Номера 

Восстановление разбитых или поврежденных ssd накопителей. Интервью с инженером DataRecovery



Роман является автором статей в журнале «Железо», периодически публикуется на Overclockers.ru, а также работает инженером по системам восстановления информации в отечественной компании, чью продукцию использует, в том числе крупнейшие западные фирмы. Давайте узнаем, как обстоит дело с восстановлением данных с SSD.

Роман, как я понял, ваша компания занимается непосредственным выпуском программно-аппаратных комплексов, помогающих диагностировать и восстанавливать информацию с жестких дисков или Flash систем хранения, таких как карты памяти, «флешки» и SSD?

Да, Антон, все верно. Компания называется ACE Laboratory и в этом году она отметила 20- летний юбилей, что для российской компании является очень солидным сроком. Много-ли IT компаний начала 90-х, продолжают активно развиваться спустя 20 лет с момента своего открытия? Я о таких, слышу не очень часто:)

Изначально, ACE Lab была основана выходцами Таганрогского Радио Технического Института и выходцами из Ростовского НИИ ТОП. В конце 80-х, в этом научно-исследовательском институте, велась разработка советских жестких дисков. По большей части, это были клоны Seagate’ов объемом 5-20 Мбайт (самые вместительные зарубежные модели того времени, едва переваливали за 60 Мбайт), но тем не менее, все собиралось из отечественной элементной базы, использовались советская электроника и работали советские инженеры. Сейчас сложно представить, что когда-то, в нашей стране, выпускались полностью отечественные компоненты не только для военных нужд, но и для домашнего использования, в частности, для персональных компьютеров. С началом 90-х, когда вместе с развалом СССР начался развал государственных предприятий, НИИ ТОП не долго смог продержаться и вскоре был закрыт. Талантливые инженеры, знающие о принципах работы HDD, нашли свое место в новых условиях рынка – если производить что-то уже не было никакого смысла, то восстановление данных – оказалось весьма перспективным направлением деятельности. Ведь в начале 90-х, жесткие диски только-только набирали обороты, и были примерно такой же, редкостью, как сегодня SSD. По этому, ведя разработки своего оборудования, параллельно развитию HDD, компания накопила огромный опыт за это время, и сегодня, без преувеличения, является лидером по производству оборудования для восстановления информации во всем мире. Просто говорят о нас не очень часто – слишком уж узкоспециализированное это дело, “Data Recovery” :)

Озабочена ли ваша компания развитием данного перспективного направления (твердотельная память), или сосредотачивает свои силы больше на традиционных жестких дисках?

В процентном соотношении, HDD и SSD идут примерно 90% к 10%, так что упор на жесткие диски ставится сейчас, конечно же, больше чем на твердотельные накопители. С другой стороны, постепенная каннибализация предприятий, выпускающих HDD идет на пользу и SSD – появляется возможность лучше сконцентрировать ресурсы для разработок. К примеру, еще лет 10 назад, жесткие диски выпускались целой когортой компаний. Это были Fujitsu, IBM, Hitachi (а в последствии, Hitachi-IBM), Samsung, Toshiba, Seagate, Western Digital, Quantum, Maxtor и т.д. Приходилось уделять всем накопителям времени в равной степени, и поскольку каждый из производителей имел уникальную архитектуру дисков (а как следствие, и принципы восстановления данных с них), то заниматься равномерным развитием сразу всех направлений было непросто. Со временем, на рынке осталось лишь два основных конкурента, которые поглотили всех остальных – Seagate и Western Digital ну, и пожалуй, Hitachi который хотя и был куплен Seagate’ом, сейчас все еще штампует очень малым тиражом дешевые 2.5” диски для ноутбуокв. Так что сосредоточившись на двух-трех производителях, появляется возможность больше времени уделять и SSD – впрочем, все случившееся сложилось крайне своевременно.

По ходу работы ты часто общаешься с западными клиентами, а многие ли у нас сейчас пользуются услугами восстановления данных с SSD или Flash?

Дело в том, что восстановление информации – дело дорогое. Это весьма кропотливый процесс, который по определению не может оплачиваться дешево. И если с жесткими дисками, дела идут неплохо (люди часто обращаются за восстановлением своей инфы), то с Flash накопителями все гораздо сложнее. К примеру, SD карта фотографа который вел свадьбу, внезапно его подвела, и все праздничные фото пропали вместе с работоспособностью карты. В этом случае, конечно же, и фотограф, и жених с невестой, заинтересованы в восстановлении утерянных данных и готовы заплатить немалые деньги. Но если у студента навернулась флешка с рефератом, вряд-ли он будет платить две-три тысячи рублей за восстановление своей информации. За рубежом, даже 100-200$ не являются большими деньгами если на кону стоят фотографий с путешествий, или более-менее значимые документы. А вот у нас, народ менее богатый, по этому и восстанавливать данные не спешит. Часто бывают случаи, когда люди не хотят жертвовать 8-гиговой флешкой стоимостью в 500 рублей (которую нужно вскрыть и отпаять чип памяти для дальнейшего восстановления), боясь лишиться гарантии и в дальнейшем, потерять возможность обменять в магазине на новую, бесплатно. Это не говорит о жадности, это говорит о совершенно другом уровне доходов по сравнению с богатым Западом. Тоже самое и с SSD – восстановление данных с них стоит еще дороже, и пока, на Российском рынке никто тратить большие деньги за восстановление твердотельного диска не хочет. К тому же, те кто покупает SSD осведомлены о их недолговечности, по этому и важные данные на них не хранят, используя исключительно для программ и операционной системы. На Западе, люди менее технически подкованы, по этому купив ноутбук с SSD, они тут же скидывают на него важные документации, фотографии, видео, да и вообще все что только можно, и сильно удивляются когда SSD внезапно умирает. Так что на Западе, клиентов обращающихся за восстановлением данных с SSD уже достаточно много – в разы больше чем в России.

Среди пользователей всегда ходило поверье, что если сломался жестких диск, то с него без проблем можно «слить информацию», а вот из-за особенностей твердотельных накопителей этого сделать вообще невозможно, так ли это?

Твердотельные накопители, относительно новы – им всего-лишь несколько лет (именно столько времени они активно развиваются, до 2008 года о них вообще почти никто не знал), по этому и времени на их “раскопку” было затрачено гораздо меньше. С HDD есть огромный опыт, восстанавливать данные с них легче ввиду совершенства и технологии, и программного обеспечения. С флешками и SSD все по-другому, принцип работы, размещения и хранения данных сильно отличается от HDD, по этому «переключить мозги» с жестких дисков на флешки было довольно непросто.

Поначалу, SSD первых поколений не отличались от обычных флешек по принципу записи и чтения информации, просто действий было немного больше, и общее восстановление проходило медленнее, требуя куда больше времени. К примеру, в SSD, все данные разбиваются на куски размером 4 Кбайт, и записываются в разные микросхемы на плате SSD. По этому и доступ к этим данным очень высок. Т.е. контроллер, один и тот же файл начинает считывать сразу по 4-м каналам, с 4-х микросхем, считывая 1-ю часть с 1-й микросхемы, 2-ю со второй и т.д., делая это одновременно (что-то типа RAID0 у HDD). Благодаря такому распараллеливанию, и достигается высокая скорость наряду с более «плавным» износом NAND FlASH, поскольку запись и считывание велось постоянно в разные участки чипов памяти.. Но считав данные с микросхем, инженер получал мусор из кусков файлов – необходимо было восстановить преобразования контроллера, повторив их в обратном порядке. Представь себе лоскутное одеяло, разрезанное на полоски шириной 5-см, которые потом перемешали в общей коробке. Задача – все куски выстроить в правильном порядке, и заново сшить одеяло – примерно с такой же задачей сталкивался специалист. Необходимо было отпаять все микросхемы, считать их, проанализировать

каждую из них, и начать связывать их между собой по кускам, что бы получить данные пользователя. Это требовало огромного количества времени и естественно, назад свой дорогой SSD пользователь уже не получал и вернуть в магазин по гарантии не мог – либо данные, либо гарантия, т.к. все микросхемы предварительно выпаивались и считывались. Тем не менее, вернуть данные было можно, хотя и очень-очень непросто. Однако, уже во втором поколении SSD, разработчики твердотельных накопителей довели свои алгоритмы записи информации не просто до разрезания и перемешивания (для более равномерного использования ячеек микросхем), они решили включить шифрование. Т.е. контроллер, перед записью данных предварительно их шифровал, получался так называемый “равномерный белый шум”, который заполнял пространство микросхем. Тут то и возникла проблема – вычитать данные было возможно, а вот «склеить» их без расшифровки оказалось просто нереально. Но, как оказалось, SSD 2-го и 3-го поколения уже умели работать в технологическом режиме, который можно было активировать если слетала прошивка или происходил сбой микропрограммы контроллера SSD. Активировав этот режим, стало возможным добиться доступа к данным без предварительной отпайки чипов, сделав процесс восстановления более быстрым и менее сложным.

Если технологический режим реализован на SSD, то почему о нем мало кто говорит из производителей, когда он может помочь восстановить испорченный накопитель?

Все просто – никто из производителей не хочет что бы SSD диски ремонтировались сторонними компаниями, а данные восстанавливались. Они хотят одного – больших продаж. Ломается диск – ты покупаешь новый, а не идешь его ремонтировать, как к примеру, HDD. Однако поскольку производители расширяют гарантию на свою продукцию твердотельных накопителей, и хотят что бы пользователи больше им доверяли, приходится идти на хитрости, так что добавили они техно режим не для того что бы помочь восстановить данные, а для того, что бы самим их починить. Допустим – поломался у тебя SSD через два года после покупки, а гарантия на SSD – пять лет. Ты несешь его в сервисный центр где у тебя его забирают, а в замен дают точно такой же. При этом, твой старый SSD отправляется на завод, где его вводят в техно режим, делают перепрошивку микропрограммы, тестируют, меняют корпус и отправляют в СЦ обратно, что бы кто-то другой забрал его, вместо точно такого же, сломавшегося. Ведь как показывает практика, в современных SSD, изнашиваются не чипы памяти – все проблемы связанны в 95% с контроллером и прошивкой\микропрограммой, которая попросту может слететь, или повредиться во время использования. Но, хочу заметить, что это – исключительно догадка, хотя надо сказать, выглядит она очень правдоподобно:)

Во время разработки, как аппаратных, так и программных комплексов для восстановления информации ваши сотрудники должны разбираться с контроллерами, микросхемами и прочим. Это намного проще сделать, сотрудничая с самими разработчиками, например, производителями накопителей или контроллеров, идут ли они на контакты?

99% всех производителей контроллеров, включая известные Marwell, Indilinx, SiliconMotion, Alcor Micro, Phison, Sandforce, находятся в Китае. Именно там они разрабатываются, выпускаются и т.д. Наладить контакт очень непросто, да и это не совсем уж выгодно самим производителям контроллеров которые, как я уже говорил, хотят как можно больше продать. По этому, разработчикам, методом проб и ошибок приходится самим до всего додумываться. :)

Сейчас многие негативно относятся к переходу NAND памяти на новые техпроцессы производства, в связи с сокращением числа циклов перезаписи ячеек. Как ты считаешь, есть ли реальная опасность в том, что память просто перестанет работать со временем в персональных компьютерах, ноутбуках и так далее в какие-то разумные сроки?

Вероятность того, что SSD выйдет из строя – 100% :) Другой вопрос в том, сколько времени на это потребуется? Если к примеру, гарантия производителя 5 лет, могу с очень высокой вероятностью сказать что сам SSD морально устареет куда быстрее, чем успеет закончится гарантия на него, или он поломается. За 5 лет любое компьютерное железо серьезно устаревает, так что самые «ходовые» 2-3 года, любой SSD вполне сможет проработать. Что касается техпроцессов и уменьшения размером ячеек памяти, то здесь вступают в работу программисты, которые доводят алгоритмы записи и «выравнивания» до совершенства (как я уже и говорил выше). Кроме того, добавляется солидный кусок пространства для «переназначенных секторов», так что битые ячейки будут моментально переписываться в резервную область, обеспечив тот самый запас по прочности.

Допустим, первые поколения SSD 2007-2008 года, имели 30000-50000 цикл перезаписи каждой ячейки памяти, после чего она становилась непригодной для записи. При этом, из-за «линейной» записи, когда пользователь постоянно переписывал первые 1-5 Гбайт (кэширование браузера и ОС могут делать тысячи записей ежедневно в одно и то же место), изнашивались только они, а остальные 50 Гбайт, оставались невостребованными, и диск мог очень быстро «умереть». В современных SSD жизненный запас одной ячейки куда меньше – примерно 3000-5000 циклов, однако из-за используемых алгоритмов «выравнивания» записи, шифрования, накладывания XOR паттернов, перезапись каждой ячейки максимально эффективна. Разработчики любят хвастаться тем, что на коробках с SSD указывают, мол, «наш накопитель проживет 10 лет, даже если каждый день вы будите записывать на него 20 Гбайт данных!». Вот именно это они и имеют ввиду – одни и те же ячейки, благодаря оптимизированным алгоритмам записи не будут использоваться постоянно, так что для «убийства» современной микросхемы объемом 16 Гбайт, нужно записать на нее в 3000 раз больше ее реального объема, т.е. примерно 48 Тбайт… Не думаю, что в повседневной жизни, даже за пару лет получится записать хотя бы 100-200Гбайт, не говоря уже о терабайтах. Т.е. даже если с освоением 14нм техпроцесса, запас прочности одной ячейки упадет до 300-500 циклов перезаписи, на 512 Гбайтный SSD придется записать минимум две сотни Тбайт для заметных повреждений NAND чипа.

Слабое место SSD - не память, а именно контроллер и прошивка, которая очень уж любит слетать, блокируя всякий доступ к данным.

Аналитики SSD светлое будущее, все больше компаний начинают выпускать твердотельные накопители (например, недавно о таком желании «изъявили» Seagate и MSI). Раньше тоже были предположения, что со временем NAND Flash память или ее аналоги смогут заменить собой жесткие диски, это было еще до официального выхода массовых линеек SSD, в качестве сроков тогда назывались десятки лет. Сейчас уже говорят о перевесе в сторону SSD за какие-то ближайшие 3-5 лет, как ты считаешь, будет ли он и что надо накопителям для того чтобы обогнать в производстве жесткие диски?

Отрицать то, что будущее за SSD – глупо. Но и делать какие-то предсказания о «существенном перевесе в ближайшие два-три года” тоже ошибочно То, что все большее число производителей, будет выпускать SSD накопители – это вполне очевидно, ведь запустить в производство твердотельный накопитель в сотни раз проще, чем выпустить работающий HDD. Что нужно для того что бы SSD работал? Закупить пригоршню микросхем и к ним контроллер, с официальной заводской прошивкой, которую по желанию можно дописать или дополнить. Т.е. любая более-менее весомая конторка, которая занимается выпуском компьютерного железа (клепает видеокарты и материнки), вполне может выпускать и SSD без особых головных болей – ничего нового для них не будет. Совсем другое – выпустить конкурентоспособный контроллер, так что тут, скорее,

вопрос в том, сколько компаний будут продолжать или начнут выпуск SSD контроллеров, а не самих SSD дисков. Пока, из весомых, их всего пять – Sandisk, Sandforce, Samsung, Indilinx, Marwell, но вполне возможно, что будут появляться и новые игроки, которые представят свое видение «идеального контроллера для SSD». Начать разработку контроллера для твердотельного накопителя, гораздо проще чем начать выпуск собственных HDD, так что перевес рано или поздно все равно будет в сторону твердотельных накопителей. Игроков на рынке NAND FLASH будет становиться все больше, а вот количество производителей HDD с вероятностью в 99.9% останется тем же – Seagate и WD, третьего уже не будет.

Но пока, коренных изменений на рынке ПК я не вижу, за HDD все еще главные плюсы – большая надежность (вероятность внезапной смерти меньше чем у SSD), невысокая цена, огромные объемы. Да, в мобильном секторе, FLASH давно вытеснил HDD форм-фактора 1.8”, полностью заняв весь рынок, но вот что касается ПК, то глобальных улучшений по сравнению с 2008 годом, я пока не вижу. Твердотельные накопители все еще дороги, а максимальный объем ограничен 256-512 Гбайтами (это уже последняя грань с вменяемой стоимостью, далее идут просто ошеломительные цены), так что даже удешевление памяти не дает существенной доступности. Казалось бы, победитель очевиден – HDD продолжают доминирование в секторе ПК (мы о нем и говорим, он для нас главный, мобильный в расчет не берем), но на деле конкуренции как таковой нет. Между SSD и HDD, буквально сейчас завязывается дружба, поскольку вместе, друг от друга, они будут брать гораздо больше плюсов, чем по одиночке. В ближайшем будущем нас, скорее всего, ждет следующее развитие ситуации: у среднестатистического пользователя в ПК будет установлено два накопителя – один SSD, небольшого объема и по доступной цене (128-160 Гбайт за ~80-100$) для программ, игр и операционной системы, и вместительный HDD объемом в 2-4 Тбайт, для хранения FullHD фильмов, музыки, документов, образов игр и т.д.

Но, опять же – это все только в том случае, если цены на доступ в интернет не полетят вниз, и люди не станут массово пользоваться сервисами для онлайн просмотра HD Video, музыки и т.д. В этом случае, смысла в HDD не будет никакого – для игр и установленных программ, хватит и 256 Гбайтного SSD, а все остальное можно будет хранить на “облачных серверах”, которые набирают популярность. Вот только дело это не ближайшего будущего, скорее всего такая картина будет к 2018-2020 году, а пока – SSD и HDD будут жить в тесном сотрудничестве друг с другом.

Но, это лишь мое видение ситуации, слишком уж много условий для какого-то однозначного вывода:)

Благодарю за ответы на вопросы и желаю дальнейших успехов в вашем нелегком деле:)


Несмотря на существенное отличие накопителей рассматриваемого типа от обычных жестких дисков и носителей информации иного типа, приложения для реанимации данных могут использоваться те же самые. Если же была повреждена аппаратная часть, то для реанимации потребуется специализированное оборудование и утилиты.

Неисправности, препятствующие чтению данных

На сегодняшний день все неисправности, не позволяющие прочитать присутствующие на носителе рассматриваемого типа данные, можно условно разделить на несколько основных категорий:

К повреждениям физического характера относится выход из строя основных компонентов:

  • разъемы для подсоединения интерфейса;
  • поломка микросхемы контролера физической памяти;
  • выход из строя компонентов платы;
  • выход из строя всей печатной платы.

Повреждения подобного рода могут быть нанесены в результате как механического, так и электрического воздействия. В таком случае ремонт для восстановления доступа к расположенной на накопителе информации достаточно сложен и требует наличия специализированных навыков. Порой при уничтожении контролера получить доступ к содержимому становится попросту невозможно.

Логическое повреждение носителя (его файловой системы) может являться следствием ошибочного стирания информации, форматирования. Также возникновение подобного рода ситуаций случается из-за неправильной работы каких-либо специализированных приложений. Разрешается подобного рода ситуация достаточно просто – при помощи специализированных утилит.

На дисковых накопителях рассматриваемого типа присутствуют разделы, используемые контролером для выполнения своих функций. Если по каким-то причинам они повреждены и стали неработоспособны, то для их реанимации необходимо передать устройство в специализированный авторизованный сервисный центр. Подобные повреждения не так сложны, как выход из строя контролера, но так же опасны.

Восстановление в случае повреждения контролера

Процесс рассматриваемого типа всегда состоит из двух основных этапов:

  • аппаратного;
  • программного.

Разборка устройства и последующие действия

Разборка устройства рассматриваемого типа осуществляется в несколько этапов:

  • корпус извлекается из персонального компьютера (ноутбука или стационарного – не важно);
  • при помощи подходящей отвертки (крестовой или шлицевой) откручиваются все соединительные болты;
  • специальным инструментом для вскрытия (или обычной пластиковой картой) осуществляется разъединение корпуса.

После вскрытия необходимо при помощи специализированного фена для пайки выпаять все микросхемы. Далее следует воспользоваться устройством, позволяющим осуществлять чтение непосредственно с этих электронных компонентов — NANDFlashReader. Данный программатор обычно снабжается специальными утилитами для осуществления чтения.

Чтение данных с микросхемы

Для работы с данными на выпаянной из печатной платы микросхеме можно использовать следующие приложения :

  • PC-3000 Flash;

Для восстановления данных при помощи PC -3000 Flash необходимо выполнить следующие действия:

  • после запуска в левом окне нажать правой кнопкой мыши на требуемую микросхему;
  • в открывшемся контекстном меню выбрать пункт «чтение микросхемы»;
  • задать параметры чтения в соответствующем окне и параметры автоанализа;
  • осуществляется сборка образа, все данные расположены в правой части окна;
  • выделяем все необходимое и нажимаем снова на правую кнопку мыши – выбираем «Сохранить» (или жмем «F2»).

В некоторых особенно сложных случаях применение функции автоанализа попросту невозможно. В таких ситуациях лучше всего обратиться к профессионалам, специализирующимся на проблемах подобного типа. Так как в противном случае велика вероятность повреждения содержимого микросхемы без последующей возможности получения доступа к данным.

Ещё одно довольно мощное приложения для работы с микросхемами памяти дисков SSD– FlashExtractor. Изначально оно разрабатывалось для работы со схемами обычных флэш-карт, но впоследствии стало применяться для работы с компонентами рассматриваемых дисков.

Процесс восстановления данных с SSD диска:

  • подсоединяем специальный ридер с установленной в него схемой к персональному компьютеру через USB;
  • запускаемфайл Flash Drive Information Extractor (\usbflashinfo\GetFlashInfo.exe);
  • на панели функций необходимо нажать на кнопку «Получить информацию»;
  • выбираем место назначения, куда будет сохранено все спасенное содержимое;
  • нажимаем на «Extract».

После завершения процесса все подлежащие восстановлению данные будут скопированы в соответствующую директорию. После чего пользователь может использовать их по собственному усмотрению.

При исправном контролере

Гораздо проще осуществляется реанимация данных, когда контролер полностью исправен, а необходимое содержимое было потеряно вследствие ошибочного стирания или же форматирования. В подобных ситуациях отсутствует необходимость осуществлять разборку самого диска, а также его пайки. Таким образом, необходимое количество времени и сложность работы существенно уменьшаются.

Для реанимации данных в рассматриваемом случае отлично подойдут следующие приложения:

  • DMDE;
  • Hetman Partition Recovery;

Все обозначенные выше приложения дают довольно высокий процент успеха. Их использование позволит восстановить данные даже в случае форматирования устройства.

DMDE

Чтобы запустить процесс восстановления приложением DMDE , необходимо сделать следующее:

  • запустить приложение из директории, куда оно проинсталлировано;
  • после пуска отобразится окно, в котором необходим будет осуществить выбор нужного устройства (выбираем SSD-накопитель);
  • нажимаем на кнопку «Пуск» (на ней нарисован зеленый треугольник).

Предварительно необходимо в настройках программы посмотреть место назначения, куда осуществляется сохранение всей информации. Важно убедиться, что количество свободного места в разделе, выбранном в качестве места назначения, достаточно для копирования всего необходимого объема.

Приложение под названием HetmanPartitionRecovery также отлично подходит для реанимации данных на SSD-диске.

Чтобы осуществить данный процесс, требуется сделать следующее:

  • запускаем приложение;
  • в левой части рабочей области выбираем диск, с которым необходимо осуществлять работу и выделяем его;
  • открываем меню «Файл», выбираем пункт «Сканировать».

После завершения сканирования все обнаруженные файлы будут обозначены в виде ярлыков или таблицей в правой части экрана. Для их восстановления следует выделить необходимые объекты, после чего нажать открыть контекстное меню правой кнопкой мыши и выбрать второй пункт сверху «Восстановить» . Процесс реанимации данных пройдет в автоматическом режиме.

AdvancedDiskRecovery

Интерфейс AdvancedDiskRecovery мало чем отличается от рабочей области аналогичных утилит. После запуска пользователь увидит на экране стандартную рабочую область.

Для начала процесса реанимации необходимо сделать следующее:

  • в левой части экрана выбрать устройство;
  • открыть меню «Options» и нажать на пункт «Scanning»;
  • в правой части экрана будут обозначены доступные объекты, подлежащие реанимации;
  • выделаем необходимые файлы и папки, нажимаем кнопку «Save» (в правой нижней части экрана).

Несмотря на всю свою надежность, носители типа SSD иногда выходят из строя. Также нередко пользователи сами являются основной причиной потери данных (случайно удаляют файлы или форматируют устройство). Хотя и существуют некоторые сложности, практически всегда есть шанс восстановить утерянную информацию.

Приветствую всех Хабровчан!

Предлагаю сегодня немного поговорить о восстановлении информации с неисправных SSD накопителей. Но для начала, прежде, чем мы познакомимся с технологией спасения драгоценных кило- мега- и гигабайт, прошу обратить внимание на приведенную диаграмму. На ней мы попытались расположить наиболее популярные модели SSD согласно вероятности успешного восстановления данных с них.

Как нетрудно догадаться, с накопителями, расположенными в зеленой зоне, обычно возникает меньше всего проблем (при условии, что инженер обладает необходимым инструментарием, разумеется). А накопители из красной зоны способны доставить немало страданий как их владельцам, так и инженерам-восстановителям. В случае выхода из строя подобных SSD шансы вернуть назад потерянные данные на сегодняшний день слишком малы. Если ваш SSD расположен в красной зоне или рядом с ней, то я бы советовал делать backup перед каждой чисткой зубов.

Те, кто уже сегодня сделал backup, добро пожаловать под кат.

Тут следует сделать небольшую оговорку. Некоторые компании умеют чуть больше, некоторые чуть меньше. Результаты, проиллюстрированные на диаграмме, представляют из себя нечто среднее по индустрии по состоянию на 2015 год.

На сегодняшний день распространены два подхода к восстановлению данных с неисправных SSD.

Подход №1. Вычитывание дампов NAND flash микросхем

Решение задачи что называется в лоб. Логика проста. Пользовательские данные хранятся на микросхемах NAND flash памяти. Накопитель неисправен, но что, если сами микросхемы в порядке? В абсолютном большинстве случаев так и есть, микросхемы работоспособны. Часть данных, хранящихся на них, может быть повреждена, но сами микросхемы функционируют нормально. Тогда можно отпаять каждую микросхему от печатной платы накопителя и считать ее содержимое с помощью программатора. А после попробовать собрать логический образ накопителя из полученных файлов. Этот подход в настоящее время используется при восстановлении данных с usb flash накопителей и различных карт памяти. Сразу скажу, что работа эта не из благодарных.

Трудности могут возникнуть еще на этапе считывания. Микросхемы NAND flash памяти выпускаются в разных корпусах, и для конкретной микросхемы в комплекте с программатором может не оказаться нужного адаптера. Для таких случаев в комплекте обычно есть некоторый универсальный адаптер под распайку. Инженер вынужден, используя тонкие проводки и паяльник, соединить нужные ножки микросхемы с соответствующими контактами адаптера. Задача вполне решаемая, но требует прямых рук, определенных навыков и времени. Сам то я с паяльником знаком не близко, поэтому такая работа вызывает уважение.

Не будем также забывать, что в SSD таких микросхем будет скорее всего 8 или 16, и каждую придется распаять и считать. Да и сам процесс вычитывания микросхемы тоже быстрым не назовешь.
Ну а дальше остается только из полученных дампов собрать образ и дело в шляпе! Но тут то и начинается самое интересное. Не буду углубляться в подробности, опишу только основные задачи, которые предстоит решить инженеру и используемым им ПО.

Битовые ошибки

Природа микросхем NAND flash памяти такова, что в сохраненных данных непременно появляются ошибки. Отдельные ячейки памяти начинают читаться неверно, причем стабильно неверно. И это считается нормой ровно до тех пор пока количество ошибок внутри определенного диапазона не превысит некоторый порог. Для борьбы с битовыми ошибками используются коды коррекции (ECC). При сохранении пользовательских данных, накопитель предварительно делит блок данных на несколько диапазонов и каждому диапазону добавляет некоторые избыточные данные, которые позволяют обнаружить и исправить возможные ошибки. Количество ошибок, которые могут быть исправлены определяется мощностью кода.

Чем выше мощность кода, тем длиннее последовательность приписываемых байт. Процесс вычисления и добавления упомянутой последовательности называется кодированием, а исправления битовых ошибок - декодированием. Схемы кодирования и декодирования обычно аппаратно реализованы внутри контроллера накопителя. При выполнении команды чтения накопитель наряду с прочими операциями выполняет также исправление битовых ошибок. С полученными файлами дампов необходимо провести ту же процедуру декодирования. Для этого нужно определить параметры используемого кода.

Формат страниц микросхем памяти

Единицей чтения и записи у микросхем памяти выступает единица, именуемая страницей. Для современных микросхем размер страницы равен приблизительно 8 КБ или 4 КБ. Причем это значение не является степенью двойки, а немного больше. Т. е. внутри страницы можно разместить 4 или 8 КБ пользовательских данных и еще что-нибудь. Эту избыточную часть накопители используют для хранения кодов коррекции и некоторых служебных данных. Обычно страница поделена на несколько диапазонов. Каждый диапазон состоит из области пользовательских данных (UA) и области служебных данных (SA). Последняя как раз и хранит внутри себя коды коррекции, которые защищают данный диапазон.

Все страницы имеют один и тот же формат, и для успешного восстановления необходимо определить каким диапазонам байт соответствуют пользовательские данные, а каким служебные.

Скремблирование VS Шифрование

Большинство современных SSD не хранят пользовательские данные в открытом виде, вместо этого они предварительно скремблируются или зашифровываются. Разница между этими двумя понятиями достаточно условна. Скремблирование - это некоторое обратимое преобразование. Основная задача этого преобразования получить из исходных данных нечто похожее на случайную последовательность бит. Данное преобразование не является криптостойким. Знание алгоритма преобразования позволяет без особого труда получить исходные данные. В случае с шифрованием знание одного лишь алгоритма ничего не дает. Необходимо также знать и ключ для расшифровки. Поэтому, если в накопителе используется аппаратное шифрование данных, и вам неизвестны параметры шифрования, то из считанных дампов данные восстановить не получится. Лучше даже не приступать к этой задаче. Благо большинство производителей честно признаются в том, что используют шифрование.

Более того, маркетологи сумели сделать из этой преступной (с точки зрения восстановления данных) функциональности опцию, которая якобы дает конкурентное преимущество над другими накопителями. И ладно если бы были отдельные модели для параноиков, в которых была бы качественно сделана защита от несанкционированного доступа. Но сейчас, видимо, настало время, когда отсутствие шифрования считается плохим тоном.
В случае со скремблированием дела обстоят не так печально. В накопителях оно реализовано как побитовая операция XOR (сложение по модулю 2, исключающее «ИЛИ») , выполненная над исходными данными и некоторой сгенерированной последовательностью бит (XOR паттерном).

Часто эту операцию обозначают символом ⊕.

Поскольку
То для получения исходных данных необходимо произвести побитовое сложение прочитанного буфера и XOR паттерна:

(X ⊕ Key) ⊕ Key = X ⊕ (Key ⊕ Key) = X ⊕ 0 = X

Остается определить XOR паттерн. В самом простом случае для всех страниц применяется один и тот же XOR паттерн. Иногда накопитель генерирует длинный паттерн, скажем длиной в 256 страниц, тогда каждая из первых 256 страниц микросхемы складывается со своим куском паттерна, и так повторяется для следующих групп из 256 страниц. Но бывают случаи и посложнее. Когда для каждой страницы индивидуально генерируется свой паттерн на основании какого-то закона. В таких случаях помимо прочего нужно еще попытаться разгадать этот закон, что уже, мягко скажем, непросто.

Сборка образа

После выполнения всех предварительных преобразований (исправление битовых ошибок, устранение скремблирования, определение формата страницы и, возможно, некоторых других) заключительным этапом идет сборка образа. В силу того, что количество циклов перезаписи для ячеек микросхемы ограничено, накопители вынуждены использовать механизмы выравнивания износа, чтобы продлить время жизни микросхем. Следствием этого является то, что пользовательские данные сохранены не последовательно, а хаотично разбросаны внутри микросхем. Очевидно, что накопителю необходимо как-то запоминать куда он сохранил текущий блок данных. Для этого он использует специальные таблицы и списки, которые так же хранит на микросхемах памяти. Множество этих структур принято называть транслятором. Вернее будет сказать, что транслятор это некая абстракция, которая отвечает за преобразования логических адресов (номера секторов) в физические (микросхема и страница).

Соответственно, чтобы собрать логический образ накопителя, необходимо разобраться с форматом и назначением всех структур транслятора, а также знать как их найти. Некоторые из структур являются достаточно объемными, поэтому накопитель не хранит ее целиком в одном месте, а она также оказывается кусками разбросана по разным страницам. В таких случаях должна быть структура, описывающая это распределение. Получается некий транслятор для транслятора. На этом обычно останавливаются, но можно пойти еще дальше.

Данный подход к восстановлению данных заставляет полностью эмулировать работу накопителя на низком уровне. Отсюда вытекают плюсы и минусы этого подхода.

Минусы:

  • Трудоемкость . Поскольку мы полностью эмулируем работу накопителя, нам придется выполнить всю грязную работу за него.
  • Риск потерпеть фиаско . Если не удастся решить хотя бы одну из поставленных задач, то о восстановлении не может быть и речи. А вариантов много: невозможность прочитать микросхемы, потому что программатор их не поддерживает; неизвестные коды коррекции; неизвестный XOR паттерн; шифрование; неизвестный транслятор
  • Риск еще больше угробить накопитель . Помимо трясущихся рук риском является сам нагрев микросхем памяти. Для изношенных микросхем это может привести к появлению дополнительного числа битовых ошибок.
  • Время и стоимость работ
Плюсы:
  • Широкий круг задач . Все, что нужно от накопителя, это работающие микросхемы памяти. Неважно в каком состоянии остальные элементы.

Подход №2. Технологический режим

Очень часто разработчики SSD помимо реализации работы накопителя согласно спецификации наделяют его также дополнительной функциональностью, которая позволяет протестировать работу отдельных подсистем накопителя и изменить ряд конфигурационных параметров. Команды накопителю, позволяющие это сделать, принято называть технологическими. Они также оказываются весьма полезными при работе с неисправными накопителями, повреждения которых носят программный характер.

Как уже было сказано выше, со временем в микросхемах памяти неизбежно появляются битовые ошибки. Так вот, согласно статистике, причиной выхода из строя SSD в большинстве случаев является появление некорректируемых битовых ошибок в служебных структурах. То есть на физическом уровне все элементы работают нормально. Но SSD не может корректно инициализироваться из-за того, что одна из служебных структур повреждена. Такая ситуация разными моделями SSD обрабатывается по-разному. Некоторые SSD переходят в аварийный режим работы, в котором функциональность накопителя значительно урезана, в частности, на любые команды чтения или записи накопитель возвращает ошибку. Часто при этом, чтобы как-то просигнализировать о поломке, накопитель меняет некоторые свои паспортные данные. Например, Intel 320 series вместо своего серийного номера возвращает строку с кодом ошибки. Наиболее часто встречаются неисправности из серии «BAD_CTX %код ошибки%”.

В таких ситуациях очень кстати оказывается знание технологических команд. С помощью них можно проанализировать все служебные структуры, также почитать внутренние логи накопителя и попытаться выяснить, что же все таки пошло не так в процессе инициализации. Собственно скорее всего для этого и были добавлены техно-команды, чтобы производитель имел возможность выяснить причину выхода из строя своих накопителей и попытаться что-то улучшить в их работе. Определив причину неисправности, можно попытаться ее устранить и вновь вернуть накопитель к жизни. Но все это требует по-настоящему глубинных знаний об архитектуре устройства. Под архитектурой здесь я в большей степени понимаю микропрограмму накопителя и служебные данные, которыми она оперирует. Подобным уровнем знаний обладают разве что сами разработчики. Поэтому, если Вы к ним не относитесь, то Вы либо должны обладать исчерпывающей документацией на накопитель, либо Вам придется потратить изрядное количество часов на изучение данной модели. Понятное дело разработчики не спешат делиться своими наработками и в свободном доступе таких документаций нет. Говоря откровенно, я вообще сомневаюсь, что такие документации существуют.

В настоящее время производителей SSD слишком много, а новые модели появляются слишком часто, и на детальное изучение не остается времени. Поэтому практикуется немного другой подход.

Среди технологических команд очень полезными оказываются команды, позволяющие читать страницы микросхем памяти. Таким образом можно считать целиком дампы через SATA интерфейс накопителя, не вскрывая корпус SSD. Сам накопитель в таком случае выступает в роли программатора микросхем NAND flash памяти. В принципе, подобные действия даже не должны нарушать условий гарантии на накопитель.

Часто обработчики техно-команд чтения микросхем памяти реализованы так, что есть возможность оставить исправление битовых ошибок, а иногда и расшифровку данных , на стороне накопителя. Что, в свою очередь, значительно облегчает процесс восстановления данных. По сути остается только разобраться с механизмами трансляции и, можно сказать, решение готово.

На словах то оно, кончено, все просто звучит. Но на разработку подобных решений уходит немало человеко-часов. И в результате мы добавляем в поддержку всего одну модель SSD.

Но зато сам процесс восстановления данных упрощается колоссально! Имея подобную утилиту, остается только подключить накопитель к компьютеру и запустить эту утилиту, которая с помощью техно-команд и анализа служебных структур построит логический образ. Дальше остается только анализ разделов и файловых систем. Что тоже может быть непростой задачей. Но в большинстве случаев построенный образ без особого труда позволяет восстановить большую часть пользовательских данных.

Минусы:

  • Сложность и стоимость разработки . Достаточно немногие компании могут себе позволить содержать свой отдел разработок и проводить подобного рода исследования.
  • Решения индивидуальны .
  • Ограниченный круг задач . Не ко всем накопителям применим данный подход. SSD должен быть физически исправен. Также, редко, но все же бывает, что повреждения некоторых служебных структур, исключает возможность восстановления пользовательских данных.
Плюсы:
  • Простота .
  • В некоторых случаях позволяет обойти шифрование . По сути подход к восстановлению данных с помощью технологических команд на сегодняшний день является единственным известным способом восстановить данные с некоторых накопителей, использующих аппаратное шифрование данных.

Заключение

На войне все средства хороши. Но лично я отдаю предпочтение второму подходу как более тонкому инструменту. И наиболее перспективному, поскольку все более широкое распространение аппаратного шифрования исключает возможность восстановления информации с „сырых“ дампов микросхем. Однако и у первого подхода есть своя ниша задач. По большому счету это те задачи, которые нельзя решить с использованием технологических функций накопителя. В первую очередь это накопители с аппаратной неисправностью, и при этом нет возможности определить поврежденный элемент, или характер повреждений исключает ремонт. И браться за дело рекомендуется только в том случае, если уже есть успешный опыт восстановления информации с подобной модели SSD, или есть информация о решении. Необходимо знать, с чем придется столкнуться: используется ли шифрование или скремблирование, какой XOR паттерн вероятнее всего используется, известен ли формат транслятора (есть ли сборщик образа). В противном случае шансы на успех невелики, по крайней мере оперативно решить задачу не получится. К тому же нагрев негативно влияет на изношенные микросхемы памяти, в результате чего могут появиться дополнительные битовые ошибки, которые, в свою очередь, могут привнести свою ложку дегтя в последующем.

На этом пока все. Берегите себя! И да хранит ваши данные backup!

Восстановление SSD-накопителей | Когда хорошая память попадает в неприятные ситуации

В этот раз мы связались с лабораторией Flashback Data, сотрудники которой занимаются всеми типами устройств для хранения данных, но имеют особый опыт работы с флэш-памятью. Представители Flashback Data согласились показать нам, какие усилия предпримет высококлассная лаборатория ради спасения нашей драгоценной флэш-памяти.

Восстановление SSD-накопителей | Диапазон чтения

В самом начале своего пути Flashback в основном производила замену неисправных чипов, но со временем продолжать это становилось всё тяжелее, поскольку производители стали использовать различные компоненты на различных стадиях производства в одной и той же модели. На некоторых устройствах появилось шифрование, которое ещё больше затрудняет процесс восстановления данных. В этом случае от Flashback требовалась возможность чтения памяти напрямую, что, в свою очередь, означало необходимость обладать невероятным количеством способов для чтения чипов из столь широкого разнообразия имеющейся флэш-памяти.

Заметим, что когда Flashback ссылается на "шифрование", это состояние, как правило, является неизвестным для пользователя. Например, где-то с 2006 года SanDisk начала шифровать данные на всех своих накопителях, как поведал нам один из основателей и вице-президент компании Flashback Рассел Чозик (Russell Chozick). Как и в случае с автоматическим шифрованием жёстких дисков, контроллер производит шифрование всех данных, хранящихся во флэш-памяти. Так как для блокировки шифрования не предусмотрен пароль, данные расшифровываются и извлекаются из носителя. Так что в случае повреждения печатной платы сотрудники Flashback стараются переместить контроллер и чипы памяти в новое устройство. "Если сгорел контроллер, то получить данные обратно практически нереально, поскольку именно на нём содержится информация о том, как именно нужно расшифровать данные. При отсутствии возможности работы с контроллером вы сталкиваетесь с большой проблемой".

Восстановление SSD-накопителей | Типы флэш-памяти

Эти тёмно-серые чипы стандарта TSOP48 в течение многих лет являлись типичными компонентами USB-накопителей, а также карт памяти SSD/SD/CF, но в последнее время они открыли дорогу и для других чипов. На самом нижнем образце на картинке видно заднюю часть чипа TLGA, и вы можете заметить, что сбоку нет контактов, а модули расположены на задней стороне. Такие чипы являются обычными для всех типов флэш-памяти и работают, например, в новейших смартфонах iPhone.

Во время процесса восстановления сотрудники Flashback вставляют чипы TSOP48 в считывающие устройства, но TLGA также должны быть припаяны. Очевидно, что при этом процессы анализа и восстановления информации происходят куда сложнее. Так что после внедрения в смартфоны более компактной флэш-памяти старые "монолитные" форматы кажутся более простыми в сравнении с ней.

Карты памяти формата SD и USB-устройства LaCie также имеют монолитные чипы. В то время как большинство карт памяти имеет отдельные чипы контроллера и памяти, в монолитном чипе оба компонента объединены в одном крошечном модуле. Очевидно, что нарушения в работе таких устройств могут произойти по любой из множества причин. Если перестаёт работать контроллер, то специалисты всё равно могут получить доступ к данным при помощи других средств вместо использования контактов для подключения к кардридеру, смартфону или камере. На фотографии заметно, как с устройства частично снят корпус, поскольку специалистам необходимо удалить некоторую часть припаянного чёрного покрытия, чтобы найти определённые точки для подключения к логическому анализатору. Как только все точки будут определены, карта будет подсоединена так, как это показано на следующих картинках.

Для удаления части покрытия сотрудниками Flashback используются удивительно незамысловатые инструменты: шлифовальная паста и полировальный круг. Для достижения этой цели можно использовать и химикаты, однако нам сказали, что лучше воспользоваться медленным и тщательным процессом полировки. В процессе шлифования можно легко повредить очень тонкие контакты. Сначала мы попросили подключить накопитель LaCie, но затем отказались от этой идеи, узнав, что такая работа может занять у специалиста целый день.

Восстановление SSD-накопителей | Типичные ошибки флэш-накопителей

Мы видели фотографии повреждённых жёстких дисков, большинство из которых пострадало из-за столкновения головки с треками в магнитном носителе. Практически все повреждения SSD-накопителей и флэш-памяти, которые обнаруживают сотрудники Flashback, незаметны. В редких случаях можно увидеть след ожога на печатной плате, но, в целом, сломанные контроллеры и сожжённые предохранители не оставляют видимых признаков. В итоге, специалистам приходится долго работать, тестируя каждый резистор. В сравнении с этим отсоединить коннектор, как это показано на фото, для специалистов по ремонту – пара пустяков.

Восстановление SSD-накопителей | Как насчёт изнашивания?

Ранее мы уже писали о постоянной гонке двух процессов – усовершенствованием чтения алгоритмов по мере увеличения ёмкости и сокращением литографии, что напоминает перетягивание каната. В частности, мы обеспокоены тем, что флэш- и SSD-накопители, проработавшие несколько лет, могут проявлять признаки износа.

К счастью, как нам говорят, большинству SSD-накопителей, которые поступают в лабораторию Flashback, нет ещё и года, так что и износа NAND-памяти не наблюдается. На самом деле, случаи фактического износа крайне редки. Хотя у USB-флэшек (особенно более старых моделей с менее совершенными алгоритмами выравнивания) износ распространён чуть больше. Считывание с чипов происходит отлично, но при проверке информации возникает множество ошибок ECC, и никакие данные извлечь не получается. Наличие четырёх красных точек (далее на картинках) говорит о проблемах с ECC. Напротив, основные проблемы износа будут отмечены четырьмя зелёными точками.

Были и такие случаи, когда специалисты проводили анализ, вынимали чип, чистили ламель и ставили всё на место, усугубляя проблему со считыванием данных, на что теперь требовалось больше времени. Так что износ и правда можно расценивать как реальную опасность, но здесь не идёт речи ни о каком кризисе, хотя многие могли бы о нём подумать.

Восстановление SSD-накопителей | Нагрей

Чипы должны быть удалены с печатной платы при помощи специального паяльного приспособления, и одним из главных инструментов на этом этапе является горячий воздух. На картинке видно, как специалисты удаляют TLGA-чип из USB-устройства. Они контролируют температуру и давление воздуха, нагревая устройство настолько, чтобы можно было расплавить спаянные точки. В таких паяльных станциях также имеются паяльники, сварочный флюс, омметры и другие приспособления для диагностики. Некоторые из этих станций занимают основную лабораторию Flashback, площадь которой составляет примерно 465 квадратных метров.

Восстановление SSD-накопителей | Удаление памяти

Контроллер этого SSD-накопителя является сгоревшим, так что специалисты Flashback проводят аккуратное снятие чипов памяти, каждый из которых пронумерован вручную для отслеживания и упрощения процесса сбора данных.

"Иногда мы так и не узнаем, какие именно компоненты вышли из строя, - рассказывает вице-президент компании. – Мы просто знаем, что в этом типе накопителя имеется сбой в прошивке, или такая ошибка наиболее типична для него, так что для работы нам требуется снять чипы. Наши клиенты постоянно спешат, поэтому во множестве случаев точную причину того, что и почему сгорело, установить не удаётся. Но зато мы знаем, что процесс считывания через контроллер здесь не пройдёт, но он и не зашифрован, так что мы должны отсоединить чипы, произвести считывание, а затем и восстановление.

Восстановление SSD-накопителей | Отсоединение чипов

Флэш-накопители и SSD-диски являются не единственными устройствами, которые подвергаются тепловому воздействию. Через сервис Flashback проходит постоянный поток сотовых телефонов, таких, как вот этот HTC Evo, который был утоплен в бассейне. Услуги по восстановлению информацию с флэш-памяти стоят сотни и тысячи долларов, так что становится очевидным, что этот телефон отдали не для восстановления детских мультиков. Говорят, что некоторые такие телефоны содержат последние фотографии покойных друзей или близких людей. Регулярно поступают устройства, связанные с расследованиями уголовных дел, и если преступник может уничтожить улики, грубо говоря, под ногами, то из неповреждённой флэш-памяти можно достать ценную информацию для проведения расследования.

Сейчас смартфону HTC Evo два года. Новые устройства, например, Samsung Galaxy и некоторые другие от компании HTC, часто поддерживают технологию eMMC, которая содержит встроенный в модуль памяти контроллер, как и на карте памяти формата SD. В этом случае процесс восстановления может стать ещё более простым.

Восстановление SSD-накопителей | Жёсткий диск против флэш-памяти

В так называемой зоне обслуживания жёсткого диска содержится информация, позволяющая ему "общаться" с самим собой. Для перевода данных в процессы чтения/записи необходимо сообщать информацию о том, где расположены сбойные сектора, сколько имеется магнитных головок, какие из них включены, а какие отключены, и так далее. Такая информация располагается на пластинах в специальной зоне, которая отделена от пространства диска, зарезервированного для записи пользовательских данных.

В случае с флэш-памятью производители также оставляют место для такой зоны, где содержится вся информация о кодах коррекции ошибок, наличии в секторах ошибок, местах расположения этих секторов, и так далее.

В то время как жёсткий диск состоит в основном из 512-байтовых секторов, флэш-память обычно использует 528-байтовые, где 512 байт относятся к памяти, а ещё 16 – к вышеупомянутой зоне обслуживания. В SSD-накопителях происходит преобразование в доступный пользователю размер сектора 512 байт. Но когда Flashback считывает исходные данные, специалисты получают информацию с обеих областей. Данные смешиваются, сваливаются в одну кучу и при этом чередуются. Когда специалистам нужно отобразить доступную информацию, все её элементы, извлечённые из зоны обслуживания, должны быть удалены.

Восстановление SSD-накопителей | Более внимательный осмотр

Иногда специалистам требуется провести очень тщательный визуальный осмотр чипов и их хрупких внутренностей. Лучшим инструментом для такой работы считается микроскоп Mantis от Vision Engineering, и хотя он стоит примерно $2000, зато помогает специалистам по восстановлению изучить схему в 3D (с помощью двух световых дорожек, проходящих через одну линзу) с двадцатикратным увеличением. Более естественная и комфортная работа с Mantis помогает обнаружить те проблемы, которые могли быть незаметны при использовании обычных микроскопов. Он также становится помощником при паяльной работе, при разборке и в ремонте.

Восстановление SSD-накопителей | Сканирующие станции

После того, как чипы соединены таким образом, что могут быть прочитаны внешними устройствами, сотрудники Flashback помещают их в самостоятельно собранные конфигурации для считывания данных. Они довольно просты, хотя в них имеются специальные системы, которые позволяют обозревать разные сектора, контролировать время работы и так далее. Если чтение происходит медленнее, чем обычно, существует возможность перехода на другие неиспорченные сектора, чтобы как можно быстрее получить доступную информацию.

"Мы можем двигаться и вперёд, и назад, - утверждает вице-президент компании. – Мы можем заставить прибор сканировать файловую таблицу MFT и отображать только лишь выделенные данные вместо получения свободного пространства, так что работа может быть выполнена очень быстро. Иногда приходится бороться c устройством, который даже в процессе восстановления продолжает сбоить, иногда есть клиенты, которым нужно как можно скорее вытащить один-два важных файла в сжатые сроки".

Восстановление SSD-накопителей | Выбор крепления

Для подключения чипов к системам считывания Flashback применяет поразительное множество специальных креплений. На картинке можно увидеть тип адаптера, который был использован для работы с чипами TSOP48 и считывающим устройством TLGA. Внутри этих адаптеров каждый из контактов разъёма касается контактов на чипе памяти. Адаптер вкручивается в плату для последующего соединения с TSOP-разъёмом. В нижней части имеется USB-интерфейс для связи с системами сканирования.

Восстановление SSD-накопителей | Микс данных

Помните тот чип памяти, который был снят с телефона HTC? Мы можем увидеть его снова, теперь уже с проводами для считывания. Печатные платы были сделаны на заказ для подключения к USB-устройству. Отверстия в каждом из углов помогают закрепить чип на плате. Вместе с TSOP-адаптером, который был показан выше, каждый из его контактов касается одного контакта на чипе памяти. Но в таком миксе все ламели чипов открыты, так что специалисты могут заниматься распайкой вместо подключения к разъёму. Поскольку здесь много монолитных чипов и разъёмов, Flashback требуется соединиться с конкретными точками и припаять их к чипу.

Это восьмибитный чип, о чём свидетельствуют восемь проводов, которые подсоединены к печатной плате. В 16-битном чипе их было бы вдвое больше.

Восстановление SSD-накопителей | Процесс чтения в течение нескольких часов

При подсоединении монолитных чипов используется аналогичный подход. Разным устройствам нужны разные провода, но подход остаётся тем же – каждое соединение выполняет свою функцию. Например, в правом верхнем углу через контакт поставляется 3,3 В питания. Глядя на этот процесс, вы начинаете понимать, насколько много времени занимает простое извлечение данных из чипов.

Восстановление SSD-накопителей | Добро пожаловать в мир хаоса

Посмотрим, с чем работают специалисты по восстановлению данных. Здесь видно содержимое необработанных исходных данных из главной загрузочной записи SSD-накопителя. Данные смешиваются при помощи алгоритмов, применяющихся контроллерами при оптимизации скорости чтения и записи, нивелировании износа и так далее.

"Считывая чипы, мы получали целую кучу необработанных данных, - рассказывает вице-президент компании. – Например, здесь чип памяти имеет 528-байтовый сектор, где 512 байт задействуются для данных, а ещё 16 – для хранения информации об этих данных и коррекции ошибок. Мы называем такую область зоной обслуживания. При первом просмотре этого массива данных в шестнадцатеричной системе счисления мы должны найти известные нам структуры данных, чтобы выяснить их расположение".

Восстановление SSD-накопителей | FAT под микроскопом

Здесь показаны файловая система FAT16 и загрузочный сектор

"Главная загрузочная запись (MBR) обычно отмечена в секторе 0, - рассказывает Чозик. – Теперь её там нет, но мы можем её найти и определить известную структуру данных. Мы знаем, где она располагается, как далеко находится от загрузочного сектора и так далее. Это можно увидеть на следующей картинке. Такой процесс напоминает сбор доказательств. Мы находим MBR, загрузочный сектор и FAT. Теперь мы видим знакомые нам структуры, и должны подумать над тем, как их вместе переместить обратно.

Чозик отмечает, что иногда специалистам не удаётся найти какую-либо из этих структур, как правило, из-за приложенного к устройству алгоритма. Некоторые алгоритмы инвертируют все биты данных. Если такой подход обнаружен, то специалистам известно, как провести обратный процесс. Некоторые алгоритмы будут касаться каждого байта вместо целого сектора, поэтому каждый байт будет располагаться на разном чипе памяти. Это требует воссоединения по каждому байту, а не по целому сектору. Некоторые алгоритмы будут использовать шифры, которые ещё больше усложняют процесс. Для процесса, выполняемого компьютером, восстановление довольно часто выполняется вручную.

Восстановление SSD-накопителей | Совместное возвращение

Давайте внимательнее посмотрим на данные в секторе, где информация рассеивается по нескольким чипам памяти. Вы можете увидеть, как выглядит первая часть каждого сектора.

В шестнадцатеричной системе счисления обозначения располагаются в таком порядке: 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, A, B, C, D, E, F, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 1A, 1B, 1C и так далее. На чипе #1 видно, что порядок нарушен дважды – сначала между значениями 09 и 0Е, а затем между 11 и 16. А что происходит с соответствующими данными? Ответ – на чипе #2.

Восстановление SSD-накопителей | По порядку

Специалистам требуется воссоединить эти разделённые 2112 байт (4 сектора по 528 байт), и когда это случится, результат будет выглядеть так же, как на картинке ниже.

А теперь представьте, что есть 64 дампа памяти, которые надо объединить. Почему 64? Потому что отдельный чип может иметь не один дамп, а, например, сразу четыре. Так что возьмите 16 чипов (к примеру, на SSD-накопителе), умножьте их количество на четыре – вот и выйдет общее число дампов (ровно 64).

Восстановление SSD-накопителей | До и после

Возможно, трудно себе представить, как на самом деле все эти колебания на уровне байтов выглядят на макроуровне. Пустая ячейка в таблице (или повреждённый файл) не может отразить всю ситуацию в полной мере.

Картинка от Flashback способна проиллюстрировать это. На некоторых примерах заголовок и часть данных нетронуты, так что они могут, по виду, располагаться близко, но быть перемешанными, что отражается в артефактах изображения.

Взяв поврежденный JPEG-файл, специалисты применяют ECC-коррекцию и перемещение блоков для упорядочивания данных и удаления битовых ошибок, которые были обработаны при помощи контроллера. Они также заново упорядочены и освобождают зону обслуживания от собранных данных для обеспечения чистого и непрерывного потока данных.

Восстановление SSD-накопителей | Конечный результат

После нескольких часов ремонта и различных манипуляций даже с использованием алгоритмов, помогающих автоматизировать сбор данных, сотрудники Flashback предоставляют данные в виде файлов и папок. Всё расположено по порядку. Насущным остаётся вопрос, восстановились ли данные полностью и соответствуют ли они своему первоначальному виду.

Частично это можно проверить при помощи файловых заголовков. Карты памяти SD и аналогичные накопители, как правило, содержат массу изображений, которые визуально легко проверить на наличие ошибок. Ошибки ECC в отдельных файлах обнаружить довольно легко - с остальными типами файлов может быть сложнее. Утилиты способны подсказать специалистам при помощи заголовка, что файл вылечен, но могут не отметить сбойный сектор, который хорошо виден наблюдателю.

"В отношении большинства клиентов мы делаем упор на практичность, - отмечает вице-президент компании. – Мы спрашиваем, что им необходимо получить, и тестируем файлы, если они об этом просят. Если выходит так, что мы не можем восстановить структуру директорий, нам приходится делать это при помощи заголовка файла. Это как "сырое" восстановление, где мы не получаем файловых имён. Мы будем вытаскивать данные, причём получим даже больше, чем рассчитывают люди, поскольку мы также можем восстановить и удалённую информацию. Иногда мы видим, что таблица FAT полностью повреждена, и тогда приходится приступать к именно такому виду восстановления".

Восстановление SSD-накопителей | Что важнее?

В одной из статей о восстановлении данных кто-то из читателей отметил в комментариях, что по существу любой мог бы заняться таким бизнесом и что действие Flashback происходит на другом уровне в сравнении с более известными сервисами. Доказательство этому факту можно найти в результатах работы и списке клиентов, где имеется широкий спектр коммерческих и государственных организаций.

Согласно информации от Чозика, ведущие специалисты Flashback имеют более чем 15-летний опыт работы в сфере восстановления данных. Компания вложила сотни и тысячи долларов в оборудование и запчасти для проведения этих процессов.

"Очень тяжело познать это дело самостоятельно, - говорит он. – R&D-отделам понадобились годы для того, чтобы достичь тех высот, которых достигли мы. Наша компания не так уж мала, как кажется: наша площадь составляет почти 465 квадратных метров, и у нас установлен высокий уровень безопасности. Также имеется четырёхуровневый биометрический контроль с круглосуточным наблюдением. В лаборатории в целях борьбы со статикой используется заземлённый пол с медными проводами, так что нет никакого риска электрического повреждения. У нас есть специальная защищённая решётками область для хранения тех данных, которые используются в качестве доказательства в расследованиях. Также для жёстких дисков предназначены специальные чистые рабочие станции с ламинарным воздухопотоком (уровней Class 10 и Class 100). Судебная лаборатория является единственной частной ASCLD-лабораторией с международной аккредитацией (ISO 17025)".

Восстановление SSD-накопителей | Не так уж и мала

Лаборатория Flashback для восстановления данных состоит из трёх комнат. Большое пространство первой заполнено компьютерами, паяльными станциями, аппаратами для восстановления, визуализации и прошивок. Также имеются серверы для хранения данных и подобных задач. В другой комнате хранятся тысячи жёстких дисков, различные версии прошивок и масса самых разных девайсов на случай, если понадобится печатная плата, внутренние головки чтения/записи или что-нибудь ещё. Стоит заметить, что здесь действительно чисто и выполняется принудительная циркуляция воздуха для работы с жёсткими дисками.

Ещё один уровень безопасности поддерживается в так называемой области судебной экспертизы, о которой уже шла речь, и клетка, в которой хранятся соответствующие накопители, прикреплена к полу и оснащена датчиками движения.

Но это не самое важное в статье: она знакомит вас с теми процессами, которые происходят за кулисами крупных компаний, занимающихся восстановлением информации. Восстановление – это не просто процесс "подключи и копируй", объём работы кажется просто запредельным. Конечно, мы все надеемся никогда не стать клиентами таких сервисов, но если вдруг придётся воспользоваться услугами, то именно через такой процесс восстановления данных будут вынуждены пройти ваши устройства.



Есть вопросы?

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Отправить