реальный кейз

Восстановление данных с запиленного HDD из США

stankorb Восстановление информации, Реальный кейз , , , , , , , ,

Третьего дня наша доблестная почта принесла мне в офис пакет, в котором для восстановления данных приехал сильно пострадавший жесткий диск. Характер повреждений был мне известен заранее — клиент предварительно списался со мной и отправил фотографии диска. Если кратко, то диск хорошо попилился.

В таких случаях гарантий успеха дать нельзя — многое зависит от нюансов, которые по фотографиям выяснить нельзя. Поэтому незамедлительно была проведена подробная диагностика. HDD был разобран в ламинарном шкафу, характер повреждений был оценен.

Три из четырех поверхностей диска оказались пропилены до стеклянной основы. Одна поверхность — самая нижняя — не была затронута разрушениями.

План работ был составлен исходя из характера повреждений. Заказчик оплатил три донорских устройства — именно столько требовалось для того, чтобы достать из диска хотя бы часть данных.

Тут важно оговориться — когда речь идет о восстановлении данных из дисков с запилами, восстановить 100% информации, естественно, нельзя. Речь идет о восстановлении меньшего количества данных. Запиленные области уже не содержат информации — кусочки магнитной поверхности, превратившиеся в пыль, нереально собрать на поверхности в том же порядке, в каком они находились там до момента разрушения. Сколько можно сохранить данных? Никогда нельзя сказать точно. Все оценки до начала работ — исключительно умозрительные. Я предположил, что в этом случае, если мне удастся «завести» диск — то есть проинициализировать его систему трансляции — я смогу восстановить не менее 50% данных.

После оплаты запчастей, приступили к работам. Первое, и самое главное — это достать из диска модули трансляции. Без них, конечно, данные также можно достать, но это будет сильно перемешанный и малопригодный для анализа цифровой мусор. Крайне малое число жестких дисков позволяют читать осмысленные данные с «чистым» транслятором, и наш подопечный в их число не входит.

Надежда на то, что самая нижняя, неповрежденная, поверхность подарит нам вожделенные модули трансляции, оправдалась: нам удалось не только извлечь эти модули, но также создать лоадер (специальную микропрограмму для запуска диска «извне»). После этого, не теряя времени, и использовав те же запчасти, мы сделали посекторный клон незапиленной поверхности. 25% информации в секторном выражении уже восстановлено, неплохо!

Дальше мы приступили к модификации донорских головок для чтения данных из запиленных областей диска. Тут существует три подхода. Первый — покрытие запиленной области специальным составом (его называют нанополимером — видимо, магическая приставка «нано» делает процесс более рекламно привлекательным; на самом деле это обычный полимер на базе соедиений углерода). Второй — полировка области запила до состояния зеркала. И третий — обход запиленной области.

Первые два способа значительно удорожают работы, так как требуют дорогостоящих химических реактивов (полимер в первом случае и полировальные пасты с очень мелким абразивом во втором), очень точных инструментов (нанесение полимера или полировка должны касаться только запиленной области, не должны распространяться на неповрежденную поверхность) и массу времени. Третий способ не такой дорогой, при этом дает абсолютно тот же результат — количество восстанавливаемых данных. Ведь мы помним, что из области запила данные восстановить нельзя, так как их там просто нет.

Единственное, что требуется для третьего способа восстановления данных — это кратное увеличение числа доноров запчастей. То есть, если в случае с покрытием полимером обычно требуется один донор, то в случае с обходом запила — два.

Первый донор имеет ограничитель хода головок изнутри, и данные копируются до начала запила изнутри. Затем донор меняется и устанавливается блок магнитных головок с ограничением хода головки снаружи запила, и также копируется до начала запила снаружи. Как правило, больше двух доноров в этом случае не нужно. Основная проблема в этом случае заключается не в подборе запчастей, а в том, как заставить диск читать данные из определенного участка поверхности, как подавить рекалибровку (чтобы головки не пытались попасть в область парковки, пересекая запил) и т.п. Все эти моменты мы успешно решаем и, как правило, вычитываем из диска довольно большой объем информации.

В случае с этим конкретным диском, нам удалось восстановить почти 90% данных — в основном это были, конечно же, фотографии детей, которые заказчик потерять никак не мог. Такой хороший результат оказался возможным по двум причинам:

Первая — диск был не полный. Точнее, он был заполнен примерно на треть, и большая часть данных оказалась в неповрежденной области диска.

Вторая — заказчик не пожалел денег на запчасти, что дало нам возможность определенного маневра по используемым методикам и в итоге привело к максимально качественному результату.

Восстановление данных с жесткого диска с искривленными головками

stankorb Восстановление информации, Реальный кейз , , , , , , ,

В работу довольно часто поступают жесткие диски со следами постороннего вмешательства, обычно это просто вскрытые диски, но бывают и довольно неприятные исключения из этого правила. Таким оказался и этот заказ.

Диск 2 терабайта, старый Seagate. Открыт, на поверхности немного пыли — но в целом терпимо. Почти уже вздохнул спокойно, но не тут-то было. Пригляделся — а на поверхности едва заметные концентрические царапины. Такие обычно бывают, если диск довольно долго «трется» каким-то инородным телом, но не керамической подложкой головки — на ней всегда остаются опилки, по которым сразу становится видно, что именно задевало поверхности.

В нашем случае таких характерных следов не было.

HDD Seagate 2 TB, пациент, после извлечения из него блока магнитных головок

Найти причину столь неприятных неисправностей оказалось довольно легко, хотя на первый взгляд все выглядело более-менее хорошо.

Проблемными оказались головки накопителя, точнее — парковочные усики. На вершине головки находятся небольшие выступы, которые держат блок магнитных головок в «растопыренном» состоянии, когда головки попадают в парковочную зону. У большинства современных HDD парковочная зона организована как пластиковая парковочная рама, на которую и паркуются головки.

Если головки перекосит при парковке (что случается исключительно редко), или если пользователь решит запарковать застрявшие на поверхности головки (что случается намного чаще), то их парковочные усики могут искривиться, и при следующем включении диска могут начать повреждать поверхность.

Нижние парковочные усики в этом блоке магнитных головок искривлены, что приводит к зацарапыванию поверхности.

Ситуация усугубляется тем, что одна из головок нижней пары сорвана (что хорошо видно на фото выше), и сорванная головка также царапала поверхность, но совсем по другому, более грубо. Поэтому в нашем заказе поверхности оказались повреждены двумя разными способами: «мягкие» концентрические царапины парковочными усиками и серьезные концентрические запилы сорванной головкой.

Поэтому работы пришлось проводить в три этапа. На первом этапе мы сделали полную посекторную копию единственной не пострадавшей поверхности.

Затем, на втором этапе работ, были сделаны посекторные копии с тех поверхностей, которые пострадали от загнутых парковочных усиков. При этом было довольно большое количество дефектных секторов, которые затем перечитывались (если это было технически возможно).

На третьем этапе вычитывалась запиленная поверхность — точнее, та ее область, которая не попадала в запил.

Данные из этого накопителя удалось извлечь почти на 70%, что является весьма неплохим результатом при таких повреждениях.

Восстановление информации с украденного диска: невозможное возможно

stankorb Казусы и интересные случаи, Реальный кейз , , , , , ,

На днях к нам поступил довольно любопытный заказ. Жесткий диск, абсолютно исправный, но около двух месяцев бывший в использовании у другого человека. Проще говоря, диск украли, а вернулся он к своему хозяину лишь через два месяца. Естественно, все время, что диска не было на его законном месте, его использовали: записывали на него фильмы и музыку, очевидно, чтобы куда-то это все переносить или где-то смотреть и слушать.

Ситуация оказалась отягощена тем, что диск (а это был внешний накопитель емкостью 1 Тб) был размечен и отформатирован в файловой системе FAT32 — не самый удачный выбор для файлового хранилища. Почему? Да хотя бы потому, что в FAT32 имеются ограничения на длину пути в имени файла, на размер файла, на количество файлов, и т.п. (подробнее можно почитать в википедии). Ну и самое главное — при форматировании FAT32 затираются файловые таблицы. После этого воссоздать файловую систему довольно трудно, а если на диске имелись крупные фрагментированные (состоящие из нескольких кусков, раскиданных по разным местам диска) файлы, то возникают проблемы с их сборкой.

Ну и добавьте сюда то, что диск около двух месяцев использовался, активно затирая данные настоящего владельца.

В этих условиях восстановление информации — задача вовсе не тривиальная. С чего мы начали?

Как обычно, был создан полный посекторный клон диска. Да, мы работаем только так: в любых условиях, при любой неисправности мы вначале создаем клон диска. О том, почему мы так делаем, мы уже писали, и останавливаться на этом не будем. Работа с оригинальным диском — вне зависимости от того, какая у него неисправность — это грубейшая ошибка любого псевдоспециалиста в области восстановления данных, так как при этом имеется потенциальный риск для данных пользователя. А работа специалиста по восстановлению данных как раз и заключается в том, чтобы достать данные, полностью исключив все риски.

После клонирования работы ведутся только с клоном, оригинальный «больной» диск заказчика отправляется на полку.

Естественно, в нас теплилась надежда, что какие-то фрагменты старой файловой системы на диске все-таки остались. И мы не ошиблись — при анализе диска нам удалось обнаружить больше 800 записей о каталогах и больше 64000 записей о файлах. Дело за малым: собрать это все в файловую систему.

Как правило, в таких случаях мы не ограничиваемся сборкой виртуальной файловой системы, так как гарантировать ее 100%-ное совпадение с исходной в условиях перезаписи нельзя. Поэтому мы проводим параллельную работу восстановления файлов по сигнатурам: диск сканируется последовательно, все найденные заголовки файлов анализируются, после чего файлы собираются и «выливаются» на диск-приемник. При этом восстанавливается все, что было записано на диск, вне зависимости от того, кто и когда это сделал. В случае с фрагментированными файлами (особенно это касается видео) используются наши собственные разработки.

Так же мы поступили и на этот раз: данные были восстановлены как традиционным путем, с сохранением файловой структуры, так и в режиме сигнатурного поиска. Как ни странно, результаты оказались почти одинаковыми по объему восстановленного — а это означает, что файловая система была воспроизведена очень близко к исходной, почти без потерь.

Ну и о результатах. Это было сюрпризом, но результат оказался более чем воодушевляющим: нам удалось восстановить около 75% данных, которые находились на диске на момент кражи. Заказчик остался доволен, да и мы тоже остались довольны своей работой.

Станислав К. Корб (С) 2019

Новый сложный заказ из России: Seagate ST2000DM001 с запилами

stankorb Восстановление информации, Казусы и интересные случаи, Реальный кейз , , , , , ,

Из России прибыл больной накопитель некогда популярной серии Seagate Grenada (ST2000DM001). Диск вскрыт, пакет пластин разбирался (что видно по состоянию шурупов), блок магнитных головок менялся. При таком уровне воздействия диск неизбежно проходит у нас ряд проверок, так как абсолютно неизвестно, что с диском делалось до нас. Эти проверки:

  1. Проверка соответствия платы электроники и гермоблока.
  2. Проверка состояния платы электроники (выполняется совместно с первым пунктом).
  3. Проверка состояния блока магнитных головок.
  4. Проверка состояния магнитных поверхностей.

В результате проверок было выяснено: плата электроники исправна и соответствует гермоблоку; блок магнитных головок в плачевном состоянии (об этом ниже), магнитные поверхности в удовлетворительном состоянии (об этом ниже).

Блок магнитных головок

Этот узел вызвал у нас наибольшие опасения. Состояние головок крайне неудовлетворительное, головки имеют серьезные повреждения, изображенные на фотографиях ниже.

  • Головка 0
  • Головка 1
  • Головка 2
  • Головка 3
  • Головка 4
  • Головка 5

Как мы видим, все головки без исключения покрыты мелкодисперсной металлизированной вылью и имеют повреждения, несовместимые с их функционированием.

В этом накопителе верхняя головка не используется (выяснено по серийному номеру устройства), поэтому ее использование предыдущим специалистом видится нам как минимум странным. Очевидно, она не используется с завода не просто так: поверхность имела повреждения, поэтому при установке на эту поверхность новой головки она начала царапать эти повреждения, что привело к формированию запила и повреждению всего гермоблока.

Пакет магнитных пластин

Повреждения головок не внушали оптимизма о состоянии магнитных пластин, поэтому пакет пластин был разобран и внимательно осмотрен. Была обнаружена первоначальная проблема диска: след хорошего удара на поверхности 1. При таких повреждениях использование головки по этой поверхности строго не рекомендуется, так как может привести к формированию запила по «больной» поверхности и, как следствие, к выходу из строя БМГ полностью.

Выводы и результат

Для выполнения работ по восстановлению данных с этого диска нам потребовалось два донорских устройства. БМГ из первого устройства был модифицирован так, чтобы не участвовать в вычитывании поврежденной поверхности 1. БМГ из второго устройства использовался для вычитывания только поверхности 1.

С учетом имеющихся повреждений, в оригинальном гермоблоке накопителя было очень много металлической пыли. Было принято решение об очистке магнитных пластин и их переносе в другой гермоблок (это оказалось эффективнее очистки оригинального гермоблока).

Результатом всех этих манипуляций стало восстановление информации из накопителя на 86%. Потери в 14% объясняются тем, что в дисках этого семейства (Seagate Grenada) зоны (последовательные участки логических секторов, расположенные на поверхности) имеют небольшой размер, и некоторая часть данных оказалась в довольно обширном (около 30% объема) поврежденном участке по поверхности 1. В целом, с учетом всех повреждений и предыдущего вмешательства, результат неплохой. В случае полной потери поверхности 1 он был бы хуже в несколько раз.

Toshiba MQ01UBD100: диск с кривым корпусом

stankorb Восстановление информации, Казусы и интересные случаи, Реальный кейз , , , , , , , , , ,
Toshiba MQ01UBD100

Сегодня у нас был интересный диск, Toshiba MQ01UBD100. Собственно, интересна не сама модель, а симптоматика накопителя. При подключении диска к компьютеру он стучит (что нормально при неисправном блоке магнитных головок). Но вот причина этого стука весьма своеобразна.

Диск, конечно же, уронили. Как это описал хозяин накопителя, диск упал и повис на своем проводе — то есть даже соударения с поверхностью не было. Но застучал сразу же.

Обратите внимание на фото ниже. При нажатии на один из углов накопителя диск начинает «гулять» по столу — поднимаются углы диска. То есть корпус накопителя изогнут винтом. Такое возможно только в одном случае: на диск было оказано сильное физическое воздействие — нажатие. Скорее всего, диск положили в задний карман брюк и сели на него, то и привело к искривлению корпуса. Поскольку искривление небольшое, диск после этого мог нормально работать — до следующего воздействия, которое оказалось уже фатальным.

При падении (диск был включен) головкам не хватило свободного хода между слайдером и крышкой гермоблока, и они ударились о нее. При соударении на таких скоростях головки неизбежно выходят из строя, что и случилось.

В этом случае без замены блока магнитных головок и переноса пакета магнитных пластин в другой гермоблок не обойтись. Любые другие операции сопряжены с огромным риском запилить поверхности.

Зазор между столом и корпусом диска Toshiba MQ01UBD100

RAID-5, 7 дисков. Непростое восстановление данных из дискового массива после неудачного ребилда

stankorb Реальный кейз , , , ,
Пострадавший сервер. 7 SAS-накопителей 136 Гбайт каждый.

Задача. Восстановить данные с дискового массива из 7 дисков, поступившего к нам после неудачного ребилда.

Описание проблемы. Массив разрушен, необходимы данные.

Результаты диагностики. Для диагностики массив был исследован с помощью ПАК РС-3000. Выяснено, что все накопители массива исправны. Посредством исследования журнала сервера выяснено, что ребилд начался по обнаружению ошибок на одном из накопителей с подключением диска горячей замены. Диск горячей замены также оказался дефективным, поэтому ребилд завершился с ошибкой.

Необходимые для восстановления информации процедуры.

  1. Создание посекторных копий каждого из участников массива для исключения влияния аппаратных проблем на конечный результат.
  2. Исследование массива, определение исходных параметров (до ребилда).
  3. Откат ребилда.
  4. Сборка массива
  5. Извлечение пользовательских данных.

Результат.

Данные восстановлены полностью.

Особенности заказа.

Обычно последствия незавершенного ребилда не являются серьезной проблемой для восстановления данных, если удается точно определить точку, в которой ребилд остановился. Если эту точку не определить правильно, в данных появятся сдвиги, и сборка массива после отката ребилда окажется невозможной.

Образы участников дискового массива на SSD-накопителе

Сгоревшая плата жесткого диска: восстановление информации с диска Seagate Barracuda 4

stankorb Реальный кейз , , , , ,
Выгоревшие элементы цепи питания

Задача. Восстановить данные с жесткого диска Seagate Barracuda 4 80 GB.

Описание проблемы. Накопитель поступил с проблемой «из области диска пошел дым».

Результаты диагностики. Диагностика произведена посредством визуального осмотра. Обнаружено, то на плате управления диска сгорели элементы цепи питания.

Необходимые для восстановления информации процедуры.

  1. Подбор совместимой платы электроники.
  2. Перенос ПЗУ с неисправной платы на исправную.
  3. Запуск накопителя в технологическом режиме.
  4. Создание посекторной копии накопителя.
  5. Извлечение пользовательских данных из полученного образа.

Результат.

Данные восстановлены полностью.

Особенности заказа.

Одна из характерных «болезней» накопителей Seagate — выход из строя элементов силовых цепей платы электроники. При наличии донорских плат проблема фиксится довольно легко.

OCZ Vertex 2: SSD с контроллером SandForce

stankorb Реальный кейз , , , ,
SSD OCZ Vertex 2

Задача. Восстановить данные с твердотельного диска OCZ Vertex 2.

Описание проблемы. Накопитель поступил с проблемой «не определяется в системе».

Результаты диагностики. Для диагностики накопитель был исследован с помощью ПАК РС-3000 и терминального адаптера на базе чипа Prolific. Выяснено, что накопитель имеет стандартную проблему зависания прошивки на моменте инициализации системы трансляции.

Необходимые для восстановления информации процедуры.

  1. Переключение накопителя на терминальный режим.
  2. Вычитывание накопителя через терминал на максимальной возможной скорости.
  3. Поиск ключей шифрования в полученном образе.
  4. Расшифровка образа и извлечение из него данных .

Результат.

Данные восстановлены с небольшими потерями.

Особенности заказа.

Накопители на базе контроллеров SandForce отличает сплошное шифрование как пользовательской, так и служебной зон, поэтому успешность восстановления информации с таких дисков напрямую зависит от того, будет ли обнаружен ключ шифрования. Мы — единственная в Бишкеке компания, обладающая технологией расшифровки накопителей на базе контроллеров SandForce. Однако, даже обладая этой технологией, доля успешных восстановлений с таких дисков составляет около 50%, так как зачастую диски выходят из строя из-за серьезной деградации NAND-микросхем, в результате чего считанные дампы могут оказаться непригодного для извлечения данных качества.

Контроллер SandForce
Микросхема NAND-памяти

Sonoscape S11: ремонт профессионального медицинского УЗИ-сканера

stankorb Казусы и интересные случаи, Реальный кейз , ,
  • Sonoscape S11 после ремонта
  • Sonoscape S11 до ремонта
  • Sonoscape S11 после ремонта

Весьма интересный случай ремонта, значительно расширивший наши профессиональные горизонты — ремонт УЗИ-сканера Sonoscape S11. Устройство внезапно перестало загружаться, работа медицинского центра встала. Взялись за работу.

Внутри устройства — управляющий компьютер и блок сканирования, все это управляется особой сборкой Linux. Проблемы с загрузкой возникли из-за проблем с жестким диском: от постоянных вибраций диск отказался работать.

Очевидный вариант с клонированием диска отпал почти сразу: повреждения диска были слишком обширны, и гарантировать, что какой-то узел устройства не начнет сбоить по причине повреждения в каком-то файле, мы не могли. Поэтому было принято решение о замене жесткого диска, перепрошивке и перенастройке устройства.

Ремонт занял весь день и завершился успешно. Аппарат работает, можно лечиться =).

Содержимое диска Sonoscape S11

Испания. Семинар в Мадриде

stankorb Восстановление информации , , ,

В 2008 году я принимал участие в семинаре, посвященном вопросам восстановления данных, который проходил в Мадриде. Семинар проходил на базе компании Recuperacio des Datos, расположенной в бизнец-центре Genesis.

Здание бизнес-центра Genesis

Семинар был посвящен вопросам восстановления информации с тогда еще относительно новых флаш-накопителей. Я выступал с докладом на тему «Перспективы восстановления данных с флеш-устройств»; доклад был встречен очень хорошо, задавали массу вопросов. Глядя через призму времени, могу сказать, что большая часть моих прогнозов сбылась: устройства на базе NAND-памяти завоевывают все большую популярность, восстановление информации с таких устройств является достаточно сложной, но все же выполнимой задачей. Одним из прогнозов моего доклада был переход как минимум 50% серверов на флаш-носители к 2025 году. Действительно, с разработкой быстрых стандартов передачи данных, таких как NMVe, эта тенденция все больше превращается в реальность.

  • Странные здания Мадрида
  • Странные здания Мадрида


Мы принимаем к оплате | We accept payments


Мы стажировались и работали в странах | We worked or practiced in following countries