Восстановление информации с телефона. Особенности, шансы, предостережения

Сегодня мы бы хотели рассказать о том, чего вам следует ожидать, обращаясь к нам за восстановлением данных с мобильного телефона. Современный телефон — многофункциональное устройство, сочетающее в себе средство коммуникации, фото- и видеокамеру и персональный компьютер. Соответственно, основными характеристиками телефона являются не типы поддерживаемых сотовых сетей или устанавливаемых в аппарат SIM-карт, а объем оперативной памяти, встроенного хранилища, тактовая частота и количество ядер ЦПУ и тому подобное.

С учетом этого, телефон приобрел совершенно не свойственную для него функцию хранения информации. Многие владельцы мобильных телефонов уже не считают нужным иметь в своем хозяйстве персональный компьютер в его традиционном виде, или устройства для «складирования» накапливаемых данных, полностью доверяя эту функцию своему телефону. А зря. Как любое электронное устройство, телефон имеет ряд уязвимостей, основными из которых являются: хрупкость (довольно часто падение приводит к неработоспособности мобильника), незащищенность от влаги (утопленные аппараты — одни из самых частых гостей в нашей лаборатории), привлекательность для воров (украсть дорогой мобильник несложно, как и продать; даже современные методы защиты — блокирование, шифрование, несколько этапов аутентификации — не ослабляют криминального интереса к этим устройствам, так как даже продажа на запчасти может быть выгодна) и так далее и тому подобное. Все это можно резюмировать простым определением: телефон не является надежным и безопасным местом для хранения данных.

Не смотря на все предостережения, которые постоянно генерируют специалисты по восстановлению информации, пользователи продолжают упорно их не замечать, и в один «прекрасный» момент теряют доступ к своим данным. Это может быть как результатом физической поломки аппарата, так и (чаще) — ошибочного удаления данных или сброса/перепрошивки телефона. Обычно это фото и видео, за много лет накопленные внутри памяти аппарата. Если бы пользователь регулярно делал резервные копии, ему не пришлось бы обращаться за услугой восстановления данных. Но в 90% случаев таких бэкапов нет.

Как производится восстановление информации из телефона

Существует два основных и масса вспомогательных методов восстановления данных из мобильного телефона. Основные методы: физический доступ к памяти и восстановление из сохраненного образа.

Что это значит?

В том случае, если телефон неисправен физически (разбит, сгорел, утоплен и т.п.), из него извлекается микросхема, на которой хранятся данные (NAND). Эта микросхема вычитывается на специальном устройстве, после чего из вычитанного образа микросхемы извлекаются пользовательские данные.

Если телефон исправен (данные удалены, телефон сброшен на заводские настройки и т.п.), и имеется возможность работы с ним через стандартные интерфейсы, образ внутреннего накопителя телефона создается без выпаивания микросхем, с использованием стандартных интерфейсов (USB, PCIe, SD, SPI, JTAG и пр.). После этого работа происходит с этим образом, данные извлекаются из него.

С удаленными разными способами из телефона к нам обращаются чаще всего: 3 из 5 обращений именно такие.

Восстановление информации из телефона. Предупреждения

Технология восстановления информации из мобильного телефона не допускает работы без специальной подготовки. В ходе этой подготовки телефон будет прошиваться особой микропрограммой, которая даст доступ к внутренней памяти как к физическому устройству. Это неизбежно приведет к потере гарантии на аппарат. Прежде, чем нести свой телефон специалисту по восстановлению данных, вам нужно оценить все риски и принять правильное решение. Итак:

  1. Для проведения процедур восстановления информации ваш телефон будет прошиваться специальной прошивкой. Возможно, у него придется разблокировать загрузчик. Если производитель не предусмотрел разблокировку загрузчика в режиме разработчика (такие опции бывают, например, в аппаратах Redmi MI8), то гарантийный сервис в случае вашего туда обращения после проведения восстановления данных откажет вам в гарантии.
  2. В некоторых случаях перепрошивка аппарата может закончиться его выходом из строя. Такой риск невелик, но все же имеется, и мы должны об этом предупредить.
  3. Не всегда даже при восстановлении данных из образа данные можно восстановить. Например, если прошивка вашего телефона поддерживает команду TRIM, то с большой вероятностью данные из аппарата после удаления или сброса восстановить будет невозможно.
  4. Довольно часто внутренняя память телефона зашифрована. Расшифровать ее получается не всегда, и к этому также нужно быть готовым.
  5. Сама процедура восстановления информации занимает от 1 до 5 рабочих дней в зависимости от сложности и объема.

Пара слов о шансах

Очевидно, что чем новее телефон, тем меньше шансы восстановить с него телефон. Причины этого перечислены выше, и самая главная — это аппаратное шифрование микросхемы NAND-памяти. Поэтому, прежде чем приступать к радикальным методам восстановления данных через вычитывание чипа памяти, требуется попробовать все, что возможно, для штатного чтения данных, вплоть до переноса необходимых микросхем на исправную материнскую плату телефона. Это весьма затратно, поскольку потребуется исправный такой же телефон, с которого требуется восстановить данные (одно дело, если это низкобюджетный самсунг, другое — если iPhone Pro Max), да и сами работы по перепайке таких микросхем весьма недешевы. Поэтому ценник будет кусаться, и к этому нужно быть готовым.

Однако даже высокий ценник не всегда гарантирует восстановление ваших данных. Его Величество Шанс, увы, никуда не девался. Почему может не получиться? Если перед тем, как телефон ушел в нирвану, он был заблокирован, то даже после переноса микросхем он так и останется заблокированным. Для ряда современных моделей не предусмотрена разблокировка без потери данных.

Если электронная часть на плате доноре откажется работать с пересаженными микросхемами (такое тоже бывает), то восстановления данных, опять же, не получится.

И так далее.

В целом вероятность успеха при подобном методе работы составляет около 70%. Это неплохо, но кто именно попадет в те самые неприятные 30% — никому неизвестно.

Предостережения. Что же делать, чтоб ничего не потерять?

Слева — Яндекс Диск в PlayMarket. Справа — иконка установленного Яндекс Диск на рабочем столе телефона

Друзья мои, тут все просто. Первое правило человека, который не теряет данные — он делает резервное копирование. И делает его регулярно.

С мобильными телефонами все просто. Основная масса данных — это фото и видео. Контакты, заметки и часть фото и видео можно синхронизировать с Google-аккаунтом, к которому привязан ваш телефон. При утере телефона вы просто покупаете новый, входите в ваш старый Google-account и синхронизируетесь с ним — вуаля, у вас все ваши контакты, заметки, и некоторая часть фото. Сообщения из мессенджера WhatsApp также могут быть сохранены в вашем Google аккаунте (но для них должно хватить места — это важно!) — для этого нужно просто настроить сам мессенджер, он будет автоматически совершать резервирование данных, когда вы спите.

Ну а для фото (неограниченный объем) давно есть Яндекс-диск. Установить Диск на свой телефон, настройте выгрузку фото на Диск, и больше никогда не беспокойтесь о том, что можно потерять свои фото. Единственное, что вам теперь нужно бояться потерять — это сам Яндекс-аккаунт.

Не теряйте ваши данные!

Яндекс Диск за работой.

USB-drive (pen-drive) ADATA 32 GB. Восстановление данных в Бишкеке

Задача. Восстановить данные с USB-карты памяти ADATA 32 GB.

Описание проблемы. Накопитель не определяется.

Результаты диагностики. Диагностика проведена с использованием ПАК РС-3000. Выяснено, что у накопителя неисправна микросхема контроллера.

Необходимые для восстановления информации процедуры.

  1. Разборка карты памяти.
  2. Выпаивание NAND-микросхем.
  3. Вычитывание NAND-микросхем с помощью Soft-Center Flash Extractor.
  4. Сборка образа из вычитанных данных.
  5. Извлечение пользовательских данных из полученного образа.

Результат.

Данные восстановлены полностью.

Особенности заказа.

Накопитель побывал до нас в другом сервисе, где с него восстановить данные не смогли. Проблема накопителя в том, что тип контроллера, которым он оборудован, не поддерживается в PC-3000 Flash. Однако он поддерживается двумя другими продуктами для восстановления данных с NAND-устройств, которых, очевидно, в этом сервисе нет. Нами был выбран для работы продукт компании Soft-Center, с помощью которого и были восстановлены данные.

Карта памяти 64 GB Sandisk Ultra. Восстановление данных в Бишкеке

Задача. Восстановить данные с карты памяти SD Sandisk Ultra 64 GB.

Описание проблемы. Карта памяти была отформатирована, после чего на нее было записано несколько файлов.

Результаты диагностики. Диагностика проведена с использованием ПАК РС-3000. Выяснено, что при форматировании к карте была применена команда TRIM, после которой карта на любой запрос поверхности кроме записанных после форматирования, отдает пустые данные.

Необходимые для восстановления информации процедуры.

  1. Разборка карты памяти.
  2. Распайка карты памяти на специализированной плате.
  3. Вычитывание карты памяти в технологическом режиме.
  4. Сборка образа из полученных данных.
  5. Извлечение пользовательских данных из полученного образа.

Результат.

Данные восстановить невозможно.

Особенности заказа.

Карты памяти производства SanDisk, встречающиеся на нашем рынке, могут либо иметь аппаратное шифрование данных, либо нет. В первом случае это карты, ввезенные в страну по серым схемам, так как закон КР запрещает продажу в розничной торговой сети устройств с включенным шифрованием. Во-втором случае (карта не имеет аппаратного шифрования) она ввезена в страну честно. SD-карта, с которой пришлось работать нам, была ввезена в страну про серым схемам, в ней включено аппаратное шифрование данных. В этом случае данные восстановить невозможно, так как алгоритм шифрования в картах SanDisk стойкий и не поддается дешифровке без знания ключей шифрования.

Восстановить данные с внешнего SSD

Задача. Восстановить данные с внешнего твердотельного диска китайского производства.

Описание проблемы. При подключении к компьютеру накопитель не распознается.

Результаты диагностики. Диагностика проведена с использованием программно-аппаратного комплекса РС-3000. Выяснено, что SSD имеет проблемы в служебной зоне, именно поэтому диск не работает.

Необходимые для восстановления информации процедуры.

  1. Демонтаж внешнего накопителя, извлечение из него твердотельного диска.
  2. Подключение накопителя на ПАК РС-3000.
  3. Запуск накопителя в технологическом режиме.
  4. Построение транслятора накопителя.
  5. Вычитывание накопителя в образ по построенному транслятору.
  6. Извлечение данных

Результат. Данные восстановлены на 99%.

Особенности заказа. Внешнее устройство, как правило, состоит из двух основных компонент: корпуса с платой-переходником, и собственно накопителя данных. Неисправность может возникнуть как в плате-переходнике, так и в самом накопителе. В нашем случае это оказалась неисправность диска.

Toshiba MD04ACA600: 6 терабайт из внешнего диска

В работу поступил накопитель Toshiba MD04ACA600 емкостью 6 Тбайт из внешнего бокса. Внешний бокс падал, после чего его пытались включать. Скрежет изнутри накопителя, увы, не насторожил пользователя, который пытался включать диск раз за разом.

Накопитель был вскрыт с использованием ламинарного шкафа; внутри диска была вполне ожидаемая (исходя из звуков) картина. Головки застряли между парковочной рампой и поверхностями и при включении накопителя активно пилили поверхность в этой области.

Извлеченный из гермоблока фильтр оказался сильно засорен в вертикальном направлении: очевидно, поток пыли поступал с краев пластин и накапливался на фильтре в основном в местах его продуцирования.

В случае таких повреждений восстановление информации хотя и не тривиально, но возможно. Требуется серьезная подготовительная работа по очистке магнитных пластин от пыли, после чего производится штатная процедура замены блока магнитных головок и вычитывания информации на программно-аппаратном комплексе РС-3000.

ADATA SU650: восстановление информации с твердотельного диска

Восстановление данных в Бишкеке | Data Recovery in Bishkek
ADATA SU650. Твердотельный диск

В работу поступил твердотельный накопитель ADATA SU650 емкостью 240 Гбайт. Особенностью дисков этого семейства является то, что они могут быть собраны на четырех разных контроллерах — и, соответственно, к разным дискам этой модели может оказаться разный подход.

Задача. Восстановить данные с твердотельного диска ADATA SU650

Описание проблемы. Накопитель не определяется в системе.

Результаты диагностики. Диагностика проведена с использованием ПАК РС-3000. Выяснено, что при подаче питания диск не взводит статус готовности, остается в состоянии «занят» и не выходит из этого состояния.

Необходимые для восстановления информации процедуры.

  1. Запуск накопителя в безопасном режиме.
  2. Загрузка в накопитель исполняемого кода.
  3. Построение транслятора накопителя.
  4. Вычитывание накопителя в образ по построенному транслятору.
  5. Извлечение пользовательских данных из полученного образа.

Результат.

Данные восстановлены с небольшими потерями (около 0,5%).

Особенности заказа.

Как указано выше, SSD этой модели могут быть собраны на 4 разных микроконтроллерах, что накладывает отпечаток на подходы к восстановлению данных. Накопитель, о котором идет речь в настоящем отчете, построен на микроконтроллере SMI, соответственно, для извлечения из него данных потребовалась загрузка в его память сервисной микропрограммы соответствующего типа. Выход накопителя из строя оказался связан с разрушением системы трансляции: диск слишком активно «терял» сектора (образовывалось большое количество дефектов за единицу времени), система саморемонта не справилась, и диск завис.

Восстановить данные с разбитого телефона: Philips Xenium W6500

Задача. Восстановить данные из разбитого мобильного телефона Philips Xenium W6500.

Описание проблемы. Телефон пострадал физически в результате сильного падения. Корпус (включая сенсорный экран) разбит. Телефон включается, но управление не работает.

Результаты диагностики. Неисправность: физическое повреждение части узлов.

Необходимые для восстановления информации процедуры.

  1. Подготовка телефона к созданию клона его внутреннего накопителя.
  2. Создание клона внутреннего накопителя телефона.
  3. Анализ полученного клона.
  4. Оценка целостности данных.
  5. Извлечение и копирование данных на накопитель заказчика.

Результат.

Данные восстановлены полностью.

Особенности заказа.

Мобильный телефон — достаточно непростое устройство для восстановления данных. Проблема телефона заключается в том, что в операционной системе его невозможно подмонтировать как носитель данных, а следовательно — невозможно просканировать его специализированным ПО. Для того, чтобы это сделать, телефон приходится клонировать в образ. Техническая возможность клонирования имеется не для всех аппаратов, однако большинство наиболее распространенных моделей мы клонировать умеем.

Восстановить данные с диска Seagate ST3100528AS (Seagate Barracuda 7200.12)

Задача. Восстановить данные с жесткого диска Seagate ST3100528AS.

Описание проблемы. Накопитель вскрыт до обращения в нашу лабораторию. Со слов заказчика, стучит.

Результаты диагностики. Диагностика проведена с использованием ламинарного шкафа класса чистоты 100. Выяснено, что в результате непрофессионального вскрытия в далеких от необходимых условиях, внутри диска имеется много пыли. Верхняя поверхность диска имеет многочисленные кольцевые царапины.

Необходимые для восстановления информации процедуры.

  1. Очистка гермоблока накопителя.
  2. Модификация блока магнитных головок для чтения только по исправным поверхностям.
  3. Замена блока магнитных головок.
  4. Подготовка к запуску накопителя в технологическом режиме.
  5. Запуск накопителя в технологическом режиме.
  6. Создание посекторной копии диска-пациента с обходом поврежденных областей.
  7. Извлечение пользовательских данных из полученного образа.

Результат.

Данные восстановлены полностью.

Особенности заказа.

Вскрытие накопителя в неподобающих условиях всегда приводит к плачевному результату. Не оказался исключением и этот заказ. Часть поверхности была необратимо испорчена (царапины); эти места вычитать не удалось в силу повреждений физического характера. Однако все нужные заказчику файлы оказались на неповрежденных поверхностях, что позволило восстановить их без потерь.

Накопители этого семейства (Seagate Barracuda 7200.12, Pharaoh) при объеме в 1 Тбайт имеют 4 головки; поврежденной оказалась только самая верхняя. При таких раскладах вероятность того, что необходимые файлы окажутся на неисправной головке, составляет 25% — соответственно, шансы на успешное извлечение данных около 75%.

Восстановить информацию. Вскрытый Samsung NH-M101MBB (ST1000LM024)

Задача. Восстановить данные с жесткого диска Samsung HN-M101MBB (ST1000LM024)

Описание проблемы. Накопитель вскрыт до обращения в нашу лабораторию.

Результаты диагностики. Диагностика проведена с использованием ламинарного шкафа класса чистоты 100. Выяснено, что в результате непрофессионального вскрытия в далеких от необходимых условиях, внутри диска имеется много пыли; исследование блока магнитных головок показало его неисправность.

Необходимые для восстановления информации процедуры.

  1. Очистка гермоблока накопителя.
  2. Замена блока магнитных головок.
  3. Подготовка к запуску накопителя в технологическом режиме.
  4. Запуск накопителя в технологическом режиме.
  5. Создание посекторной копии диска-пациента.
  6. Извлечение пользовательских данных из полученного образа.

Результат.

Данные восстановлены с небольшими потерями (около 5%).

Особенности заказа.

Вскрытие накопителя в неподобающих условиях всегда приводит к плачевному результату. Не оказался исключением и этот заказ. Часть поверхности была необратимо испорчена попавшей в накопитель пылью; эти места вычитать не удалось в силу повреждений физического характера.

Восстановление данных из телефона: что мы можем, а что — нет

Довольно часто поступают звонки с теми или иными вопросами относительно восстановления данных из мобильных телефонов. В большинстве случаев это вопросы по нашему профилю (восстановить удаленные фотографии, чаты WhatsApp и т.п.), но иногда поступают и довольно необычные вопросы. Здесь мы остановимся в деталях на том, в каких случаях следует обращаться к нам, а в каких мы не сможем помочь.

Какие случаи подпадают под восстановление данных?

Наша работа — восстанавливать данные из устройства, к которому имеется физический доступ. Что это значит?

Если у вас имеется телефон, с которого были удалены данные, либо телефон пострадал физически (утонул, упал, разбился и так далее) — то вы можете обращаться к нам. В этом случае мы будем иметь дело с устройством хранения данных (media), с которого требуется восстановить информацию.

Шансы на успех в этом случае напрямую зависят от того, сколько долго телефон находился в использовании после потери доступа к данным, и проводились ли с ним какие-то операции. Например, если из внутренней памяти телефона были удалены фотографии, после чего пользователь продолжал активно использовать аппарат, снимать другие фотографии и т.п., то шансы на успешное окончание работ по восстановлению данных стремительно тают с каждым часом использования устройства. Напротив, если после удаления фотографий телефон был немедленно выключен, шансы на успех достаточно велики.

В каких случаях мы не сможем помочь с восстановлением данных?

Если у нас нет физического доступа к устройству, с которого требуется восстановить информацию, мы не сможем вам помочь.

Прежде всего, это связано с тем, что у нас просто не будет физического носителя данных (media), а восстанавливать данные из воздуха, увы, мы не умеем.

Приведу пример.

Поступил звонок от пользователя мобильного телефона, с которого требовалось восстановить чаты WhatsApp. В процессе разговора выяснилось, что телефон утонул, и найти его не удалось. Номер (SIM-карта) был восстановлен у сотового оператора, и теперь требуется восстановить чаты WhatsApp. Но — откуда? Доступа к серверам популярного мессенджера у нас нет. Резервные копии в облаке также не делались. Самого устройства (пусть и утонувшего) нам не предоставили. Откуда брать данные?

Многие почему-то думают, что раз мы работаем в области IT, то можем получить доступ к серверам популярных онлайн-сервисов и добыть оттуда необходимые данные. Вынужден огорчить: подобного рода деяния являются уголовно наказуемыми преступлениями и не имеют ничего общего с восстановлением информации.

Почему мы не помогаем извлекать данные из удаленных серверов?

Все очень просто. Потому что сервисы, предоставляющие такие услуги, не предусматривают доступа к своим серверам третьих лиц. А значит, чтобы получить к ним доступ, необходимо произвести взлом.

Взлом, или по-юридически, получение неправомерного доступа к компьютерной информации, является уголовным преступлением и может наказываться крупными штрафами или тюрьмой на срок от трех (Кыргызстан) до десяти (США) лет.



Мы принимаем к оплате | We accept payments


Мы стажировались и работали в странах | We worked or practiced in following countries