Pojęcie “odzyskiwanie danych” oznacza dostęp do logicznie i/lub fizycznie uszkodzonego dysku, którego użyteczna kopia bezpieczeństwa nie istnieje.
Obecne techniki odzysku fizycznie uszkodzonych dysków można określić jako „zastępowaniem części”.
Do osiągnięcia wysokiej gęstości zapisu danych i obniżenia liczby odrzuconych nośników w procesie ich produkcji każdy współczesny dysk jest „dostrajany” w fabryce, aby ich układ danych, częstotliwość stref i różne ustawienia kanałów były zoptymalizowane dla każdej z głowic, każdej powierzchni i każdej strefy.
To bardzo komplikuje wymianę części, ponieważ zamieniony blok głowic, na przykład, może nie pasować do serwomechanizmu, przedwzmacniacza i parametrów odczytu, które były dostosowane do oryginalnego bloku głowic.
Tu poruszamy problemy i przypadki przy zastąpieniu lub „odbudowywaniu” firmware’u i obszaru systemowego (system area – SA), jak również przy całkowitym zastąpieniu elektroniki. Omówiono również pokrótce branżę Data Recovery, ograniczenia obecnych metod odzyskiwania i prawdopodobne kierunki rozwoju. Przewiduje się, że odzyskiwanie danych będzie ważniejsze w przyszłości, ponieważ dyski będą wystawione na dużo bardziej niesprzyjające, mobilne, warunki. Producenci dysków mogą również konkurować i odróżniać się poprzez projektowanie dysków o większym lub mniejszym prawdopodobieństwie odzyskania danych.
1. Pojęcie - Odzykiwanie Danych
Pojęcie „Data Recovery” często odnosi się do przywracania lub odzyskiwania danych (np. plików, bloków) z kopii zapasowych.
W zależności od kontekstu, „data recovery” odnosi się również do wybierania danych; wykrywania danych w falach (często z wykorzystaniem PLL); deszyfrowania lub dekompresji. „Data recovery”, odzyskiwanie danych, odnosi się do dostępu do logicznie i/lub fizycznie uszkodzonego nośnika, dokładnie z dysku twardego, w celu odczytania plików lub bloków, których poprawna kopia zapasowa nie istnieje – lub same są kopiami zapasowymi.
Chociaż techniki odzyskiwania danych po uszkodzeniach logicznych są interesujące i wyzywające, są ściśle związane z systemem operacyjnym i oprogramowaniem użytym do tworzenia danych, niż z samym dyskiem twardym. Techniki odzyskiwania danych z fizycznie uszkodzonych współczesnych dysków są trzymane w tajemnicy i w większości nigdy nie zostały opublikowane.
Powody braku upublicznienia informacji i trzymania w tajemnicy metod i sposobów odzyskiwania danych z fizycznie uszkodzonych dysków zawierają ochronę własności intelektualnej (sekrety handlowe) firm odzyskujących dane, generalny brak wiedzy w branży data recovery na temat wewnętrznego działania dysku twardego, fałszowanie (aby prawdziwy zakres możliwości odzyskania danych nie był znany ludziom sabotującym dane). Ale najważniejszy powód to niechęć do ujawnienia zwykle banalnie prostych sposobów, które do niedawna były opisywane jako szczyt techniki.
Te wszystkie techniki odzyskiwania danych z fizycznie uszkodzonych dysków mogą zostać opisane jako zamiana części. Płytki z elektroniką są zamieniane; głowice są wymieniane; talerze są montowane na silniku w dysku-dawcy; firmware i SA są zastępowane lub „odbudowywanie” poprzez ponowny zapis. Umieszczanie talerzy w dysku-dawcy zamienia wszystko – z wyjątkiem danych systemowych (SA), które to są opisane dokładnie później. Dane przechowywane na fragmencie talerza, którego powierzchnia została spiłowana, na przykład przez zadartą głowicę nie mogą zostać odzyskane – chyba, że przyszłość przyniesie narzędzia i technologie do ponownego poskładania opiłków z talerza w całość.
Odzyskiwanie danych jest trudne już teraz i staje się coraz trudniejsze. Aby uzyskać większą gęstość zapisu i większą wydajność produkcji (mniej egzemplarzy odrzuconych przez kontrolę jakości), dyski są dostrajane już w fabryce. To strojenie idealnie zgrywa ze sobą głowicę/talerz/przedwzmacniacz z innymi komponentami. Te parametry są przechowywane w SA na dysku. Dokładne strojenie powoduje, że z niektórych dysków bardzo rzadko udaje się odzyskać dane poprzez tradycyjne zastąpienie części. Ten trend będzie kontynuowany, co będzie wymagało sposobów odzyskiwania danych niezależnych od dysku dla praktycznie wszystkich nośników zbudowanych w nadchodzących latach.
Ponadto, potrzeby odzyskiwania danych prawdopodobnie wzrosną i to nie z powodu gorszej jakości wytworzonych dysków. Sieciowy styl życia i oczekiwanie, że zapisane dane są zawsze dostępne, sprawi, że wielkie ilości danych będą znajdowały się w coraz bardziej niesprzyjających im miejscach. Dyski zaczynają wchodzić na coraz mniej tradycyjne rynki, takie jak samochody, telefony komórkowe, nawigacja i osobiste urządzenia służące rozrywce – to sprawi, że dyski będą wystawione na działanie coraz większych temperatur, wilgotności, wstrząsów, wibracji i popadną w zaniedbanie. To sprawi, że dyski używane w nietypowych miejscach nie będą tak często zabezpieczane kopią zapasową jak domowy komputer czy korporacyjne bazy danych.
Dodatkowo, efekt superparamagnetyczny, który powoduje degradowanie się bitów z czasem, temperatura i zewnętrzne pole magnetyczne (np. od zapisu sąsiednich ścieżek) także zaczynają powodować utraty danych. Nieznany jest także długoterminowy efekt zmiany rodzaju zapisu ze wzdłużnego na prostopadły – może to powodować nieoczekiwane i nieznane dotąd przypadki utraty danych.
2. Omówienie branży data recovery
Nieczęsto już się zdarza, że producent dysków przedstawia listę „zatwierdzonych” firm data recovery. Najczęściej po prostu sugerują wykonanie zapytania w Google® z frazą „odzyskiwanie danych”, które to podczas pisania tego tekstu generuje ponad 867,000 wyników. Ta liczba ma tendencje wzrostowe.
Ostatnim trendem jest jednak oferowanie firmowych usług data recovery, które są jednak wykonywane przez tradycyjne, duże firmy odzyskujące dane – pod logiem producenta dysku.
Większość ludzi nigdy nie potrzebuje usług odzyskiwania danych. Niektórzy będą potrzebować ich jeden raz w całym życiu. Duże firmy i agencje rządowe mogą potrzebować takich usług 1-2 razy do roku – cztery lub więcej razy to przesadzona liczba. W tym środowisku biznesowym długoterminowa współpraca jest ciężka do zbudowania. Ponadto bez standardów klient korzystający po raz pierwszy z usług firmy odzyskującej dane ma ciężki orzech do zgryzienia – wybranie firmy z reputacją czy takiej, która ma doświadczenie z konkretnym modelem dysku lub przypadkiem.
Najważniejsza sprawa w tym biznesie, to niezapisywanie niczego na uszkodzonym dysku.
To jest najprawdopodobniej najczęstszy błąd próbujących odzyskać dane w domu, na własną rękę.
Jak to wygląda w profesjonalnych firmach odzyskujących dane?
Uszkodzony dysk jest „klonowany" *1 najszybciej, jak to możliwe i o ile jest to możliwe.
Wykonany obraz jest następnie wykorzystywany do wszystkich wymaganych procedur odzyskiwania danych.
Dobre firmy nie pobierają opłat, jeżeli nie są w stanie odzyskać danych klienta.
Niektóre firmy oferują usługę ekspresową (nawet z wykonaniem odzyskania na miejscu) za dodatkową opłatą.
Koszt typowego odzyskania danych waha się od 600 zł nawet do 2500 zł, w zależności od systemu plików (serwery, macierze RAID i systemy Unix są droższe), typu naprawy, potrzebnego czasu, typu danych do odzyskania (tekst jest łatwiejszy do odzyskania niż uszkodzone bazy danych) i prawdopodobieństwa sukcesu. Niektóre ekstremalne przypadki, w tym te wymagające odzyskiwania na miejscu, mogą kosztować dziesiątki tysięcy złotych.
3. Niezależnie od modelu dysku
Odzyskiwanie danych niezależne od typu dysku jako odzyskiwanie danych użytkownika bez użycia żadnej części dysku oryginalnego (z wyjątkiem samego nośnika, oczywiście) i bez żadnego firmware lub innej informacji z oryginalnego dysku, z możliwym wyjątkiem co do numeru modelu. W tym przypadku można użyć części z dysku-dawcy i upewnić się co do najważniejszych informacji o rodzinie dysku.
W szerszym sensie odzyskiwanie danych niezależne od dysku może się także odnosić do efektywnego wykorzystywania części zamiennych niezależnie od modelu dysku i części, które należy zastąpić. Zatem takie odzyskiwanie danych odnosi się do zestawu technik, które działają z pewnymi rodzinami dysków, przeciwnie do jednorazowych sztuczek, które mogą zostać użyte tylko w przypadku konkretnych problemów z konkretnymi modelami dysków.
Operacja zastąpienia części to zwykle przeniesienie talerzy do innego dysku i dobranie bloku głowic. W obu tych czynnościach jest sześć czynności, które należy wykonać dla skutecznego odzyskania danych.
1. Ponowna optymalizacja ustawień odczytu przedwzmacniacza,
2. Ponowne skalibrowanie RRO i offsetów głowicy,
3. Kontrola obrotów silnika i pozycjonowania głowic, zwykle używając magnetycznych serwo-śladów (servo patterns) na powierzchni dysku,
4. Określenie rozmieszczenia i formatu każdej powierzchni, defektów i sposobów ich mapowania,
5. Wykrycie danych binarnych w analogowym sygnale,
6. Zdekodowanie precoding’u, kodowania, RRL, kontrola parzystości, ECC i inne działania wymagane do odkrycia danych użytkownika.
Oczywiście sektory lub bloki utworzone z odczytanych danych muszą być jeszcze ułożone w użyteczne pliki. W tym miejscu zaczynają się działania mające na celu ułożenie danych w logiczną całość. Wszelkie ekspertyzy mogą się zacząć dopiero po odtworzeniu plików.
W tym temacie poruszone zostaną dwie techniki, które odpowiadają zarówno ścisłemu pojęciu odzyskiwaniu danych niezależnie od dysku, jak i ogólnemu:
- zastąpienie lub „odbudowywanie” SA (szerokie pojęcie).
- wymiana elektroniki dysku (ściśle związane z omawianą techniką).
4. Odbudowywanie Strefy Serwisowej (SA) dysku.
„Strefa Serwisowa” zawiera zależne od konkretnego modelu dysku parametry strojenia.
Strefa Serwisowa, w zależności od kontekstu, może zawierać się w nazwach: SA, ścieżki serwisowe, ujemne cylindry, strefa kalibracji, strefa startowa i firmware (oprogramowanie znajdujące się na powierzchni talerza). Te obszary nie są zwykle dostępne bezpośrednio przez interfejs ATA/IDE czy SCSI.
Zwykle te obszary są zlokalizowane na zewnętrznych ścieżkach talerza, jednak mogą znajdować się również w innych miejscach.
Typowa procedura startowa dysku zaczyna się od włączenia zasilania po którym następuje seria testów podsystemów elektronicznych; następnie rozkręca się talerz; następuje zwolnienie lub wyjście głowic z pozycji parkowania; wstępne dostosowanie czasu przebiegu dla serwomechanizmu; szukanie strefy systemowej i czytanie jej w poszukiwaniu dodatkowych procedur uruchamiania, potrzebnych parametrów i firmware.
Oczywistym jest, że uszkodzenie SA uniemożliwi działanie dysku. Z tego powodu wielu producentów umieszcza kopie SA w różnych miejscach, często jedną (lub więcej) na każdej powierzchni talerza. Jeżeli jakiś moduł na jednej z powierzchni jest uszkodzony, to sprawny moduł z innego miejsca (np. z poprawną sumą kontrolną) może zostać użyty.
SA może zostać uszkodzona przez niesprawną elektronikę, błędy firmware, przekroczenie dopuszczanych parametrów wstrząsu lub błąd pozycjonowania. Kolejnym, bardzo częstym powodem uszkodzenia jest zanik zasilania w trakcie aktualizacji samej strefy systemowej. Może się to zdarzyć, gdy logi systemowe są aktualizowane lub gdy G-list jest zmieniana. G-list, czy inaczej rosnąca tablica błędów, zawiera błędy, które zostały znalezione podczas pracy dysku. Tablica ta jest zwykle używana do zastąpień sektorów lub realokacji sektorów. Z tą tablicą związana jest inna, P-list, lub inaczej tablica pierwotnych defektów. Zawiera ona tablicę defektów znalezionych już podczas produkcji dysku. Tablica ta jest stała, używana do omijania sektorów, i nie jest aktualizowana podczas pracy dysku.
Uszkodzone SA może być ponownie zapisane, jako forma zastąpienia części dysku. W przypadku niektórych modeli dysku SA zawiera bardzo mało informacji, np.: numer seryjny, P-list i G-list, często translator, który konwertuje adresację logiczną na fizyczną wraz z uwzględnieniem przesunięcia pomiędzy głowicą, a ścieżką, paramtery S.M.A.R.T i (często zaszyfrowane) hasło dysku. Ta mała ilość informacji zależnych od konkretnego dysku określa, czy dysk jest podatny na podmianę części, włączając w to wymianę głowic.
Niektóre dyski mają większą strefę serwisową, która może się rozciągać na dziesiątki ścieżek. To zwykle oznacza, że dysk ma więcej dostrajanych parametrów i jest mniej podatny na tradycyjne zastąpienie części, szczególnie zmianę głowic i odbudowywanie obszaru systemowego. W takich dyskach SA może zawierać wszystkie parametry wymienione powyżej, dodatkowo niektóre lub wszystkie następujące: overlay’e (kod wykonywalny) najczęściej wykonywanych funkcji lub funkcji korekcyjnych; tablice ściśle zależne od dysku, takie jak kompensacja RRO, offsety zapisu/odczytu, poziomy danych, tablicę strefy, wiele ustawień kanału odczytu, wzmocnienia, punkty przesunięcia, parametry serwomechanizmu; procedury testowe; procedury kalibracyjne; ustawienia fabryczne; logi systemowe i dodatkowe informacje o komponentach dysku.
Jest możliwe, że dysk oddany do odzyskania jako nieuruchamiający się ma hardware nietknięty, stąd nie wymaga wymiany części.
Około 30% wszystkich uszkodzeń „hardware’owych” jest spowodowanych uszkodzeniem SA. W takich przypadkach to SA jest „częścią”, która wymaga zastąpienia. Ponowne wgranie SA jest najszybszym, najbardziej niezawodnym i najtańszym sposobem na odzyskanie danych (w przeciwieństwie od przywrócenia ostatnio działającej kopii na inny dysk).
Format i struktura SA nie jest opublikowana i dlatego musi zostać określona dla każdej rodziny dysków. Ta informacja jest publicznie dostępna jedynie dla kilku modeli dysków. Niektóre firmy zdobywają te dane poprzez własne eksperymenty.
Jeżeli SA jest skopiowane z innego dysku tego samego modelu, wszystkie ustawienia dostrojeń zostają utracone – nie będą się zgadzać ze stanem i działaniem komponentów obecnych w dysku. Parametry dotyczące głowic muszą zostać ponownie zoptymalizowane i zapisane do SA, tak jakby nastąpiła zamiana głowic. Optymalizacja tych parametrów nie jest dostępna w żadnym komercyjnie dostępnym programie i jest przedmiotem badań dla firm odzyskujących dane.
5. Wymiana wewnętrznej elektroniki dysku
Jeżeli byłyby dostępne metody odbudowywania SA i ponownej optymalizacji kluczowych parametrów wymaganych do wymiany głowic lub przełożenia dysku, to byłyby one najbardziej preferowaną metodą odzyskiwania niezależnego odzyskiwania danych. Jednakże są takie sytuacje, gdzie nawet ta niemal doskonała metoda byłaby nieodpowiednia. Dla przykładu, wiele kolejnych ścieżek servo może być uszkodzonych powodując wyłączanie dysku lub ciągłą rekalibrację; precyzyjna kontrola nad głowicą może być niezbędna do obejścia uszkodzonych obszarów dysku; komendy do kontroli kanału odczytu ponownej optymalizacji mogą nie być znane; zajdzie potrzeba odczytu SA dysku, którego nie można uruchomić, lub się nie inicjuje; zajdzie potrzeba odczytu danych z normalnie niedostępnych obszarów dysku (np. hasła w SA, uszkodzone sektory, sektory zapasowe); degradujące się lub błędnie zapisane sektory mogą wymagać dodatkowej, zewnętrznej analizy sygnału do poprawnego odczytu; zajdzie potrzeba obejścia normalnego uruchamiania dysku, szczególnie, gdy sekwencja uruchamiania inicjuje automatyczne szyfrowanie lub zniszczenie danych ze względów bezpieczeństwa. Ekstremalne przypadki, w których dysk jest mocno uszkodzony i nienadający się do umieszczenia na silniku, takie w których biorą udział służby bezpieczeństwa, wywiad i policja uczestniczą nie mogą polegać na metodach odzyskiwania zależnych od typu sprzętu ze szczególnymi sygnałami servo, układem stref lub wymaganiami co do częstotliwości.
W takich przypadkach wymagane jest całkowite zastąpienie całej kontroli, przetwarzania sygnału i funkcji dekodujących dysku przez system, który jest pod całkowitą kontrolą specjalisty odzyskiwania danych. Dla napędów, gdzie stosowane jest obracający się talerz najtańszym rozwiązaniem jest użycie oryginalnego silnika i obudowy, lub pobranie go od dysku-dawcy. Wszystko, czego potrzeba to standardowy kontroler silnika i umiejętność programowania.
Kiedy blok głowic jest już na miejscu i dyski się kręcą, sygnał z przedwzmacniacza musi zostać pobrany i użyty; najpierw dla pozycjonowania a następnie dla wykrycia danych. Dla osiągnięcia dobrego sygnału należy wyznaczyć najodpowiedniejsze parametry i napięcia dla każdej z głowic. Ogólnie rzecz biorąc, nie można zakładać, że dokładna specyfikacja jakiegokolwiek chipu lub dysku jest dostępna do użytku firmy. Stąd, nawet programowanie przedwzmacniacza musi zostać wykonane na podstawie eksperymentów. Często oznacza to badanie szeregowego interfejsu podczas wysyłania różnych komend odczytu i zapisu. Po poprawnej konfiguracji przedwzmacniacza odczytany analogowy sygnał może zostać zamieniony na cyfrowy.
Jednakże dla uzyskania większych prędkości zwykły PC musi zostać zastąpiony specjalnym sprzętem.
6. Podsumowanie
Odzyskiwanie danych jest trudne w chwili obecnej i robi się coraz trudniejsze. Dostrajanie jednocześnie zwiększa gęstość zapisu i wydajność, ale sprawia jednocześnie, że tradycyjne metody wymiany części zawodzą w coraz większej ilości modeli dysków. Gdy niektóre modele mają statystyki odzyskania danych powyżej 90%, inne mają je poniżej 60%. Zwiększa się liczba dysków, w których odzyskanie danych poprzez wymianę części jest niemożliwe. Z tego powodu potrzebne są narzędzia do odzyskiwania danych niezależnie od dysku i ich możliwości muszą być rozwijane.
Dzisiejsze badania odbudowywania SA skupiają się na opracowaniu algorytmów, które są w stanie szybko i sprawnie ponownie zoptymalizować wszystkie ważne parametry, przedwzmacniacz i parametry systemu servo bez nadpisywania danych. Te możliwości są potrzebne zarówno przy utraceniu SA jak i przy zamianie głowic.
Badania dotyczące zastępowania wewnętrznej elektroniki dysku skupiają się na opracowaniu szybszych i dokładniejszych metod określania ID ścieżki sektora servo i kodowania sektorów. Dodatkowo, timing, równoważenie i metody detekcji są ulepszane, aby możliwe było odzyskiwanie danych z dysków produkowanych dziś i w przyszłości. Podobne techniki odzyskiwania niezależnego mogą zostać zastosowane w przypadku taśm magnetycznych i nośników optycznych. Gdy takie media zostają wyrzucone, są podatne na odzyskanie zawartych w nich danych przez osoby nieupoważnione, nawet, gdy pliki zostały „usunięte”.
Jeżeli odzyskiwanie ma nastąpić z nośnika, który z powodu uszkodzenia np. zginania, tarcia, korozji, fragmentacji, penetracji itp. nie może już zostać umieszczony na silniku, wszystkie metody struktury informacji, przetwarzania sygnału i dekodowania omówione wcześniej muszą ciągle zostać zastosowane. Trzeba jednak zastosować inne metody uzyskania sygnału odczytu z danego nośnika. Te metody zawsze pochłaniają czas, są ekstremalnie trudne, drogie i mają małe prawdopodobieństwo sukcesu.
Producenci dysków mogą podjąć kroki mające na celu zwiększenie skuteczności odzyskiwania danych z ich produktów. Wśród tych kroków jest opublikowanie specyfikacji SA, schematów kodowania i informacji na temat algorytmów optymalizacji stosowanych w fabrykach, aby można je było zastosować na zewnątrz. Należy wziąć pod uwagę, że statystyka możliwości odzyskania danych z danego nośnika może mieć znaczący wpływ na jego sprzedaż.
Spis Pojęć:
Calibration (Kalibracja), Computer crime (Przestępstwo komputerowe), Data recovery (Odzyskiwanie danych), Defect management (Zarządzanie defektami), Digital magnetic recording (Cyfrowo-magnetyczne nagrywanie), Disk drives (Dyski twarde), ECC (Error Correction codes – Kody korekcyjne), Logical block address (LBA), Maintenance tracks (Ścieżki konserwacyjna/serwisowe), Optimalization (Optymalizacja), PRML (Partial Response Maximum Likelihood), Servomechanism, System area (SA)