ДИНОЗАВР В НАШЕЙ ЛАБОРАТОРИИ

ВОССТАНОВЛЕНИЕ ЖЕСТКОГО ДИСКА В БИШКЕКЕ

На праздниках 8 марта случилось весьма примечательное событие: нам принесли древний жесткий диск, еще MFM, еще 5-дюймов, объемом аж 31 Мегабайт (!!!) Seagate ST-4038. Это был шок: жесткий диск огромного размера, тяжеленный, старинный, и с него нужно восстановить данные!

При включении диск рекалибровался и определился. Странно, а в чем проблема? Диск старый, поэтому LBA не поддерживает. К счастью, в нашем комплекте программ для 286 компьютера есть и одна из первых версий DiskEditor, позволяющая просматривать сектора CHS-дисков и клонировать диск. Приступаем к работе.

Вот тут и обнаружилось, отчего данные на диске были недоступны. Как только мы начали клонировать накопитель, начались проблемы с позиционированием, подстукивания и хрип из гермозоны. Шаговый двигатель – это очень интересно, звуки совершенно не похожи на звуки современных HDD, такие скрипяще-долбящие. В общем, было принято решение читать накопитель с использованием давно забытой команды read long.

31 Мегабайт. Это удивительно… Диск стоял в станке с ЧПУ. Требовалось не просто восстановить с диска файлы, а сделать его полную посекторную копию, которую поместить на другой диск и отдать заказчику. Станок должен продолжать работать.

Read long отработал, как и ожидалось – диск считался полностью. Теперь нужно было решить проблему с накопителем, на который требуется записать данные, чтобы запустить станок. Очевидно, что в станке точно такой же коннектор, как на нашем больном. То есть рассматривать варианты с адаптацией в станок современного или даже не очень современного диска – не вариант.

А почему бы не отремонтировать больного? Физически он исправен, есть некоторые проблемы с поверхностью – но есть и комплекс РС-3000 ISA. Забегая вперед, скажу, что диск починился без проблем, образ диска был записан на него обратно, и станок запустился. Ну а для того, чтобы у заказчика не возникало проблем с этим станком в будущем, образ его жесткого диска был передан ему на компакт-диске.

Станислав Корб, ©2018

КАК ДЕЛАЮТ ФЛЕШКИ ИЗ ХЛАМА

КАК ДЕЛАЮТ ФЛЕШКИ ИЗ ХЛАМА

Намедни поступила к нам в работу довольно своеобразная флеш-карта. Не скажу, что такие карты памяти я вижу в первый раз – приходилось видеть и раньше. Но сегодня я решил про них написать.

Итак, флешка на фотографиях ниже. Казалось бы, все, как обычно: плата, распаянные на ней SMD-компоненты, USB-разъем, чип контроллера и чип памяти. Постойте-ка, чип памяти выглядит довольно необычно. Что это за странная конструкция? Отчётливо видим, что чип расположен на текстолитовой подложке, правда, более тонкой, чем та, которая используется для распайки электронных компонентов в этой флешке. Также видим, что пайка довольно обильная, что не совсем обычно для производства таких накопителей (производитель экономит на всем, включая припой, для повышения прибыли). Что же это такое?

Секрет прост. Именно так выглядят чипы памяти во многих дешевых SD и SDHC-картах. Дядюшка Ляо в одном из подвалов Нанкина (или любого другого китайского города, и любой другой дядюшка), имея доступ к отбраковке одного из заводов, производящих такие карты, использует его для своего собственного производства. Скорее всего, доступ имеется даже не к складу отбраковки, а к свалке, куда ее свозят. Он забирает оттуда не прошедшие выходной контроль карты (а может, и карты, которые вернулись на завод по гарантии – кто знает?), выпиливает оттуда чипы, тестирует их и использует в своих собственных «продуктах».

Дело в том, что довольно часто NAND-микросхема из отбракованных устройств не неисправна физически, но имеет такое количество битовых ошибок, что ее нормальное или полноценное использование в нормальном режиме не может быть подтверждено заводом-изготовителем при выходном тестировании. Поскольку такие устройства для завода стоят очень мало, их демонтаж оказывается дороже, чем простая утилизация. Заводу не выгодно разбирать карту на компоненты, которые должны снова пройти тестирование, поступить на сборочную линию, попасть на новую плату и т.д. Проще все это выбросить в составе уже готовой продукции.

Ну а дядюшке Ляо, в отличие от завода, прибыль в 1 – 2 доллара с устройства вполне подходит, поэтому он изготовил себе станок для вырезания чипов, станок для пайки компонентов и станок для прессовки пластиковых корпусов флешек и нанесения на них необходимого рисунка. Не тешьте себя иллюзиями – эти станки далеки от совершенства, но с возложенными задачами они справляются.

Вот так и поступают на наш рынок кустарные поделки китайских мастеров: переделанные флеш-карты, собранные из отбракованных компонентов. Приведенный в этой статье гибрид дешевой SD и обычного pen-drive – лишь один из многих примеров, которыми буквально засыпан рынок азиатских городов. Любопытно, что иногда такие поделки проникают и в серьезные компании, казалось бы, защищенные от использования некачественного оборудования использованием только серьезных брендов. Как? Изготовленная подделка не отличается от продукции серьезного бренда – например, Kingston – ничем. Количество моделей флешек у того же Kingston настолько велико, что уследить за изменениями этих моделей нереально. Естественно, закупочный отдел компании будет искать наиболее выгодное предложение от этого бренда, и если дядюшка Ляо сможет предложить Kingston на 1 – 2 доллара дешевле, чем другие магазины, то отдел закупок купит продукцию дядюшки Ляо. И потом, в течение очень короткого времени, будет проклинать все на свете за купленный геморрой.

Восстановить данные с такой флешки сложнее, чем с произведенной серийно на заводе, так как она уже имеет производственный брак. Но, к счастью, заложенные в NAND мехаизмы защиты и восстановления данных (ЕСС) позволяют это делать с минимальными потерями.

Покупателям новых устройств я хочу дать простой совет. Соблазн купить «новое» оборудование по весьма привлекательным ценам на «ночном рынке Икебукуро» где-нибудь в сердце Китая очень велик, но задумайтесь: вы рискуете деньгами, при этом получая весьма сомнительную выгоду и продукт, на который у вас нет и не будет никаких гарантий. Уж лучше посетить крупный торговый центр электроники в том же городе, где вы купите аналогичное устройство пусть немного дороже, но зато с официальной гарантией производителя и уж точно не произведенное на коленке в подвале дядюшки Ляо.

Станислав Корб, ©2018

МИФЫ ОБ IPHONE

ВОССТАНОВИТЬ ИНФОРМАЦИЮ С ТЕЛЕФОНА В БИШКЕКЕ

Каждый слышал, что iPhone – это прекрасный аппарат, верх технологической мысли и мечта любого среднестатистического тинейджера. Действительно, iPhone – продукт очень качественный и весьма продуманный, в нем используются передовые технологические решения как на компонентном, так и на алгоритмическом и программном уровне. Часть этих ноу хау направлена на обеспечение максимального уровня конфиденциальности. И самым основным решением в этом плане является шифрование.

И вот тут возникает проблема. Начиная с iPhone 4S компания Apple использует так называемую технологию тотального шифрования – то есть шифруются не отдельные файлы, а устройство целиком. При этом если устройство работает и пользователь имеет к нему доступ (знает пароль, или настроен вход по отпечатку пальцев), то никаких проблем с данными нет: владелец имеет к ним полный и неограниченный доступ. Но стоит забыть пароль, или вдруг перестает работать сенсор отпечатков пальцев, или устройство выходит из строя – и все. Данные недоступны от слова «совсем».

Конечно, есть еще синхронизация с iCloud – в случае, если пользователь помнит логин и пароль для своего хранилища iCloud, и телефон был настроен на синхронизацию, какие-то данные могут быть извлечены из облака. Но не следует забывать, что по умолчанию и бесплатно iCloud предоставляет только 5 Гбайт места – даже для телефона в 16 Гбайт это уже очень мало, что уже говорить о моделях с большей емкостью? В общем, iCloud – отнюдь не панацея, и скорее всего из него удастся вытянуть только контакты, заметки и, скорее всего, некоторые фотографии. И все.

Довольно часто компании по восстановлению данных предлагают восстановление данных с iPhone методом «распайки» микросхемы. Ну чтож, это прекрасный рекламный ход, но не более: ответственно заявляем, что для устройств старше iPhone 4S выпаивание и вычитывание NAND-микросхемы – абсолютно бесполезное занятие. Данных из него восстановить не получится. Помните нашумевший скандал, когда американская ФБР требовала от компании Apple расшифровать iPhone одного из крупных международных террористов, а Apple отказала? Это означает, что в ФБР не смогли самостоятельно расшифровать аппарат (а там отнюдь не глупые люди работают, и наверняка вначале были привлечены очень хорошие специалисты по компьютерной безопасности). Это также означает, что Apple, соблюдая принцип конфиденциальности, может отказать даже такой влиятельной организации и даже заплатит крупный штраф, лишь бы не терять свою репутацию. Какие из этого следует сделать выводы?

Вывод первый. Ни одна компания по восстановлению данных не сравнится по возможностям и влиянию с ФБР, и уже если расшифровать телефон не смогли там, то это подавно невозможно для компании по восстановлению данных.

Вывод второй. Все, кто обещают вам восстановить данные с iPhone старше 4S выпаиванием и вычитыванием NAND-микросхемы, вас нагло обманывают. Скорее всего, природа этого обмана в том, чтобы завлечь вас и ваше устройство в свой офис, а там уже как-нибудь развести вас на деньги (например, сделать платную диагностику, или потребовать деньги за выпаивание микросхемы, или (самое неприятное предположение) – снять с платы iPhone дорогостоящие чипы и использовать их для ремонта другого аппарата).

Но не стоит отчаиваться. Методы восстановления данных с iPhone все-таки имеются, и в том числе – с неисправных физически устройств. Это – ремонт аппарата до рабочего или квазирабочего (аппарат частично не работает, но загружается и имеется возможность применить пароль или отпечаток пальцев для разблокировки доступа и расшифровки данных) с последующей выгрузкой данных на компьютер или в iCloud (а уж из iCloud данные вытащить намного легче, чем с неисправного iPhone). Если ваш iPhone вышел из строя – приносите. Диагностика у нас бесплатная, а по ее результатам мы сможем сказать, можно ли восстановить с вашего аппарата данные, и какие для этого потребуются затраты.

Станислав Корб, ©2018

ОПАСНОСТИ ТЕХНОЛОГИИ TRIM

ВОССТАНОВЛЕНИЕ ДАННЫХ В БИШКЕКЕ

Технология TRIM была имплементирована в АТА-Стандарт с массовым появлением твердотельных накопителей (SSD) и предназначена для существенного улучшения производительности (чтобы твердотельный накопитель не становился, как обычный жесткий диск, хранилищем различного «мусора» операционной системы – временных файлов, сброшенных на поверхность содержимых буфера, не присутствующих в файловых таблицах данных и т.п.) и продления жизни SSD (общеизвестно, что основная проблема твердотельных дисков, как и вообще накопителей на основе флеш-памяти – это ограниченный ресурс «запись-перезапись» для каждой ячейки памяти). Суть технологии предельно проста: накопителю на физическом уровне дается команда о том, какие блоки данных следует физически хранить и обрабатывать, а какие – нет. Как результат, накопитель самостоятельно очищает те области, которые принимаются как ненужные. А поскольку скорость работы SSD исключительно высока, то очистка нескольких десятков или даже сотен гигабайт данных может занять от нескольких секунд до пары минут. Согласитесь, быстро.

Практически все свежие операционные системы (Windows начиная с версии 7, Mac OS начиная с версии 10.10.4, Linux начиная с октября 2010 г., и т.д.) поддерживают технологию TRIM, а значит: автоматически определяют тип накопителя, и, если это твердотельный диск, создают список секторов, в которых, по мнению операционной системы, не хранится данных, или хранятся данные, которые не нужны (временные файлы, содержимое буфера и т.п.), и отправляют его диску с использованием команды TRIM. Ну а дальше сам накопитель производит быструю и необратимую очистку «поляны», удаляя то, что операционная система посчитала ненужным.

Вроде бы, передовая технология, призванная существенно улучшить работу SSD. Вроде бы, все продумано: ведь ненужные данные, что звучит логично, не нужны, и их можно удалить без сожаления. Но не все так просто…

Использование технологии TRIM открывает новую веху индустрии восстановления данных: веху невозможных восстановлений, связанных с ошибками пользователя и безошибочной работой TRIM. Рассмотрим два наиболее распространенных примера.

1. Вы счастливо использовали SSD в своем компьютере, но настало время переустановить операционную систему. Вы предусмотрительно разделили диск на два раздела, и перенесли все ваши данные на новый раздел. Вроде бы все безопасно, но при переустановке по инерции вы заново переразбили диск на разделы. Если бы это был традиционный жесткий диск, то ничего страшного не произошло: с помощью специализированного программного обеспечения ваш старый раздел с данными можно найти и данные из него можно восстановить. Но если это операционная система с поддержкой TRIM, а ваш накопитель – SSD, то уже на стадии форматирования то, что будет сочтено ненужным (а это все данные на новых разделах), будет стерто. Все. Сушите весла.

2. Вы использовали ваш SSD в каком-то внешнем устройстве (скажем, видеокамера или переносной накопитель). Все было хорошо до того момента, пока вы вставили накопитель в ваш компьютер для переноса данных, и накопитель дал сбой (причем без разницы, какой). Например, накопитель вставляется в Mac, операционная система не смогла распознать тип раздела и предложила инициализировать диск. Многие не понимают, что в Mac-системах инициализация – это создание нового раздела, то есть удаление информации о старом. Ну а в случае использования TRIM – полная очистка диска во всеми вытекающими последствиями. После такой инициализации данные с диска уже не спасти.

Примеры можно продолжать; в принципе, количество ситуаций, которые при использовании технологии TRIM могут привести к потере данных, достаточно велико. Мы довольно часто сталкиваемся с такими ситуациями, особенно среди пользователей Windows 10 и Mac OS начиная с версии Sierra. Как определить, что диск очищен? Откройте накопитель любым шестнадцатеричным редактором и пролистайте его вниз. После заголовка раздела будут данные, которые использует операционная система и установленные приложения, а за ними будет пустота – причем пустота может варьировать в шестнадцатеричном представлении от заполнения 00 или FF до заполнения с номером сектора или полным заполнением сектора каким-то идентичным содержимым. Если после какого-то момента, достаточно недалеко от начала диска (скажем, 30 – 60 Гбайт) вдруг начались «пустые» сектора – диск почти 100% очищен.

На приведенных ниже изображениях показаны такие SSD. В первом случае это системный диск с только что установленной операционной системой. Начиная с адреса 120 000 000 LBA (что соответствует 60 Гбайт) и до конца идут сектора с заполнением показанным на картинке паттерном. Диск очищен.

Во втором случае – тот же диск до переустановки ОС. Я показал лишь один сектор дальше середины, в котором точно имеются данные; таких секторов – больше 70% содержимого диска (диск был почти полный).

Как видим, при установке ОС диск был полностью очищен. Теперь данные с такого диска уже не восстановить.

Этой статьей я хочу предупредить пользователей последних версий операционных систем и твердотельных накопителей о том, что нельзя совершать никаких необдуманных или рискованных шагов с данными. Любые действия, начиная от инициализации диска и заканчивая банальным удалением данных, могут привести к тому, что эти данные вы больше никогда не увидите – TRIM очень быстро почистит сектора, где данные хранились, а восстановить то, чего уже нет, нельзя. Конечно, встречаются исключения, когда данные стираются не сразу (например, по технологии отложенной записи Windows) – и в этом случае это спасение для данных. Но уповать на то, что ваши данные случайно сохранятся, не стоит – лучше сделать резервную копию на другой накопитель, чтобы, в случае неудачного эксперимента, не было риска их потерять.

Однако бывают случаи, когда TRIM отрабатывает не полностью. В этих случаях мы можем вам помочь и вернуть ваши данные хотя бы частично.

Станислав Корб, ©2018

КРИВО ЗАПИСАННЫЙ DVD

ВОССТАНОВЛЕНИЕ ДАННЫХ С ОПТИЧЕСКОГО ДИСКА В БИШКЕКЕ

Любопытный диск поступил недавно для восстановления данных – DVD-диск, который не мог считать ни один проигрыватель DVD. Как показало исследование, диск был записан «кривым» лазером, ну и в качестве бонуса — сильно поврежден при использовании.

Для сравнения мы взяли такой же DVD. Повреждения отражающей поверхности обоих дисков, а также распределение спектра отражающей поверхности при мультисурс-освещении (250 источников прямого света, расположенных по окружности с шагом 1,44°) показаны на фото ниже. Фотографирование проводилось при одинаковом расстоянии идентичным фотографическим оборудованием (камера Canon EOS 5D Mark II, объектив Canon Macro EF 100 mm 1:2.8 USM; микрофотографирование – та же камера, микроскоп Микромед-1). Как видно на приведенных снимках, у исправного диска спектр смещен в красную часть, что вполне логично, так как для записи данных в DVD-приводах используется лазер красного свечения длиной волны 650 нм, который нарезает треки с шагом 0.74 мкм (кратно длине волны).

Неисправный DVD
Исправный DVD

Неисправный диск имеет смещение в более «длинную» синюю часть спектра (длина волны 440–500 нм), следовательно, запись данных на этот носитель производилась лазером с модифицированными параметрами, со смещенной в синюю часть спектра длиной волны записывающего элемента и с уменьшенным межтрековым шагом.

Анализ области ТОС и области данных оптического носителя показали, что область ТОС имеет значительные повреждения, возникновение которых можно объяснить только неправильной записью диска. Кроме того, обнаружено, что записанные треки имеют явное смещение примерно в 30° от перпендикуляра, что отчетливо видно на микрофотографиях.

Область ТОС и записанных данных исправного диска имеет ровную, гомогенную структуру и отличается только плотностью: область ТОС имеет меньшую плотность, чем область данных, для того, чтобы обеспечить быструю идентификацию диска и применение соответствующих алгоритмов чтения данных устройством DVD-ROM:

Область ТОС и записанных данных неисправного диска имеет неровную, частично гомогенную структуру, отличается плотностью: область ТОС имеет меньшую плотность, чем область данных, для того, чтобы обеспечить быструю идентификацию диска и применение соответствующих алгоритмов чтения данных. Область ТОС неисправного диска имеет несколько концентрических зон с более высокой плотностью, в которых, очевидно, не была произведена запись; область данных имеет явно видимую структуру распределения по трекам, которая не должна быть видна при освещении под прямым углом. Такая картина говорит только о том, что треки нанесены под углом, что делает их структуру четко различимой при прямом освещении.

При детальном исследовании распределения треков на поверхности обоих дисков выяснено, что на исправном диске треки имеют равномерное распределение, без видимых границ между треками. Каждый отдельный пит хорошо различим, имеет одинаковые размеры на всем протяжении трека, имеет одинаковые размеры сторон нанесения. На поверхности нет никаких повреждений.

На неисправном диске треки имеют равномерное распределение, однако между ними заметны границы в виде более темных областей («борозд»). Питы расположены неравномерно, их внутренняя сторона примерно на 50% больше внешней, что говорит о смещении оси их прожига от идеальных 90° кнутри оси приблизительно на 30°. Кроме того, при микрофотографировании поверхности обнаружены серьезные повреждения записи (черные точки), которые возникли уже после того, как запись была совершена, и являются следствием «гниения» DVD-дисков, сделанных из некачественных материалов (см., например: Congress, 2007. NIST/Library of Congress (LC) Optical disc longevity study. New York: NIST. 32 p.):

Модификации DVD-ROM для считывания данной информации (изменение угла свечения лазера, изменение длины волны) к успеху не привели, так как параметры устройства, на котором данные были записаны, нам неизвестны.

Скорее всего, считать данный диск можно только тем же устройством, которым была произведена его запись.

Станислав Корб, ©2018

APFS И HIGH SIERRA

ВВОССТАНОВЛЕНИЕ ДАННЫХ С ЖЕСТКОГО ДИСКА В БИШКЕКЕ

Владельцы Mac-устройств (MacBook, iMac и т.п.), с выходом в свет операционной системы High Sierra, принялись достаточно активно трансформировать свои разделы из традиционной файловой системы HFS+ в экспериментальную APFS. И тут очень важно понимать, что APFS в настоящее время – файловая система экспериментальная, Apple не обещает, что текущие ее модификации будут поддерживаться в более поздних версиях операционной системы и в окончательном релизе APFS. Для чего возможность работы с этой файловой системой была допущена Apple, нам неведомо (думается, однако, что это банальное широкое тестирование), но вот проблемы с этой ФС нам приходится видеть довольно часто.

Первая проблема – это то, что по сути APFS не является файловой системой в принятом виде. Это скорее контейнер, в котором хранятся в зашифрованном виде те структуры, с которыми будет работать пользователь (обычно это разделы, но тут возможны вариации…).

Вторая проблема – шифрование. APFS шифрует данные уже без каких-либо запросов, по умолчанию. Пользователь, который совершил конвертацию старого раздела HFS+ в новый APFS, должен самостоятельно сделать его нешифрованным (такая опция – отмена шифрования – доступна в некоторых модификациях APFS). В противном случае раздел так и останется зашифрованным, и в случае утери возможности загружаться с устройства, доступ к данным будет утерян.

Третья проблема – это «экспериментальность» файловой системы. На настоящий момент не существует инструментов для работы с ней, кроме заложенных в MacOS, и до момента принятия окончательного релиза – специализированные инструменты вряд ли появятся. Поэтому восстановление данных с разделов APFS – вопрос исключительно профессионализма специалиста.

К нам накопители с файловой системой APFS поступают все чаще и чаще. Эти диски определить достаточно просто: в заголовке основного раздела отсутствуют стандартные загрузочные сигнатуры (такие, как 55 AAh), зато там присутствуют сигнатуры вроде той, что изображена на скриншоте:

Диски поступают с двумя типами неисправностей: операционная система перестала загружаться, но накопитель физически исправен; операционная система перестала загружаться, а диск физически неисправен. И в том, и в другом случае работа с оригинальными дисками не проводится, делается посекторная копия накопителя, с которой уже и производятся все манипуляции. Для накопителей с файловой системой APFS критически важно знать пароль на вход в систему. Суть восстановления данных заключается в максимально полном вычитывании отказавшего тома (в образ или на отдельный носитель) с последующей его реанимацией средствами MacOS. После того, как зашифрованный том APFS удается подмонтировать в High Sierra, мы копируем данные на незашифрованный том.

Поэтому, если у Вас на Apple устройстве установлена High Sierra, и вдруг устройство перестало загружаться или пропал раздел – скорее всего, у Вас APFS. Мы сможем помочь Вам извлечь данные с такого раздела.

Станислав Корб, ©2018



Мы принимаем к оплате | We accept payments


Мы стажировались и работали в странах | We worked or practiced in following countries