Случайны выбор дневника Раскрыть/свернуть полный список возможностей


Найдено 135 сообщений
Cообщения с меткой

восстановление информации - Самое интересное в блогах

Следующие 30  »
rss_rss_hh_new

Неглубокое погружение или восстановление данных с жесткого диска после затопления офиса

Пятница, 16 Июня 2017 г. 23:30 (ссылка)

Офис небольшой торговой компании был размещен на цокольном этаже жилого дома, построенного в семидесятые годы прошлого века. За время своего существования дом изрядно обветшал, но продолжал эксплуатироваться с незначительными косметическими ремонтами. Компания хоть и сетовала на неподобающее состояние труб и сантехнического оборудования, но не торопилась за свой счет заниматься решением этих проблем, полагая, что грядущий капитальный ремонт уменьшит их потенциальные издержки. Но, как показали дальнейшие события, не стоит полагаться на голый экономический расчет без учета рисков.



Июньским утром сотрудники компании обнаружили, что вход в офис затоплен и из окон на улицу поступает пар. В срочном порядке была вызвана аварийная бригада, которая прекратила поступление воды в помещение и занялась откачкой. Причиной затопления стала коррозия металла, которая привела к разрушению одного из фитингов на трубе горячего водоснабжения.



Ущерб был нанесен стенам, полам, мебели, бумажной документации и оргтехнике. Наиболее пострадавшими оказались компьютеры, которые находились в серверной-админской и оставались включенными круглосуточно. Накопители, которым пришлось работать, будучи погруженными в горячую воду, представляли собой весьма печальное зрелище.





рис. 1



Проанализировав резервные копии данных, которые находились вне офиса, было принято решение о необходимости восстановления данных с некоторых накопителей. Одним их них был накопитель Samsung HD753LJ.



Примерно в таком состоянии накопитель поступил в нашу лабораторию восстановления данных (на рис. 1 накопитель уже после процедуры очистки от пыли и загрязнений). Известно, что корпус накопителя не герметичен и в нем имеет воздушный фильтр для выравнивания давления внутри накопителя с окружающей средой.





рис. 2



Конструктив накопителя таков, что ось БМГ вкручивается в корпус в отверстие с резьбой и с наружной стороны корпуса заклеивается круглой наклейкой. К сожалению, в нашем случае под воздействием горячей воды наклейка была смыта.





рис. 3



Учитывая, что накопитель находился много часов будучи погруженным в воду с отслоившейся защитной наклейкой, предполагаем, что возможно попадание жидкости внутрь гермоблока. В условиях ламинарного бокса производим вскрытие накопителя. Первичный визуальный осмотр не выявляет какого-либо серьезного попадания жидкости в гермоблок.





рис. 4



Снимаем блок магнитных головок (БМГ) и обследуем отверстие с резьбой в корпусе накопителя и его окрестности, а также сам БМГ под микроскопом. В результате осмотра обнаружены небольшие разводы у самого резьбового соединения, что говорит о том, что жидкости попало достаточно мало и на момент поступления накопителя к нам она уже вся успела испариться. Деформаций подвесок и слайдеров не обнаружено, коммутатор-предусилитель визуально без повреждений. Проводим операцию удаления солей, содержавшихся в жидкости, во избежание разлета пыли по гермоблоку, как на корпусе, так и на самом БМГ. Также замеряем сопротивление всех выводов на колодке от коммутатора-предусилителя и сравниваем его с сопротивлением аналогичного накопителя. Результат проверок позволяет предположить исправность коммутатора-предусилителя. Исходя из того, что серьезных загрязнений не обнаружено, отсутствуют деформации подвесок и слайдеров, а также есть основание предполагать, что коммутатор-предусилитель исправен, приходим к выводу, что нет необходимости производить пересадку пакета дисков в другой корпус и также нет необходимости использовать БМГ от накопителя-донора. Собираем накопитель обратно.



Исходя из результатов первичного визуального осмотра очевидно, что печатная плата «контроллера» данного накопителя деградировала в результате электрохимической коррозии и не может быть использована. В данном семействе (F1_3D) ПЗУ располагается в MCU Marvell 88i8826E. Учитывая, что неизвестно «жив» ли данный MCU, а также сложность пайки BGA микросхем, варианты с получением оригинального содержимого ПЗУ исключим.



В случае накопителей Samsung данного семейства применима методика Hot swap. Прочитав модули микропрограммы, можно установить версию оригинальной микропрограммы, а также понять, помещался ли код микропрограммы целиком в ПЗУ микроконтроллера или для его хранения использовались оверлеи в служебной зоне.





рис. 5



Проведя анализ модуля FSI, мы установили версию микропрограммы 1AG08ugB.d35. Оценивая содержимое модулей 73_MOVLY, 19_BOVLY, обнаруживаем, что они целиком заполнены нулями. Данное наблюдение позволяет сделать вывод, что для восстановления данных можно использовать практически любое ПЗУ с совместимым идентификатором платформы, которое не использует модули 19 и 73 для хранения исполняемого кода.



Используем плату донора, в которую запишем ближайшее совместимое ПЗУ Ближайшая версия в наличии оказалась 1AA18HuM.d35.



Пробный старт показал в терминале лог с некоторыми сообщениями об ошибках, которые не являются критичными при вычитывании пользовательских данных.





рис. 6



По регистрам накопитель также сообщил о готовности к обмену данными.





рис. 7



В ОЗУ жесткого диска модифицируем количество аппаратных повторов со 100 попыток чтения до 2, чтобы не провоцировать долгие задержки на нечитабельных участках, а также частично отключаем процедуры оффлайн-сканирования.



Создаем задачу посекторной копии на другой накопитель и первым делом строим карту зонного распределения.





рис. 8



Начинаем чтение в UDMA режиме с таймаутом ожидания готовности 300 миллисекунд, с прерыванием операции при обнаружении нестабильности, подачей программного сброса и прыжком на 100 000 секторов вперед.



Обнаруживаются UNC ошибки на секторах 6 24х ххх и 89 36х ххх. Остальные участки читаются без затруднений.



Отправляем накопитель в спящий режим и на копии производим анализ нулевого сектора.





рис. 9



На рис. 9 видно, что присутствуют записи о двух разделах. Первый раздел начинается с сектора 0x0000003F (63) и его длина 0x061A7927 (102 398 247) секторов. Второй раздел начинается с сектора 0x061A7966 (102 398 310), и его длина составляет 0x446AF55B (1 147 860 315) секторов. По смещению 0x1BE находится значение 0x80 – признак активности раздела (раздел является загрузочным). Согласно локализации дефектов очевидно, что они приходятся на первый раздел.



В секторе 63 располагается загрузочный сектор первого раздела, в котором кроме кода загрузчика, передающего управление NTLDR, находятся параметры файловой системы.





рис. 10



Из параметров файловой системы отметим: сектор 512 байт, 8 секторов в кластере, размер раздела в загрузочном секторе соответствует размеру, описанному в таблице разделов.

Первый сектор MFT рассчитывается по формуле: X*Y+Z, где X номер первого кластера расположения MFT, Y – количество секторов в кластере, Z – смещение до начала раздела.



0x00000000000C0000*0x08+0x3F=0x000000000060003F (6 291 519)



Так как по этому смещению у нас недочитанный фрагмент, то рассчитываем позицию MFT Mirror



0x000000000061A792*0x08+0x3F=0x00000000030D3CCF (51 199 183)



По этому смещению нет непрочитанных фрагментов. Определив позицию MFT и проведя анализ ее расположения, строим карту.





рис. 11



Производим чтение частично непрочитанного первого фрагмента MFT. Операция проходит без затруднений.



Проведем анализ записей MFT и сопоставим с картой прочитанного. В итоге обнаруживаем, что дефекты попадают лишь на два файла.





рис. 12



Первый является служебной структурой NTFS, которая некритична.



Второй является файлом виртуальной памяти в Windows и тоже не представляет ценности для Заказчика.



Для уточнения характера дефекта выполняем чтение непрочитанных фрагментов этих файлов, которое покажет наличие сплошь нечитаемых участков по несколько тысяч секторов, что свидетельствует о некорректной работе накопителя в последние минуты.



В качестве заключения хотелось бы снова напомнить всем о необходимости резервного копирования и о том, что копии желательно хранить не в тех же местах, где находятся накопители с основными рабочими данными, так как в случае подобного достаточно легко предугадываемого форс-мажорного обстоятельства пострадать может вся имеющаяся информация.



Предыдущая публикация: Всегда ли надежно шифрование или восстановление данных с внешнего жесткого диска Prestigio Data Safe II
Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/331090/

Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Восстановление данных с внешнего жесткого диска Seagate FreeAgent Go

Суббота, 03 Июня 2017 г. 11:01 (ссылка)

Внешний жесткий диск Seagate FreeAgent Go 500Gb верой и правдой служил своей владелице, но в один из не самых лучших для него дней стал жертвой человеческих эмоций, когда владелица в пылу семейной драмы швырнула устройство в объект, вызывающий у нее сильное раздражение – в своего мужа. Муж серьезно не пострадал, а вот с накопителем дела обстояли хуже. При подключении в USB порт компьютера накопитель издавал тихие жужжащие звуки и не начинал вращение вала.





рис. 1



В таком состоянии внешний жесткий диск поступил в нашу лабораторию восстановления данных. Визуальный осмотр не выявляет каких-либо деформаций самого бокса. Учитывая, что в предыстории значится удар, такой накопитель подлежит обязательному вскрытию в условиях ламинарного бокса без каких-либо попыток включения во избежание дальнейших разрушений. Из бокса извлекается жесткий диск Seagate ST9500325AS (Momentus 5400.6), представитель семейства Wyatt. Корпус винчестера без деформаций и вмятин на крышке. Проводим мероприятия по удалению пыли из всех возможных мест и отправляемся в ламинарный бокс. Сняв крышку, обнаруживаем, что блок магнитных головок находится вне парковочной рампы.





рис. 2



С использованием съемников осуществляем вывод БМГ на рампу. Далее извлекаем БМГ и тщательно осматриваем все 4 слайдера и подвески под микроскопом на предмет деформаций и наличия посторонних частиц. Также осматриваем рециркуляционный фильтр и поверхность верхней пластины в месте залипания БМГ. В нашем случае установлено, что деформаций подвесок нет, загрязнения слайдеров отсутствуют. На поверхности пластины присутствует «пятно» с повреждением, которое невозможно увидеть невооруженным глазом. На рециркуляционном фильтре отсутствуют металлические частицы. Повреждений пластиковой парковочной рампы нет, перекоса пакета дисков нет.



По результатам данного осмотра установлено, что допустимо осуществить попытку чтения оригинальным блоком магнитных головок, но необходимо учитывать наличие повреждений у внешнего края пластин. Устанавливаем блок магнитных головок обратно в накопитель и производим сбор. Зная, что накопитель подвергся ударной нагрузке, выполним замену оригинальной печатной платы 100536286 Rev E, на заведомо исправную плату накопителя-донора с переносом ПЗУ. Данная мера рекомендуема, чтобы не получить неприятных сюрпризов из-за потенциально возможных микротрещин.



Подключаем накопитель к SATA порту и терминалу и подаем питание. В нашем случае накопитель начал вращение вала без какого-либо биения. Послышался нормальный звук калибровочного теста и через несколько секунд накопитель сообщил о своей готовности к обмену данными в регистрах.





рис. 3



В терминале также нормальный лог старта накопителя с отключенным дополнительным протоколированием событий.



Rst 0x08M

(P) SATA Reset



Сразу же в ОЗУ накопителя необходимо найти модуль конфигурации HDD (ID=0x2A) и убрать оттуда все ключи, которые ответственны за запуск процедур оффлайн сканирования, автономного и отложенного скрытия дефектов, а также отключить процедуры автореаллокации при чтении и записи. Эта мера необходима, чтобы накопитель при обнаружении проблем не пытался запускать процедуры обслуживания дефектов, так как они приведут к длительной задержке БМГ над проблемным участком, что может спровоцировать лавинообразное разрушение (запиливание пластины). Структура модуля 0x2А (system file FC36608F) достаточно проста (порядок записи параметров достаточно очевиден). При исследовании (исследования проводились и продолжают проводиться для всех накопителей F3 архитектуры) главной сложностью было установление назначения каждого из параметров и допустимые значения. Использование современных версий комплекса PC3000 существенно упрощает процедуру правки значений.



Резервируем микропрограмму накопителя (ПЗУ, модули, “system files”). Проверяем на тестовых модулях, которые не важны для функционирования накопителя, способность записи и чтения записанного каждой из головок. Удостоверившись в корректной работе всех головок, перейдем к оценке качества их чтения в пользовательской зоне. Для этого построим карту зонного распределения в границах всего логического пространства (от 0 до 976 773 167 сектора LBA диапазона). Оценив размер мини-зон, можно сделать вывод, что для оценки читабельности головок в данном экземпляре достаточно непрерывно прочесть около 300 000 секторов в конце логического пространства, около 450 000 секторов в середине и около 600 000 в начале диска (зная о наличии повреждения пластин, начало диска не тестируем).

Удостоверившись в возможности чтения всеми головками, настроим параметры чтения: UDMA режим, таймаут операции чтения не более 500 миллисекунд, при отсутствии готовности программный сброс и пропуск мини-зоны. Построив список мини-зон в обратном порядке, приступим к последовательному чтению мини-зон (созданию посекторной копии).





рис. 4



99% логического пространства были прочитаны без каких-либо затруднений. Начиная с LBA 6 541 ххх по головке №1, обнаружилась первая задержка. Чтение было немедленно прервано и накопитель отправлен в sleep режим (парковка головок на рампу, остановка вала, но микропрограмма остается загруженной в ОЗУ жесткого диска. Перестроим список зон в прямой порядок и приступим к последовательному чтению.





рис. 5



С LBA 2 518 ххх также обнаружилась задержка чтения по головке №1. Также быстро отправляем накопитель в спящий режим. Проводим грубую оценку границ дефектной зоны и размер 6 541 000 – 2 518 000= 4 023 000, что примерно равно 2 GB.

Дальнейший анализ проводим исключительно копии на исправном накопителе. Оценим содержимое LBA 0.





рис. 6



Значение 0x07 по смещению 0x1C2 сообщает нам о том, что тип раздела NTFS (или ExFAT).



Значение 0x00000800 по смещению 0x1C6 информирует о том, что раздел начинается с сектора 2 048.



Значение 0x3A384800 по смещению 0x1CA говорит, что длина раздела 976 766 976 секторов.

Перейдем к сектору 2 048





рис. 7



Из параметров NTFS видим, что сектор 512 байт, секторов в кластере 8, размер кластера 512*8=4096 байт. MFT располагается с кластера 0x00000000000C0000 (786 432) или с сектора 6 293 504 (786 432*8+2048). MFT Mirror находится в кластере 0x0000000000000002 (2) или берет начало с сектора 2 064 (2*8+2048).



Зная границы дефектообразования, можем заметить, что с высокой вероятностью на область с MFT придутся дефекты. Для этого оценим первую запись MFT (в MFT Mirror, которая дублирует первые 4 записи MFT так как она прочитана). В нашем случае этот файл расположен в виде одного фрагмента, начиная с сектора 6 293 504 и протяженностью 277 092 сектора.





рис. 8



Обратим внимание, что основные затруднения в чтении были зафиксированы по головке №1, поэтому начнем чтение с зоны по головке №0. Пробудим накопитель из спящего режима и прочитаем фрагмент MFT по нулевой головке. В данном случае это не вызвало затруднений и позволило получить более 75% важнейшей структуры. Далее используем PIO режим для лучшего контроля операций чтения и попытаемся прочесть оставшиеся 68 400 секторов из проблемной зоны. Манипулируя размерами прыжков, таймаутами ожидания готовности, размером блока при чтении в несколько проходов, производим чтение проблемного участка. В области MFT остается 18 непрочитанных секторов, которые по расположению повторяются (цикличность соответствует SPT для этих зон), что свидетельствует о царапине на этой пластине.



Снова отправив накопитель в спящий режим, произведем анализ записей в MFT на копии и оценим расположение файлов, чтобы понимать, какие из них попадают в дефектную зону. Обнаруживается порядка 50 пострадавших файлов. Сверяемся с техническим заданием и выясняем, что можно отбросить из сценария вычитывания более 35 файлов. Для остальных построим цепочки их расположения и отсортируем в порядке следования.



При чтении заметим, что кроме проблем на поверхности, читаемой первой головкой, обнаруживаются проблемы по поверхности, читаемой головкой №3. Исключим чтение цепочек по проблемным поверхностям и прочитаем участки по поверхностям 0 и 2.



Далее попытаемся возобновить чтение проблемных цепочек головками №1 и №3, и менее, чем через 30 секунд из накопителя раздается достаточно громкий стук. Пытаемся подать сброс, но накопитель не реагирует и продолжает стучать. Принимаем решение об отключении питания. Повторное включение питание начинается со стука из накопителя. Отключаем питание и делаем вывод о развитии деградационных процессов вследствие чтения поврежденной зоны.



Отправляемся в ламинарный бокс и осматриваем произошедшее. Верхняя поверхность выглядит идеально, но под микроскопом обнаруживается начавшийся лавинообразный процесс разрушения пластины (запил). Наличие металлических частиц на слайдерах №1 и №3 уточняет диагноз.

Из посекторной копии создаем файловую копию с переносом файлов, имеющих недочитанные фрагменты, в отдельную папку (с оригинальной иерархией). Также уточненно проводим анализ MFT, чтобы понимать, к чему привела потеря 18 секторов. Из анализа повреждений можно однозначно установить, что утеряно не более 7 файлов. К сожалению, Bitmap также находится в дефектной зоне, и его содержимое не может быть использовано для анализа.



При приемке результата владелица диска осталась довольна результатом (более 99,9% нужных данных) и посчитала, что нет нужды проводить дополнительный анализ регулярных выражений для поиска пропавших файлов из-за повреждений MFT.



В качестве заключения хочу обратить внимание многих пользователей, что не все так просто в случае накопителей у которых «головки» залипли вне парковочной рампы. И насколько порой опасны предложения людей, далеких от понимания принципов работы накопителя на жестких магнитных дисках, самостоятельно вскрыть устройство и вывести головки, а далее используя dd из Linux или WinHex под Windows выполнить «безопасную» посекторную копию. Если бы к накопителю, описанному в публикации, были бы применены подобные меры, то он бы превратился в труп без возможности восстановления данных при чтении второго гигабайта.



Предыдущая публикация: Немного реверс-инжиниринга USB flash на контроллере SK6211

Публикация вне habrahabr: Восстановление данных с неисправного HDD WD4000FYYZ-01UL1B1
Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/330120/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
Аноним

Среда, 01 Декабря 1970 г. 03:00 (ссылка)

Комментарии ()КомментироватьВ цитатник или сообщество
sukurraduk

Без заголовка

Воскресенье, 05 Марта 2017 г. 17:56 (ссылка)

Восстановление информации в Киеве - https://vk.com/page-141656954_52646036

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
slixasar714

Без заголовка

Воскресенье, 05 Марта 2017 г. 07:48 (ссылка)

Восстановление информации в Киеве - https://vk.com/page-141656954_52646036

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
vadimka_mt

Что делать, когда не читается диск

Пятница, 10 Февраля 2017 г. 15:04 (ссылка)


Хочу поделится своим опытом восстановления обычных CD и DVD дисков. Резонным будет возглас, типа "эй чувак, да ты опоздал на 10 лет, никто уже ими не пользуется". Да я частично с этим согласен, но кому-то это станет полезным. Не все ведь имеют хорошие производительные пк и довольствуются старыми машинами, где возможность скидывать данные на диски еще актуальна.



Вот, типичный пример, когда мне понадобился сборник моих старых программ. Вставляю диск в привод и не ничего не происходит - диск пустой. Вспоминаю, что однажды этот DVD+RW был отформатирован (Рис.1).



Я уж думал начинать расстраиваться, но потом нашел интересную программу под названием IsoBuster. Она позволяет доставать любую информацию практически с любого, даже самого убитого, заерзаного диска. Теперь, если я и буду когда-то, что-нибудь записывать на диски, то у меня есть отличная софтина на случай чего. Запускаем, обновляем, программа начинает читать диск и вуаля. Всё на своем месте (Рис.2).



Подробности: http://dgz.livejournal.com/263175.html



#программа #DVD-RW #ошибкачтениядиска #IsoBuster #восстановлениеинформации #сбойныесектора

-------

dgz.livejournal.com

vk.com/xulliganchik

facebook.com/VadimYatsenko

plus.google.com/u/0/+VadimYatsenko4

youtube.com/channel/UCT-cGyGyKwDKD1xSLBJ8v6w

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
neuspelalle76

Без заголовка

Четверг, 09 Февраля 2017 г. 15:42 (ссылка)

Восстановление информации в Киеве
Подробнее тут - http://dobrobut.biz.ua/uslugi


Детективное Агентство КОНРАД
Киев, ул. Мечникова, 2 (бизнес-центр 'ПАРУС')

тел. +38 (063) 383-84-08 (24 часа без выходных)

e-mail: Detectiws@163.com

ICQ: ICQ Status Indicator 592-313-017

Skype: Skype status indicator Detect-conrad

vk.com/club13939915
http://dobrobut.biz.ua/uslugi

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
mautoz788

Без заголовка

Четверг, 09 Февраля 2017 г. 13:04 (ссылка)

Восстановление информации в Киеве - https://vk.com/page-139648634_52568047

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество

Следующие 30  »

<восстановление информации - Самое интересное в блогах

Страницы: [1] 2 3 ..
.. 10

LiveInternet.Ru Ссылки: на главную|почта|знакомства|одноклассники|фото|открытки|тесты|чат
О проекте: помощь|контакты|разместить рекламу|версия для pda