МИФЫ ОБ IPHONE

ВОССТАНОВИТЬ ИНФОРМАЦИЮ С ТЕЛЕФОНА В БИШКЕКЕ

Каждый слышал, что iPhone – это прекрасный аппарат, верх технологической мысли и мечта любого среднестатистического тинейджера. Действительно, iPhone – продукт очень качественный и весьма продуманный, в нем используются передовые технологические решения как на компонентном, так и на алгоритмическом и программном уровне. Часть этих ноу хау направлена на обеспечение максимального уровня конфиденциальности. И самым основным решением в этом плане является шифрование.

И вот тут возникает проблема. Начиная с iPhone 4S компания Apple использует так называемую технологию тотального шифрования – то есть шифруются не отдельные файлы, а устройство целиком. При этом если устройство работает и пользователь имеет к нему доступ (знает пароль, или настроен вход по отпечатку пальцев), то никаких проблем с данными нет: владелец имеет к ним полный и неограниченный доступ. Но стоит забыть пароль, или вдруг перестает работать сенсор отпечатков пальцев, или устройство выходит из строя – и все. Данные недоступны от слова «совсем».

Конечно, есть еще синхронизация с iCloud – в случае, если пользователь помнит логин и пароль для своего хранилища iCloud, и телефон был настроен на синхронизацию, какие-то данные могут быть извлечены из облака. Но не следует забывать, что по умолчанию и бесплатно iCloud предоставляет только 5 Гбайт места – даже для телефона в 16 Гбайт это уже очень мало, что уже говорить о моделях с большей емкостью? В общем, iCloud – отнюдь не панацея, и скорее всего из него удастся вытянуть только контакты, заметки и, скорее всего, некоторые фотографии. И все.

Довольно часто компании по восстановлению данных предлагают восстановление данных с iPhone методом «распайки» микросхемы. Ну чтож, это прекрасный рекламный ход, но не более: ответственно заявляем, что для устройств старше iPhone 4S выпаивание и вычитывание NAND-микросхемы – абсолютно бесполезное занятие. Данных из него восстановить не получится. Помните нашумевший скандал, когда американская ФБР требовала от компании Apple расшифровать iPhone одного из крупных международных террористов, а Apple отказала? Это означает, что в ФБР не смогли самостоятельно расшифровать аппарат (а там отнюдь не глупые люди работают, и наверняка вначале были привлечены очень хорошие специалисты по компьютерной безопасности). Это также означает, что Apple, соблюдая принцип конфиденциальности, может отказать даже такой влиятельной организации и даже заплатит крупный штраф, лишь бы не терять свою репутацию. Какие из этого следует сделать выводы?

Вывод первый. Ни одна компания по восстановлению данных не сравнится по возможностям и влиянию с ФБР, и уже если расшифровать телефон не смогли там, то это подавно невозможно для компании по восстановлению данных.

Вывод второй. Все, кто обещают вам восстановить данные с iPhone старше 4S выпаиванием и вычитыванием NAND-микросхемы, вас нагло обманывают. Скорее всего, природа этого обмана в том, чтобы завлечь вас и ваше устройство в свой офис, а там уже как-нибудь развести вас на деньги (например, сделать платную диагностику, или потребовать деньги за выпаивание микросхемы, или (самое неприятное предположение) – снять с платы iPhone дорогостоящие чипы и использовать их для ремонта другого аппарата).

Но не стоит отчаиваться. Методы восстановления данных с iPhone все-таки имеются, и в том числе – с неисправных физически устройств. Это – ремонт аппарата до рабочего или квазирабочего (аппарат частично не работает, но загружается и имеется возможность применить пароль или отпечаток пальцев для разблокировки доступа и расшифровки данных) с последующей выгрузкой данных на компьютер или в iCloud (а уж из iCloud данные вытащить намного легче, чем с неисправного iPhone). Если ваш iPhone вышел из строя – приносите. Диагностика у нас бесплатная, а по ее результатам мы сможем сказать, можно ли восстановить с вашего аппарата данные, и какие для этого потребуются затраты.

Станислав Корб, ©2018

ОПАСНОСТИ ТЕХНОЛОГИИ TRIM

ВОССТАНОВЛЕНИЕ ДАННЫХ В БИШКЕКЕ

Технология TRIM была имплементирована в АТА-Стандарт с массовым появлением твердотельных накопителей (SSD) и предназначена для существенного улучшения производительности (чтобы твердотельный накопитель не становился, как обычный жесткий диск, хранилищем различного «мусора» операционной системы – временных файлов, сброшенных на поверхность содержимых буфера, не присутствующих в файловых таблицах данных и т.п.) и продления жизни SSD (общеизвестно, что основная проблема твердотельных дисков, как и вообще накопителей на основе флеш-памяти – это ограниченный ресурс «запись-перезапись» для каждой ячейки памяти). Суть технологии предельно проста: накопителю на физическом уровне дается команда о том, какие блоки данных следует физически хранить и обрабатывать, а какие – нет. Как результат, накопитель самостоятельно очищает те области, которые принимаются как ненужные. А поскольку скорость работы SSD исключительно высока, то очистка нескольких десятков или даже сотен гигабайт данных может занять от нескольких секунд до пары минут. Согласитесь, быстро.

Практически все свежие операционные системы (Windows начиная с версии 7, Mac OS начиная с версии 10.10.4, Linux начиная с октября 2010 г., и т.д.) поддерживают технологию TRIM, а значит: автоматически определяют тип накопителя, и, если это твердотельный диск, создают список секторов, в которых, по мнению операционной системы, не хранится данных, или хранятся данные, которые не нужны (временные файлы, содержимое буфера и т.п.), и отправляют его диску с использованием команды TRIM. Ну а дальше сам накопитель производит быструю и необратимую очистку «поляны», удаляя то, что операционная система посчитала ненужным.

Вроде бы, передовая технология, призванная существенно улучшить работу SSD. Вроде бы, все продумано: ведь ненужные данные, что звучит логично, не нужны, и их можно удалить без сожаления. Но не все так просто…

Использование технологии TRIM открывает новую веху индустрии восстановления данных: веху невозможных восстановлений, связанных с ошибками пользователя и безошибочной работой TRIM. Рассмотрим два наиболее распространенных примера.

1. Вы счастливо использовали SSD в своем компьютере, но настало время переустановить операционную систему. Вы предусмотрительно разделили диск на два раздела, и перенесли все ваши данные на новый раздел. Вроде бы все безопасно, но при переустановке по инерции вы заново переразбили диск на разделы. Если бы это был традиционный жесткий диск, то ничего страшного не произошло: с помощью специализированного программного обеспечения ваш старый раздел с данными можно найти и данные из него можно восстановить. Но если это операционная система с поддержкой TRIM, а ваш накопитель – SSD, то уже на стадии форматирования то, что будет сочтено ненужным (а это все данные на новых разделах), будет стерто. Все. Сушите весла.

2. Вы использовали ваш SSD в каком-то внешнем устройстве (скажем, видеокамера или переносной накопитель). Все было хорошо до того момента, пока вы вставили накопитель в ваш компьютер для переноса данных, и накопитель дал сбой (причем без разницы, какой). Например, накопитель вставляется в Mac, операционная система не смогла распознать тип раздела и предложила инициализировать диск. Многие не понимают, что в Mac-системах инициализация – это создание нового раздела, то есть удаление информации о старом. Ну а в случае использования TRIM – полная очистка диска во всеми вытекающими последствиями. После такой инициализации данные с диска уже не спасти.

Примеры можно продолжать; в принципе, количество ситуаций, которые при использовании технологии TRIM могут привести к потере данных, достаточно велико. Мы довольно часто сталкиваемся с такими ситуациями, особенно среди пользователей Windows 10 и Mac OS начиная с версии Sierra. Как определить, что диск очищен? Откройте накопитель любым шестнадцатеричным редактором и пролистайте его вниз. После заголовка раздела будут данные, которые использует операционная система и установленные приложения, а за ними будет пустота – причем пустота может варьировать в шестнадцатеричном представлении от заполнения 00 или FF до заполнения с номером сектора или полным заполнением сектора каким-то идентичным содержимым. Если после какого-то момента, достаточно недалеко от начала диска (скажем, 30 – 60 Гбайт) вдруг начались «пустые» сектора – диск почти 100% очищен.

На приведенных ниже изображениях показаны такие SSD. В первом случае это системный диск с только что установленной операционной системой. Начиная с адреса 120 000 000 LBA (что соответствует 60 Гбайт) и до конца идут сектора с заполнением показанным на картинке паттерном. Диск очищен.

Во втором случае – тот же диск до переустановки ОС. Я показал лишь один сектор дальше середины, в котором точно имеются данные; таких секторов – больше 70% содержимого диска (диск был почти полный).

Как видим, при установке ОС диск был полностью очищен. Теперь данные с такого диска уже не восстановить.

Этой статьей я хочу предупредить пользователей последних версий операционных систем и твердотельных накопителей о том, что нельзя совершать никаких необдуманных или рискованных шагов с данными. Любые действия, начиная от инициализации диска и заканчивая банальным удалением данных, могут привести к тому, что эти данные вы больше никогда не увидите – TRIM очень быстро почистит сектора, где данные хранились, а восстановить то, чего уже нет, нельзя. Конечно, встречаются исключения, когда данные стираются не сразу (например, по технологии отложенной записи Windows) – и в этом случае это спасение для данных. Но уповать на то, что ваши данные случайно сохранятся, не стоит – лучше сделать резервную копию на другой накопитель, чтобы, в случае неудачного эксперимента, не было риска их потерять.

Однако бывают случаи, когда TRIM отрабатывает не полностью. В этих случаях мы можем вам помочь и вернуть ваши данные хотя бы частично.

Станислав Корб, ©2018

КРИВО ЗАПИСАННЫЙ DVD

ВОССТАНОВЛЕНИЕ ДАННЫХ С ОПТИЧЕСКОГО ДИСКА В БИШКЕКЕ

Любопытный диск поступил недавно для восстановления данных – DVD-диск, который не мог считать ни один проигрыватель DVD. Как показало исследование, диск был записан «кривым» лазером, ну и в качестве бонуса — сильно поврежден при использовании.

Для сравнения мы взяли такой же DVD. Повреждения отражающей поверхности обоих дисков, а также распределение спектра отражающей поверхности при мультисурс-освещении (250 источников прямого света, расположенных по окружности с шагом 1,44°) показаны на фото ниже. Фотографирование проводилось при одинаковом расстоянии идентичным фотографическим оборудованием (камера Canon EOS 5D Mark II, объектив Canon Macro EF 100 mm 1:2.8 USM; микрофотографирование – та же камера, микроскоп Микромед-1). Как видно на приведенных снимках, у исправного диска спектр смещен в красную часть, что вполне логично, так как для записи данных в DVD-приводах используется лазер красного свечения длиной волны 650 нм, который нарезает треки с шагом 0.74 мкм (кратно длине волны).

Неисправный DVD
Исправный DVD

Неисправный диск имеет смещение в более «длинную» синюю часть спектра (длина волны 440–500 нм), следовательно, запись данных на этот носитель производилась лазером с модифицированными параметрами, со смещенной в синюю часть спектра длиной волны записывающего элемента и с уменьшенным межтрековым шагом.

Анализ области ТОС и области данных оптического носителя показали, что область ТОС имеет значительные повреждения, возникновение которых можно объяснить только неправильной записью диска. Кроме того, обнаружено, что записанные треки имеют явное смещение примерно в 30° от перпендикуляра, что отчетливо видно на микрофотографиях.

Область ТОС и записанных данных исправного диска имеет ровную, гомогенную структуру и отличается только плотностью: область ТОС имеет меньшую плотность, чем область данных, для того, чтобы обеспечить быструю идентификацию диска и применение соответствующих алгоритмов чтения данных устройством DVD-ROM:

Область ТОС и записанных данных неисправного диска имеет неровную, частично гомогенную структуру, отличается плотностью: область ТОС имеет меньшую плотность, чем область данных, для того, чтобы обеспечить быструю идентификацию диска и применение соответствующих алгоритмов чтения данных. Область ТОС неисправного диска имеет несколько концентрических зон с более высокой плотностью, в которых, очевидно, не была произведена запись; область данных имеет явно видимую структуру распределения по трекам, которая не должна быть видна при освещении под прямым углом. Такая картина говорит только о том, что треки нанесены под углом, что делает их структуру четко различимой при прямом освещении.

При детальном исследовании распределения треков на поверхности обоих дисков выяснено, что на исправном диске треки имеют равномерное распределение, без видимых границ между треками. Каждый отдельный пит хорошо различим, имеет одинаковые размеры на всем протяжении трека, имеет одинаковые размеры сторон нанесения. На поверхности нет никаких повреждений.

На неисправном диске треки имеют равномерное распределение, однако между ними заметны границы в виде более темных областей («борозд»). Питы расположены неравномерно, их внутренняя сторона примерно на 50% больше внешней, что говорит о смещении оси их прожига от идеальных 90° кнутри оси приблизительно на 30°. Кроме того, при микрофотографировании поверхности обнаружены серьезные повреждения записи (черные точки), которые возникли уже после того, как запись была совершена, и являются следствием «гниения» DVD-дисков, сделанных из некачественных материалов (см., например: Congress, 2007. NIST/Library of Congress (LC) Optical disc longevity study. New York: NIST. 32 p.):

Модификации DVD-ROM для считывания данной информации (изменение угла свечения лазера, изменение длины волны) к успеху не привели, так как параметры устройства, на котором данные были записаны, нам неизвестны.

Скорее всего, считать данный диск можно только тем же устройством, которым была произведена его запись.

Станислав Корб, ©2018

APFS И HIGH SIERRA

ВВОССТАНОВЛЕНИЕ ДАННЫХ С ЖЕСТКОГО ДИСКА В БИШКЕКЕ

Владельцы Mac-устройств (MacBook, iMac и т.п.), с выходом в свет операционной системы High Sierra, принялись достаточно активно трансформировать свои разделы из традиционной файловой системы HFS+ в экспериментальную APFS. И тут очень важно понимать, что APFS в настоящее время – файловая система экспериментальная, Apple не обещает, что текущие ее модификации будут поддерживаться в более поздних версиях операционной системы и в окончательном релизе APFS. Для чего возможность работы с этой файловой системой была допущена Apple, нам неведомо (думается, однако, что это банальное широкое тестирование), но вот проблемы с этой ФС нам приходится видеть довольно часто.

Первая проблема – это то, что по сути APFS не является файловой системой в принятом виде. Это скорее контейнер, в котором хранятся в зашифрованном виде те структуры, с которыми будет работать пользователь (обычно это разделы, но тут возможны вариации…).

Вторая проблема – шифрование. APFS шифрует данные уже без каких-либо запросов, по умолчанию. Пользователь, который совершил конвертацию старого раздела HFS+ в новый APFS, должен самостоятельно сделать его нешифрованным (такая опция – отмена шифрования – доступна в некоторых модификациях APFS). В противном случае раздел так и останется зашифрованным, и в случае утери возможности загружаться с устройства, доступ к данным будет утерян.

Третья проблема – это «экспериментальность» файловой системы. На настоящий момент не существует инструментов для работы с ней, кроме заложенных в MacOS, и до момента принятия окончательного релиза – специализированные инструменты вряд ли появятся. Поэтому восстановление данных с разделов APFS – вопрос исключительно профессионализма специалиста.

К нам накопители с файловой системой APFS поступают все чаще и чаще. Эти диски определить достаточно просто: в заголовке основного раздела отсутствуют стандартные загрузочные сигнатуры (такие, как 55 AAh), зато там присутствуют сигнатуры вроде той, что изображена на скриншоте:

Диски поступают с двумя типами неисправностей: операционная система перестала загружаться, но накопитель физически исправен; операционная система перестала загружаться, а диск физически неисправен. И в том, и в другом случае работа с оригинальными дисками не проводится, делается посекторная копия накопителя, с которой уже и производятся все манипуляции. Для накопителей с файловой системой APFS критически важно знать пароль на вход в систему. Суть восстановления данных заключается в максимально полном вычитывании отказавшего тома (в образ или на отдельный носитель) с последующей его реанимацией средствами MacOS. После того, как зашифрованный том APFS удается подмонтировать в High Sierra, мы копируем данные на незашифрованный том.

Поэтому, если у Вас на Apple устройстве установлена High Sierra, и вдруг устройство перестало загружаться или пропал раздел – скорее всего, у Вас APFS. Мы сможем помочь Вам извлечь данные с такого раздела.

Станислав Корб, ©2018

ГИБРИДНЫЕ ДИСКИ (SSHD) ЧТО ТАКОЕ SSHD (ГИБРИДНЫЙ ДИСК)(SSD + HDD)?

ВОССТАНОВЛЕНИЕ ДАННЫХ С ГИБРИДНЫХ ДИСКОВ

Скорость работы компьютерных систем почти всегда зависит от скорости чтения и загрузки информации – соответственно, краеугольным камнем производительности становится дисковая подсистема ПК. Жесткие диски, даже самые «скоростные», не могут читать данные быстрее определенного предела – для современных стандартных накопителей с интерфейсом SATA это 260 Мб/с. Ограничение скорости чтения данных с НЖМД достаточно легко объяснить: головки чтения-записи и магнитные пластины имеют конечные скорости движения, которые, собственно, и ограничивают производительность; читать поверхность HDD может только головками, в теории – всеми одновременно (соответственно, чем больше головок, тем больше скорость чтения), но на практике обычно одновременное чтение производится не более чем одной – двумя головками. Если увеличить скорость физического движения головок или магнитных пластин, скорость чтения увеличится, но усилится износ, поэтому производители вынуждены использовать те параметры, которые не приводят к сильному удорожанию производства при относительно небольшом приросте производительности.

Другое дело – твердотельные накопители. Скорость чтения с этих устройств обычно ограничена скоростью интерфейса. Другими словами, на какой бы интерфейс мы ни «посадили» SSD, он должен использовать его в режиме full speed. Связано это с тем, что SSD может читать данные из микросхем памяти в несколько потоков совершенно независимо, соответственно, если большой файл фрагментирован, он все равно будет считан весь одномоментно.

Идея соединить SSD и HDD в одно устройство не нова. Имеется достаточно большое количество решений на уровне операционной системы, позволяющих заметно увеличить производительность дисковой подсистемы за счет организации дисковых массивов, включающих SSD и HDD (физически разные устройства). Наиболее известный пример такого устройства – Apple Fusion Drive.

Идея объединить SSD и HDD в одном физическом устройстве была реализована в 2007 г. корпорациями Seagate и Samsung. Выпущенные ими диски, имевшие «на борту» 128 или 256 ГБ NAND-памяти, однако, не прижились, так как существенно отличались ценой от обычных НЖМД (были значительно дороже). Большой объем твердотельной памяти в гибридных дисках оказался нерентабельным, и через 3 года (в 2010 г.) Seagate выпускает новый гибридный жесткий диск, на борту которого стояло уже 4 или 8 ГБ NAND-памяти – таким образом, стоимость такого диска уже отличалась от цены обычного жесткого диска не в разы, а всего на 3 – 5 %. Устройства стали намного доступнее и начали достаточно широко использоваться.

Корпорация Western Digital вступила в гонку SSHD позже Seagate, в 2013 г., представив линейку продуктов, имевших «на борту» 8, 16 или 24 ГБ NAND-памяти.

Таким образом, налицо следующий прогресс в развитии гибридных дисков: производитель отказался от многочиповых систем, полностью перейдя на системы с использованием одной микросхемы. Это, во-первых, значительно снизило себестоимость устройств, а во-вторых, повысило их надежность. Гибридные диски могут работать в двух режимах: автоматическом (накопитель самостоятельно перемещает те сектора НЖМД, к которым обращается наиболее часто, в NAND-память) и оптимизированном хостом (накопитель работает под управлением специализированного драйвера, и наиболее часто используемые сектора перемещает в NAND-память уже операционная система). Насколько повышается быстродействие систем, вооруженных гибридными дисками? По разным тестам, от 5 до 100 (и даже выше) %. Однако следует обязательно учитывать, что тестирование быстродействия производится при разных условиях и с разными исходными параметрами – это, собственно, и является основной причиной того, что результаты тестирования настолько различны. В целом, конечно же, прирост производительности имеется, однако рассчитывать на то, что он будет в разы отличаться от «чистого» жесткого диска, неправильно – ведь как обычный, так и гибридный НЖМД работают через одинаковый SATA-интерфейс, имеющий свои ограничения производительности. Между тем, общая надежность таких дисков по сравнению с обычными SSD или HDD, снизилась. Произошло это потому, что в общую схему было включено дополнительное устройство – а, как известно, чем больше у устройства компонент, тем больше риск выхода одного из таких компонент из строя. Общая вероятность возникновения отказа в гибридных дисках увеличена на 25%, что, согласитесь, немало. Производитель гарантирует вероятность возникновения ошибок чтения-записи не больше, чем 1 на 10 в минус 75 степени раза, но на деле это оказывается неправдой, и ошибки возникают значительно (на порядки – даже не в разы!) чаще. Кроме ошибок чтения-записи, повышается и вероятность физического отказа: если в НЖМД отказать могут только головки, микропрограмма или контроллер (остальные типы отказа не так существенны), то в гибридном диске это еще и NAND-компонента (которая также состоит из памяти и контроллера, ей управляющего).

На практике на восстановление данных гибридные диски поступают к нам в следующем соотношении: 90% Seagate и 10% Western Digital. Это не говорит о том, что диски WD лучшего качества; это говорит лишь о том, что на нашем рынке гибридные диски Seagate представлены значительно шире. Как правило, в гибридных накопителях, поступающих к нам на восстановление данных, происходит отказ NAND-микросхемы (в подавляющем большинстве – дефектные сектора). При этом диск не стартует, быстро дает готовность и на все запросы возвращает статус ошибки. «Лечение» таких дисков возможно, для него используется профессиональный продукт компании ACE Lab – PC-3000. Суть лечения заключается в том, чтобы пропатчить ПЗУ больного накопителя (привнести в ПЗУ дополнительный код, дающий возможность обработки дополнительных команд или открывающий новые функции обработки команд, уже существующих), после чего производится непосредственно исправление ошибок и затем – извлечение данных.

Мы всегда готовы восстановить ваши данные с дисков SSHD, если они вышли из строя. Имеется также опыт восстановления данных с Apple Fusion Drive и SSD-HDD дисковых массивов под управлением Linux-систем.

Станислав Корб, ©2018



Мы принимаем к оплате | We accept payments


Мы стажировались и работали в странах | We worked or practiced in following countries