Задача. Восстановить данные с жесткого диска Seagate ST3100528AS.
Описание проблемы. Накопитель вскрыт до обращения в нашу лабораторию. Со слов заказчика, стучит.
Результаты диагностики. Диагностика проведена с использованием ламинарного шкафа класса чистоты 100. Выяснено, что в результате непрофессионального вскрытия в далеких от необходимых условиях, внутри диска имеется много пыли. Верхняя поверхность диска имеет многочисленные кольцевые царапины.
Необходимые для восстановления информации процедуры.
Очистка гермоблока накопителя.
Модификация блока магнитных головок для чтения только по исправным поверхностям.
Замена блока магнитных головок.
Подготовка к запуску накопителя в технологическом режиме.
Запуск накопителя в технологическом режиме.
Создание посекторной копии диска-пациента с обходом поврежденных областей.
Извлечение пользовательских данных из полученного образа.
Результат.
Данные восстановлены полностью.
Особенности заказа.
Вскрытие накопителя в неподобающих условиях всегда приводит к плачевному результату. Не оказался исключением и этот заказ. Часть поверхности была необратимо испорчена (царапины); эти места вычитать не удалось в силу повреждений физического характера. Однако все нужные заказчику файлы оказались на неповрежденных поверхностях, что позволило восстановить их без потерь.
Накопители этого семейства (Seagate Barracuda 7200.12, Pharaoh) при объеме в 1 Тбайт имеют 4 головки; поврежденной оказалась только самая верхняя. При таких раскладах вероятность того, что необходимые файлы окажутся на неисправной головке, составляет 25% — соответственно, шансы на успешное извлечение данных около 75%.
Задача. Восстановить данные с жесткого диска Samsung HN-M101MBB (ST1000LM024)
Описание проблемы. Накопитель вскрыт до обращения в нашу лабораторию.
Результаты диагностики. Диагностика проведена с использованием ламинарного шкафа класса чистоты 100. Выяснено, что в результате непрофессионального вскрытия в далеких от необходимых условиях, внутри диска имеется много пыли; исследование блока магнитных головок показало его неисправность.
Необходимые для восстановления информации процедуры.
Очистка гермоблока накопителя.
Замена блока магнитных головок.
Подготовка к запуску накопителя в технологическом режиме.
Запуск накопителя в технологическом режиме.
Создание посекторной копии диска-пациента.
Извлечение пользовательских данных из полученного образа.
Результат.
Данные восстановлены с небольшими потерями (около 5%).
Особенности заказа.
Вскрытие накопителя в неподобающих условиях всегда приводит к плачевному результату. Не оказался исключением и этот заказ. Часть поверхности была необратимо испорчена попавшей в накопитель пылью; эти места вычитать не удалось в силу повреждений физического характера.
Вот звонят нам и спрашивают: а вы ремонт жесткого диска делаете? А мы отвечаем — нет, не делаем. Мы данные восстанавливаем. И задает звонящий, казалось бы, закономерный вопрос: а в чем разница? Ведь чтобы данные из жесткого диска восстановить, нужно его в рабочее состояние привести. Отремонтировать, то бишь.
Увы, но это не так. Данные мы можем и из неотремонтированного диска извлечь. И даже из совсем сломанного — скажем, если у него одна головка не работает. Или даже две. Или вот перестала у него микропрограмма работать — ну кирпич кирпичом, а не жесткий диск. А мы все равно можем из него информацию достать.
А все оттого, что ремонт жесткого диска и восстановление из него данных — это вообще разные вещи. Принципиально разные.
Ремонт жесткого диска — последовательность действий, в результате которых на выходе мы получим исправный, готовый к эксплуатации жесткий диск.
Восстановление информации из жесткого диска — последовательность действий, в результате которых на выходе мы получим копию данных из этого жесткого диска.
Восстановление информации из жесткого диска
Как вы уже поняли, для того, чтобы восстановить данные из жесткого диска, нам вовсе не обязательно его ремонтировать. Как так — спросите вы? Вот пара примеров.
Жесткий диск не может запуститься, как следствие — доступа к данным нет. В результате диагностики обнаружено, что часть критичной информации в микропрограмме диска не считывается и, как следствие, эта часть микропрограммы не запускается. Результат: диск не может стартовать в штатном режиме и не дает доступа к информации. Для того, чтобы получить к ней доступ, мы взяли другой, такой же, но полностью исправный, диск, скопировали из микропрограммы неисправного диска нужные для доступа к данным части, перенесли их в исправный диск. После этого запустили исправный диск и перенесли его управляющую плату электроники на неисправный HDD. Таким образом был получен доступ к данным, которые и были успешно скопированы на исправный накопитель. Неисправный диск при этом так и остался неисправным.
Жесткий диск не может запуститься, так как одна из головок чтения-записи в его блоке магнитных головок неисправна. При запуске диск опрашивает головки, и если выявляются проблемы — запуск НЖМД блокируется (диск уходит в защиту). Мы производим логическую подмену неисправной головки на исправную, после чего диск запускается в штатном режиме и мы копируем данные, находящиеся по исправным головкам.
Ремонт жесткого диска
А вот с ремонтом все совсем по другому. Цель ремонта — получить исправное устройство. Как следствие, данные на ремонтируемом устройстве не являются целью проводящихся работ.
Ремонт включает в себя несколько этапов, после которых о данных на ремонтируемом накопителе говорить уже не приходится. Прежде всего, это многочисленные операции заводского самотестирования (selfscan, или selftest). Что это такое?
Самотестирование — заложенная заводом-производителем возможность жесткого диска провести самостоятельный ремонт. Заводское самотестирование требует предварительной настройки и обычно запускается специальной командой. После запуска, в зависимости от состояния диска и его объема, самотестирование продолжается от 12 часов до двух недель. Оно не требует вмешательства оператора, результатом самотестирования будет жесткий диск в двух состояниях: исправное (самотестирование закончилось без ошибок) или неисправное (какие-то части самотестирования прошли с ошибками).
В процессе самотестирования диск проходит многочисленные тесты, один из которых — тест записи. Микропрограмма записывает определенный набор данных в каждый сектор и неоднократно проверяет, как прошла запись, с какой скоростью, и т.п. Это, как вы понимаете, приводит к потере информации.
После ремонта проводится и другой деструктивный для данных процесс: выходное тестирование. Ремонт подразумевает гарантию на него, следовательно, ремонтник должен удостовериться, что ремонт проведен качественно, накопитель работает в пределах эксплуатационных допусков и не выйдет из строя через пару дней по причине скрытого износа.
Довольно часто поступают звонки с теми или иными вопросами относительно восстановления данных из мобильных телефонов. В большинстве случаев это вопросы по нашему профилю (восстановить удаленные фотографии, чаты WhatsApp и т.п.), но иногда поступают и довольно необычные вопросы. Здесь мы остановимся в деталях на том, в каких случаях следует обращаться к нам, а в каких мы не сможем помочь.
Какие случаи подпадают под восстановление данных?
Наша работа — восстанавливать данные из устройства, к которому имеется физический доступ. Что это значит?
Если у вас имеется телефон, с которого были удалены данные, либо телефон пострадал физически (утонул, упал, разбился и так далее) — то вы можете обращаться к нам. В этом случае мы будем иметь дело с устройством хранения данных (media), с которого требуется восстановить информацию.
Шансы на успех в этом случае напрямую зависят от того, сколько долго телефон находился в использовании после потери доступа к данным, и проводились ли с ним какие-то операции. Например, если из внутренней памяти телефона были удалены фотографии, после чего пользователь продолжал активно использовать аппарат, снимать другие фотографии и т.п., то шансы на успешное окончание работ по восстановлению данных стремительно тают с каждым часом использования устройства. Напротив, если после удаления фотографий телефон был немедленно выключен, шансы на успех достаточно велики.
В каких случаях мы не сможем помочь с восстановлением данных?
Если у нас нет физического доступа к устройству, с которого требуется восстановить информацию, мы не сможем вам помочь.
Прежде всего, это связано с тем, что у нас просто не будет физического носителя данных (media), а восстанавливать данные из воздуха, увы, мы не умеем.
Приведу пример.
Поступил звонок от пользователя мобильного телефона, с которого требовалось восстановить чаты WhatsApp. В процессе разговора выяснилось, что телефон утонул, и найти его не удалось. Номер (SIM-карта) был восстановлен у сотового оператора, и теперь требуется восстановить чаты WhatsApp. Но — откуда? Доступа к серверам популярного мессенджера у нас нет. Резервные копии в облаке также не делались. Самого устройства (пусть и утонувшего) нам не предоставили. Откуда брать данные?
Многие почему-то думают, что раз мы работаем в области IT, то можем получить доступ к серверам популярных онлайн-сервисов и добыть оттуда необходимые данные. Вынужден огорчить: подобного рода деяния являются уголовно наказуемыми преступлениями и не имеют ничего общего с восстановлением информации.
Почему мы не помогаем извлекать данные из удаленных серверов?
Все очень просто. Потому что сервисы, предоставляющие такие услуги, не предусматривают доступа к своим серверам третьих лиц. А значит, чтобы получить к ним доступ, необходимо произвести взлом.
Взлом, или по-юридически, получение неправомерного доступа к компьютерной информации, является уголовным преступлением и может наказываться крупными штрафами или тюрьмой на срок от трех (Кыргызстан) до десяти (США) лет.
В условиях пандемии COVID-19 услуги очного восстановления данных становятся менее востребованными, на первый план выступают услуги удаленного или заочного восстановления информации. Это связано с очевидными рисками заражения при личном контакте, не смотря на использование масок, санитайзеров и других средств защиты. Компания IT-Doctor идет в ногу со временем и не хочет лишний раз подвергать опасности здоровье своих клиентов, поэтому по возможности оказывает свои услуги удаленно или заочно. Для этого компанией разработаны соответствующие протокола.
Протокол 1. Удаленное восстановление информации
Данный протокол вступает в силу в случае, если имеется техническая возможность удаленного восстановления информации.
Восстановление данных осуществляется либо посредством подключения нашего специалиста к удаленному компьютеру с последующим выполнением необходимого для восстановления данных комплекса работ, либо посредством отправки нам удобным для пользователя удаленного компьютера способом файла-образа диска, поврежденного файла либо другого модуля информации для осуществления анализа и работ по восстановлению данных.
Оплата осуществляется по принципу депозита: необходимая сумма депонируется на счетах компании IT-Doctor до начала работ. По окончанию работ стороны приходят к соглашению, что работы выполнены; на основании этого соглашения подписывается Акт выполненных работ, являющийся основанием для зачисления депозита в качестве оплаты за работы. Подписание Акта выполненных работ осуществляется удаленно.
Порядок действий по Протоколу:
Оформление заявки в компанию IT-Doctor на сеанс удаленного восстановления информации (любым удобным способом, см. Контакты).
Определение стоимости удаленных услуг.
Депонирование стоимости на счетах компании IT-Doctor.
Подключение к удаленному компьютеру, выполнение работ / Отправка файлов компании IT-Doctor для проведения работ.
Приемка выполненных работ. Подписание Акта выполненных работ.
Зачисление депозита в качестве оплаты выполненных работ.
Протокол 2. Заочное восстановление информации
Данный протокол вступает в силу, если для восстановления информации требуется физическая передача устройства в лаборатории компании IT-Doctor. Передача может происходить через службы доставки (особенно это касается клиентов компании, проживающих в других городах или странах).
Порядок действий по Протоколу:
Оформление заявки в компанию IT-Doctor на услугу восстановления информации (любым удобным способом, см. Контакты).
Подготовка накопителя к отправке или транспортировке.
Доставка накопителя в офис компании IT-Doctor.
Обработка устройства антисептичческим средством.
Диагностика устройства.
Определение стоимости работ и запчастей (если требуется), сроков работ.
Согласование стоимости и сроков работ.
Проведение работ.
Передача результата проведенного восстановления данных заказчику.
Оплата всегда производится после окончания работ.
Упаковка накопителя
Для отправки накопителя информации, с которого необходимо восстановить файлы, его необходимо правильно упаковать. Чем лучше будет упакован накопитель, тем меньше у него шансов получить повреждения при транспортировке.
Какие требования предъявляются к упаковке:
Снаружи упаковка должна быть достаточно прочной, чтобы выдерживать удары, которым может подвергаться отправление при транспортировке (включая возможные падения посылки).
Внутри, между упаковкой и устройством, должен быть проложен достаточный слой материала, гасящего вибрации. Оптимальным является использование воздушно-пупырчатой пленки, однако, в случае ее отсутствия, с задачами гашения вибраций вполне справляется мятая бумага или обычная, но несинтетическая, вата.
Устройство внутри упаковки должно находиться примерно посередине.
Размер упаковки должен быть больше упаковываемого устройства приблизительно в 3 — 5 раз; тогда количество гасящего вибрации материала будет достаточным для безопасной транспортировки.
Оптимальной упаковкой для транспортировки жесткого диска является стандартная почтовая коробка размером 300 х 200 х 150 мм (гофрокороб) или ее доступные аналоги; для транспортировки карты памяти или оптического диска — почтовая упаковочная коробка наименьшего доступного размера.
Любому специалисту по восстановлению информации известно такое неприятное явление, как запил поверхности жесткого диска. Да что там говорить — неприятное. Катастрофическое! Ужасное! Фатальное для данных.
Что такое этот запил, и чем он отличается от других повреждений поверхности НЖМД?
Повреждения поверхности жесткого диска
Дефектные сектора (бэд-блоки). Такие повреждения обычно не видно невооруженным глазом, они проявляются при копировании информации: диск или зависает окончательно при попытках скопировать файлы, или начинает срываться в стук и перестает работать, или данные копируются очень долго.
Царапины. Эти повреждения имеют или радиальную, или концентрическую направленность, и, как правило, очень тонкие. Часто они настолько тонкие, что определить их можно только с помощью фог-теста (поверхность на короткое время покрывается парами дистиллированной воды, при этом изменяются преломляющие свет свойства поверхности и становятся видны микроповреждения).
Запилы. Как правило, бывают в основном концентрическими. Запилы хорошо видно невооруженным взглядом, это серьезные и крупные повреждения поверхности. Характеризуются глубоким внедрением не только в лубрикант, но также и в несущий информацию магнитный слой. Имеют тенденцию к лавинообразному разрастанию за очень короткое время.
Что такое запил
Запил на поверхности жесткого диска, увеличение х10
Запил — это глубокое и необратимое повреждение поверхности жесткого диска. При запиле повреждаются не только верхние, защитные слои поверхности, но также и более глубокие слои: несущий данные ферромагнетик и, довольно часто, даже подложка.
Запиленная поверхность накопителя HGST. Неповрежденным остался только участок поверхности под парковочной рампой.
Чем опасен запил
Самое неприятное, что привносит запил в работу жесткого диска — это мелкодисперсная (а иногда и крупнофракционная, вплоть до опилок) пыль. Пыль внутри диска, в котором магнитные поверхности вращаются с гарантированной скоростью свыше 5000 оборотов в минуту, почти мгновенно начинает разрушать не затронутые запилом поверхности — вначале бомбардируя их и приводя к образованию множества дефектных секторов; затем частицы пыли попадают на исправные головки, выводят их из строя и те, в свою очередь, начинают запиливать еще исправную поверхность. Если диск, который начал запиливаться, не остановить — будет безвозвратно потеряно все его содержимое. Именно поэтому современные НЖМД при старте опрашивают все головки, и если хотя бы одна из них не прочитает и не запишет данные, диск немедленно останавливает свою работу.
Запил в парковочной зоне накопителя Seagate Barracuda 7200.11
Как образуется запил
Основной источник запиливания жестких дисков — свободно двигающиеся в гермоблоке частицы. Например, при парковке головок на внешнюю рампу обломился небольшой кусочек рампы (она пластиковая). При следующем включении диска потоками воздуха его начало «гонять» по гермоблоку, и вопрос того, когда произойдет соударение этого кусочка с головками или поверхностью — лишь вопрос времени. Во время соударения происходят необратимые изменения, и начинается процесс запиливания.
Реже бывает так, что при резкой потере питания не срабатывает магнитный замок, и головки падают на поверхность. При следующем запуске, если шпиндель может провернуть диски, головки срывает с кронштейнов, а пока набирается необходимая скорость вращения, они пилят поверхность.
Также образование запилов возможно в тех случаях, когда происходят разрушения или повреждения пъезоэлементов современных головок, или нарушения в работе микропрограммы (например, распарковка головок до набора шпинделем необходимой скорости вращения).
Есть ли шансы восстановить данные при запиливании диска?
Это — самый главный вопрос. Если диск запилен, можно ли из него извлечь данные хотя бы частично?
Практика показывает, что в большинстве случаев, если диск не пилился непозволительно долго, часть данных из него достать можно. Это делается разными методами — поверхность покрывается особыми полимерами, поврежденная поверхность исключается из трансляции, изготавливаются специальные устройства для обхода запилов, ограничители и т.п.
Стоимость таких работ ввиду их сложности достаточно высока.
Если вы подозреваете у своего накопителя запил, немедленно отключайте его от питания и несите профессионалам. Диагностика в этом случае включает разборку диска и оценку масштабов повреждений, на основании которых делается смета затрат и оцениваются шансы успешного проведения работ.
Письмо с фишинговой ссылкой; ссылка частично прикрыта для безопасности
Очередное изобретение злоумышленников, желающих получить доступ к вашему компьютеру — рассылка фишинговых писем с предложением отследить некую посылку.
Люди часто пользуются службами доставки или почтой, поэтому для многих такое предложение не покажется подозрительным. Не ожидая ничего плохого, они пройдут по имеющейся в письме ссылке, в результате чего загрузят на свой компьютер вредоносное ПО. Чем это чревато?
Наиболее распространенная возможная проблема — включение вашего компьютера в ботсеть для осуществления распределенных вычислений. Следующая по степени распространенности — троянская программа для кражи персональных данных (включая данные банковских карт или реквизиты интернет-банкинга). Наконец, вам могут просто зашифровать файлы с последующим требованием выкупа за их расшифровку.
Поэтому, получая любое электронное письмо с неизвестного вам адреса, тем более — содержащее внутреннюю ссылку — не нажимайте на ссылку сразу, проверьте ссылку, обращались ли вы в службу, которая ссылается за ссылкой, ранее, взвесьте все «за» и «против», и только после этого принимайте решение — посещать эту ссылку или удалить письмо.
Нам часто поступают заказы на восстановление информации из чатов мессенджера WhatsApp. В части случаев, к сожалению, нам приходится отказывать в проведении работ в силу их бесперспективности. В этой короткой заметке я собрал наиболее часто задаваемые вопросы о восстановлении информации из сообщений, отправляемых через WhatsApp.
Вопрос: Телефон был сброшен на заводские настройки, требуется восстановить чаты WhatsApp.
Ответ: Если в телефоне не была установлена карта памяти, или не делалась резервная копия в облако, восстановление данных с телефона невозможно. При сбросе на заводские настройки производится полная очистка внутренней памяти телефона, после чего в ней уже нет никаких данных, которые были до сброса. WhatsApp в случае наличия карты памяти может держать базы сообщений на ней, и если телефон даже был сброшен, в приложение можно загрузить сообщения из сохраненных баз. Сброс телефона не затрагивает карту памяти; также сброс телефона не затрагивает сервисы облачного хранения данных.
Вопрос: Я удалил чат некоторое время назад, теперь мне нужно его восстановить.
Ответ: Восстановление чатов возможно только из резервной копии или файлов баз сообщений, которые хранятся в папке Whatsapp вашего устройства. Файлы баз сообщений не хранятся на работающем постоянно телефонее более 2 недель. Соответственно, восстановить удаленный чат можно только в том случае, если у вас имеется резервная копия на нужную дату, или файл баз сообщений на нужную дату.
Вопрос: Удаленные чаты удалось восстановить из файла баз сообщений, но в нем нет фотографий, которые мне присылали в этот чат.
Ответ: Все медиа-файлы, которые присылают ваши корреспонденты через WhatsApp, хранятся в открытом виде (не шифруются) на вашем устройстве. В случае удаления чата медиа-файлы удаляются, а в ежедневных базах сообщений они не хранятся, там хранится только текстовая информация. Таким образом, если медиа-файлы были удалены, их восстановление уже либо невозможно, либо для него требуется сложная процедура сохранения телефона в файл-образ с последующим его анализом.
Вопрос: Как лучше всего делать резервное копирование чатов WhatsApp?
Ответ: Лучше всего, без сомнений, иметь полную копию (включающую медиа-файлы). Если медиа-файлы не будут включены в резервную копию, то при удалении чатов после резервирования вы рискуете их потерять.
Вопрос: Можно ли восстановить удаленные чаты из отчета по информации аккаунта, который имеется у меня в настройках?
Вчера на сайте журнала Forbes появилась весьма тревожная статья: объявлено, что облачный сервис Canon подвергся хакерской атаке и с него было украдено около 10 Тбайт данных пользователей.
Новость эта тревожна по двум причинам. Во-первых, уж если такие крупные гиганты IT-индустрии, как Canon, не могут обеспечить безопасность своих онлайн-сервисов, то что говорить о нас, простых смертных? И, во-вторых, а если в следующий раз злоумышленники не станут красть чужие данные, а зашифруют их? Как известно, современные вирусы-шифровальщики весьма тяжело поддаются расшифровке.
Что известно на настоящий момент? 5 августа 2020 года хакеры из группировки Maze (разработчика одноименного зловреда) взломали защиту серверов Canon и украли около 10 Тбайт данных, включая персональную информацию. Что именно было украдено, не раскрывается — но, надо думать, хакеры вряд ли стали бы тянуть с серверов фоточки и видосики пользователей. Всего пострадало 24 домена Canon — случай беспрецедентный по своему размаху. Скорее всего, злоумышленники получили полный доступ к корневым директориям главных серверов компании.
В настоящее время компания Canon проводит расследование данного инцидента. Самое неприятное, что мне, как пользователю сервисов Canon, не поступало никаких предупреждений о том, что требуется мое внимание к безопасности моего аккаунта.
В свете всего этого я бы посоветовал тем, кто пользовался облачными сервисами Canon, озаботиться обновлением защиты: как минимум, поменять пароли. Оевидно, что корпорации сейчас не до оповещения пользователей о возможных проблемах и рисках. А зря.
