Владелец малого бизнеса решил в понедельник вечером заняться финансовым анализом текущих дел.
Придя вечером домой, он устроился в домашнем офисе, подключил к ноутбуку внешний накопитель Prestigio Data Safe II емкостью 500 ГБ и погрузился в цифры.
Внезапно его мысли были прерваны шумом, и тогда в комнату с пронзительным мяуканьем влетел домашний питомец, который, не обращая внимания на все препятствия, вскочил на стол, пулей промчался по нему, запрыгнул на шторы и забрался на карниз, где в конце концов замер и лишь подозрительно поглядывал на окружающих, шипя при любой попытке приблизиться.
Когда кульминация событий утихла и причины такого поведения питомца стали ясны, хозяин обнаружил, что дело не ограничивается одним лишь испуганным котом.
На столе и вокруг него царил настоящий хаос: документы разбросаны по комнате, а жесткий диск безжизненно болтался на USB-кабеле.
рис.
1 После устранения последствий побега несчастного животного пристальное внимание было обращено на жесткий диск.
Легкий холодок пробежал по спине владельца диска, когда он не дождался, когда накопитель запустит утилиту с просьбой ввести пароль для доступа к скрытому от посторонних глаз разделу.
После нескольких безуспешных попыток был срочно вызван сисадмин.
Администратор, убедившись в бесперспективности попыток работы с накопителем через USB, разобрал коробку, извлек HDD Toshiba MK5059GSXP и подключил его к SATA-порту компьютера.
Загрузив Windows, я обнаружил в оснастке «Управление дисками», что с точки зрения ОС диск не содержит ни одного раздела.
Была предпринята попытка запуска программы автоматического восстановления, но сканирование, как только оно началось, зависло на компьютере и раздались щелчки со стороны накопителя.
На этом этапе было решено, что пора остановиться.
На этом фоне накопитель прибыл в нашу лабораторию восстановления данных.
Исходя из того, что привод был ударен и при попытке сканирования начал издавать стуки, первой операцией будет его очистка от пыли и проведение исследования в ламинарном боксе.
Тщательному осмотру подлежат подвески и ползуны BMG, фильтр рециркуляции воздуха, а также верхняя поверхность в пакете дисков.
рис.
2 Осмотр фильтра рециркуляции и БМГ не выявил никаких деформаций и наличия металлических частиц, на основании чего делаем вывод о допустимости запуска привода с оригинальным БМГ.
Осмотр верхней поверхности под микроскопом выявил наличие небольшой радиальной царапины на внешнем крае.
Собрав накопитель, подключаем его к порту PC3000 и подаем питание.
Вы можете услышать характерный шум воздуха при вращении вала и звук прохождения калибровочного теста.
Затем происходит определенная задержка, после которой привод наконец отображает готовность принимать команды в свои регистры.
рис.
3 Делаем резервную копию прошивки и в процессе обнаруживаем, что G-список не читается.
Поскольку этот дефект листа необходим для работы системы трансляции, накопитель не позволяет прочитать ни одного сектора из пользовательской зоны в обычном режиме.
Попытка записи на неиспользуемый трек в служебной зоне приводит к тому, что жесткий диск начинает издавать стуки, что явно указывает на проблемы с записью.
Поскольку у нас нет возможности переписать нечитаемый модуль, мы не будем пытаться написать чистый модуль G-списка.
Для накопителей Toshiba, записывающие головки которых не работают или работают некорректно, либо имеют серьезные повреждения в служебной зоне, не позволяющие им корректно функционировать, можно воспользоваться возможностями технологического режима.
После включения технологического режима накопитель меняет свою логику работы: запись в SMART-логи не ведется, автономное сканирование отключается, а система вещания работает без учета записей в P-списке и G-списке.
Перед вычитанием в технологическом режиме необходимо проанализировать P-список жесткого диска, чтобы учесть все исключенные области из диапазона PBA и при вычитании получить пользовательские данные, записанные в пределах диапазона LBA (что занимает с учетом исключений из П-списка), без сдвигов.
Следующий шаг — построение карты распределения зон, чтобы понять, как формируется логическое пространство.
Для чтения построим карту мини-зон и отсортируем их по убыванию, так как при осмотре были обнаружены повреждения на внешнем крае плиты.
рис.
4 При этом без особого труда читалось до 15 998 ххх-секторов.
Потом обнаружились трудности с чтением.
рис.
5 Попытка переставить цепочки по возрастанию с дальнейшим чтением показала наличие дефектов с самого начала логического ряда.
рис.
6 Исключаем чтение на головке №0 и пытаемся читать дальше, тогда обнаруживаются проблемы с сектором 249ххх, также исключаем чтение на головке №2. Читаем зоны с головками №1 и №3 в интервале от 0 до 15 998 975 секторов.
Для дальнейшего считывания проблемных мест воспользуемся режимом PIO для более точного контроля состояния накопителя.
Совершив определенное количество попыток чтения с разными таймаутами готовности и разной величиной скачков при обнаружении нестабильностей, переходим к этапу многопроходного чтения дефектов.
В результате всех попыток чтения из общего числа 976 773 168 секторов осталось непрочитанным менее 3000. Непрочитанные сектора на копии заполняем шаблоном 0xDE 0xAD. Анализируем регулярные выражения для различных популярных типов файлов и обнаруживаем, что на диске нет пользовательских данных, но при этом можно сказать, что диск более чем на 95% заполнен некоторыми данными (в зависимости от того, сколько секторов заполнено ненулевые значения).
На этом этапе отложим посекторное копирование и проанализируем особенности используемого в коробке моста USB-SATA. 
рис.
7 Этот адаптер USB-SATA основан на микроконтроллере J-Micron 20339. Возьмем диск, все сектора которого заполнены 0x00, подключим его к этому адаптеру и подключим к ПК.
рис.
8 ОС обнаружила 2 диска по 20 МБ.
При анализе выяснилось, что первый раздел доступен только для чтения.
На втором запись доступна.
рис.
9 Исходя из названий устройств в паспортных данных, можно предположить, что на роль первого предназначено хранение приложения, настраивающего размеры публичного и скрытого разделов, а также обеспечивающего доступ к скрытому разделу.
Второй раздел предназначен для хранения «публичных» данных, а третий появится только при вводе пароля в фирменной утилите.
При открытии в дисковом редакторе каждый сектор любого устройства заполняется определенным узором.
рис.
10 Давайте отключим диск от этого адаптера и проанализируем, есть ли у контроллера какие-то метаданные на самом диске, поскольку изначально диск был полностью заполнен нулями.
Сектор 0x18FBF (102 335) и сектор 0x18FCF (102 351) заполнены каким-то хаотичным содержимым.
Начиная с сектора 102352, запишите номер сектора в первые 4 байта для 40960 секторов.
Снова подключив диск к адаптеру, проанализируем заполнение первого двадцатимегабайтного раздела.
Мы увидим, что на протяжении всего раздела сохраняется та же картина, что и на рис.
10, но с изменениями первых байтов.
Выполняя операции XOR между исходным шаблоном и текущими значениями, мы получаем сектора, содержимым которых будут нули с номером сектора в первых 4 байтах.
На основании этого можно утверждать, что данный контроллер шифрует данные с помощью операции XOR, размер ключа составляет 512 байт. Недостаток такого «шифрования» в том, что сектора, заполненные нулями, но прочитанные через этот USB-SATA адаптер, будут содержать все 512 байт ключа в исходном виде.
Также обратите внимание, что в накопителях, где сектора 102,335 и 102,351 содержат неверный с точки зрения прошивки JM20339 контент, новые ключи будут генерироваться случайным образом.
Вернемся к копии проблемного диска и проанализируем карту прочитанного.
Убедимся, что ключевые сектора 102,335 и 102,351 читаются и для нахождения ключа не требуются дополнительные методы анализа.
Перенесем содержимое ключевых секторов на чистый накопитель и посмотрим, какой шаблон XOR сгенерирует прошивка контроллера JM20339. Создадим резервную копию диска, на который была записана посекторная копия пациента, и выполним операцию XOR над каждым сектором, начиная с сектора 102352 с полученным ключом.
Приступив к анализу регулярных выражений, отметим, что обнаруживается множество признаков наличия популярных типов файлов (jpg, doc, xls и т.д.).
Данное обстоятельство подтверждает правильность расшифровки данных.
Для удобства анализа в секторе 0 запишем классическую таблицу разделов, в которой опишем 3 раздела, имеющиеся на этом диске.
В нашей исходной задаче мы подставим диск с расшифрованными данными.
Поскольку задачей клиента было восстановление данных со скрытого раздела, мы оценим целостность файловой системы на нем, проанализировав расположение метаданных и проверим, есть ли непрочитанные разделы.
Анализ показывает, что 16 секторов в MFT не удалось прочитать, что говорит о потере не более 8 записей файла.
Дальнейшее сравнение файлов с картой чтения позволяет выявить еще 73 файла, которые были повреждены в результате контакта ползунков с поверхностями пластин.
99,9% восстановленных файлов — это конечный результат, удовлетворивший клиента.
В заключение можно еще раз напомнить всем о необходимости резервного копирования, а также отметить, что по сей день на рынке существует множество решений, где опция шифрования данных является всего лишь маркетинговым ходом, не способным надежно защитить пользовательские данные.
Следующая публикация: Мелкое погружение или восстановление данных с жесткого диска после затопления офиса Предыдущая запись: Восстановление данных с внешнего жесткого диска Seagate FreeAgent Go Теги: #Хранение данных #HDD #шифрование #Восстановление данных #жесткий диск #жесткий диск #жесткий диск
-
Ipad Против Ноутбука – Что Лучше?
19 Oct, 24 -
Шееле, Карл Вильгельм
19 Oct, 24 -
Что Такое Сервисная Сеть
19 Oct, 24 -
Еженедельный Геймдев: #52 — 9 Января 2022 Г.
19 Oct, 24 -
Ролики Для Мебельного Салона "Одис"
19 Oct, 24
