Восстановление фотографий

Стоимость восстановления данных. Логические случаи

stankorb Восстановление информации , , , , , , , , , , , , ,

Ситуации, когда приходится объяснять, отчего стоимость тех или иных услуг именно такая, а не какая-то другая, случаются не только в IT, но и в целом во всей сфере оказания услуг. Я уже писал о том, как и почему стоимость той или иной услуги по восстановлению данных составляет именно ту сумму, которую вам озвучили, однако вопросов не становится меньше, поэтому было принято решение разложить прайс на пять частей (логические проблемы, проблемы в служебной области накопителя, замена блока магнитных головок, прочие физические проблемы, дисковые массивы) и по каждой из этих частей написать подробную статью. Перед вами первая часть из запланированных пяти — о том, из чего складывается стоимость логического восстановления данных.

Что такое логические проблемы? Под этим общим названием принято понимать те случаи, когда накопитель физически исправен, но по каким-то причинам пользователь не может получить доступ к своим данным. Замечу сразу, что при некоторых проблемах со служебной зоной поведение накопителя может быть таким же: накопитель исправен, но доступа к данным нет. Какая именно проблема приключилась с конкретным диском, можно выяснить в ходе диагностики, которая у нас бесплатна.

Логические проблемы условно можно разделить на следующие типы:

  • Полная или частичная перезапись данных (переустановка операционной системы без предварительного резервирования данных; удаление информации с последующей записью новых данных; и т.п.).
  • Форматирование раздела.
  • Удаление информации.
  • Шифрование данных (как инициированное вирусом-шифровальщиком, так и самим пользователем).
  • Ошибки операционной системы (запись в сектора модифицированных или неверных данных).
  • Проблемы интерфейса (криво установленный кабель, в результате чего происходит искажение сигнала и запись неверных данных; помехи от сильного источника электромагнитного поля, приводящие к искажению сигнала; и т.п.).
  • Преднамеренное или непреднамеренное изменение структуры данных (например, замещение некоторых секций файла другими секциями того же или другого файла).

Полная или частичная перезапись данных

Перезапись данных всегда приводит к невозможности 100%-ного восстановления информации. Наиболее распространена переустановка операционной системы без предварительного резервирования данных.

Стоимость работ по извлечению информации после ее перезаписи варьирует в широких пределах. В нашей лаборатории вы можете получить эту услугу по цене от 1000 до 5000 сомов в зависимости от сложности. В лабораториях крупнейших мировых центров по восстановлению информации (с некоторыми из них мы имеем партнерские отношения, поэтому в некоторых случаях мы можем помочь через наших партнеров) стоимость таких работ может составлять до нескольких сотен тысяч долларов. Такая цена возможна в случаях, когда производится восстановление данных по остаточной намагниченности с использованием туннельного электронного микроскопа. Это кропотливая, длительная и непростая процедура, требующая дорогостоящего оборудования (туннельного микроскопа) и программного обеспечения (сшивающего RAW-споты слоев остаточной намагниченности в треки и декодирующего их в бинарном виде).

Стоимость услуги по восстановлению данных после перезаписи в нашей лаборатории складывается из следующих компонент:

  1. Создание посекторного клона накопителя, с которого производится восстановление данных (все операции мы производим с клоном для того, чтобы исключить любой риск повреждения исходных данных).
  2. Сканирование текущей файловой системы для определения карты секторов, которые используются в ней.
  3. Создание карты секторов, не использующихся в текущей файловой системе.
  4. Поиск валидных данных в обеих созданных картах, выливка данных на диск-приемник.
  5. Анализ полученного результата, удаление поврежденных файлов.
  6. Амортизация ПО, используемого для восстановления информации.
  7. Амортизация используемого для подключения диска в режиме «только чтение» оборудования.
  8. Накладные расходы (электроэнергия, аренда и т.п.).
  9. Заложенная прибыль.

Работа может проводиться не в один проход. Финальная стоимость зависит от того, какой объем данных нам придется обрабатывать — чем больше объем, тем больше на работы требуется времени, тем большее время будет занято специальное оборудование и тем выше будет окончательная стоимость работ.

Форматирование раздела

Также, как и предыдущая проблема, является одной из наиболее широко распространенных. Форматирование раздела может происходить как случайно, так и намеренно. Результат: раздел имеется, данных в нем нет.

Стоимость восстановления данных из разделов после форматирования варьирует от 1000 до 10000 сомов. Складывается она из следующих моментов:

  1. Создание посекторного клона накопителя, с которого производится восстановление данных (все операции мы производим с клоном для того, чтобы исключить любой риск повреждения исходных данных).
  2. Сканирование файловой системы и реконструкция ее структуры до форматирования.
  3. Выливка данных на внешний приемник.
  4. Анализ полученного результата, уточняющее сканирование накопителя, если результат неудовлетворительный.
  5. Амортизация ПО, используемого для восстановления информации.
  6. Амортизация используемого для подключения диска в режиме «только чтение» оборудования.
  7. Накладные расходы (электроэнергия, аренда и т.п.).
  8. Заложенная прибыль.

В случае с форматированием раздела цена работ зависит от объема накопителя (чем он больше, тем больше требуется времени на производство работ и тем выше, соответственно, их стоимость) и от типа раздела. Дешевле всего восстановить данные из форматированных разделов NTFS, так как структурные особенности разделов этого типа позволяют полностью реконструировать исходную файловую систему с минимальными затратами времени. Наиболее дорогими для восстановления информации после форматирования являются разделы FAT и ZFS, так как их структурные особенности требуют больших объемов ручной работы (в первом случае как результат фрагментации, во втором — сжатия информации).

Удаление информации

Довольно часто бывает так, что пользователь или третье лицо случайно удаляет нужный файл или папку. Восстановление данных в этом случае достаточно непредсказуемо — если данные удалены с жесткого диска, и после удаления работа с ним не велась, то шансы на восстановление достаточно велики. Если данные удалены с телефона или SSD, шансы на восстановление обратно пропорциональны времени использования устройства после удаления файла.

Стоимость работ по восстановлению удаленных данных складывается из следующих моментов:

  1. Безопасное подключение и подготовка носителя к извлечению данных.
  2. Сканирование файловой системы и поиск удаленных файлов.
  3. Копирование найденных данных на внешний приемник.
  4. Анализ полученного результата, уточняющее сканирование накопителя, если результат неудовлетворительный.
  5. Амортизация ПО, используемого для восстановления удаленных файлов.
  6. Амортизация оборудования, используемого для подключения накопителя в режиме «только чтение».
  7. Накладные расходы (электроэнергия, аренда и т.п.).
  8. Заложенная прибыль.

Средний ценник на восстановление удаленных файлов с жесткого диска в настоящее время составляет 1000 сом, с телефона 3000 сом.

Шифрование данных

Данные могут быть зашифрованы как вирусом-шифровальщиком, так и самим пользователем (BitLocker, FileVault, EFS и пр.). В первом случае вирус сам сообщает о том, что данные зашифрованы, и начинает вымогать вознаграждение за расшифровку. Во втором случае проблемы обычно возникают в трех случаях:

  1. Возникновение на накопителе дефектных секторов, приводящих к проблемам с штатной расшифровкой.
  2. Переустановка системы без учета того, что данные были зашифрованы (при этом теряются ключи шифрования).
  3. Утеря информации о ключах или паролях (забыли, потеряли листок где это записано, и пр.).

Стоимость услуги восстановления данных в случае с их зашифровкой варьирует от 7000 до 10000 сом в случае если это шифрованная файловая система (BitLocker, FileVault, TrueCrypt и пр.); в случае, если данные зашифрованы вирусом, стоимость расшифровки может составлять до 25000 сом. Из чего складывается данная услуга:

  1. Создание посекторного клона накопителя, с которого производится восстановление данных (все операции мы производим с клоном для того, чтобы исключить любой риск повреждения исходных данных).
  2. Сканирование накопителя, поиск информации для восстановления (ключи шифрования, метаданные и пр.).
  3. Применение ключей шифрования, потоковая расшифровка данных на внешний диск-приемник.
  4. Анализ полученного результата, уточняющее сканирование накопителя, если результат неудовлетворительный.
  5. Амортизация ПО, используемого для восстановления информации.
  6. Поиск алгоритмов шифрования в ручном режиме, если они не были обнаружены в автоматическом.
  7. Амортизация используемого для подключения диска в режиме «только чтение» оборудования.
  8. Накладные расходы (электроэнергия, аренда и т.п.).
  9. Заложенная прибыль.

Высокая стоимость расшифровки данных в нестандартных случаях объясняется большим количеством ручной работы. Если дело касается стандартных случаев шифрования (BitLocker, FileVault), стоимость ниже, и зависит главным образом от того, насколько долго будет занят специализированный ПАК для извлечения данных.

Ошибки операционной системы

В некоторых случаях потеря данных может быть следствием некорректной работы операционной системы. Такие случаи достаточно редки, однако они все же встречаются. Наиболее распространенным типом ошибки при этом является работа штатной программы проверки диска checkdisk в ОС Windows.

Работа этой программы направлена на то, чтобы выявить и исправить ошибки файловой системы жесткого диска. При этом, если выявляются ошибки, связанные с дефектными секторами (например, повреждена часть записей в MFT), то данные, которые относятся к этим ошибкам, программа переносит (именно переносит, а не копирует) в особые папки, которые сама создает на диске. Чем это чревато? Во-первых, при больших объемах таких переносов может возникать перезапись данных. Во-вторых, программа не гарантирует, что будет произведен перенос всего файла.

Возможны и другие ошибки работы ОС, приводящие к утере доступа к данным — например, запись неверных данных в заголовок раздела или в файловые таблицы.

Работа с ошибками операционной системы тарифицируется также, как работа с удаленными данными, и составляет обычно 1000 сом. Что сюда входит:

  1. Безопасное подключение и подготовка носителя к извлечению данных.
  2. Сканирование файловой системы и поиск ошибок ОС.
  3. Копирование найденных данных на внешний приемник.
  4. Анализ полученного результата, уточняющее сканирование, если результат неудовлетворительный.
  5. Амортизация ПО, используемого для восстановления удаленных файлов.
  6. Амортизация оборудования, используемого для подключения накопителя в режиме «только чтение».
  7. Накладные расходы (электроэнергия, аренда и т.п.).
  8. Заложенная прибыль.

Проблемы интерфейса

Встречаются крайне редко, являются наиболее сложно диагностируемыми логическими проблемами с наиболее сложными методами восстановления. Стоимость работ с такими заказами составляет от 5000 сом за 1 Тбайт емкости диска.

В чем проявляются такие неисправности? При неправильной установке коннектора data-кабеля (будь то SATA, SAS/SCSI или USB) нестабильный контакт приводит к искажениям записи информации, имеющим определенный повторяемый характер. Например, одна из линий данных может вместо байтов 00h записывать FFh. При этом файл будет записан на устройство, но при его работе будут возникать ошибки: он либо не будет запускаться вообще, либо после запуска его содержимое будет искажено или повреждено.

Для восстановления поврежденных таким образом данных потребуется сделать следующее:

  • Обнаружить все сектора, в которых имеются поврежденные или модифицированные данные;
  • Настроить скрипт-машину таким образом, чтобы произвести пакетное потоковое исправление ошибок;
  • Проконтролировать результат.

Таким образом, в стоимость работ указанного типа заложены следующие моменты:

  1. Безопасное подключение и подготовка носителя к извлечению данных.
  2. Создание посекторной копии накопителя.
  3. Определение алгоритма повреждения данных.
  4. Настройка скрипт-машины на потоковое пакетное исправление повреждений.
  5. Анализ полученного результата, уточняющее сканирование, если результат неудовлетворительный.
  6. Амортизация ПО, используемого для восстановления удаленных файлов.
  7. Амортизация оборудования, используемого для подключения накопителя в режиме «только чтение».
  8. Накладные расходы (электроэнергия, аренда и т.п.).
  9. Заложенная прибыль.

Преднамеренное или непреднамеренное изменение структуры данных

Встречается еще реже, чем предыдущий тип логических неисправностей. Суть проблемы заключается в том, что в определенном файле часть данных замещается другими, не имеющими отношения к этому файлу. Как правило, это происходит при сбоях операций переноса или копирования. Также, как правило, замещенные данные на целевом носителе имеются, но являются «потерянными».

Работы в этом случае заключаются в поиске утерянных фрагментов данных и «посадке» их на место. Задача эта весьма нетривиальна, так как требует глубокого знания форматов файлов, с которыми производятся работы, а также, обычно, кропотливого поиска утерянных фрагментов данных в ручном режиме. Проблема в том, что обычно RAW-данные в фрагментированном виде не имеют уникальных структур, позволяющих их обнаруживать автоматически (таких, как заголовки), поэтому их поиск возможен только вручную.

Стоимость работ по восстановлению работоспособности единичного файла составляет от 500 до 10 000 сом и зависит от его типа, размера и характера повреждений. В эти работы закладываются:

  1. Безопасное подключение и подготовка носителя к извлечению данных.
  2. Определение алгоритма повреждения данных.
  3. Поиск фрагментов утерянных данных.
  4. Анализ полученного результата, уточняющее сканирование, если результат неудовлетворительный.
  5. Амортизация ПО, используемого для восстановления удаленных файлов.
  6. Амортизация оборудования, используемого для подключения накопителя в режиме «только чтение».
  7. Накладные расходы (электроэнергия, аренда и т.п.).
  8. Заложенная прибыль.

Заключение

Как видите, стоимость восстановления информации даже в относительно «легких» случаях логических проблем складывается из массы моментов, однако основными являются оборудование и ПО. И то, и другое имеет приличную стоимость; например, комплект оборудования компании ACE Lab для восстановления данных с жестких дисков (ПАК РС-3000) имеет стоимость 1500 долларов США в минимальной комплектации. Как профессиональный сервис, мы используем десятки наименований различного оборудования, имеющего аналогичную стоимость.

В следующей части этой статьи мы расскажем о том, из чего складывается стоимость работ при восстановлении информации с накопителей с проблемами в служебной зоне.

Внимание! Фишинг под прикрытием федеральных выплат

stankorb Компьютерные вирусы, Полезные советы, Реальный кейз , , , , , , , , , , , ,

Как только Президент РФ Владимир Путин объявил о том, что в связи с коронавирусом из бюджета России будут совершены выплаты на несовершеннолетних детей — единовременно по 10 000 рублей на ребенка — тут же активизировались разного рода цифровые мошенники. На почтовые ящики пользователей начали приходить письма идентичного или очень похожего содержания: для получения компенсации требуется пройти некую процедуру регистрации на сайте.

Пример фишингового письма
Адрес сайта, где нужно «пройти регистрацию».

На скриншотах выше только один такой сайт; их было 5 разных за три дня активной «бомбежки» нашего специального почтового ящика для спама (некоторое время назад мы зарегистрировали специальный электронный ящик на mail.ru, который постоянно «засвечивается» в Интернете, и на котороый по этой причине приходят тонны спама, фишинга и пр.; это нужно нам для того, чтобы отслеживать тренды, в которых в настоящий момент работает мысль злоумышленников).

Переход на эти сайты чреват серьезными проблемами (именно поэтому название сайта я заблюрил). Проверка на виртуальной машине показала, что два из пяти сайтов загружают на ваш компьютер вредоносное ПО (вирус), начинающее зашифровывать ваши данные с целью в дальнейшем вымогать средства за их расшифровку. На трех из пяти сайтов вас попросят пройти регистрацию, одним из пунктов которой будет указание реквизитов вашей банковской карты (кардерство — воровство данных банковских карт для последующего снятия с них денег).

Не ведитесь на подобное завлекалово, помните, что получить федеральные выплаты можно только через сайт Госуслуги.

*Настоящее сообщение адресовано прежде всего жителям России, Кыргызстана и Казахстана, среди которых достаточно много людей с двойным (Россия — страна рождения) гражданством, на коорых и направлена эта атака.

Запилы и царапины поверхностей жесткого диска: почему они так опасны?

stankorb Восстановление информации, Реальный кейз , , , , , , , , , , ,

Меня часто спрашивают: а чем так опасны эти запилы и царапины на поверхности жесткого диска? Вы же профессионал, наверняка есть технологии, позволяющие вычитать данные и с запиленных или зацарапанных поверхностей — почему вы так их не любите?

Да, конечно, технологии имеются. Но давайте будем объективны: из области запила или царапины данные нам уже не достать, так как в этом месте магнитная поверхность разрушена (конечно же, вместе с данными). Кроме того, вокруг самой царапины определенная область (в каждом индивидуальном случае — своего, индивидуального, размера) не может быть прочитана в силу термического разрушения намагниченности (когда поверхность «пилится», она сильно нагревается и проходит точку Кюри). Наконец, третье, и самое главное — при запиливании или зацарапывании образуется масса мелких частиц (стружка, опилки), которые начинают летать внутри гермоблока и могут находить себе «пристанище» не только на внутреннем фильтре, но также и на поверхностях диска, головках и т.д.

Не стоит забывать и о том, что вычитывание информации с поврежденных поверхностей — значительно более дорогостоящая процедура, чем чтение неповрежденных пластин, в силу применения тех самых технологий (первое) и в силу необходимости использования большего количества запчастей (второе). Накопитель должен быть обязательно очищен от опилок и стружки, которая появилась в нем в результате запиливания.

Об опилках и стружке я и хочу поговорить поподробнее, на одном весьма показательном примере.

Запиленный жесткий диск

Специалист по восстановлению информации с многолетним стажем, такой, как я, относительно легко определяет жесткий диск, в котором происходит процесс запиливания или зацарапывания поверхностей, по звуку. Передать это словами сложно — нужно иметь опыт. Скажем так, звук жесткого диска, который начал запиливаться, начинает разительно отличаться от нормального в сторону шипений, свистов и частых ударов, сливающихся в резонирующие вибрации.

Такой накопитель поступил к нам на днях. При малейшем подозрении на запиливание или зацарапывание накопитель подвергается тщательному осмотру — особенно его блок магнитных головок. Осмотр выявил типичную картину быстро прогрессирующих повреждений.

Нижняя головка (head 0)

Как правило, запиливание диска начинается с одной поверхности, и затем, по мере накопления внутри гермозоны свободно перемещающихся частиц, перекидывается на другие. По статистике, этот процесс чаще начинается или с верхней, или с нижней головки — просто потому, что и та, и другая ограничены с одной стороны (верхняя — крышкой гермоблока, нижняя — его дном) — при соударении с таким ограничителем шансы головки на разрушение гораздо больше, чем при соударении расположенных друг напротив друга головок.

В нашем случае все началось с нижней головки. Образовалось два концентрических запила — первый в зоне парковки, второй — в служебной зоне. Головка, которая работала с этой поверхностью, является самой грязной. Опилками покрыта вся ее поверхность, включая слайдер и кронштейн. Пазы слайдера ими просто забиты.

Такие загрязнения очень опасны, так как при работе головка парит над поверхностью на расстоянии в несколько десятков или сотен нанометров — размер опилок значительно больше, а значит, контакт головки и поверхности (через частицы опилок) неизбежен, что обязательно приведет к увеличению разрушений.

Восстановление данных в Бишкеке | Data Recovery Bishkek
Нижняя головка, с которой, собственно, и начались проблемы диска. Опилками покрыта вся ее поверхность.
Восстановление данных в Бишкеке | Data Recovery Bishkek
Опилки в верхней части слайдера нижней головки накопителя.
Восстановление данных в Бишкеке | Data Recovery Bishkek
Опилки на кронштейне нижней головки накопителя.

Головка 1

Следующая в пакете головка находится с другой стороны магнитной поверхности; это головка 1. Разрушения по ее поверхности намного меньше и имеют явно сгенерированную проблемами по головке 0 природу.

Нижняя поверхность, когда по ней начались разрушения, стала активно продуцировать опилки и стружку; большая часть этих «материалов» оставалась на неисправной поверхности и оседала на ее головке, но вскоре, после того, как объем выделяемых нижней поверхностью частиц превысил критическое значение, они начали распространяться внутри гермоблока. Часть их оседала на фильтре гермозоны, другая часть продолжала «путешествовать» внутри, оседая на головках, поверхностях и стенках гермозоны. По простой теории вероятности, чем ближе к разрушениям расположен объект, тем больше шанс того, что продукты разрушения покроют именно его; именно по этой причине на головке 1, самой близкой к нижней головке пакета, опилок больше, чем на других, расположенных дальше, головках.

Восстановление данных в Бишкеке | Data Recovery Bishkek
Третья сверху головка накопителя (вторая снизу).
Восстановление данных в Бишкеке | Data Recovery Bishkek
Опилки на слайдере второй снизу головки.

Головка 2

Расположенная над головкой 1, головка 2 — вторая в пакете сверху и третья снизу. Она находится в одной пазухе с головкой 1 и, по этой причине, должна иметь примерно одинаковые с ней разрушения. В действительности ее разрушения несколько больше.

Прежде всего, бросается в глаза пучок стружки, имеющийся на этой головке. Кроме того, хорошо видны скопления опилок в углублениях слайдера. Основание слайдера в его вершине относительно чистое (относительно предыдущей головки, конечно).

Стружка — это первый признак зарождающегося запила. Головка срезает с поверхности при соударении длинные ленты лубриканта; эта стружка скапливается в той части головки, которая соприкасалась с пластиной. Опилки образуются, когда эта стружка попадает в промежуток между слайдером и поверхностью; здесь стружка измельчается по принципу абразива, и разлетается отсюда по всему гермоблоку. Также, когда слайдер царапает уже те слои, которые находятся под лубрикантом, он выбивает из них опилки.

Восстановление данных в Бишкеке | Data Recovery Bishkek
Следующая за верхней головка накопителя. Пучок стружки, в области вершины слайдера начинают собираться опилки.
Восстановление данных в Бишкеке | Data Recovery Bishkek
Опилки в верхней части слайдера показанной выше головки.
Восстановление данных в Бишкеке | Data Recovery Bishkek
Пучок стружки на показанной выше головке.

Головка 3 (верхняя)

Головка 3 — самая верхняя в пакете. До нее разрушительное воздействие запила должно дойти в последнюю очередь — собственно, так оно и случилось. Слайдер и кронштейн головки чистые от опилок, но имеется пучок стружки. Верхняя поверхность диска не имеет повреждений, следовательно, эта стружка прилетела сюда снизу, с других головок.

Очевидно, что разрушение третьей головки едва началось, поверхность пока еще чистая, но если бы диск продолжал работать, разрушение этой поверхности было бы вопросом времени. Весьма небольшого времени.

Восстановление данных в Бишкеке | Data Recovery Bishkek
Верхняя головка накопителя. Сама головка чистая, но на слайдере накопился пучок тонкой стружки. Это означает, что по этой головке процесс запиливания еще не начался, но вот-вот начнется.
Восстановление данных в Бишкеке | Data Recovery Bishkek
Пучок тонкой стружки по верхней головке.

Заключение

Что можно сказать в заключение? Бывает, что пользователь, сам того не зная, делает восстановление информации невозможным. Описанный выше случай — один из таких.

Диск вначале начал себя странно вести, срывался с рекалибровки, подстукивал и исчезал из системы. Казалось бы — самое время обратиться к специалисту, но хозяин устройства решил иначе. Первое, что он сделал — это подключение диска через другие разъемы (как питания, так и интерфейса). Это не помогло. После этого была запущена утилита проверки диска (Windows CheckDisk), которая, конечно же, начала свою работу — но на физически неисправном диске завершить ее она не могла, циклично обращаясь в адреса, которые не могли быть прочитаны. Как результат — полуживой диск быстро исчерпал остаточный ресурс, нижняя головка упала на поверхность и начала запиливание. Ну а дальше, по мере накопления внутри гермозоны «пиломатериалов», повредились и остальные поверхности.

Вывод из той печальной истории достаточно прост. Если вы видите, что накопитель ведет себя не так, как обычно; если вы слышите из накопителя незнакомые звуки, которых не было раньше — это повод обратиться к специалисту — как минимум позвонить и поинтересоваться, что может означать текущее поведение диска. Это будет бесплатно и убережет вас от потери информации.

Как COVID-19 повлиял на работу специалиста по восстановлению информации

stankorb Восстановление информации , , , , , ,

Вот уже третью неделю в Бишкеке продолжается режим чрезвычайного положения, что делает работу многих предприятий невозможной (в силу предписаний комендатуры) или крайне затрудненной (в силу невозможности перемещений). В случае с восстановлением информации мы также столкнулись с определенными проблемами, связанными, прежде всего, с невозможностью личного посещения нашего офиса.

Однако в IT-индустрии все не так плохо, как во многих других отраслях бизнеса, и, с некоторыми оговорками, организовать более-менее качественный сервис по восстановлению информации можно даже в условиях ЧП и пандемии.

Удаленная работа

Довольно приличный пласт заказов на восстановление информации можно обработать удаленно. Это логические заказы — то есть те, где произведено удаление данных или форматирование носителя, потеря данных посредством воздействия вируса, и т.п. Для осуществления работ по такому заказу нужно относительно немного — подсоединить проблемный носитель к компьютеру, имеющему доступ к высокоскоростному интернет-соединению, и дать нам доступ к этому ПК. Мы подключаемся к компьютеру удаленно, анализируем носитель и производим работы по восстановлению информации. В этом случае оплата за нашу работу производится также удаленно — с использованием сервисов PayPal, ЭЛЬСОМ или через банковский перевод.

В некоторых случаях без использования нашего оборудования не обойтись, однако в случае с логическими проблемами можно организовать передачу через сеть Интернет побайтового образа проблемного устройства, а после окончания работ — обратную передачу восстановленных данных. Конечно, это не ускоряет работу, так как на передачу больших объемов данных уходит немало времени, однако, когда других вариантов просто нет, приходится идти по медленному пути.

Физическая передача носителя через курьера

Однако бывают ситуации, когда без физической передачи устройства в нашу лабораторию не обойтись (замечу, что оплата и доставка данных остаются доступными удаленно). Это можно сделать через работающие даже в режиме ЧП курьерские службы.

Поступающие в работу таким образом устройства мы, прежде чем приступить к анализу, обрабатываем 95% этиловым спиртом и выдерживаем в обработанном состоянии не менее 3 часов для того, чтобы полностью исключить возможность какого-либо заражения. По окончании работ неисправное устройство утилизируется, а данные доставляются удаленно. Таким образом, взаимные контакты заказчика и исполнителя и риск заражения исключены.

Итоги

Конечно же, объем обращений по имеющимся каналам связи практически не изменился — я бы сказал, что он даже стал больше, ведь находясь в самоизоляции люди чаще пользуются своими устройствами, и они чаще выходят из строя. Объем удаленной работы увеличился в разы — настолько сильно, что мой интернет-канал занят постоянно, и конца этому не видно. Скажу больше — моим заказчикам гораздо больше нравится удаленное обслуживание, ведь при этом не нужно куда-то ехать; то, что ждать по факту приходится дольше, чем при прямом обращении в офис, сейчас уже никого особо не пугает.

Количество физических обращений сокращено до возможного минимума — те, кто могут ждать окончания режима ЧП, ожидают этого события. В режиме физического доступа к носителю обрабатываются только те заказы, которые объективно не могут ждать.

Восстановление информации с карты памяти CFast 2.0

stankorb Восстановление информации, Реальный кейз , , , , , , , , , , ,

Профессиональные карты памяти CFast стандарта 2.0 появились на рынке относительно недавно (более-менее массово их стали использовать в профессиональных камерах, главным образом Canon, с 2016 года). Не смотря на это, они начали попадать в поле нашего зрения практически сразу после выпуска — но всегда с логическими проблемами (удаленные файлы или карта была отформатирована).

Но все течет, все изменяется — и вот в наших руках первая карта CFast 2.0, неисправная физически. Карта не отдает свой ID, не показывает емкость и вообще ведет себя довольно тихо. Увы, другого выхода, кроме как выпаивать NAND-микросхемы и вычитывать их дампы с последующей сборкой образа, у нас нет.

Тут следует сказать пару слов о том, что такое CFast 2.0. Для многих это просто карта памяти Compact Flash, пусть и с другим коннектором. Однако по факту это твердотельный диск (SSD) со стандартным SATA-соединением. Правда, разъем питания отличается от SATA, но это не мешает устройству по факту оставаться SSD в SATA-исполнении.

Что это значит для нас? Стандартная сборка дампов для этого накопителя невозможна, необходимо использовать алгоритмы, характерные для SSD.

Карта памяти CFast 2.0 Lexar 128 GB, поступившая к нам в работу

Пришедшая в работу карта CFast 2.0 Lexar 128 GB построена на довольно проблемном контроллере SM2246XT — сборка данных на этом контроллере имеет свои сложности, и довольно часто — фатальные для данных. Особенно, когда микросхемы памяти вычитаны с проблемами.

В нашем случае память прочиталась хорошо, а битовые ошибки были почти полностью скорректированы механизмами ЕСС. Мы получили «чистые» дампы в количестве 16 штук (в нашей карте 4 NAND-микросхемы, в каждой микросхеме по 4 банка) по 4 Гбайт каждый.

Карта CFast 2.0 Lexar 128 GB внутри
Коннектор карты CFast 2.0
NAND-микросхема из карты памяти CFast 2.0 Lexar 128 GB (BGA 152)

Для восстановления информации с этой карты пришлось комбинировать два инструмента. Дампы памяти считывались с использованием PC-3000 Flash через специализированный адаптер (BGA-152/132). В этом же комплексе производилась первоначальная обработка дампов (коррекция с использованием ЕСС и перечитывание нескорректированного). После этого дампы были перенесены в PC-3000 SSD, где проводились дальнейшие работы по восстановлению данных.

Безопасное извлечение USB-устройств. Почему и зачем?

stankorb Восстановление информации, Компьютерное железо , , , , , , , , , , ,

Когда вышла из строя USB-флешка, как минимум в половине случаев это связано с тем, что она не была извлечена из компьютера корректно. Почему так происходит? Давайте разберемся.

USB и Plug-and-Play

Один из неоспоримых плюсов USB — легкость его монтирования в операционную систему. Принцип Plug-and-Play (вставил и работай) реализован давно, и для разных устройств, но все же наиболее полно он оказался открыт для USB-устройств. Подключая к компьютеру USB-флешку, смартфон, камеру, мышку или любое другое устройство с этим интерфейсом, мы получаем это устройство работающим практически незамедлительно после подключения. Поддержка устройств USB давно стала общемировым стандартом практически для всех операционных систем.

Современный внешний твердотельный накопитель на базе шины USB 3.1 (тип коннектора USB-C)

Не многие помнят, как это было в Windows 95, Windows 98 и других операционных системах того времени. Для того, чтобы подключить USB-флешку, требовалось сначала установить ее драйвер: или с дискеты, или с CD-ROM. Только после установки драйвера флешка начинала распознаваться в системе и с ней можно было работать. Соответственно, для того, чтобы перенести данные с одного компьютера на другой на этой самой флешке, требовалось нести с собой и диск с драйверами — в противном случае перенос был невозможен.

Скорости USB. Быстрее, выше, сильнее!

Надо ли говорить о том, что скорость работы первых устройств USB, ограниченная интерфейсом USB первого поколения, была весьма и весьма скромной?

Настоящий прорыв наступил с разработкой стандарта USB 2.0 в 2000 году и последовавшим за ним выходом в 2001 году Windows XP. Эта операционная система уже широко поддерживала огромный спектр USB-устройств, для их использования уже не требовалось установки каких-то особых драйверов (лишь в редких случаях, для устройств, для которых Windows XP не имел встроенного драйвера: некоторые сканеры, принтеры и т.п.; устройства хранения информации на базе интерфейса USB требовали установки особого драйвера крайне редко). Стандарт USB 2.0 обеспечивал неплохую скорость, и шина из Useless Serial Bus (бесполезная последовательная шина; так USB в шутку называли на заре его возникновения, поскольку устройств с его поддержкой было очень мало) революционными темпами превратилась в Universal Serial Bus (универсальная последовательная шина).

Однако скоростей USB 2.0 очень быстро перестало хватать, и разработчики стандарта предложили USB 3.0 — стандарт, скорости которого были максимально приближены к SATA. За короткое время были разработаны три стандарта: 3.0, 3.1 и 3.2; в итоге производители решили, что для третьего поколения USB стандартов как-то многовато, и объединили их все под крылом USB 3.2.

В настоящее время устройства с интерфейсом 3.2 позволяют, например, копировать огромные объемы информации за короткое время. При соблюдении некоторых условий реальная скорость работы внешнего твердотельного диска на шине USB 3.2 будет больше, чем скорость работы внутреннего жесткого диска на интерфейсе SATA.

Безопасное извлечение USB-устройства. Как это работает?

Ну а теперь можно поговорить и о том, о чем, собственно, написана эта статья. Что такое безопасное извлечение USB-устройства?

Впервые эта функция появилась в операционной системе Windows XP, и была реализована на уровне драйверов системы. Конкретно за безопасное извлечение устройств в Windows отвечает драйвер hotplug.dll.

Меню безопасного извлечения устройств в трее Windows 8.1

Для того, чтобы безопасно извлечь USB-устройство, нужно перевести указатель мышки в область системного трея, где выбрать соответствующий значок (см. скриншот выше). После этого нажать на него, подождать, пока система оповестит о возможности безопасного извлечения, и уже после этого извлекать устройство.

При активации безопасного извлечения устройства происходят следующие акции:

  1. Если в очереди записи/чтения на устройство имелись задачи, им ставится наивысший приоритет и производится их выполнение и финализация.
  2. Производится очистка системных областей буферной памяти, имеющих отношение к отключаемому устройству.
  3. Закрываются окна, имеющие отношение к отключаемому устройству (работает не во всех версиях операционных систем).
  4. Производится отмена любых операций внутренней активности устройства с их завершением.
  5. Отключается питание с порта USB, где будет извлекаться устройство, или этот порт переводится в режим ожидания.

Почему так важно безопасно извлекать устройство?

Давайте теперь представим, как будет работать USB-устройство, если мы не используем безопасное извлечение и выдергиваем это устройство, что называется, на живую.

Начнем с того, что устройство вполне может не содержать тех данных, которые вы на него отправили. Я уже показывал то, как работает отложенная запись Windows (ниже привожу это видео еще раз).

Другими словами, то, что вы отправили на устройство какие-то файлы, при небезопасном извлечении устройства вовсе не гарантирует того, что эти файлы будут на вашей флешке.

Это первая опасность.

Вторая опасность заключается в том, что при небезопасном извлечении устройства оно может выйти из строя. Небольшой перекос при извлечении, неравномерность движения в разъеме, слишком сильный нажим и т.п. — могут привести к тому, что произойдет электрическое повреждение устройства (а при небезопасном извлечении оно в разъеме находится под током). После этого устройство остается или ремонтировать, или (в случае невозможности ремонта) восстанавливать более радикальными методами, связанными с выпаиванием NAND-микросхем.

Третья опасность — возможный выход из строя микропрограммы устройства. Любой USB-накопитель, кроме микросхем, в которых хранятся данные (NAND-микросхемы), имеет контроллер. Этим контроллером и управляется устройство. Для функционирования устройства имеется микропрограмма, одной из важных частей которой является трянслятор.

Транслятор — это часть микропрограммы, которая соединяет физиескую адресацию пространства внутри флешки с логической адресацией пространства для операционной системы. Грубо говоря, физические адреса секторов переводятся в LBA, понятные операционной системе. При этом физически первый сектор для Windows во флешке может быть где-то в середине или в конце (совпадение физической и логической адресаций нынче скорее исключение, чем правило).

Так вот, во включенном состоянии флешка довольно часто совершает операции по оптимизации своего адресного пространства, производя соответствующие изменения в микропрограмме. Если в момент начала записи каких-то критических данных флешку выдернуть из компьютера, то эти данные записаны не будут. При следующем включении микропрограмма начнет искать эти данные, не сможет их найти и, как следствие, остановит работу. Устройство попадет в состояние «ошибка». Вывод из ошибки USB-устройств возможен далеко не всегда, для восстановления данных могут потребоваться довольно дорогостоящие процедуры.

Ну и еще одна опасность (четвертая) — это возможный выход из строя внешних жестких дисков, подключаемых через USB. Внешние жесткие диски получают питание через USB, и, соответственно, при внезапном обесточивании (то есть небезопасном извлечении) могут не успеть запарковать головки. При этом головки останутся на поверхности, упадут на нее, что неизбежно приведет к повреждению и головок, и поверхностей — а значит, к потере данных. Извлечение данных с USB-дисков с заклинившими на поверхности головками часто является весьма нетривиальной задачей.

Пятая опасность — выход из строя самого разъема USB. Это возможно по тем же причинам, которые характерны для второй опасности.

Как обычно. Пара практических советов в конце =)

Первый и самый главный совет — не забывайте о безопасном извлечении устройств. Даже если вы очень спешите — поверьте, лишние 20 — 30 секунд, потраченные на эту несложную операцию, могут уберечь вас от значительно больших затрат времени, к которым может привести потеря данных.

Второй совет. Извлекая устройство, старайтесь не перекашивать его, ведь после активации протокола безопасного извлечения часто USB-порт находится в режиме ожидания, и при перекосе может случиться так, что флешка потеряет контакт с портом и потом восстановит его; для системы это будет сигналом того, что в порт попало новое устройство, и система начнет процедуру его определения и использования. А вы при этом устройство уже извлекаете. Системные или аппаратные ошибки при этом весьма вероятны.

Заказчик сделал невозможным восстановление информации: Seagate в печальном состоянии на нашем столе

stankorb Восстановление информации, Казусы и интересные случаи, Реальный кейз , , , , , , , ,
Радиальные царапины от неудачных попыток заказчика самостоятельно вывести задранные головки.

Очередной заказ на восстановление информации, увы, из категории «безнадежный». Диск прибыл во вскрытом состоянии и с весьма плачевным состоянием поверхностей. Головки сорвало в парковочной зоне (скорее всего, упор позиционера деформировался, что привело к удару слайдерами об ось шпинделя). В парковочной области образовался концентрический запил.

Такие типы запилов (тем более, в парковке) можно обойти. Это не просто, но возможно (модифицируется программа старта накопителя, который, вместо того, чтобы проводить полный цикл запуска с рекалибровкой, просто позиционирует головки в нужное нам место). Если бы проблема была только с запилом в парковочной зоне, за данные можно было бы еще повоевать.

Но, увы, заказчик решил самостоятельно демонтировать блок магнитных головок (для чего, сформулировать не смог). Работал без защиты от пыли и грязи, на обычном письменном столе. Как результат: отпечатки пальцев на поверхностях (что в целом не страшно и может быть убрано) и (что намного хуже) несколько радиальных царапин неправильной формы.

Радиальные царапины полностью исключают возможность использования донорского блока магнитных головок, так как при каждом вращении головки неизбежно попадут в область турбулентности, генерируемую царапиной, очень быстро перегреются и выйдут из строя. Кроме того, неизбежны микротравмы поверхности выбиваемой из этих царапин пылью.

Вердикт: восстановление данных невозможно.

Отпечатки пальцев на поверхности. Заказчик работал без соблюдения элементарной чистоты.

Резервное копирование мобильного телефона: суровая необходимость

stankorb Восстановление информации, Полезные советы , , , , , , , , , , , ,

Резервное копирование телефона — зачем это?

Мобильный телефон очень для многих сейчас заменяет практически все компьютерные устройства: это и фотокамера, и склад фотографий, и калькулятор, и мессенджер (причем не один), и средство доступа к банковским счетам, и средство платежа, и многое другое. Собственно, как телефон — средство связи — он сейчас используется намного меньше, чем все остальное. Просто проанализируйте: как часто вы делаете телефоном фотографии и как часто вы совершаете им же звонки. Разница будет разительной.

Именно поэтому резервное копирование вашего телефона превращается в задачу насущной необходимости, ведь очень часто пользователь не помнит ни логинов, ни паролей, которые когда-то давно ввел в своем телефоне для десятков приложений; не помнит пин-кодов, номеров телефонов наиболее важных контактов, и т.п. Потеря телефона или данных с него будет в этом случае равносильна потере связки ключей: от квартиры, от машины, от гаража… И если другой такой связки у вас нет, то придется вызывать специалистов для взлома дверей, а потом все это ремонтировать и восстанавливать.

Для того, чтобы подобных вещей не происходило, мобильный телефон время от времени требуется резервировать. Это не так сложно, как кажется. Мы рекомендуем производить резервное копирование вашего аппарата еженедельно — тем более, что для этого не потребуется много времени.

Разбиваем резервное копирование телефона на части

Давайте для начала решим, что будем резервировать. Это отнюдь не праздный вопрос — ведь от того, какой тип резервирования вы выберете, будет зависеть то, насколько быстро в случае проблем вы сможете вернуть назад функционал вашего мобильника.

Очевидно, что наиболее ценными данными являются данные приложений (явки, пароли, настройки), контакты, заметки и переписка. Вслед за ними — медиаданные (фотографии и видео). Последний уровень ценности — музыка и другой развлекательный контент. Все остальное принципиальной ценности обычно не имеет.

Таким образом, первое, что следует резервировать — это данные приложений, контакты, переписку. Затем — фотографии, видео. И, наконец, в последнюю очередь (если нужно) — музыку.

Лайфхак: резервируем фотографии в облако. Все, бесплатно и навсегда

Очевидно, что фотографии и видеофайлы — это самый «тяжелый» кусок данных телефона. И их резервирование будет занимать массу времени. Но есть красивое и легкое решение: Яднекс Диск для мобильного телефона.

Установив Яндекс Диск (это можно сделать из Google Play Market если у вас телефон под управлением Android или из App Store если у вас iPhone или iPad), достаточно войти в ваш Яндекс-аккаунт (если у вас такого нет, то его можно создать в процессе открытия приложения) и разрешить автозагрузку фотографий и видеофайлов в облако. Все. Процесс загрузки файлов в облако начнется незамедлительно, и через некоторое время (в зависимости от того, как много данных такого типа хранится в вашем телефоне на момент включения этой опции) все ваши фото и видео будут закачаны на Яндекс Диск. Все, что вам нужно, чтобы не потерять к ним доступ — помнить логин и пароль от этого сервиса.

Автозагрузка фото и видео на Яндекс Диск хороша еще и тем, что сервис делает это автоматически. Как только вы отсняли новый материал, и условия сети позволяют залить файлы в облако (возможно две опции — заливать только по Wi-Fi, или использовать любую сеть), они будут туда залиты. Потерять при этом фото довольно проблематично.

Кроме того, Яндекс обещает безлимитное хранение фото и видео в своем облаке. То есть вы можете не думать о том, сколько там еще места осталось в вашем облаке.

Не бойтесь подключать на один аккаунт Яндекс Диска несколько устройств. Фотографии будут закачиваться в облако со всех телефонов.

Настройка и включение автозагрузки фотографий в облако Яндекс Диск на телефоне Apple iPhone

Резервирование Apple iPhone: так просто, как это может быть

Резервирование Apple iPhone — очень простая операция. Для того, чтобы полностью зарезервировать ваш телефон, вам понадобятся три вещи: сам телефон, компьютер и кабель для соединения телефона с компьютером.

Установите на компьютер программу Apple iTunes. Скачать ее можно с сайта apple.com. После этого подключите ваш iPhone (или iPad) через кабель к компьютеру. Телефон распознается автоматически; скорее всего, он потребует разрешить или запретить доверять компьютеру. Выберите «Доверять». После этого телефон будет открыт в программе iTunes. Подождите некоторое время, пока программа загрузит с телефона всю необходимую информацию. После этого в верхней левой части программы, около значка «Музыка», появится пиктограмма вашего телефона. Нажмите на нее, и откроется меню управления аппаратом. Выберите «Обзор»; тут и находятся волшебные кнопки управления резервированием. Выберите то, что вам удобнее (я обычно создаю локальную копию, это быстрее; не забудьте выбрать и галочку о шифровании локальной копии), а затем нажмите кнопку «Создать копию сейчас». Процесс резервирования займет некоторое время.

Вернуть телефон к состоянию, на которое сделана резервная копия, можно с помощью кнопки выше — «Восстановить iPhone».

Apple iTunes. Меню управления резервным копированием

Резервирование телефона под управлением Android: используем встроенные инструменты

Для того, чтобы создать резервную копию телефона под управлением Android, также не требуется никакой особой подготовки. В подавляющем большинстве случаев достаточно встроенных в операционную систему инструментов.

Этапы резервирования телефона на внешний носитель (карту microSD) в телефоне Huawei Honor 7C (Android 8.0)
Расположение меню «Восстановление и сброс» и интерфейс создания резервных копий в телефоне Philips Xenium (Android 4.2.2)

Инструменты резервного копирования в телефонах под управлением Android всегда расположены в блоках меню личных данных. Возможно два типа резервного копирования: в облако (на сервера Google) и на внешний носитель (в версиях Android начиная с 6.0; для асти телефонов может быть реализовано в более ранних версиях; в некоторых телефонах может быть не реализовано).

При копировании в облако восстановление телефона возможно только при его инициализации: когда вы введете установочные данные вашего Google-аккаунта, система просканирует его на предмет наличия резервных копий и, в случае их обнаружения, предложит восстановление из резерва. В отличие от этого, восстановление из локальной копии возможно в любое время.

Заключение. Пара советов и пара выводов

Как видите, резервирование мобильного телефона — задача вполне посильная даже для неискушенного в компьютерных делах пользователя. Выводы из этой статьи чрезвычайно просты: выполнение резервирования телефона целиком (а не отдельных его частей) наверняка гарантирует отсутствие головной боли при восстановлении доступа к вашим аккаунтам, переписке, контактам и т.п. в случае непредвиденной утери аппарата или данных с него; сама процедура резервного копирования телефона что в облако, что на локальный компьютер или карту памяти настолько удобны и просты, что пренебрегать этим нелогично и неправильно.

Ну и пара советов.

Совет 1. Как определить, когда требуется зарезервировать ваш телефон? Тут все просто. Когда объем критичных для вас данных после последнего резервирования уже таков, что потеря этих данных окажется невосполнимой. Можно поступить просто и настроить периодичные резервирования — скажем, один раз в неделю. В этом случае, если резервирование происходит в облако, вы даже о нем не узнаете.

Совет 2. Периодически проверять, производятся ли резервирования. Доверять автоматике полностью не стоит: если в системе случился какой-то сбой, то резервирования в автоматическом режиме могут и прекратиться.

Очередная китайская подделка: жесткий диск якобы на 500 Гбайт

stankorb Казусы и интересные случаи, Реальный кейз , , , , , , , , ,
Восстановление информации в Бишкеке | Data Recovery Bishkek | Восстановление данных в Кыргызстане | DataRecovery.KG

Сегодня к нам в лабораторию поступил довольно любопытный диск. Нет, вначале мы подумали, что это будет рядовой, заурядный заказ — Western Digital на 500 Гбайт, ничего вроде бы особенного, но… При подключении диска к ПАК РС-3000, после вывода диска на интерфейс, оказалось, что его емкость 320 Гбайт, а серийный номер диска при идентификации отличается от того, который написан на этикетке.

Тщательный осмотр показал: гермоблок накопителя относится совсем к другому семейству. Судя по этикетке, диск должен быть Tahoe и иметь явственно выраженные ребра по краям крышки гермозоны. По факту же накопитель оказался из семейства Rider с соответствующим строением крышки.

Собственно, те, кто подделал накопитель, особенно и не скрывали своей активности. Торцевая этикетка накопителя, дублирующая серийный номер, даже не была отделена от печатной основы — мы легко удалили ее, и нашему взору предстала оригинальная, исходная этикетка с серийным номером.

Вполне логично спросить: а для чего наклеивать на накопитель емкостью 320 Гбайт этикетку, на которой указано 500? Кто знает… Судя по истории этого компьютера, был он куплен давно, в те времена, когда такая разница в емкости была существенной по деньгам. Поэтому, думается, меркантильный интерес тут самый оправданный.

Восстановление информации в Бишкеке | Data Recovery Bishkek | Восстановление данных в Кыргызстане | DataRecovery.KG
Восстановление информации в Бишкеке | Data Recovery Bishkek | Восстановление данных в Кыргызстане | DataRecovery.KG
Восстановление информации в Бишкеке | Data Recovery Bishkek | Восстановление данных в Кыргызстане | DataRecovery.KG

Восстановить информацию с переломленной флешки

stankorb Восстановление информации, Реальный кейз , , , , , , ,

Задача. Восстановить данные с переломленной флешки.

Описание проблемы. Флешка имеет физическое повреждение: переломлена.

Результаты диагностики. Методом визуального осмотра определено, что флешка переломлена в области соединения USB-разъема.

Необходимые для восстановления информации процедуры.

  1. Распайка разъема USB на монтажной плате.
  2. Напайка проводников для соединения флешки и USB-разъема.
  3. Проверка соединения.
  4. Включение флешки в штатном режиме, копирование данных заказчика.

Результат.

Данные восстановлены полностью.

Особенности заказа.

Такие заказы обычно не являются сложными, так как возможность привести устройство к состоянию «чтение в штатном режиме» всегда лучше, чем восстановление информации в технологическом режиме.



Мы принимаем к оплате | We accept payments


Мы стажировались и работали в странах | We worked or practiced in following countries