Odzyskiwanie danych


Prawidłowe zachowanie w razie awarii

Laboratoria odzyskujące dane zalecają, żeby w razie awarii przede wszystkim zachować zimną krew. Decydujące znaczenie ma to, czy poszkodowany w akcie desperacji samodzielnie podejmował jakieś działania. Często powoduje to powiększenie szkody. W przypadku awarii wyłącznie programowych użytkownik może wprawdzie samodzielnie próbować odzyskać dane, jednak w razie braku odpowiednich umiejętności powinien z tego zrezygnować. Gdy jednak chodzi o awarię sprzętową (twardy dysk nie pracuje lub wydaje dziwne odgłosy) podstawowa zasada brzmi - natychmiast wyłączyć. Ponowne włączenie powoduje z reguły kolejne szkody. Specjaliści stanowczo odradzają samodzielne manipulacje przy twardym dysku. Laboratoria ciągle otrzymują dyski, które zostały otwarte. Firma Kroll Ontrack informuje nawet o zupełnie kuriozalnym przypadku - użytkownik nadesłał dysk, który wcześniej otworzył otwieraczem do konserw.

W przypadku ewidentnych awarii sprzętowych twardych dysków należy też zrezygnować z użycia tak zwanych narzędzi diagnostycznych. Wielu producentów dysków oferuje takie programy do swoich urządzeń. Służą do diagnozowania funkcji dysku. Równie mizerne skutki mają zwykle próby wyprasowania taśm. Dyskietki i inne nośniki wymienne, które uległy zalaniu, najlepiej przesłać do laboratorium w hermetycznym opakowaniu. Próby suszenia i czyszczenia mogą spowodować zarysowanie i uszkodzenie warstwy magnetycznej. Oprócz tego suszenie może spowodować korozję.

Ważne informacje na wypadek awarii

Jeżeli zlecamy laboratorium odzyskanie danych, pomocne będą wszelkie informacje o okolicznościach, w jakich doszło do katastrofy. Należy przygotować następujące dane:

  • Jak powstał problem i w czym się przejawia?

  • Informacje o logicznej strukturze nośnika danych: partycje, system plików, wolumeny, ilość danych w MB

  • Opis najważniejszych katalogów: podkatalogi, nazwy plików, typy i wielkości plików, wersje.

  • Czy podejmowano już samodzielne próby odzyskania danych? Jeżeli tak, to jakie?
Takie informacje znacznie ułatwią i przyśpieszą pracę laboratorium, a także zmniejszą koszty awarii i cenę usługi.

Typy mediów i systemy plików nadające się do odzyskania

Odzyskiwanie danych

Uwaga, nisko przelatujące głowice - przy odległości głowicy od talerza rzędu 25 nm nawet najmniejsze ciała obce mogą spowodować katastrofalne szkody.

Specjalistyczne laboratoria obiecują odzyskanie uważanych za utracone danych niezależnie od nośnika i systemu operacyjnego. Największa część, około 80 procent nadsyłanych nośników, to twarde dyski. Około 6-7 procent to taśmy magnetyczne ze streamerów. Pozostałe to dyski magnetooptyczne, dyski Zip i Jaz, a także dyskietki i płyty CD-R. Niewielki, ale bardzo szybko rosnący udział mają karty pamięci i wszelkie inne nośniki pamięci urządzeń przenośnych.

Najbardziej skomplikowane przypadki to złożone macierze RAID. Chodzi tu często o setki gigabajtów danych, które rozdzielone są między wiele dysków, pracujących w wyrafinowanej strukturze RAID.

Złożoność odzysku danych zależy od systemu plików nośnika. Najłatwiej poddają się rekonstrukcji systemy FAT. Systemy plików NTFS i linuksowe mają dużo bardziej złożoną strukturę, wymagają też lepszych narzędzi i bardziej złożonych procedur. Oto zestawienie typowych nośników i systemów plików, których naprawę można zlecić specjalistycznym firmom:

  • Media: dyskietki, twarde dyski, systemy RAID, macierze dyskowe, dyski Zip i Jaz, CD-ROM, CD-R, Bernoulli, SyQuest, dyski magnetooptyczne, Phasechange, WORM, DLT, DAT, Ditto, Travan.

  • Systemy operacyjne/typy plików: FAT 16/32, NTFS, HPFS, Netware, MacOS, Linux, UNIX, Solaris, CP/M, AIX, VMS, OS/400.

Granice możliwości

Odzyskiwanie danych

Klon - na początek tworzy się dokładne odwzorowanie nośnika. W tym celu odczytuje się oddzielnie każdy sektor.

"Oczywiście, to da się zrobić. Mamy z tym ciągle do czynienia" - tak twierdzi większość firm zajmujących się odzyskiwaniem danych. Jednak granice możliwości są jasno określone. Zasada generalna: jeżeli w wyniku uszkodzenia warstwy magnetycznej utracona została fizyczna informacja, nie pomoże żadne laboratorium świata. To samo obowiązuje w przypadku, gdy nadpisano sektor na nośniku.

Rekonstrukcja danych za akceptowalna cenę nie jest wówczas praktycznie możliwa, choć teoretycznie - tak. Ze względu na minimalne błędy pozycjonowania głowicy zapisującej/odczytującej informacja magnetyczna w sektorze nigdy nie jest zapisywana w całkowicie tym samym miejscu. Rozważmy przykład: magnetyczną jedynkę nadpisano magnetycznym zerem. W trakcie zapisu zera nastąpiło minimalne przesunięcie w wyniku tolerancji mechanicznego pozycjonowania głowicy. Za pomocą analizy spektralnej można odczytać śladowe pozostałości magnetyczne jedynki. Zupełnie inną kwestią jest decyzja, czy chodzi tu o ślady logicznego zera czy jedynki, bardzo trudno bowiem stwierdzić, ile razy i jaką wartością nadpisano już to miejsce. W takiej procedurze należałoby odczytać i przeanalizować nadpisany dysk bit po bicie. Nakład czasowy i finansowy w przypadku danych liczonych w gigabajtach jest nie do zaakceptowania.

Wróg danych - temperatura

Odzyskiwanie danych

Poszukiwanie struktury - z odwzorowania nośnika danych ekstrahuje się pojedyncze pliki. Rekonstrukcję utrudniają zdefragmentowane dane.

Nie tylko zarysowania i nadpisanie sprawiają, że próby rekonstrukcji danych mogą być bezcelowe. Kolejnym wrogiem danych magnetycznych jest temperatura. Powyżej temperatury Curie informacje magnetyczne nośników są tracone. W przypadku nowoczesnych twardych dysków z kobaltowo-chromową lub kobaltowo-niklową powłoką magnetyczną temperatura ta wynosi około 700°C. Na starszych dyskach można jeszcze znaleźć powłokę magnetyczną wykonaną z tlenków żelaza. Dla tego materiału temperatura Curie wynosi zaledwie 300°C. Oznacza to, że dysk niekoniecznie musi znaleźć się bezpośrednio w płomieniach, aby uległ uszkodzeniu. Temperatura w bezpośrednim sąsiedztwie pożaru może sięgać nawet 1000°C. Dopóki informacja fizyczna na nośniku jest nienaruszona, dopóty laboratorium ma bardzo duże szanse rekonstrukcji danych.

Faza I - analiza

Gdy uszkodzony twardy dysk trafi do laboratorium, podlega najpierw analizie. Za pomocą specjalnych technik ustala się rodzaj i zakres szkód oraz sporządza prognozę wyników rekonstrukcji danych. Po zakończeniu analizy klient otrzymuje wstępny raport, obejmujący:

  • rodzaj i zakres szkody

  • informacje o możliwych do odzyskania danych

  • proponowane rozwiązania

  • czas trwania i koszt rekonstrukcji danych.
Analizę rozpoczyna się od badania optycznego. W przypadku nośników wymiennych i taśm już to umożliwia wstępną ocenę szkód.

Dużo trudniejsza jest diagnoza twardych dysków. Jeżeli podejrzewa się kolizję głowicy, ponowne uruchomienie dysku mogłoby spowodować jeszcze większe szkody. Specjaliści z firmy Ibas posługują się pewnym trikiem, który nie wymaga otwierania dysku. Oglądają wnętrze dysku za pomocą specjalnego mikroskopu, którego obiektyw wprowadzają do wnętrza dysku przez hermetycznie uszczelniony otwór. W ten sposób można szybko zdiagnozować mechaniczne uszkodzenie głowic oraz wykryć drobiny pyłu zgromadzone wokół głowicy - skutek jej kolizji z powierzchnią talerza.

Po teście optycznym przychodzi kolej na test układów sterujących dysku. Za pomocą specjalnego sprzętu pomiarowego i wzorców testowych można dokładnie skontrolować ich działanie. Bardzo często oprogramowanie sprzętowe dysku ma też specjalny tryb diagnostyczny, który pozwala kolejno sprawdzić działanie poszczególnych funkcji.