Как стать автором
Обновить

Неглубокое погружение или восстановление данных с жесткого диска после затопления офиса

Время на прочтение 5 мин
Количество просмотров 37K
Всего голосов 65: ↑64 и ↓1 +63
Комментарии 62

Комментарии 62

Я уже начинаю узнавать автора статей по заголовкам.) Классно пишете!
Спасибо. Рад, что и для моих специфических публикаций есть аудитория.

Огромное спасибо!
Читаю ваши статьи как детективы, не оторваться :)
Жду с нетерпением продолжение.

Другие публикации будут. Пожелания читателей по возможности учитываются. Так что если есть вопросы касательно темы восстановления данных, то можете предложить, какой случай и какое устройство рассмотреть в будущих заметках.
Интересно почитать про восстановление данных с SSD и всяких флешек / SD-карт.
Интересно почитать про восстановление данных с SSD и всяких флешек / SD-карт.

учтем пожелания, тем более есть уже некоторые заготовки. На данный момент есть публикация в которой описаны особенности режима работы одного из NAND контроллеров. В SD картах будут аналогичные алгоритмы и аналогичные анализы. В SSD тоже. Можно рассмотреть и методы работы в технологических режимах.
Спасибо!
Может будете давать еще сноски на софт который использовали?
Один из основных инструментов — PC3000Express&DataExtractor, шестнадцатиричный редактор (чаще используем Image Explorer от софцентра для подсматривания в посекторную копию, без прерываний процессов в DataExtractor), чем несколько ускоряем процесс выполнения. Плюс некоторые собственные не публичные инструменты избавляющие нас от рутинных операций и упрощающих анализ.

В данной публикации еще использовался WinHex для создания скриншота

Та самая статья, которая поможет тыжпрограммисту объяснить микромеганачальнику, почему дешевле заплатить профессионалам (потому, что они знают, что делают).

Немало случаев, где руководство не давит, а вот непосредственно работник недооценивает свой уровень подготовки и в попытках все исправить, усугубляет ситуацию, порой до невозможности восстановления данных.
*переоценивает
Если корпус не герметичен, почему вы пишете «гермоблок»?
Если корпус не герметичен, почему вы пишете «гермоблок»?

Это общепринятое название. Также можно отметить, что для пыли диск остается герметичным и очень уж свободного тока воздуха нет… Если взять в расчет диски заполненные гелием, то там название «гермоблок» в полной мере будет соответствовать действительности.
Проведя анализ модуля FSI, мы установили версию микропрограммы 1AG08ugB.d35.
Используем плату донора, в которую запишем ближайшее совместимое ПЗУ Ближайшая версия в наличии оказалась 1AA18HuM.d35.

Как определить совместимость микропрограмм?
Как определить совместимость микропрограмм?

Изначально это делалось экспериментальным путем на донорах. В случае, если нет информации о совместимости перед началом работ, то проводится анализ совместимости на донорском экземпляре, куда записываются всех структуры из пациента.

Для подобных исследование необходимо понимать роль структур в служебной зоне и необходимость их для работы. Так как далеко не все там нужно для работы накопителя (немало модулей микропрограммы является структурами, которые сформировались при прохождения селфскана (burn в случае Samsung) и требовались при создании основных структур, необходимых для работы накопителя)
Недавно начал стучать ноутбучный Seagate. Вскоре накрылся. Я вроде бэкапился, но сейчас обнаружил несколько старых проектов, у которых нет последних версий. Не смертельно, но неприятно.

Винт свистел и не определялся. Я посмотрел ютюб — оказалось, что у ноутбучных винтов часто застревают считывающие головки на середине диска и нужно их аккуратно поставить на место пинцетом, после этого почти всегда диск начинает работать.
Вскрыл винт — действительно застряли. Поставил в исходное, название диска теперь видно в БИОСе, но нет его размера.
Какими низкоуровневыми прогами можно зайти в него и сделать raw-копию? Тащить в ремонт не стану, т.к. затраты не окупятся.
НЛО прилетело и опубликовало эту надпись здесь
Недавно начал стучать ноутбучный Seagate. Вскоре накрылся. Я вроде бэкапился, но сейчас обнаружил несколько старых проектов, у которых нет последних версий. Не смертельно, но неприятно.

стучит накопитель при ударе об ограничитель в актуаторе т. е. БМГ производит перемещения. Может речь шла о циклично повторяющихся жужжащих звуках?

Винт свистел и не определялся. Я посмотрел ютюб — оказалось, что у ноутбучных винтов часто застревают считывающие головки на середине диска и нужно их аккуратно поставить на место пинцетом, после этого почти всегда диск начинает работать.

после того варварства, что обычно показывают на ютубе диск работает весьма недолго и зачастую банально не позволит скопировать большой объем данных. Так как там никто не озадачивается локализацией дефектов, отключением оффлайн сканирования и процедур реаллокации, а действуют на авось. Повезет — хорошо, убьют чужие данные и фиг с ними.
Вскрыл винт — действительно застряли. Поставил в исходное, название диска теперь видно в БИОСе, но нет его размера.

уточните, как ведет себя накопитель после подачи питания? (приложите ухо) и скажите есть ли легкие постукивания после подачи питания и продолжает вращаться вал или после отсуткивания (достаточно тихого) останавливается? Хорошо бы увидеть терминальный лог через TTL-RS232 конвертер. То что нет размера — это может говорить, либо о неисправности БМГ, тогда будет паспорт пустышка, или если рассматривать самый оптимистичный случай есть дефекты в служебной зоне и нечитабелен модуль транслятора.

Какими низкоуровневыми прогами можно зайти в него и сделать raw-копию? Тащить в ремонт не стану, т.к. затраты не окупятся.
а что вы подразумеваете под «низким уровнем»?

А вообще для справки ознакомьтесь, как выглядит процедура восстановления данных из накопителя с залипшими головками вне парковочной рампы. Полезно понимать какие деградационные процессы грозят накопителю и какими способами его необходимо читать, чтобы что-то успеть получить из него.
в процессе работы диск пощелкивал и снова набирал обороты.

сейчас диск без крышки
когда включаю ноут, то вижу, что пластины крутятся, головки выходят и пытаются считывать с середины дисковой пластины, затем чуть откатываются и снова пытаются считывать. Затем убираются на парковку.

Я так понимаю, что вероятно головки сдвинулись и не знают где начало диска, поэтому теоретически должны существовать проги, которые управляют головками для считывания сырых данных. Т.е.: прога двигает головками, ага, пошли какие-то данные — нужно записать.

Ну и опять таки, вскрывал на авось, чисто в познавательных целях. Утрата диска/данных некритична.
сейчас диск без крышки
когда включаю ноут, то вижу, что пластины крутятся, головки выходят и пытаются считывать с середины дисковой пластины, затем чуть откатываются и снова пытаются считывать. Затем убираются на парковку.

Можно сказать, что с убийством жесткого диска Вы справились успешно.
Я так понимаю, что вероятно головки сдвинулись и не знают где начало диска,

Если Вам любопытно, как работает сервосистема накопителя, то можете прочесть книги подобные «Hard Disk Drive: Mechatronics and Control» за авторством Abdullah Al Mamun, GuoXiao Guo, Chao B. Коротким комментарием это не описывается.
поэтому теоретически должны существовать проги, которые управляют головками для считывания сырых данных. Т.е.: прога двигает головками,
Это и делает микропрограмма накопителя. Жесткий диск ведет «общение» с компьютером согласно протоколов описанных в АТА стандарте. Общение протекает на уровне отправки команд и получению ответов согласно правил протокола. Обработку команд ведет микропрограмма накопителя и выполняет необходимые для их реализации действия и формирует «ответы».
(это если в очень упрощенной форме).
Ну и опять таки, вскрывал на авось, чисто в познавательных целях. Утрата диска/данных некритична.

По результатам вскрытия вряд ли Вы узнали много нового, но уже значительно усложнили проблему с Вашим накопителем. Посему если данные для Вас не являются критичными, то придется о них позабыть.
Пфф…
Я то думал внутри диска суперстерильность и чуть ли не вакуум (слышал, что самсунг выпускает диски с гелием). А оказалось это просто жестянка с моторчиком, блинами и кусочком чего-то для сбора пыли. Не зря они имеют такие проценты брака.
К тому же, в ютюбах десятки успешных воскрешений.

Так что процесс «что там внутри» все равно был познавательный.
Я то думал внутри диска суперстерильность и чуть ли не вакуум
Так и была суперстерильность, воздух практически без содержания пыли. Про вакуум внутри дисков древняя легенда от людей, которые не совсем понимают принцип работы устройства, но умеют распространять свое неправильное мнение.
А оказалось это просто жестянка с моторчиком, блинами и кусочком чего-то для сбора пыли. Не зря они имеют такие проценты брака.

будто бы другие накопители на жестких магнитных дисках имеют принципиально иную физическую модель?
К тому же, в ютюбах десятки успешных воскрешений.

с такими же десятками успешных убийств данных из-за необдуманности действий. Можно провести аналогию, что из раненого в бою солдата можно ножом извлечь пулю и прижечь рану тем же раскаленным ножом, чтобы остановить кровотечение. А можно в условиях операционной провести хирургическую операцию с последующей перемещением в реанимационное отделение и прокалывать антибиотиками. По-моему очевидно в каком случае будет выживаемость выше.
Так что процесс «что там внутри» все равно был познавательный.
разве это познание? Вы же все равно по результатам осмотра не смогли установить как именно это работает.
К тому же, в ютюбах десятки успешных воскрешений.
Это называется "ошибка выжившего".
НЛО прилетело и опубликовало эту надпись здесь
1) крепление оси и даже ее наклон могут играть роль
2) при открытой крышке нарушается аэродинамика верхней головы
Очень нужен был 2.5 дюймовый 4тб винт. Брал Samsung Momentus 4TB SATA III 5400 RPM 2.5-inch Hard Drive (ST4000LM016 ), но он «умер» через пару дней. Наверное умер потому что на самом деле это Seagate :) Но никто другой таких монстров не выпускает, но я больше как-то боюсь Seagate покупать. Можете посоветовать что-то?
Каких-либо массовых проблем с определенными семействами накопителей не наблюдается. Посему можно давать обычный в таких случаях ответ: — Приобретайте любой, который удовлетворяет Вашим потребительским требованиям.

Соблюдайте правила эксплуатации накопителей:
1. Не перемещайте накопитель во время работы (т.е. когда Ваш накопитель подключен к ПК)
2. Пользуйтесь безопасным извлечением в ОС.
3. Пользуясь накопителем подключаемым через USB порта не сдергивайте его с кабеля отключая от ПК. Лучше аккуратно извлекайте сам кабель из ПК, а уже потом отсоединяйте его от накопителя.
4. Периодически просматривайте значения атрибутов в SMART (при обнаружении значений в поле RAW (ненормированных значений) отличных от нуля по 5, 197 атрибутам немедленно копируйте информацию на другой накопитель, а только потом занимайтесь оценкой состояния накопителя.
5. Не перегревайте накопитель.

Анализ большого числа вышедших из строя дисков показывает, что куда чаще имеет место нарушение правил эксплуатации, чем вина производителя.

К сожалению современные накопители с высокой плотностью записи получились очень хрупкими изделиями.
Периодически просматривайте значения атрибутов в SMART (при обнаружении значений в поле RAW (ненормированных значений) отличных от нуля по 5, 197 атрибутам немедленно копируйте информацию на другой накопитель, а только потом занимайтесь оценкой состояния накопителя.

У меня три диска, два SSD и один HDD.
Открыл посмотреть смарт, и не очень понял, что именно надо проверить. У некоторых нет атрибута 5, у некоторых нет 197 (С5), видимо я что-то не то смотрю. Расскажите, пожалуйста, про этот момент подробнее.

Три скрина со смартами дисков

https://www.dropbox.com/s/ickys4pckhzps26/hdd_1.jpg?dl=0


https://www.dropbox.com/s/4x6qotlm2bdu4ob/ssd_1.jpg?dl=0


https://www.dropbox.com/s/9nzkyzxh1dein7p/ssd_2.jpg?dl=0
написанное выше справедливо для HDD. Не применяйте рекомендацию для HDD в отношении SSD. В случае вашего HDD на первом скриншоте с показаниями SMART для вашего ST1000DM003 не наблюдается каких-либо угроз. Если нет каких-либо иных тревожных симптомов в поведении накопителя — пользуйтесь.
Большое спасибо!
Расскажите тогда, какая температура лучше всего для диска будет? А то в интернетах кто во что горазд. Понятно, что есть какие-то границы, установленные производителем, типа 0-60 градусов, но они далеки от оптимальных. А то у меня в NAS HDD полетел к концу гарантийного срока, чую из-за перегрева, так как работает шайтан-коробка без вентиляторов. В то же время диски в компьютере работают гораздо дольше безо всяких проблем, хотя и не заточены на «долговечность».
А то у меня в NAS HDD полетел к концу гарантийного срока, чую из-за перегрева, так как работает шайтан-коробка без вентиляторов.

если в вашем устройстве рабочая температура держится на уровне 30-40 градусов С, то грешить на температуру точно не стоит.
В то же время диски в компьютере работают гораздо дольше безо всяких проблем, хотя и не заточены на «долговечность».

Если говорить о «заточках», то сегодня можем видеть у производителей диски с одинаковой аппаратной платформой и даже одинаковыми версиями микропрограммы, но с разными настройками последней.

Чтобы понять причины выхода из строя вашего накопителя в NAS необходимо проанализировать оный, по поведению накопителя, характеру дефектов можно понять, что послужило причиной.
Думаю, примерно 30-40 там и было. Уже когда разбираться стал и вытащил на свет диск, под нагрузкой он прогревался до 40 с копейками. Он не то, чтобы вышел из строя — просто скорость упала и однажды система не загрузилась. Я сразу в смарт полез, а там бедов уже за сотню и кандидатов туда же еще в районе 300. Диск был WD Red, покупать наверное опять буду такой же… Просто с этим не повезло.
Спасибо :)
Есть ли какой-нибудь способ изменить настройки прошивки, чтобы переключать диск между «режимами» Green/Purple/Red?
Есть ли какой-нибудь способ изменить настройки прошивки, чтобы переключать диск между «режимами» Green/Purple/Red?

Формально есть. Для это придется узнать как ввести накопитель в технологический режим, научиться читать и записывать модули микропрограммы, научиться пересчитывать контрольную сумму в заголовке модулей и разобрать структуру модуля с паспортом и настройками. Часть задач помогут решить профессиональные инструменты (например PC3000Express).

Если же говорить об инструментарии доступному пользователя, то частично можно влиять на некоторые настройки в DCO (например интервал между парковками), но это не в полной мере изменит режим работы.
«Анализ большого числа вышедших из строя дисков показывает, что куда чаще имеет место нарушение правил эксплуатации, чем вина производителя. „

Абсолютно согласен. За много лет у меня много разных дисков побывало — ни один не умер и даже не заболел.
у вас отличные статьи получаются, пишите дальше!
сколько клиент отдал денег за эту процедуру если не секрет
В договоре с клиентом прописано, что информация заказчика, включая информацию о заключенном с ним договоре, не передается третьим лицам. Конкретная стоимость услуг является элементом договора.

Поэтому я не могу озвучивать конкретную цену, которая прописана в договоре с Заказчиком, чтобы не получить претензию от него.

На сайте моей компании указаны стартовые цены по видам работ. По умолчанию цены указаны в белорусских рублях. В правом верхнем углу выберите удобную Вам валюту).

Чем сложнее устройство накопителя (имеется в виду не только механическая и электронная часто, но и микропрограмма), тем больше нюансов влияющих на стоимость услуг. Также характер повреждений влияет на стоимость ибо зачастую требует проведения дополнительных аналитических операций.

Мы со своей стороны о стоимости услуг предпочитаем говорить, после проведения бесплатной диагностики, которая всегда остается бесплатной независимо от того заказал клиент услугу восстановления данных или нет.
НЛО прилетело и опубликовало эту надпись здесь
А вот без этой демагогии можно было? Так бы и сказали коммерческая тайна.

Уже пробовал. Начинаются обвинения иного рода. В попытке кого-то обмануть и всех смертных грехах. Тем более в этой демагогии указана ссылка на прейскурант и даны пояснения, как узнать цену за ту или иную работу.
А то написали как-будто обезличенный заказчик против раскрытия цены вопроса, а не вы.
Как раз таки немало Заказчиков против раскрытия подобной информации. Даже при некоторой обезличенности.
Но в любом случае цена ещё зависит от данных которые нужны заказчику, так что даже озвученные цифры абсолютно не показатель. Или я не прав. И восстанавливать базы данных или фотки не имеет значения?

Если трудоемкость получения базы и фоток одинакова то и цена за услугу одинакова. Понять сложность работ, можно лишь после проведения диагностических мероприятий, так как 99% клиентов не сможет в полной мере описать масштаб проблем.
А какие инструменты Вы используете для восстановления данных с исправных дисков?
Собственные средства с удобным для нас шестнадцатиричным редактором и поиском в том числе и сдвинутых на произвольное число байт метаданных некоторых файловых систем.

Кроме этого постоянно в пользовании: Image Explorer (софт-центр), Data-Extractor (НПП АСЕ).

В познавательских целях я открывал рабочий диск, смотрел как он работает, после чего он у меня еще год работал и я его продал и претензий от покупателя небыло. Бэдов небыло. Ну правда это был 5.25" Seagate на 20 Мегабайт с интерфейсом MFM. В те далекие времена диски не умели жонглировать параметрами и скрывать бэды.

Маленькое уточнение: MFM (Modified Frequency Modulatio) — это метод записи по сути частный случай RLL. У интерфейсов же были свои названия в те далекие времена.
Ну правда это был 5.25" Seagate на 20 Мегабайт

для дисков тех времен пыль в обычном воздухе не представляла смертельной опасности.
В те далекие времена диски не умели жонглировать параметрами и скрывать бэды.

у первых дисков и микропрограммы своей не было, управление всеми процессами осуществлялось за счет контроллера в ПК.

ST-512 интерфейс, применяемый в первый советских массовых персоналках. В народе называли только как МФМ.

НЛО прилетело и опубликовало эту надпись здесь
Вероятнее всего какой-то из сбоев привел к тому, что модуль содержащий параметры SMART оказался в нулях, вот и пошла жизнь с чистого листа. Чтобы точно ответить на такой вопрос, необходимо тщательным образом исследовать микропрограмму и смоделировать подобную ситуацию.
НЛО прилетело и опубликовало эту надпись здесь
заблуждаетесь.
НЛО прилетело и опубликовало эту надпись здесь
датчик удара
Отличная статья! Спасибо. Всегда было интересно как происходит восстановление данных с убитых дисков.
З.Ы. Подскажите ещё, пожалуйста, вы диски разбираете в какой то «чистой комнате» или это не обязательно?
Исключительно в условиях ламинарного бокса. Если стоит задача извлечь пользовательскую информацию, то настоятельно рекомендованы чистые условия.
Спасибо. Всегда думал, что разбирать HDD настоятельно не рекомендуется во избежание попадания внутрь пыли, тем сильнее удивляли люди, которые разбирали жесткие диски и еще рассказывали «ну а что такого то? Герметичен, да лаааадна!»
отличная статья. Но раз уж пошла такая тема, есть SHDD, во время работы очень громко останавливался, как при отключении, потом раскручивался. И так за пару часов раз 5. В системе сон диска был отключен. Поменял на питание с другого разъема БП — проблема исчезла. Проверил викторией — много unc, сделал полный erase, потом проверил еще раз — все ок. Но сейчас все равно слышны звуки, правда — очень тихие, и проверка показывает что все ОК. Есть ли какие либо программные или другие средства определения, что с питанием диска что-то не так? Если для HDD — это звуки, то как определить неисправность для SSD?
SSD, который стоит на том же «хвосте» питающего сата кабеля — тоже был с soft bad.
Есть ли какие либо программные или другие средства определения, что с питанием диска что-то не так?

Программных средств нет. Простой мультиметр может Вам показать, что у БП под нагрузкой есть проблемы.
Если для HDD — это звуки, то как определить неисправность для SSD?

когда SSD будет неисправен — вы это заметите либо в зависании при обращении к некоторым участкам логического пространства, либо накопитель перестанет отвечать со стороны BIOS, либо выдаст паспорт пустышку (с почти нулевым размером), либо перейдет в режим только чтения (если это предусмотрено микропрограммой).

Немного оффтоп но:
Хотелось подтвердить или опровергнуть гипотезу:

Описание проблемы:
Есть mp3 плеер и через пару лет использования у него возникла проблема — файлы начали перемешиваться, то есть играет мелодия №1 потом плеер хрюкает и начинает играть фрагмент мелодии №2 потом снова хрюкает и возвращается к мелодии №1, и со временем количество таких переключений растёт мелодия превращается в фарш из кучи различных кусков песен(причём куски могут принадлежать удалённым файлам).
При проигрывании повреждённых треков на ПК проблема сохраняется.

Гипотеза:
  • На плеере нет механизма выравнивания износа ячеек FLASH-памяти.
  • Файловая система — FAT.
  • При записи/удалении файлов — таблицы FAT активно перезаписываются «протирая» страницы памяти до «дыр»


Решение: поправить записи BOOT сектора таким образом чтобы передвинуть таблицы FAT на новое «непротёртое» место(на пару килобайт вперёд) и создать новые таблицы на новом месте(в соответствии с исправленной BOOT записью).

Решение сработало, но интересует корректность рассуждений.
Есть mp3 плеер и через пару лет использования у него возникла проблема — файлы начали перемешиваться, то есть играет мелодия №1 потом плеер хрюкает и начинает играть фрагмент мелодии №2 потом снова хрюкает и возвращается к мелодии №1, и со временем количество таких переключений растёт мелодия превращается в фарш из кучи различных кусков песен(причём куски могут принадлежать удалённым файлам).

при битовых ошибках в FAT будет наблюдаться подобная картина, так как вместо цепочки кластеров нужного файла будет читать нечто иное. По мере увеличения количества ошибок скачков все больше.
На плеере нет механизма выравнивания износа ячеек FLASH-памяти.

скорее всего есть, но NAND память уже достаточно изношена. Но чтобы точнее рассуждать необходимо знать какой контроллер NAND памяти в данном плеере.
Решение: поправить записи BOOT сектора таким образом чтобы передвинуть таблицы FAT на новое «непротёртое» место(на пару килобайт вперёд) и создать новые таблицы на новом месте(в соответствии с исправленной BOOT записью).

интересно было бы проверить проведя полную очистку устройства и заново отформатировав, были бы ошибки в тех же местах или нет. (Я не исключаю возможности существования устройства с линейной адресацией NAND памяти, особенно если речь пойдет о достаточно древнем устройстве)

Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории