Флешка из видеорегистратора: о восстановлении информации

Довольно часто для успешного восстановления информации решающую роль играет техническое оснащение (хотя, конечно, не всегда). Часто оказывается так, что без определенных технических средств восстановить данные просто нельзя. К счастью, мы занимаемся восстановлением данных уже 27 лет, и к оборудованию относимся очень щепетильно.

На днях в нашу лабораторию поступил довольно любопытный заказ — microSD карта из китайского видеорегистратора. Карта памяти упорно не хотела определяться ни одном устройством, куда ее устанавливали. При этом на карте должно было находиться видео аварии, в которой, как мы понимаем, обвиняли хозяина флешки.

Неисправная флешка из регистратора

Действительно, при штатном подключении флешка не определилась. Это означает, что она физически неисправна, и может потребоваться сложная процедура определения пинаута, подключения на технологические контакты, вычитывания данных с последующей их сборкой. Как вы понимаете из перечисления необходимых акций, восстановление могло оказаться довольно дорогим.

Однако, прежде чем включать тяжелую артиллерию, мы всегда пробуем пойти более легким путем. Для этого у нас имеется специализированное оборудование: SD/microSD адаптер для РС-3000 Flash. В сочетании с модулем чтения NAND-микросхем 4-го поколения, этот прибор позволяет производить тонкую настройку чтения карты памяти по нескольким параметрам, включая напряжение питания.

Далеко не всегда проблемы флеш-карты связаны с транслятором или ошибками микропрограммы, и далеко не всегда распайка на самом деле необходима. Важно понимать, что распайка — это значительно более дорогая услуга, и не очень добросовестные компании могут предлагать вам ее как единственно возможное решение лишь потому, что хотят заработать на вас максимум денег. Мы идем другим путем: если более простое и более дешевое решение возможно, мы его непременно предложим.

Лог инициализации карты памяти при стандартном напряжении питания виден на картинке внизу. Из этого лога очевидно, то карта практически инициализирована, но на подаче последней команды случился сбой — причем РС-3000 успела считать с карты загрузочный сектор и некоторое количество секторов за ним, после чего карта памяти перестала определяться. Заметим, что в загрузочном секторе обнаружились вполне вменяемые данные: программа определила раздел. Следовательно, карту можно назвать неисправной лишь частично: на короткое время она дает доступ к поверхности и позволяет забрать порцию информации.

Инициализация карты памяти при стандартном напряжении питания 3.3 Вольт

Такое поведение карты памяти обычно говорит о частичном или только начавшемся выходе из строя (деградации) ее контроллера. Контроллер карты памяти — это небольшая микросхема, которая организует миллионы ячеек памяти NAND-микросхем в единый массив данных, определяет алгоритмы сохранения ресурса карты памяти и делает массу другой работы, направленной на то, чтобы карта памяти функционировала правильно и как можно более долго.

Наиболее логичным способом обхода таких ошибок является понижение питания флешки. При этом контроллер получает меньшее питание и меньше нагревается, что позволяет ему хоть и ненадолго, но вернуть карте работоспособность. Собственно, нам надолго и не надо: наша задача забрать информацию с неисправной карточки. Само устройство, в силу его малой цены, обычно никому уже не интересно.

Применение пониженного напряжения (3 Вольт) на карту памяти microSD

Опытным путем мы установили, что карты памяти с подобного рода повреждениями лучше всего работают при напряжениях 2.8 — 3.0 Вольт. Берем верхнюю границу этого значения, и получаем стабильно работающую карту памяти. Не теряя времени, забираем с нее интересующие нашего заказчика видеофайлы.

MicroSD-карта, проинициализировавшаяся при напряжении 3.0 Вольт

Дальше это было лишь делом техники. Нужные заказчику видеофрагменты были выделены и скопированы на наши носители. Вся операция заняла не более 15 минут, и довольный заказчик понес в ГАИ доказательства своей невиновности.

Станислав Корб (С) 2019

Восстановление информации с украденного диска: невозможное возможно

На днях к нам поступил довольно любопытный заказ. Жесткий диск, абсолютно исправный, но около двух месяцев бывший в использовании у другого человека. Проще говоря, диск украли, а вернулся он к своему хозяину лишь через два месяца. Естественно, все время, что диска не было на его законном месте, его использовали: записывали на него фильмы и музыку, очевидно, чтобы куда-то это все переносить или где-то смотреть и слушать.

Ситуация оказалась отягощена тем, что диск (а это был внешний накопитель емкостью 1 Тб) был размечен и отформатирован в файловой системе FAT32 — не самый удачный выбор для файлового хранилища. Почему? Да хотя бы потому, что в FAT32 имеются ограничения на длину пути в имени файла, на размер файла, на количество файлов, и т.п. (подробнее можно почитать в википедии). Ну и самое главное — при форматировании FAT32 затираются файловые таблицы. После этого воссоздать файловую систему довольно трудно, а если на диске имелись крупные фрагментированные (состоящие из нескольких кусков, раскиданных по разным местам диска) файлы, то возникают проблемы с их сборкой.

Ну и добавьте сюда то, что диск около двух месяцев использовался, активно затирая данные настоящего владельца.

В этих условиях восстановление информации — задача вовсе не тривиальная. С чего мы начали?

Как обычно, был создан полный посекторный клон диска. Да, мы работаем только так: в любых условиях, при любой неисправности мы вначале создаем клон диска. О том, почему мы так делаем, мы уже писали, и останавливаться на этом не будем. Работа с оригинальным диском — вне зависимости от того, какая у него неисправность — это грубейшая ошибка любого псевдоспециалиста в области восстановления данных, так как при этом имеется потенциальный риск для данных пользователя. А работа специалиста по восстановлению данных как раз и заключается в том, чтобы достать данные, полностью исключив все риски.

После клонирования работы ведутся только с клоном, оригинальный «больной» диск заказчика отправляется на полку.

Естественно, в нас теплилась надежда, что какие-то фрагменты старой файловой системы на диске все-таки остались. И мы не ошиблись — при анализе диска нам удалось обнаружить больше 800 записей о каталогах и больше 64000 записей о файлах. Дело за малым: собрать это все в файловую систему.

Как правило, в таких случаях мы не ограничиваемся сборкой виртуальной файловой системы, так как гарантировать ее 100%-ное совпадение с исходной в условиях перезаписи нельзя. Поэтому мы проводим параллельную работу восстановления файлов по сигнатурам: диск сканируется последовательно, все найденные заголовки файлов анализируются, после чего файлы собираются и «выливаются» на диск-приемник. При этом восстанавливается все, что было записано на диск, вне зависимости от того, кто и когда это сделал. В случае с фрагментированными файлами (особенно это касается видео) используются наши собственные разработки.

Так же мы поступили и на этот раз: данные были восстановлены как традиционным путем, с сохранением файловой структуры, так и в режиме сигнатурного поиска. Как ни странно, результаты оказались почти одинаковыми по объему восстановленного — а это означает, что файловая система была воспроизведена очень близко к исходной, почти без потерь.

Ну и о результатах. Это было сюрпризом, но результат оказался более чем воодушевляющим: нам удалось восстановить около 75% данных, которые находились на диске на момент кражи. Заказчик остался доволен, да и мы тоже остались довольны своей работой.

Станислав К. Корб (С) 2019

Восстановить данные с жесткого диска Samsung HD103SJ

Задача. Восстановить данные с жесткого диска Samsung HD103SJ

Описание проблемы. Накопитель поступил с жалобой на то, что с него не удается скопировать файлы.

Результаты диагностики. Диагностика проведена с использованием ПАК РС-3000. Обнаружено, что у диска имеются обширные зоны повреждения поверхности (дефектные сектора).

Необходимые для восстановления информации процедуры.

  1. Модификация микропрограммы.
  2. Запуск накопителя в технологическом режиме.
  3. Вычитывание накопителя в технологическом режиме.
  4. Извлечение данных из полученных файлов-образов.

Результат.

Данные восстановлены полностью.

Особенности заказа.

Особенность данного заказа заключается в том, что в штатном режиме блок магнитных головок не мог прочитать некоторые части поверхности. Однако в технологическом режиме эти данные прочитать было возможно.

Восстановить файлы с жесткого диска Toshiba 4 TB

Задача. Восстановить данные с жесткого диска Toshiba HDWE140.

Описание проблемы. Накопитель поступил с жалобой на то, что он не определяется в системе.

Результаты диагностики. Диагностика проведена с использованием ПАК РС-3000 и ламинарного шкафа. При подаче питания накопитель начинает издавать характерные щелчки. Анализ гермозоны накопителя в ламинарном шкафу: у диска вышел из строя блок магнитных головок.

Необходимые для восстановления информации процедуры.

  1. Подбор и адаптация донорского устройства.
  2. Замена блока магнитных головок.
  3. Запуск накопителя в технологическом режиме.
  4. Вычитывание накопителя в технологическом режиме.
  5. Извлечение данных из полученных файлов-образов.

Результат.

Данные восстановлены полностью.

Особенности заказа.

Жесткие диски Toshiba последних семейств отличаются большим количеством головок и пластин в пакете. Наш пациент — не исключение.

Seagate ST2000DM002: восстановить информацию с жесткого диска

Задача. Восстановить данные с жесткого диска Seagate ST2000DM002

Описание проблемы. Накопитель поступил с жалобой на то, что он не определяется в системе.

Результаты диагностики. Диагностика проведена с использованием ПАК РС-3000 и ламинарного шкафа. При подаче питания накопитель начинает издавать характерные щелчки. Анализ гермозоны накопителя в ламинарном шкафу: у диска вышел из строя блок магнитных головок.

Необходимые для восстановления информации процедуры.

  1. Подбор и адаптация донорского устройства.
  2. Замена блока магнитных головок.
  3. Запуск накопителя в технологическом режиме.
  4. Вычитывание накопителя в технологическом режиме.
  5. Извлечение данных из полученных файлов-образов.

Результат.

Данные восстановлены с небольшими (около 1%) потерями.

Особенности заказа.

Накопители Seagate Grenada, к которому относится наш пациент, отличаются достаточно высокой «смертностью». Надо сказать, что пару лет назад их поступало на восстановление информации намного больше, чем сейчас: до половины всего потока дисков, приходивших в работу, были именно Seagate Grenada. В настоящее время исправных накопителей этого семейства осталось уже немного, поэтому стоимость такого диска на запчасти превышает 100 (а для некоторых моделей и 200) долларов США.

Восстановить данные с диска Seagate Momentus 5400.6 емкостью 500 GB

Задача. Восстановить данные с жесткого диска Seagate Momentus 5400.6 500 GB

Описание проблемы. Накопитель поступил с жалобой на то, что он не определяется в системе.

Результаты диагностики. Диагностика проведена с использованием ПАК РС-3000 и ламинарного шкафа. При подаче питания накопитель начинает издавать характерные щелчки. Анализ гермозоны накопителя в ламинарном шкафу: у диска вышел из строя блок магнитных головок.

Необходимые для восстановления информации процедуры.

  1. Подюор и адаптация донорского устройства.
  2. Замена блока магнитных головок.
  3. Запуск накопителя в технологическом режиме.
  4. Вычитывание накопителя в технологическом режиме.
  5. Извлечение данных из полученных файлов-образов.

Результат.

Данные восстановлены полностью.

Особенности заказа.

Данный накопитель относится к семейству Seagate Wyatt, для которого характерной проблемой является выход из строя блока магнитных головок с последующим запиливанием одной или нескольких поверхностей. Высокий риск появления запилов объясняется тем, что пользователь обычно пытается многократно включить диск в надежде на его запуск, а для дисков именно этого семейства не предусмотрена аварийная парковка БМГ в случае, если в микропрограмму поступают сигналы о неисправных головках. Это приводит к тому, что диск продолжает вращаться, головки парят над его поверхностью, повреждения головок прогрессируют, что в конечном итоге приводит к обрыву одной или нескольких головок, падению на поверхность их фрагментов и формированию повреждений поверхности.

Восстановить данные с жесткого диска Maxtor из старого компьютера

Задача. Восстановить данные с жесткого диска Maxtor 2F040L0 (40 GB)

Описание проблемы. Накопитель поступил с жалобой на то, что он не определяется в системе.

Результаты диагностики. Диагностика проведена с использованием ПАК РС-3000. Обнаружено, у диска имеется стандартная для накопителей Maxtor: запорченные контрольные суммы некоторых модулей служебной зоны, приводящие к невозможности старта микропрограммы.

Необходимые для восстановления информации процедуры.

  1. Анализ микропрограммы.
  2. Исправление ошибок контрольных сумм и заголовков испорченных модулей микропрограммы.
  3. Вычитывание накопителя в технологическом режиме.
  4. Извлечение файлов из вычитанных данных.

Результат.

Данные восстановлены полностью.

Особенности заказа.

Старые накопители производства Maxtor имели производственный дефект: при записи некоторых модулей микропрограммы, если в этот момент происходил какой-то сбой (например, выключение электропитания), содержимое этих модулей портилось (как правило, оказывалась неверной контрольная сумма модуля). Это приводило к невозможности запуска микропрограммы (модули не проходили проверку на целостность данных).

Замена жесткого диска с кастомной прошивкой: беда или благо?

SAS-диск Seagate Savvio из сервера НР: кастомная прошивка и даже модель диска, своя этикетка.

Апгрейд как ключ к пониманию кастомности

Современный рынок услуг в области IT весьма многообразен, и одна из его основных доходных статей — апгрейд. Апгрейд (upgrade) — как следует из перевода — «повышение уровня» устройства. Скажем, вы купили ноутбук. В стоковой комплектации в нем 320 Гб жесткий диск, 2 Гб оперативной памяти и не самый шустрый процессор поколения i3. Какое-то время этот компьютер вас вполне удовлетворял, но наступил момент, когда вы поняли: тормозит.

Да так тормозит, что и работать-то уже тяжело. Что делать? Звоните в сервис, и вам предлагают две опции: чистка операционной системы (но честно предупреждают — если фирма ответственная, конечно — что это решение временное, и скоро все начнет тормозить снова) или тот самый волшебный апгрейд.

Обычно апгрейд — это увеличение объема жесткого диска или/и оперативной памяти. Реже меняется процессор. Еще реже — видеокарта. Ну а если требуется замена материнской платы (чтобы посадить новый процессор и ОЗУ), то это апгрейд уже чисто условный — ведь по сути меняется уже практически весь компьютер. Но в этот вопрос мы погружаться не будем.

Что такое кастомная прошивка и для чего она нужна

Накопитель Seagate, перемаркированный для использования в серверах DELL, с соответствующей кастомной прошивкой и собственной этикеткой

Часть устройств (дорогие игровые ноутбуки, продукция Apple, некоторые типы NAS, сервера и пр.) оборудуются жесткими дисками, имеющими собственную (кастомную) прошивку. И замена таких жестких дисков на что-то другое лишает эти устройства гарантии. В таком случае я рекомендую задуматься: так ли необходим апгрейд устройства хранения информации, нельзя ли увеличить объем storage по-другому — например, используя внешний жесткий диск или сетевое хранилище?

Вы спросите — почему — и я отвечу.

Хороший производитель, причем не важно — чего (жесткий диск, автомобиль, магнитола) рассчитывает узлы и агрегаты устройства так, чтобы обеспечить устройству правильную работу на протяжении всего срока гарантии (ну и, соответственно, послегарантийного срока тоже). При этом каждый узел проходит определенные тесты, каждому узлу «назначается» срок жизни — по истечении которого узел требуется заменить или отремонтировать.

Тоже самое касается и жесткого диска. Давайте вообразим игровой ноутбук внутри. Прежде всего, это усиленная система охлаждения — а значит, сильные и постоянные вибрации. Кроме того, аудиосистема такого ноутбука обычно мощнее, чем у офисного лаптопа — а значит, при ее работе получается еще больше вибраций. В итоге вибрации работающих вентиляторов охлаждения и колонок ноутбука могут складываться, входить в резонанс, увеличивая вибронагрузку на ноутбук в целом. Соответственно, жесткий диск будет работать в условиях повышенных вибраций, и с этим надо как-то бороться!

А как? Самый простой и очевидный способ — изменить ААМ диска (Automatic Acoustic Management), заставить его гасить вибрации системы встречными вибрациями диска. Это делается на уровне прошивки — производитель устройства вносит в микропрограмму накопителя свои изменения, направленные на отработку системы ААМ так, чтобы в случае повышения вибрационных нагрузок сам диск их начал гасить.

Естественно, для оптимизации работы жесткого диска внутри такого устройства используется не только ААМ. И естественно, производитель вряд ли будет раскрывать все модификации, которые он произвел с микропрограммой диска. Достаточно того, что устройство работает, и производитель гарантирует его работу на весь срок гарантии (масло масляное, но что делать).

Прошивки дисков, имеющих изменения производителя устройства, маркируются уже этим производителем. Часто и стоковая этикетка диска заменяется на этикетку производителя устройства — например, черные этикетки на жестких дисках из устройств Apple, или этикетки серверных дисков с крупно напечатанным DELL, HP или IBM. Как правило, на таких этикетках указываются все необходимые производителю устройства сведения, которые могут полностью отличаться от того, что было наклеено на диск исходно (вплоть до названия модели — вместо, скажем, ST1000LM002 может стоять Apple HDD1000LM002). Единственное, что всегда остается неизменным — это серийный номер диска. Ведь по нему производитель устройства в случае необходимости получит замену у производителя непосредственно жесткого диска.

Замена диска с кастомной прошивкой: «за» и «против»

Но вернемся к заменам дисков внутри устройств, где эти диски сам производитель разрешает менять только на свои (лишая гарантии в случае замены на что-то левое). Многие фирмы меняют диски и при этом гарантируют их прекрасную работу, но срок гарантии на свою работу всегда дают меньше официального. Почему? Потому, что такой заменой они лишили устройство его официальной гарантии, а гарантировать работу устройства стоимостью как минимум в тысячу долларов на весь срок его официальной гарантии для таких компаний рискованно.

Но потеря гарантии — не самое страшное. Самое страшное — то, что устройства со стоковой прошивкой не имеют тех улучшений и изменений работы микропрограммы, которые заложены в устройствах от производителя. Это означает, что в случае, если устройство, скажем, будет постоянно продуцировать повышенный вибрационный шум, жесткий диск, поставленный вместо кастомного, будет работать хуже, проваливаться по производительности или, что еще печальнее — терять данные. Это все очень легко отследить в SMART диска: некоторые его атрибуты, такие как количество переназначенных секторов, количество попыток исправления ошибок, и пр. — эти атрибуты начнут расти. И рост их будет виден ежедневно.

Ну а рост количества ошибок — это деградация диска, ведь он имеет ограниченный ресурс для их исправления. Поэтому уверенно заявляем: диски со стоковой прошивкой в устройствах, где предусмотрено использование прошивки кастомной, будут жить меньше, чем аналогичные диски с кастомной микропрограммой. Более того — всегда есть риск, что при очередной виброперегрузке такой диск выйдет из строя и похоронит ваши данные.

Нет, мы не говорим, что это случится обязательно. Но даже наличие вероятности того, что это может случиться, должно побуждать задуматься: а на самом ли деле так велики бенефиты от того, что будут добавлены несколько сотен гигабайт к основному файловому хранилищу? Не проще ли и не безопаснее ли поставить, например, сетевой диск?

Станислав Корб (С) 2019

Восстановить файлы со старого ноутбучного диска Fujitsu

Задача. Восстановить данные с жесткого диска Fujitsu MHV2120AH

Описание проблемы. Ноутбук, в котором стоял накопитель, не запускается.

Результаты диагностики. Диагностика проведена с использованием ПАК РС-3000. Жесткий диск исправен.

Необходимые для восстановления информации процедуры.

  1. Копирование информации на накопитель заказчика.

Результат.

Данные восстановлены полностью.

Особенности заказа.

Жесткие диски с интерфейсом РАТА, особенно — форм-фактора 2,5 дюйма — довольно часто становятся нашими пациентами. При этом сам диск может оказаться (и часто так и оказывается) совершенно исправным. Если разъем и кабель РАТА для жестких дисков 3,5 дюйма еще можно найти на материнских платах (хотя все больше производителей от него отказываются), то для подключения аналогичного диска форм-фактора 2,5 дюйма требуется наличие специального переходника.

Восстановить данные с диска Seagate Pipeline

Задача. Восстановить данные с жесткого диска Seagate ST1000VM002

Описание проблемы. Накопитель поступил с жалобой на то, что он не определяется в системе.

Результаты диагностики. Диагностика проведена с использованием ПАК РС-3000. Обнаружено, у диска имеется стандартная для накопителей архитектуры F3 проблема: самоблокировка микропрограммы в результате ошибки.

Необходимые для восстановления информации процедуры.

  1. Разблокировка микропрограммы.
  2. Запуск накопителя в технологическом режиме. Исправление проблем в служебной зоне.
  3. Вычитывание накопителя в технологическом режиме.
  4. Извлечение файлов из вычитанных данных.

Результат.

Данные восстановлены полностью.

Особенности заказа.

Жесткий диск оказался с заблокированной возможностью работы в служебной зоне (Diagnostic Port Locked). Для разблокировки такой возможности используется патч ПЗУ.



Мы принимаем к оплате | We accept payments


Мы стажировались и работали в странах | We worked or practiced in following countries