Odzyskiwanie danych


Faza II - rekonstrukcja fizyczna

Jeżeli klient akceptuje wyniki wstępnej analizy, zaczyna się właściwa rekonstrukcja. Na początek laboratorium stara się kompletnie odwzorować dane pozostałe na dysku. To ważne - laboratoria nigdy nie pracują na oryginale. Dzięki temu ewentualne błędy podczas rekonstrukcji można łatwo naprawić. W trakcie odwzorowania odczytywany jest oddzielnie każdy sektor - w przypadku twardych dysków może ich być nawet 200 milionów.

Jeżeli można naprawić dysk, wymieniając uszkodzone części, zachowane ścieżki można odczytać bezpośrednio przez złącze dysku. Sytuacja jest trudniejsza, gdy dysku nie da się uruchomić. Jedynym wyjściem jest wówczas wyjęcie talerza/zestawu talerzy z obudowy.

Faza III - analiza wzorów

Mieliśmy okazję zapoznać się z technologią PATAN norweskiej firmy Ibas. W analizatorze wzorów można umieścić poszczególne talerze dysku i ścieżka po ścieżce odczytać zachowane sektory. Ustala się przy tym orientację magnetyczną każdego bitu. Zarejestrowane sygnały analogowe poszczególnych bitów analizator przekształca w ciąg bitowy zero-jedynkowy. W zależności od gęstości ścieżek i bitów na talerzu magnetycznym analizator wzorów może wykorzystywać dowolne głowice odczytujące.

Niestety, nakłady czasowe i finansowe niezbędne w tej metodzie są bardzo wysokie. Firma Ibas twierdzi, że wykorzystuje analizator wzorów zaledwie w dwóch procentach awarii. Inne laboratoria dysponują podobnym sprzętem, jednak niechętnie pozwalają sobie zaglądać przez ramię. Podczas odwiedzin w tych laboratoriach musieliśmy w niektórych przypadkach podpisywać umowy o dochowaniu tajemnicy, żeby żadne informacje na temat odzysku danych nie wydostały się na zewnątrz. Firmy strzegą własnych procedur odzysku danych jak tajemnicy państwowej.

Faza IV - rekonstrukcja logiczna

Gdy już odwzorowanie nośnika danych jest gotowe, podejmuje się za pomocą specjalnego oprogramowania próbę zrekonstruowania struktury danych z zer i jedynek. To bardzo skomplikowana i trudna część procesu - rekonstrukcja systemu plików oraz odpowiedź na pytanie, jak dane na dysku były zorganizowane i zarządzane.

Czynnikiem utrudniającym jest to, że producenci twardych dysków bardzo niechętnie udzielają laboratoriom informacji o sposobie organizacji danych na dyskach. W końcu różnice wydajności dysków poszczególnych producentów wynikają w dużej mierze z tych algorytmów, a nikt nie chce zdradzać tajemnic.

To samo dotyczy macierzy RAID. Producenci kontrolerów RAID strzegą swoich algorytmów rozkładu danych na dyskach jako tajemnicy firmowej. To bardzo utrudnia laboratoriom analizę struktury. Narzędziami własnej konstrukcji eksperci od oprogramowania szukają określonych struktur i ciągów bitowych, które pozwalają wyciągnąć wnioski na temat plików. Jeżeli klient życzy sobie na przykład tylko rekonstrukcji określonych plików Excela, fachowcy poszukują struktur charakterystycznych dla plików tego typu. Ich praca staje się znacznie łatwiejsza, gdy klient może dostarczyć dokładnych informacji o zawartości dysku.

Dane uzyskane z rekonstrukcji kopiuje się w miarę możliwości do takiej samej struktury katalogów, jak na oryginalnym dysku. Jest to możliwe tylko wtedy, gdy są dostępne informacje o pierwotnej strukturze partycji i systemie plików. W przeciwnym razie odtworzenie struktury katalogów jest bardzo pracochłonne. Na zakończenie pomyślnej rekonstrukcji klient otrzymuje dane na takim nośniku, na jakim sobie życzy.

Za zgodą klienta, laboratorium na wszelki wypadek również zapisuje dane i przechowuje je w bezpiecznych warunkach przez uzgodniony czas.

Laboratoria odzysku danych - przegląd

Ceny usług profesjonalnego odzysku danych zależą od bardzo wielu czynników, przede wszystkim od rodzaju nośnika i jego pojemności. Orientacyjną cenę usługi uzyskamy już zwykle podczas wstępnej rozmowy, podając rodzaj i pojemność nośnika oraz objawy awarii. W niektórych firmach analiza wstępna jest bezpłatna, inne pobierają za to opłaty, zwykle 50-100 zł. Ceny samej rekonstrukcji danych uzależnione są od złożoności przypadku. Nie ma tu sztywnych reguł; w przypadku awarii programowej może to być kilkaset złotych, w przypadku awarii sprzętowej - nawet do kilku tysięcy. Niektóre z firm utrzymują 24-godzinną linię pomocy, a uszkodzony sprzęt można przesłać pocztą kurierską. Na pierwszy rzut oka koszty odzyskania danych mogą odstraszać. Jeżeli jednak zestawić je z wartością utraconych danych, kwota bardzo szybko się relatywizuje. Jeżeli uwzględnimy przy tym nakład pracy niezbędny do odzyskania danych, ceny stają się zrozumiałe. Laboratoria wyposażone są w najnowocześniejszy sprzęt pomiarowy, w części własnej konstrukcji. Narzędzia programowe i algorytmy odzyskiwania danych zwykle są też własnego autorstwa.

Podsumowanie

Odzyskanie danych w profesjonalnych laboratoriach nie jest tanie. Jednak w porównaniu z wartością danych koszt ten bywa często pomijalnie mały. Około 70-80 procent operacji kończy się sukcesem pod warunkiem, że zdesperowany użytkownik nie podejmował samodzielnie żadnych działań. Tylko wtedy, gdy fizyczne dane znajdują się jeszcze na nośniku, laboratorium może pomóc. Granice możliwości rekonstrukcji danych są jasno określone. Jeżeli w wyniku kolizji głowicy została zniszczona warstwa magnetyczna talerza twardego dysku lub nośnik stracił właściwości magnetyczne pod wpływem wysokiej temperatury, wszelka pomoc jest niemożliwa. Gdy dane zostały nadpisane, rekonstrukcja danych w rozsądnym czasie i za akceptowalną cenę nie jest możliwa.