реальный кейз

Большой жесткий диск как большая могила для данных

stankorb Восстановление информации, Реальный кейз , , , , , , , , ,

Жесткие диски большой емкости (больше 8 Тб) все чаще покупают пользователи для хранения на них растущих файловых архивов. Туда уходят как коллекции мультимедия (музыка, фильмы и прочее), так и уникальные пользовательские данные: фотоархивы, видеоархивы, документы и так далее. Большой жесткий диск очень удобен в этом плане: имеет огромный объем при относительно скромных размерах и приемлемой цене, позволяет хранить всю семейную информацию на одном устройстве.

Однако это неоспоримое преимущество является также и ахиллесовой пятой устройства. Хранение всех яиц в одной корзине чревато потерей корзины вместе с яйцами. Если не организован грамотный бэкап, то в случае непредвиденных ситуаций данные могут быть безвозвратно утеряны.

Ниже — пример такой утери.

Залом helioshield накопителя Seagate Exos 20 TB после падения

Жесткий диск Seagate Exos 20 TB упал со стола на пол. Повреждения коснулись не только внутренних узлов устройства — они были настолько сильные, что их видно даже на корпусе диска: вмятины и заломы helioshield, внешней крышки, защищающей диск от утечки гелия. Естественно, диск отказался работать, и огромный массив данных оказался заперт внутри.

Вмятина на helioshield накопителя Seagate Exos 20 TB после падения

Восстановление данных с такого накопителя представляет ряд трудностей. Прежде всего, диск наполнен гелием — соответственно, работать приходится в гелиевой атмосфере. Гелий должен быть чистым, стоимость очищенного газа намного выше, чем стоимость того, которым наполняют воздушные шары на ярмарках и увеселительных мероприятиях.

Следующая проблема — особенности работы микропрограммы, которые должны быть отключены прежде, чем начинать копировать данные с такого диска. Это фоновые процессы, которые диск включает для того, чтобы максимально эффективно использовать свободное место и «лечить» поверхность; естественно, в случае повреждений поверхности и использования донорских запчастей эти процессы не приводят ни к чему хорошему, как минимум сильно замедляя работу диска, а как максимум — выводя его из строя.

Наконец, последняя проблема — это запчасти. Для таких дисков они стоят крайне высоко, и в процессе работы приходят в негодность — поэтому, по сути, являются выброшенными на ветер большими деньгами. Конечно, как результат клиент получает данные, однако стоимость восстановления складывается не только из стоимости работ и расходных материалов, но также и из стоимости запчастей.

Часто стоимость восстановления информации является единственной причиной отказа от работ. Казалось бы, и данные нужны, но денег на их извлечение из неисправного устройства нет.

Часто бывает так, что заказчик обращается в другое место, где ему предлагают более низкую цену. После этого он может снова вернуться к нам — но диск оказывается уже безвозвратно испорчен и восстановление данных с него невозможно. Стоимость, конечно, важный параметр, но в случае с восстановлением информации — все же не решающий. Опыт и чистоплотность специалиста имеют гораздо большее значение.

Если говорить про конкретно этот диск, то заказчик отказался от работ, так как общая стоимость восстановления, включая использование химически чистого гелия и необходимость покупки запчастей, значительно превысила его бюджет.

Будьте предельно аккуратны, используя жесткие диски большой емкости, и делайте резервные копии данных.

Пара других больших дисков: левый уронен, правый — донор запчастей.

Восстановление информации с твердотельного диска SSD INTEL 545S SERIES

stankorb Восстановление информации, Реальный кейз , , , , , , , ,

На днях нам в работу попал накопитель Intel 545S Series — довольно редкий гость в наших лабораториях как в Финляндии, так и в Кыргызстане. Выпущенный 7 лет назад (дата производства данного диска: 30 мая 2018 г.), он верой и правдой отработал почти весь этот срок, и вышел из строя не из-за старения, а по причине неправильного использования.

Восстановление данных с таких дисков — всегда испытание. Дело в том, что SSD Intel по праву считаются одними из самых надежных твердотельных накопителей на рынке. Выход из строя такого диска практически всегда сопряжен с серьезными проблемами: либо критический износ NAND-микросхем, либо проблемы с электропитанием, либо воздействие форс-мажорных обстоятельств (затопление, пожар и т.п.).

В случае с этим диском — восстановление данных прошло успешно, так как износ микросхем памяти позволял вычитывание данных в приемлемом для заказчика качестве.

Запчасти и доноры в восстановлении данных

stankorb Восстановление информации , , , , , , , , ,

Для процедур восстановления данных довольно часто требуются запасные части. К сожалению, купить их отдельно, в виде заменяемых узлов, невозможно. Поэтому в качестве запчастей покупается готовый девайс. Если запчасти нужны для жесткого диска, то покупается жесткий диск, если для SSD — то твердотельный диск, и т.п.

При этом не важно, что именно нужно в качестве запчасти — плата электроники или один элемент на ней, блок магнитных головок или одна головка, крышка гермоблока или мотор — покупается устройство целиком, и обычно — исправное на 100%.

Для чего исправное? Для того, чтобы исключить (в случае неуспеха при замене запчасти) проблемы с запчастями, и искать причину неуспеха в чем-то еще.

В некоторых случаях одной запасти может оказаться мало. К примеру, при таких неисправностях, как повреждения магнитных пластин жесткого диска, может потребоваться два, три или даже больше комплектов головок для вычитывания необходимых данных или их части. С чем это связано?

Например, диск имеет концентрический запил на одной из поверхностей. Технология восстановления данных в этом случае включает три шага. Первый — вычитывание диска по тем поверхностям, где нет повреждений. Для этого донорский блок магнитных головок подвергается модификации: головка по поврежденной поверхности либо отгибается, либо (что чаще) — удаляется физически. После этого производится модификция микропрограммы накопителя (ее заставляют «забыть» об одной из головок, которую мы удалили) и накопитель вычитывается. После этого в гермоблоке производится новая модификация, предназначенная на вычитывание уже поврежденной поверхности, и производится чтение поврежденной поверхности в доступных для вычитывания неповрежденных областях.

При этом головка часто выходит из строя, попадая на невидимые глазу микроповреждения (начинающиеся запилы, сколы, коцки и т.п.), поэтому для вычитывания поврежденной поверхности обычно используется 2 — 3 новых комплекта запчастей.

Соответственно, восстанавливая данные с накопителей с физическими повреждениями (особенно это касается запиленных и зацарапанных поверхностей), стоимость восстановления формируют не только работы, но и количество необходимых запчастей. Особенно драматически сказываются на цене физические повреждения больших накопителей, цена на которые довольно высока: 6, 8, 10 и более терабайт.

Стоимость запчастей для накопителей свыше 20 терабайт может легко превышать 1000 долларов США.

Конечно, наши специалисты постараются подобрать запчасти для проведения работ максимально дешево, однако в случае с восстановлением данных решающим критерием является все же не цена, а качество запчастей. Тут нельзя делать так, как часто делают с автомобилями: установить на время деталь подешевле, чтоб машину можно было использовать. Здесь подход абсолютно другой: данные нужно вычитывать сразу и максимально полно, иначе может получиться так, что плохие запчасти еще больше усугубят положение, и чтение данных в дальнейшем окажется невозможным.

Восстановление данных с запиленного HDD из США

stankorb Восстановление информации, Реальный кейз , , , , , , , ,

Третьего дня наша доблестная почта принесла мне в офис пакет, в котором для восстановления данных приехал сильно пострадавший жесткий диск. Характер повреждений был мне известен заранее — клиент предварительно списался со мной и отправил фотографии диска. Если кратко, то диск хорошо попилился.

В таких случаях гарантий успеха дать нельзя — многое зависит от нюансов, которые по фотографиям выяснить нельзя. Поэтому незамедлительно была проведена подробная диагностика. HDD был разобран в ламинарном шкафу, характер повреждений был оценен.

Три из четырех поверхностей диска оказались пропилены до стеклянной основы. Одна поверхность — самая нижняя — не была затронута разрушениями.

План работ был составлен исходя из характера повреждений. Заказчик оплатил три донорских устройства — именно столько требовалось для того, чтобы достать из диска хотя бы часть данных.

Тут важно оговориться — когда речь идет о восстановлении данных из дисков с запилами, восстановить 100% информации, естественно, нельзя. Речь идет о восстановлении меньшего количества данных. Запиленные области уже не содержат информации — кусочки магнитной поверхности, превратившиеся в пыль, нереально собрать на поверхности в том же порядке, в каком они находились там до момента разрушения. Сколько можно сохранить данных? Никогда нельзя сказать точно. Все оценки до начала работ — исключительно умозрительные. Я предположил, что в этом случае, если мне удастся «завести» диск — то есть проинициализировать его систему трансляции — я смогу восстановить не менее 50% данных.

После оплаты запчастей, приступили к работам. Первое, и самое главное — это достать из диска модули трансляции. Без них, конечно, данные также можно достать, но это будет сильно перемешанный и малопригодный для анализа цифровой мусор. Крайне малое число жестких дисков позволяют читать осмысленные данные с «чистым» транслятором, и наш подопечный в их число не входит.

Надежда на то, что самая нижняя, неповрежденная, поверхность подарит нам вожделенные модули трансляции, оправдалась: нам удалось не только извлечь эти модули, но также создать лоадер (специальную микропрограмму для запуска диска «извне»). После этого, не теряя времени, и использовав те же запчасти, мы сделали посекторный клон незапиленной поверхности. 25% информации в секторном выражении уже восстановлено, неплохо!

Дальше мы приступили к модификации донорских головок для чтения данных из запиленных областей диска. Тут существует три подхода. Первый — покрытие запиленной области специальным составом (его называют нанополимером — видимо, магическая приставка «нано» делает процесс более рекламно привлекательным; на самом деле это обычный полимер на базе соедиений углерода). Второй — полировка области запила до состояния зеркала. И третий — обход запиленной области.

Первые два способа значительно удорожают работы, так как требуют дорогостоящих химических реактивов (полимер в первом случае и полировальные пасты с очень мелким абразивом во втором), очень точных инструментов (нанесение полимера или полировка должны касаться только запиленной области, не должны распространяться на неповрежденную поверхность) и массу времени. Третий способ не такой дорогой, при этом дает абсолютно тот же результат — количество восстанавливаемых данных. Ведь мы помним, что из области запила данные восстановить нельзя, так как их там просто нет.

Единственное, что требуется для третьего способа восстановления данных — это кратное увеличение числа доноров запчастей. То есть, если в случае с покрытием полимером обычно требуется один донор, то в случае с обходом запила — два.

Первый донор имеет ограничитель хода головок изнутри, и данные копируются до начала запила изнутри. Затем донор меняется и устанавливается блок магнитных головок с ограничением хода головки снаружи запила, и также копируется до начала запила снаружи. Как правило, больше двух доноров в этом случае не нужно. Основная проблема в этом случае заключается не в подборе запчастей, а в том, как заставить диск читать данные из определенного участка поверхности, как подавить рекалибровку (чтобы головки не пытались попасть в область парковки, пересекая запил) и т.п. Все эти моменты мы успешно решаем и, как правило, вычитываем из диска довольно большой объем информации.

В случае с этим конкретным диском, нам удалось восстановить почти 90% данных — в основном это были, конечно же, фотографии детей, которые заказчик потерять никак не мог. Такой хороший результат оказался возможным по двум причинам:

Первая — диск был не полный. Точнее, он был заполнен примерно на треть, и большая часть данных оказалась в неповрежденной области диска.

Вторая — заказчик не пожалел денег на запчасти, что дало нам возможность определенного маневра по используемым методикам и в итоге привело к максимально качественному результату.

Восстановление данных с жесткого диска с искривленными головками

stankorb Восстановление информации, Реальный кейз , , , , , , ,

В работу довольно часто поступают жесткие диски со следами постороннего вмешательства, обычно это просто вскрытые диски, но бывают и довольно неприятные исключения из этого правила. Таким оказался и этот заказ.

Диск 2 терабайта, старый Seagate. Открыт, на поверхности немного пыли — но в целом терпимо. Почти уже вздохнул спокойно, но не тут-то было. Пригляделся — а на поверхности едва заметные концентрические царапины. Такие обычно бывают, если диск довольно долго «трется» каким-то инородным телом, но не керамической подложкой головки — на ней всегда остаются опилки, по которым сразу становится видно, что именно задевало поверхности.

В нашем случае таких характерных следов не было.

HDD Seagate 2 TB, пациент, после извлечения из него блока магнитных головок

Найти причину столь неприятных неисправностей оказалось довольно легко, хотя на первый взгляд все выглядело более-менее хорошо.

Проблемными оказались головки накопителя, точнее — парковочные усики. На вершине головки находятся небольшие выступы, которые держат блок магнитных головок в «растопыренном» состоянии, когда головки попадают в парковочную зону. У большинства современных HDD парковочная зона организована как пластиковая парковочная рама, на которую и паркуются головки.

Если головки перекосит при парковке (что случается исключительно редко), или если пользователь решит запарковать застрявшие на поверхности головки (что случается намного чаще), то их парковочные усики могут искривиться, и при следующем включении диска могут начать повреждать поверхность.

Нижние парковочные усики в этом блоке магнитных головок искривлены, что приводит к зацарапыванию поверхности.

Ситуация усугубляется тем, что одна из головок нижней пары сорвана (что хорошо видно на фото выше), и сорванная головка также царапала поверхность, но совсем по другому, более грубо. Поэтому в нашем заказе поверхности оказались повреждены двумя разными способами: «мягкие» концентрические царапины парковочными усиками и серьезные концентрические запилы сорванной головкой.

Поэтому работы пришлось проводить в три этапа. На первом этапе мы сделали полную посекторную копию единственной не пострадавшей поверхности.

Затем, на втором этапе работ, были сделаны посекторные копии с тех поверхностей, которые пострадали от загнутых парковочных усиков. При этом было довольно большое количество дефектных секторов, которые затем перечитывались (если это было технически возможно).

На третьем этапе вычитывалась запиленная поверхность — точнее, та ее область, которая не попадала в запил.

Данные из этого накопителя удалось извлечь почти на 70%, что является весьма неплохим результатом при таких повреждениях.

Восстановление информации с украденного диска: невозможное возможно

stankorb Казусы и интересные случаи, Реальный кейз , , , , , ,

На днях к нам поступил довольно любопытный заказ. Жесткий диск, абсолютно исправный, но около двух месяцев бывший в использовании у другого человека. Проще говоря, диск украли, а вернулся он к своему хозяину лишь через два месяца. Естественно, все время, что диска не было на его законном месте, его использовали: записывали на него фильмы и музыку, очевидно, чтобы куда-то это все переносить или где-то смотреть и слушать.

Ситуация оказалась отягощена тем, что диск (а это был внешний накопитель емкостью 1 Тб) был размечен и отформатирован в файловой системе FAT32 — не самый удачный выбор для файлового хранилища. Почему? Да хотя бы потому, что в FAT32 имеются ограничения на длину пути в имени файла, на размер файла, на количество файлов, и т.п. (подробнее можно почитать в википедии). Ну и самое главное — при форматировании FAT32 затираются файловые таблицы. После этого воссоздать файловую систему довольно трудно, а если на диске имелись крупные фрагментированные (состоящие из нескольких кусков, раскиданных по разным местам диска) файлы, то возникают проблемы с их сборкой.

Ну и добавьте сюда то, что диск около двух месяцев использовался, активно затирая данные настоящего владельца.

В этих условиях восстановление информации — задача вовсе не тривиальная. С чего мы начали?

Как обычно, был создан полный посекторный клон диска. Да, мы работаем только так: в любых условиях, при любой неисправности мы вначале создаем клон диска. О том, почему мы так делаем, мы уже писали, и останавливаться на этом не будем. Работа с оригинальным диском — вне зависимости от того, какая у него неисправность — это грубейшая ошибка любого псевдоспециалиста в области восстановления данных, так как при этом имеется потенциальный риск для данных пользователя. А работа специалиста по восстановлению данных как раз и заключается в том, чтобы достать данные, полностью исключив все риски.

После клонирования работы ведутся только с клоном, оригинальный «больной» диск заказчика отправляется на полку.

Естественно, в нас теплилась надежда, что какие-то фрагменты старой файловой системы на диске все-таки остались. И мы не ошиблись — при анализе диска нам удалось обнаружить больше 800 записей о каталогах и больше 64000 записей о файлах. Дело за малым: собрать это все в файловую систему.

Как правило, в таких случаях мы не ограничиваемся сборкой виртуальной файловой системы, так как гарантировать ее 100%-ное совпадение с исходной в условиях перезаписи нельзя. Поэтому мы проводим параллельную работу восстановления файлов по сигнатурам: диск сканируется последовательно, все найденные заголовки файлов анализируются, после чего файлы собираются и «выливаются» на диск-приемник. При этом восстанавливается все, что было записано на диск, вне зависимости от того, кто и когда это сделал. В случае с фрагментированными файлами (особенно это касается видео) используются наши собственные разработки.

Так же мы поступили и на этот раз: данные были восстановлены как традиционным путем, с сохранением файловой структуры, так и в режиме сигнатурного поиска. Как ни странно, результаты оказались почти одинаковыми по объему восстановленного — а это означает, что файловая система была воспроизведена очень близко к исходной, почти без потерь.

Ну и о результатах. Это было сюрпризом, но результат оказался более чем воодушевляющим: нам удалось восстановить около 75% данных, которые находились на диске на момент кражи. Заказчик остался доволен, да и мы тоже остались довольны своей работой.

Станислав К. Корб (С) 2019

Новый сложный заказ из России: Seagate ST2000DM001 с запилами

stankorb Восстановление информации, Казусы и интересные случаи, Реальный кейз , , , , , ,

Из России прибыл больной накопитель некогда популярной серии Seagate Grenada (ST2000DM001). Диск вскрыт, пакет пластин разбирался (что видно по состоянию шурупов), блок магнитных головок менялся. При таком уровне воздействия диск неизбежно проходит у нас ряд проверок, так как абсолютно неизвестно, что с диском делалось до нас. Эти проверки:

  1. Проверка соответствия платы электроники и гермоблока.
  2. Проверка состояния платы электроники (выполняется совместно с первым пунктом).
  3. Проверка состояния блока магнитных головок.
  4. Проверка состояния магнитных поверхностей.

В результате проверок было выяснено: плата электроники исправна и соответствует гермоблоку; блок магнитных головок в плачевном состоянии (об этом ниже), магнитные поверхности в удовлетворительном состоянии (об этом ниже).

Блок магнитных головок

Этот узел вызвал у нас наибольшие опасения. Состояние головок крайне неудовлетворительное, головки имеют серьезные повреждения, изображенные на фотографиях ниже.

  • Головка 0
  • Головка 1
  • Головка 2
  • Головка 3
  • Головка 4
  • Головка 5

Как мы видим, все головки без исключения покрыты мелкодисперсной металлизированной вылью и имеют повреждения, несовместимые с их функционированием.

В этом накопителе верхняя головка не используется (выяснено по серийному номеру устройства), поэтому ее использование предыдущим специалистом видится нам как минимум странным. Очевидно, она не используется с завода не просто так: поверхность имела повреждения, поэтому при установке на эту поверхность новой головки она начала царапать эти повреждения, что привело к формированию запила и повреждению всего гермоблока.

Пакет магнитных пластин

Повреждения головок не внушали оптимизма о состоянии магнитных пластин, поэтому пакет пластин был разобран и внимательно осмотрен. Была обнаружена первоначальная проблема диска: след хорошего удара на поверхности 1. При таких повреждениях использование головки по этой поверхности строго не рекомендуется, так как может привести к формированию запила по «больной» поверхности и, как следствие, к выходу из строя БМГ полностью.

Выводы и результат

Для выполнения работ по восстановлению данных с этого диска нам потребовалось два донорских устройства. БМГ из первого устройства был модифицирован так, чтобы не участвовать в вычитывании поврежденной поверхности 1. БМГ из второго устройства использовался для вычитывания только поверхности 1.

С учетом имеющихся повреждений, в оригинальном гермоблоке накопителя было очень много металлической пыли. Было принято решение об очистке магнитных пластин и их переносе в другой гермоблок (это оказалось эффективнее очистки оригинального гермоблока).

Результатом всех этих манипуляций стало восстановление информации из накопителя на 86%. Потери в 14% объясняются тем, что в дисках этого семейства (Seagate Grenada) зоны (последовательные участки логических секторов, расположенные на поверхности) имеют небольшой размер, и некоторая часть данных оказалась в довольно обширном (около 30% объема) поврежденном участке по поверхности 1. В целом, с учетом всех повреждений и предыдущего вмешательства, результат неплохой. В случае полной потери поверхности 1 он был бы хуже в несколько раз.

Toshiba MQ01UBD100: диск с кривым корпусом

stankorb Восстановление информации, Казусы и интересные случаи, Реальный кейз , , , , , , , , , ,
Toshiba MQ01UBD100

Сегодня у нас был интересный диск, Toshiba MQ01UBD100. Собственно, интересна не сама модель, а симптоматика накопителя. При подключении диска к компьютеру он стучит (что нормально при неисправном блоке магнитных головок). Но вот причина этого стука весьма своеобразна.

Диск, конечно же, уронили. Как это описал хозяин накопителя, диск упал и повис на своем проводе — то есть даже соударения с поверхностью не было. Но застучал сразу же.

Обратите внимание на фото ниже. При нажатии на один из углов накопителя диск начинает «гулять» по столу — поднимаются углы диска. То есть корпус накопителя изогнут винтом. Такое возможно только в одном случае: на диск было оказано сильное физическое воздействие — нажатие. Скорее всего, диск положили в задний карман брюк и сели на него, то и привело к искривлению корпуса. Поскольку искривление небольшое, диск после этого мог нормально работать — до следующего воздействия, которое оказалось уже фатальным.

При падении (диск был включен) головкам не хватило свободного хода между слайдером и крышкой гермоблока, и они ударились о нее. При соударении на таких скоростях головки неизбежно выходят из строя, что и случилось.

В этом случае без замены блока магнитных головок и переноса пакета магнитных пластин в другой гермоблок не обойтись. Любые другие операции сопряжены с огромным риском запилить поверхности.

Зазор между столом и корпусом диска Toshiba MQ01UBD100

RAID-5, 7 дисков. Непростое восстановление данных из дискового массива после неудачного ребилда

stankorb Реальный кейз , , , ,
Пострадавший сервер. 7 SAS-накопителей 136 Гбайт каждый.

Задача. Восстановить данные с дискового массива из 7 дисков, поступившего к нам после неудачного ребилда.

Описание проблемы. Массив разрушен, необходимы данные.

Результаты диагностики. Для диагностики массив был исследован с помощью ПАК РС-3000. Выяснено, что все накопители массива исправны. Посредством исследования журнала сервера выяснено, что ребилд начался по обнаружению ошибок на одном из накопителей с подключением диска горячей замены. Диск горячей замены также оказался дефективным, поэтому ребилд завершился с ошибкой.

Необходимые для восстановления информации процедуры.

  1. Создание посекторных копий каждого из участников массива для исключения влияния аппаратных проблем на конечный результат.
  2. Исследование массива, определение исходных параметров (до ребилда).
  3. Откат ребилда.
  4. Сборка массива
  5. Извлечение пользовательских данных.

Результат.

Данные восстановлены полностью.

Особенности заказа.

Обычно последствия незавершенного ребилда не являются серьезной проблемой для восстановления данных, если удается точно определить точку, в которой ребилд остановился. Если эту точку не определить правильно, в данных появятся сдвиги, и сборка массива после отката ребилда окажется невозможной.

Образы участников дискового массива на SSD-накопителе

Сгоревшая плата жесткого диска: восстановление информации с диска Seagate Barracuda 4

stankorb Реальный кейз , , , , ,
Выгоревшие элементы цепи питания

Задача. Восстановить данные с жесткого диска Seagate Barracuda 4 80 GB.

Описание проблемы. Накопитель поступил с проблемой «из области диска пошел дым».

Результаты диагностики. Диагностика произведена посредством визуального осмотра. Обнаружено, то на плате управления диска сгорели элементы цепи питания.

Необходимые для восстановления информации процедуры.

  1. Подбор совместимой платы электроники.
  2. Перенос ПЗУ с неисправной платы на исправную.
  3. Запуск накопителя в технологическом режиме.
  4. Создание посекторной копии накопителя.
  5. Извлечение пользовательских данных из полученного образа.

Результат.

Данные восстановлены полностью.

Особенности заказа.

Одна из характерных «болезней» накопителей Seagate — выход из строя элементов силовых цепей платы электроники. При наличии донорских плат проблема фиксится довольно легко.



Мы принимаем к оплате | We accept payments


Мы стажировались и работали в странах | We worked or practiced in following countries

Translate »