.
  3. Подготовка к запуску накопителя в технологическом режиме.
  4. Запуск накопителя в технологическом режиме.
  5. Создание посекторной копии диска-пациента.
  6. Извлечение пользовательских данных из полученного образа.

Результат.

Данные восстановлены с небольшими потерями (около 5%).

Особенности заказа.

Вскрытие накопителя в неподобающих условиях всегда приводит к плачевному результату. Не оказался исключением и этот заказ. Часть поверхности была необратимо испорчена попавшей в накопитель пылью; эти места вычитать не удалось в силу повреждений физического характера.

Восстановление данных из телефона: что мы можем, а что — нет

Довольно часто поступают звонки с теми или иными вопросами относительно восстановления данных из мобильных телефонов. В большинстве случаев это вопросы по нашему профилю (восстановить удаленные фотографии, чаты WhatsApp и т.п.), но иногда поступают и довольно необычные вопросы. Здесь мы остановимся в деталях на том, в каких случаях следует обращаться к нам, а в каких мы не сможем помочь.

Какие случаи подпадают под восстановление данных?

Наша работа — восстанавливать данные из устройства, к которому имеется физический доступ. Что это значит?

Если у вас имеется телефон, с которого были удалены данные, либо телефон пострадал физически (утонул, упал, разбился и так далее) — то вы можете обращаться к нам. В этом случае мы будем иметь дело с устройством хранения данных (media), с которого требуется восстановить информацию.

Шансы на успех в этом случае напрямую зависят от того, сколько долго телефон находился в использовании после потери доступа к данным, и проводились ли с ним какие-то операции. Например, если из внутренней памяти телефона были удалены фотографии, после чего пользователь продолжал активно использовать аппарат, снимать другие фотографии и т.п., то шансы на успешное окончание работ по восстановлению данных стремительно тают с каждым часом использования устройства. Напротив, если после удаления фотографий телефон был немедленно выключен, шансы на успех достаточно велики.

В каких случаях мы не сможем помочь с восстановлением данных?

Если у нас нет физического доступа к устройству, с которого требуется восстановить информацию, мы не сможем вам помочь.

Прежде всего, это связано с тем, что у нас просто не будет физического носителя данных (media), а восстанавливать данные из воздуха, увы, мы не умеем.

Приведу пример.

Поступил звонок от пользователя мобильного телефона, с которого требовалось восстановить чаты WhatsApp. В процессе разговора выяснилось, что телефон утонул, и найти его не удалось. Номер (SIM-карта) был восстановлен у сотового оператора, и теперь требуется восстановить чаты WhatsApp. Но — откуда? Доступа к серверам популярного мессенджера у нас нет. Резервные копии в облаке также не делались. Самого устройства (пусть и утонувшего) нам не предоставили. Откуда брать данные?

Многие почему-то думают, что раз мы работаем в области IT, то можем получить доступ к серверам популярных онлайн-сервисов и добыть оттуда необходимые данные. Вынужден огорчить: подобного рода деяния являются уголовно наказуемыми преступлениями и не имеют ничего общего с восстановлением информации.

Почему мы не помогаем извлекать данные из удаленных серверов?

Все очень просто. Потому что сервисы, предоставляющие такие услуги, не предусматривают доступа к своим серверам третьих лиц. А значит, чтобы получить к ним доступ, необходимо произвести взлом.

Взлом, или по-юридически, получение неправомерного доступа к компьютерной информации, является уголовным преступлением и может наказываться крупными штрафами или тюрьмой на срок от трех (Кыргызстан) до десяти (США) лет.

Правила удаленного или заочного обращения за услугой восстановления информации

В условиях пандемии COVID-19 услуги очного восстановления данных становятся менее востребованными, на первый план выступают услуги удаленного или заочного восстановления информации. Это связано с очевидными рисками заражения при личном контакте, не смотря на использование масок, санитайзеров и других средств защиты. Компания IT-Doctor идет в ногу со временем и не хочет лишний раз подвергать опасности здоровье своих клиентов, поэтому по возможности оказывает свои услуги удаленно или заочно. Для этого компанией разработаны соответствующие протокола.

Протокол 1. Удаленное восстановление информации

Данный протокол вступает в силу в случае, если имеется техническая возможность удаленного восстановления информации.

Восстановление данных осуществляется либо посредством подключения нашего специалиста к удаленному компьютеру с последующим выполнением необходимого для восстановления данных комплекса работ, либо посредством отправки нам удобным для пользователя удаленного компьютера способом файла-образа диска, поврежденного файла либо другого модуля информации для осуществления анализа и работ по восстановлению данных.

Оплата осуществляется по принципу депозита: необходимая сумма депонируется на счетах компании IT-Doctor до начала работ. По окончанию работ стороны приходят к соглашению, что работы выполнены; на основании этого соглашения подписывается Акт выполненных работ, являющийся основанием для зачисления депозита в качестве оплаты за работы. Подписание Акта выполненных работ осуществляется удаленно.

Порядок действий по Протоколу:

  1. Оформление заявки в компанию IT-Doctor на сеанс удаленного восстановления информации (любым удобным способом, см. Контакты).
  2. Определение стоимости удаленных услуг.
  3. Депонирование стоимости на счетах компании IT-Doctor.
  4. Подключение к удаленному компьютеру, выполнение работ / Отправка файлов компании IT-Doctor для проведения работ.
  5. Приемка выполненных работ. Подписание Акта выполненных работ.
  6. Зачисление депозита в качестве оплаты выполненных работ.

Протокол 2. Заочное восстановление информации

Данный протокол вступает в силу, если для восстановления информации требуется физическая передача устройства в лаборатории компании IT-Doctor. Передача может происходить через службы доставки (особенно это касается клиентов компании, проживающих в других городах или странах).

Порядок действий по Протоколу:

  1. Оформление заявки в компанию IT-Doctor на услугу восстановления информации (любым удобным способом, см. Контакты).
  2. Подготовка накопителя к отправке или транспортировке.
  3. Доставка накопителя в офис компании IT-Doctor.
  4. Обработка устройства антисептичческим средством.
  5. Диагностика устройства.
  6. Определение стоимости работ и запчастей (если требуется), сроков работ.
  7. Согласование стоимости и сроков работ.
  8. Проведение работ.
  9. Передача результата проведенного восстановления данных заказчику.

Оплата всегда производится после окончания работ.

Упаковка накопителя

Для отправки накопителя информации, с которого необходимо восстановить файлы, его необходимо правильно упаковать. Чем лучше будет упакован накопитель, тем меньше у него шансов получить повреждения при транспортировке.

Какие требования предъявляются к упаковке:

  1. Снаружи упаковка должна быть достаточно прочной, чтобы выдерживать удары, которым может подвергаться отправление при транспортировке (включая возможные падения посылки).
  2. Внутри, между упаковкой и устройством, должен быть проложен достаточный слой материала, гасящего вибрации. Оптимальным является использование воздушно-пупырчатой пленки, однако, в случае ее отсутствия, с задачами гашения вибраций вполне справляется мятая бумага или обычная, но несинтетическая, вата.
  3. Устройство внутри упаковки должно находиться примерно посередине.
  4. Размер упаковки должен быть больше упаковываемого устройства приблизительно в 3 — 5 раз; тогда количество гасящего вибрации материала будет достаточным для безопасной транспортировки.

Оптимальной упаковкой для транспортировки жесткого диска является стандартная почтовая коробка размером 300 х 200 х 150 мм (гофрокороб) или ее доступные аналоги; для транспортировки карты памяти или оптического диска — почтовая упаковочная коробка наименьшего доступного размера.

TRIM. Опасности технологии и как с ними бороться

Пользователи новых версий Windows (Windows 8, 8.1 и 10), Mac OS X (начиная с версии 10.10.4) и новейших сборок Linux, компьютеры которых оборудованы твердотельными дисками (SSD), даже не подозревают, что может произойти, если они вдруг, случайно, удалят нужные данные или отформатируют раздел на своем SSD.

А произойдет вот что. Данные будут удалены навсегда, их невозможно будет восстановить никакими программами. Почему?

Потому что последние версии операционных систем поддерживают технологию TRIM.

Что такое TRIM?

TRIM (от английского to trim — вырезать) — АТА-команда, позволяющая операционной системе указать твердотельному диску, в каких блоках его памяти нет данных. Это позволяет SSD физически удалять ненужные данные из этих ячеек памяти, чтобы можно было проводить процессы внутренней дефрагментации информации и таким образом увеличить срок службы накопителя.

Как работает TRIM?

Работа этой технологии предельно проста. Удаляя данные, операционная система отправляет SSD своего рода «уведомление»: данные, находящиеся по таким-то координатам, больше не нужны. Контроллер твердотельного диска преобразует логические координаты операционной системы в физические, и блоки памяти, которые попали в список содержащих ненужную информацию, проходят очистку: в них больше не содержится никаких данных.

После того, как SSD очистит достаточное количество блоков памяти, начнется процесс переноса: области, содержащие информацию, будут группироваться с такими же областями, а области, не имеющие информации, также будут группироваться. Это заметно повышает производительность и ресурс SSD и называется фоновой дефрагментацией.

Чем опасен TRIM?

Единственная опасность этой технологии заключается в том, что после удаления информации ее уже невозможно восстановить, так как твердотельный накопитель необратимо очистит блоки, содержавшие удаленные данные. Вы скажете: и что с того? Ведь данные-то удалены, а значит они не нужны больше.

К сожалению, это не всегда так. Да, бесспорно, большинство операций удаления информации производятся добровольно, но случаются (и довольно часто) операции случайного удаления или форматирования. И вот в таких случаях удаляются нужные данные, и удаляются навсегда.

Я проиллюстрирую это на примере.

В работу поступил ноутбук HP Probook 430, оборудованный SSD емкостью 256 GB. На этом ноутбуке проводились работы по написанию диссертации. И вот, в один «прекрасный» момент пользователь, при удалении с рабочего стола ненужного ярлыка, случайно зацепил две нужные папки. И очистил корзину. Спохватился он через время — но было уже поздно, данные исчезли навсегда. Теперь пользователю предстоит кропотливо восстанавливать набранный текст вручную.

Файл JPEG после того, как он прошел через TRIM
Исправный JPEG-файл

Отключение TRIM

Если вы считаете, что безопасность ваших данных важнее потери производительности и некоторого уменьшения ресурса твердотельного накопителя, то я бы рекомендовал отключить TRIM. Если на вашем накопителе нет таких данных, потеря которых была бы для вас ощутима, TRIM можно не трогать. В любом случае, решение принимать вам. На моих накопителях TRIM отключен.

В системе Windows проверить состояние TRIM и отключить или задействовать его достаточно просто. Для начала нажмите кнопку «Пуск» и наберите в строке поиска cmd. В появившемся результате, в разделе «Программы» выберите cmd и запустите ее от имени администратора.

Поиск и запуск командной строки Windows
Ответ на запрос состояния TRIM в операционной системе: TRIM отключен

В открывшемся окне командной строки необходимо ввести команду:

fsutil behavior query DisableDeleteNotify

Ответом на эту команду будет состояние TRIM в вашей операционной системе. Если в строке DisableDeleteNotify стоит статус 0, значит TRIM включен. Если 1 — выключен.

Для включения или отключения TRIM также используется командная строка, но вместо команды запроса (query) нужно использовать команду установки (set):

fsutil behavior set DisableDeleteNotify 0

для включения TRIM, и

fsutil behavior set DisableDeleteNotify 1

для отключения TRIM.

Включение TRIM с последующей проверкой статуса

Почему восстановленные файлы не работают?

Даже после того, как на накопителе отработал TRIM, если диск отсканировать программами, предназначенными для восстановления данных, эти программы «найдут» удаленные данные. Многие пользователи вздыхают с облегчением: фух, данные нашлись, страшного не произошло. Но, увы, ни один из восстановленных файлов работать не будет. Почему?

Выше я привел скриншоты с нормальным и удаленным после TRIM JPEG-файлами (обычно этот формат используется для сохранения фотографий). Прошедший через TRIM JPEG-файл не несет в себе данных, он полностью заполнен нулями. Но при этом программа для восстановления данных его обнаружила. Как так?

Все очень просто. Программа работает с файловыми таблицами — и представляет результат их сканирования. В этих таблицах хранится информация обо всех (включая удаленные, но еще не переписанные) файлах. Поскольку TRIM работает не с записями в файловой таблице, а с файлами, то очищается именно область, в которой находился файл — при этом запись в файловой таблице не очищается. Вот и получается, что запись есть, а файла по факту уже нет.

Запилы. Коротко о страшном

Любому специалисту по восстановлению информации известно такое неприятное явление, как запил поверхности жесткого диска. Да что там говорить — неприятное. Катастрофическое! Ужасное! Фатальное для данных.

Что такое этот запил, и чем он отличается от других повреждений поверхности НЖМД?

Повреждения поверхности жесткого диска

  1. Дефектные сектора (бэд-блоки). Такие повреждения обычно не видно невооруженным глазом, они проявляются при копировании информации: диск или зависает окончательно при попытках скопировать файлы, или начинает срываться в стук и перестает работать, или данные копируются очень долго.
  2. Царапины. Эти повреждения имеют или радиальную, или концентрическую направленность, и, как правило, очень тонкие. Часто они настолько тонкие, что определить их можно только с помощью фог-теста (поверхность на короткое время покрывается парами дистиллированной воды, при этом изменяются преломляющие свет свойства поверхности и становятся видны микроповреждения).
  3. Запилы. Как правило, бывают в основном концентрическими. Запилы хорошо видно невооруженным взглядом, это серьезные и крупные повреждения поверхности. Характеризуются глубоким внедрением не только в лубрикант, но также и в несущий информацию магнитный слой. Имеют тенденцию к лавинообразному разрастанию за очень короткое время.

Что такое запил

Запил на поверхности жесткого диска, увеличение х10

Запил — это глубокое и необратимое повреждение поверхности жесткого диска. При запиле повреждаются не только верхние, защитные слои поверхности, но также и более глубокие слои: несущий данные ферромагнетик и, довольно часто, даже подложка.

Запиленная поверхность накопителя HGST. Неповрежденным остался только участок поверхности под парковочной рампой.

Чем опасен запил

Самое неприятное, что привносит запил в работу жесткого диска — это мелкодисперсная (а иногда и крупнофракционная, вплоть до опилок) пыль. Пыль внутри диска, в котором магнитные поверхности вращаются с гарантированной скоростью свыше 5000 оборотов в минуту, почти мгновенно начинает разрушать не затронутые запилом поверхности — вначале бомбардируя их и приводя к образованию множества дефектных секторов; затем частицы пыли попадают на исправные головки, выводят их из строя и те, в свою очередь, начинают запиливать еще исправную поверхность. Если диск, который начал запиливаться, не остановить — будет безвозвратно потеряно все его содержимое. Именно поэтому современные НЖМД при старте опрашивают все головки, и если хотя бы одна из них не прочитает и не запишет данные, диск немедленно останавливает свою работу.

Запил в парковочной зоне накопителя Seagate Barracuda 7200.11

Как образуется запил

Основной источник запиливания жестких дисков — свободно двигающиеся в гермоблоке частицы. Например, при парковке головок на внешнюю рампу обломился небольшой кусочек рампы (она пластиковая). При следующем включении диска потоками воздуха его начало «гонять» по гермоблоку, и вопрос того, когда произойдет соударение этого кусочка с головками или поверхностью — лишь вопрос времени. Во время соударения происходят необратимые изменения, и начинается процесс запиливания.

Реже бывает так, что при резкой потере питания не срабатывает магнитный замок, и головки падают на поверхность. При следующем запуске, если шпиндель может провернуть диски, головки срывает с кронштейнов, а пока набирается необходимая скорость вращения, они пилят поверхность.

Также образование запилов возможно в тех случаях, когда происходят разрушения или повреждения пъезоэлементов современных головок, или нарушения в работе микропрограммы (например, распарковка головок до набора шпинделем необходимой скорости вращения).

Есть ли шансы восстановить данные при запиливании диска?

Это — самый главный вопрос. Если диск запилен, можно ли из него извлечь данные хотя бы частично?

Практика показывает, что в большинстве случаев, если диск не пилился непозволительно долго, часть данных из него достать можно. Это делается разными методами — поверхность покрывается особыми полимерами, поврежденная поверхность исключается из трансляции, изготавливаются специальные устройства для обхода запилов, ограничители и т.п.

Стоимость таких работ ввиду их сложности достаточно высока.

Если вы подозреваете у своего накопителя запил, немедленно отключайте его от питания и несите профессионалам. Диагностика в этом случае включает разборку диска и оценку масштабов повреждений, на основании которых делается смета затрат и оцениваются шансы успешного проведения работ.

Очередная ловушка злоумышленников: несуществующий трекинг

Письмо с фишинговой ссылкой; ссылка частично прикрыта для безопасности

Очередное изобретение злоумышленников, желающих получить доступ к вашему компьютеру — рассылка фишинговых писем с предложением отследить некую посылку.

Люди часто пользуются службами доставки или почтой, поэтому для многих такое предложение не покажется подозрительным. Не ожидая ничего плохого, они пройдут по имеющейся в письме ссылке, в результате чего загрузят на свой компьютер вредоносное ПО. Чем это чревато?

Наиболее распространенная возможная проблема — включение вашего компьютера в ботсеть для осуществления распределенных вычислений. Следующая по степени распространенности — троянская программа для кражи персональных данных (включая данные банковских карт или реквизиты интернет-банкинга). Наконец, вам могут просто зашифровать файлы с последующим требованием выкупа за их расшифровку.

Поэтому, получая любое электронное письмо с неизвестного вам адреса, тем более — содержащее внутреннюю ссылку — не нажимайте на ссылку сразу, проверьте ссылку, обращались ли вы в службу, которая ссылается за ссылкой, ранее, взвесьте все «за» и «против», и только после этого принимайте решение — посещать эту ссылку или удалить письмо.



Мы принимаем к оплате | We accept payments


Мы стажировались и работали в странах | We worked or practiced in following countries