media-rec

восстановление данных своими руками

крис касперски ака мыщъх

резервная копия – последний рубеж обороны против беспощадной энтропии, но иногда случается так, что гибнет и она. существует множество фирм, занимающихся восстановлением данных за деньги, но далеко не всегда они их восстанавливают. и тогда…

Кого скребет чужое горе? Ну уж точно не спецов из сервисных центров. Они просто делают свою работу, то есть зарабатывают деньги с наименьшими телодвижениями. А по другому и не получится. Рынок! Если принимать близко к сердцу чужие проблемы, через месяц работы можно слечь с инфарктом. Бесспорно, у специалистов есть опыт, оборудование и все прочие ингредиенты, необходимые для успешного восстановления. Попытки «самолечения» в девяти из десяти случаев заканчиваются полным провалом и необратимым уничтожением тех данных, которые еще можно было спасти. Тем не менее, обращение к специалистам далеко не всегда оправдано, особенно, если речь идет о секретной информации (например, коллекции ваших подруг в обнаженном виде).

В некоторых случаях данные можно восстановить и самостоятельно. В основном мы будем говорить о физических разрушениях (царапины, дефекты поверхности), не касаясь вопросов восстановления ошибочного удаленных файлов или непреднамеренного форматирования раздела. Журнал Хакер уже неоднократно писал об этом (см. мои статьи за номерами), так что не будем повторяться. К тому же, в скором времени в издательстве A-LIST выходит мыщъх'иная книжка «la technique de la restitution des donnees», целиком посвященная этой проблеме (избранные фрагменты можно найти на моем ftp-сервере nezimu.org.ru).

media-rec_image_0.jpg

Рисунок 1 беда никогда не предупреждает о своем приходе и все катастрофы происходят внезапно

Начнем с восстановления CD/DVD дисков как с наиболее распространенных носителей на сегодняшний день. Производители уверяют, что они и слона переживут. Ну это наверное какой-то ископаемый слон. Диски мрут как мухи, зачастую выдерживая всего один сезон. Сотрудники тестовой лаборатории датского отделения журнала PC-Active провели свое собственное расследование. Отобрав несколько «брендовых» дисков, они исследовали дегерадивные процессы в активном слое и получили шокирующие результате. На рисунке, приведенном ниже, изображена фотография лазерного диска, полученная с помощью специального оборудования. Слева — диск сразу после прожига, справа — тот же самый диск спустя 20 месяцев. Белый цвет символизирует идеальные сектора, зеленый — сектора с незначительными ошибками чтениями, желтый и красный — серьезные разрушения. И хотя внешне такой диск читается вполне нормально (корректирующие коды Рида-Соломона делают свое), с каждым днем он будет читаться все хуже…

media-rec_image_1.jpg

Рисунок 2 деградация активного слоя CD-R дисков с течением времени

Чтобы избежать сюрпризов, свой архив следует тестировать по меньшей мере раз в шесть месяцев. Для этого подойдет любая программа (лично я предпочитаю NEROqualitytest), а в ее отсутствии качество носителя можно приблизительно оценить по звуку привода. Если диск читается на полной скорости без характерных повторов и сброса оборотов — с ним все ОК. В противном случае, данные следует переписать на свежую болванку.

А что делать, если мы хватились уже после того, как диск перестал читаться? Самое простое — затормозить привод до 4х-8х (если, кончено, он это позволяет) и повторить попытку еще раз. Существует множество «тормозящих» утилит, например, xCD, которую можно бесплатно скачать с моего ftp-сервера вместе с исходными текстами. К сожалению, не все приводы поддерживают программное изменение скорости и далеко не все они читают «проблемные» диски, так что тут придется поэкспериментировать. Попробуйте прочитать диск у приятелей или зайдите в ближайшую фирму и попросите продавца «протестировать» привод перед его «покупкой». Впрочем, шансы на успешный исход дела не так уж и велики. И что тогда?

Практика показывает, что существует всего две основных причины, по которым диски перестают читаться: царапины и дегеративные процессы в активном слое. Ну с царапинами мы еще разберемся, а что делать с активным слоем, контраст которого необратимо снижается со временем? Очень просто — повысить мощность лазерного излучателя. Прием варварский, но других путей по-видимому нет. Лазеру, конечно, проходится туго и долго в таком режиме он не проработает, однако, прежде чем умереть, он может успеть кое-что прочитать. Приводы прошлого поколения содержали подстроечные резисторы, регулируемые любой отверткой, но сейчас их заменила электроника. Яркость лазерного луча настраивается автоматически и чтобы ее изменить, необходимо пропатчить прошивку (а это не каждому по плечу) или… найти на плате постоянный резистор, ведущий к излучателю и припаять параллельно ему еще один, уменьшая эффективное сопротивление в 1,5 — 2 раза. Естественно, к этой мере следует прибегать только в тех случаях, когда на диске оказались действительно важные данные, стоимость которых сопоставима с ценой привода.

Теперь о царапинах. Даже глубокие борозды, оставленные, например, проехавшим креслом, это еще не приговор. Некоторые источники рекомендуют отполировать диск зубным порошком (которого сейчас и с огнем не сыщешь) или специальной шлифовальной пастой типа ГОИ. Все это правильно и такая методика отлично работает, но тут есть два маленьких «но». Во-первых, с первой попытки отполировать диск не удастся. Тут навык необходим! А чтобы его получить, требуется затратить уйму времени, которое не у всех есть. Во-вторых, глубокие царапины так не зашлифуешь, а ведь именно они источник всех бед! Нет, мы пойдем другим путем. Возьмем зеленку (ту самую, что продают в аптеках) и аккуратно закрасим царапины зубочисткой или остро заточенной спичкой. Это предотвратит рассеивание света, а для лазерного луча зеленка прозрачна!

Рисунок 3 лазерные диски требуют бережного обращения и не любят царапин

Хуже, если диск раскололся на несколько частей. Можно ли спасти хотя бы часть данных? Некоторые фирмы, специализирующиеся на восстановлении, используют электронные микроскопы, фотографирующие спиральную дорожку и путем последующей компьютерной обработки, собирающей все байтики, которые только остались. Это довольно кропотливое и весьма дорогостоящее занятие, которое по карману только крупным компаниям, потерявшим судьбоносные данные. В домашних условиях обычно используется двухсторонний строительный скотч и пустая болванка, к которой приклеиваются обломки диска, после чего эта конструкция аккуратно вставляется в привод, работающий на скорости 1х-2х. Конечно, для чтения используется специальное программное обеспечение (которое, в частности, можно скачать с моего ftp) и прочие ухищрения, но тем не менее какая-то часть информации все-таки читается. Попробуем рассчитать какая. Размер одного сектора составляет ~15 мм, для позиционирования головки привод должен декодировать субканальную информацию, для чего ему необходимо прочитать по меньшей мене 11 секторов. Следовательно, данная технология позволяет читать обломки с длинной дуги от ~17 см. Для внешней кромки это составляет чуть меньше половины лазерного диска, то есть, если диск разломать напополам, мы сможем прочесть лишь ту часть информации, что была записана на самом краю. Не слишком-то воодушевляющая перспективна, но это все-таки лучше, чем совсем ничего.

media-rec_image_3.jpg

Рисунок 4 с этого диска еще можно прочитать кое-что, но очень немого

И еще один совсем напоследок. Достаточно часто диск перестает читаться из-за неисправности привода. Качество современных приводов уже не то, что было лет десять назад и лазеры дохнут сплошь и рядом. Внешне это проявляется в том, что привод становится все более и более привередливым, отказываясь «переваривать» диски, которые еще вчера нормально читались, поэтому, столкнувшись с проблемой, не спешите винить диск и не стремитесь протирать его о рубаху или штанину. Во-первых, прежде чем протирать любую оптическую поверхность, обязательно сдуйте пылинки, иначе царапин не миновать. Во-вторых, для протирки дисков следует использовать влажные салфетки (например те, что используются для чистки монитора), меняя их при каждом проходе, а сам проход вести в радиальном направлении (от центра к краям), но не в коем случае не вдоль окружности! Никакой мистики здесь нет. Просто корректирующие коды были изначально ориентированы на борьбу с радиальными царапинами. Концентрическим они, увы, не могут противостоять.

Будучи достаточно надежными носителями, ZIP-дискеты особых проблем не вызывают и сбойные сектора на них встречаются крайне редко, но все-таки встречаются. Виновником могут быть и магнитные поля от монитора или системного блока, дефекты поверхности (в основном встречающиеся на «не фирменных» дискетах типа FUJIFILM), да много чего! Обычно не читающийся диск еще можно спасти, если повторять операцию чтения в цикле много-много раз. Любой дисковый «доктор» с этим справится! В отличии от классических дискет, где головка трется о поверхность, в ZIP'ах она летает над поверхностью диска и потому многократное чтение никак не сказывается на «здоровье» носителя. Короче говоря, хуже не будет. Исключение составляют приводы с поврежденной головкой, царапающей диски, но это уже клинический случай, который мы не рассматриваем. Видели табличку в лифте: «запрещается пользоваться неисправным лифтом»? Вот точно так обстоят дела и с приводами.

Кстати говоря, после каждой серии неудачных попыток чтения, желательно выполнять позиционирование головок на удаленные сектора, а потом возвращать их обратно. Смысл этой операции в том, чтобы заставить головки подходить к проблемному сектору под разным углом, авось в каком-то положении он все-таки почитается. Статарные дисковые доктора типа scandisk/chldsk, входящие в комплект штатной поставки Windows, этого делать не умеют, NortonDiskDoctor (прозванный в народе DiskDestroyer'ом) так же не отличается интеллектом и единственной утилитой, ориентированной на восстановление ZIP-носителей, была и остается SpinRate Стива Гибсона, которую можно отрыть в Осле. Она восстанавливает 90% не читающихся дисков, а по некоторым оценкам даже больше того!

С дискетами-убийцами (о которых мы уже говорили в предыдущей статье) все обстоит значительно сложнее и просто так вставлять их в дисковерт нельзя! Тоже самое относится и к дискетам с подвернутым краем (см. фото 5). Как он возникает? Вот, например, нерадивый пользователь отодвинув защитную шторку лезет туда пальцем или дискета упирается в поврежденную магнитную головку. Как следствие, она начинает уничтожать все ZIP-приводы, которые только встретятся ей на пути. К счастью, нулевая дорожка располагается вблизи центра и потому файловая система поверженной дискеты не страдает и ее все еще можно прочитать.

media-rec_image_4.jpg

Рисунок 5 дискета-убийца с подвернутым краем

Нам потребуется тонкий скальпель или бритва. Необходимо вскрыть дискету, не повредив ни корпус, ни магнитного покрытия. Это легко. Любой домашний мастер с этим справится! Теперь, вооружившись размагниченными ножницами, обрежем подвернутый или разорванный край, так чтобы не осталось заусениц (размагничивание обычно осуществляется вращательными движениями дросселя, включенного в сеть, если у вас нет дросселя — обратились к любому радиомастеру — он поможем). Собираем диску и… ни в коем случае не вставляем ее в дисковод! Конструкция ZIP-привода выполнена так, что головки, сойдя с парковочной зоны, ожидают «увидеть» под собой магнитную поверхность дискеты и если ее там не окажется… Привод погибнет вместе с дискетой. Чтобы этого не произошло между «коромыслами» необходимо ввести какой-нибудь предмет, например, авторучку, и затем удалить его, когда головки достигнут поверхности диска. Кроме того, читать последние сектора дискеты недопустимо, иначе головки войдут в «отрезанную» зону и умрут, нанося дискете дополнительные повреждения.

media-rec_image_5.jpg

Рисунок 6 развод головок в разные стороны с помощью авторучки

Не будем скрывать и лукавить — риск угробить привод во время всех этих манипуляций очень велик. Как минимум, мы должны его разобрать, отправляя гарантийный талон в мусорное ведро. Но по другому, увы, никак не получается! Что поделаешь! Борьба с энтропией требует серьезных вложений и больших телодвижений!

Картриджи для стримеров очень долговечны и крайне надежны. Обычно с ними не случается никаких проблем, но иногда лента все-таки рвется. Виновником может быть как «мстительный» стример, спроектированный пьяными инженерами и собранный в подпольной фирме на коленках из чего бог послал, так и сам человек. Очень многие из нас питают нездоровое, можно даже сказать, сексуальное влечение к магнитным лентам. Потеребить, поковырять их ножиком или карандашом.

Рисунок 7 стример очень надежная штука

Хорошая новость! Порванную ленту можно склеить любым универсальным клеем. Лично я предпочитаю польский Суперцемент, который очень трудно найти в магазинах, но ничуть не хуже подходит японский SuperGlue, который сейчас продаются в крошечных тюбиках на каждом углу. Вопреки расхожему мнению, потери информации при этом не происходит! Стримеры используют помехозащитные коды (разновидность циклических кодов Рида-Соломона) и безболезненно переносят значительные «выпадения» ленты, вплоть до 5 см (конкретные цифры варьируются от модели к модели).

Так же приходится сталкивается и заклиниваниями картриджа. Обладатели кассетных магнитофонов знают что это такое. Как с ними бороться? Чуть-чуть оставляем крепежные болты (а большинство картриджей разборного типа), чтобы лента могла свободно вращается и несколько раз перематываем ее туда сюда. Вручную. Стримеру это дело лучше не доверять. Затем затягиваем болты и картридж возвращается в строй.

Дефектные стримеры при определенных обстоятельствах иногда мнут ленту, что уже значительно хуже. Измятая лента не прилегает к магнитной головке и читается с огромным количеством ошибок, с которыми корректирующие коды уже не справляются. Что тогда? К счастью, в отличии от кассетного магнитофона, в котором запись происходит перпендикулярно движению ленты, в стримере она наклонена под некоторым углом, в результате чего влияние локальных дефектов значительно оставляется. Чтобы прочитать измятую ленту в десяти из десяти случаев достаточно увеличить ее прижим к головке (для чего подойдет небольшой кусочек поролона или другого упругого материала со скользким покрытием). Многократное вычитывание поврежденных участков дает неплохой результат и значительная часть информации все же возвращается из небытия.

Некоторые люди пытаются разгладить ленту руками, ногтем или другим «инструментом». Этого делать нельзя!!! Лента вытягивается и потому время ее чтения увеличивается, а стример рассчитан на строго определенную скорость, и изменение частоты сигнала создает дополнительную нагрузку на корректирующие коды, которым и без того хреново. Впрочем, это уже крайности, с которыми большинство пользователей стримеров никогда не встречается.

media-rec_image_7.jpg

Рисунок 8 за счет корректирующих кодов, стримеры допускают выпадение нескольких сантиметров ленты, поэтому этот картридж еще можно спасти

Термин «FLASH-память» охватывает целый спектр устройств, упирающийся своим концом в мини-драйвы, по сути представляющие собой миниатюрные жесткие диски. Естественно, каждый тип устройств требует своего подхода и принципы их восстановления различны.

Давайте остановимся на том FLASH-носителей, что состоит из перепрограммируемой микросхемы энергонезависимой памяти и USB-контроллера — он встречается чаще всего. Микросхема памяти довольно надежна и отказывает прямо таки скажем не часто, а вот USB-контроллер легко вышибается вездесущим статическим электричеством и вообще довольно уязвим. Если только память и USB-контроллер не интегрированы в единую микросхему, его легко перепаять. Достаточно купить еще одну FLASH точно такой или аналогичной модели Естественно, для этого необходимо уметь держать паяльник в руках, иначе данные умрут окончательно. Современные микросхемы очень бояться перегрева и стоит нам чуть-чуть замешкаться как они превращаются в труп.

Впрочем, аппаратные отказы FLASH-карт это все-таки экзотика. Гораздо чаще приходится сталкиваться с логическими разрушениями типа ошибочно удаленных файлов или глюков драйвера. Глюки это настоящая проблема. Из-за них погиб MarsRover (http://www.esolpartners.com/shared/pdf/Spirit_Rover_8.23.04.pdf) и теряется огромное количество данных. Суть в том, что часть памяти зарезервирована под служебные нужды, но доступ к ней *не* заблокирован и программными средствами сюда можно беспрепятственно читать и… писать. Если драйвер по ошибке или злому умыслу затирает служебную область, доступ к FLASH-карте чаще всего становится невозможным. Мы не можем даже отформатировать ее, не говоря о том, чтобы считать данные. Несколько лет назад, когда карты были дорогими, это становилось настоящим потрясением. Впрочем, всегда было можно найти устройство, которое игнорирует служебную область и работает с картой без нее, а это значит, что низкоуровневый доступ к FLASH-памяти все же работал! А раз так — можно считать все данные и самостоятельно декодировать их.

Восстановлением FLASH-карт занимается множество утилит. Лично я предпочитаю PhotoRescue (http://www.photorescue.net/) от создателя легендарного дизассемблера IDA PRO. И хотя она позиционируется как средство «спасения» цифровых фотографий, восстановление «обычных» данных проходит ничуть не хуже. Это платный продукт, за который придется выложить $30 или даже $40 (ExpertEdition), однако, Evaluation-версия раздается бесплатно всем желающим.

Восстановление жестких дисков — не самое легкое дело, требующее специального оборудования, инженерных навыков и глубоких познаний из самых разных областей. Неудержимое желание вскрыть гермоблок лучше сразу задвинуть куда подальше. Ничего интересно вы все равно не увидите. Большинство неисправностей никак не проявляет себя визуально. Дотрагивается до зеркальной поверхности «блина» тоже не надо. Специалисты из сервисного центра, куда вы отнесете пострадавший винт, обязательно обнаружат «пальчики» и поинтересуются: что за слонопотам тут гулял. Сочинять легенду и выдумывать правдоподобное оправдание бессмысленно — им в общем-то наплевать. Ведь это ваши данные. Они просто констатируют факт, что теперь шансы на восстановление упали ниже нуля.

Рисунок 9 никогда не вскрывайте гермоблок жесткого диска, если не хотите убить его

Другой интересный момент. На форумах достаточно часто встречается утверждение, что если отказала электроника, то жесткий диск еще можно спасти, переставив плату с «точно такого же». Лет пять-десять назад это было действительно так, но сейчас ситуация изменилась. Даже в рамках одной серии может сосуществовать множество различных жестких дисков несовместимых между собой. Это раз. Плата электроники может содержать микросхему энергонезависимой памяти с настойками, уникальными для каждого диска (и хотя некоторые модели винчестеров хранят настройки непосредственно на самом диске — они остаются в меньшинстве). С чужими настойками винчестер либо вообще откажется «заводится», либо вместо актуальных данных возвратит мусор, с которым сможет разобраться только специалист. Но это мелочи. Неродная плата электроники может вывести из строя коммутатор-предусилитель, расположенный внутри гермоблока и зачастую смонтированный прямо на блоке магнитных головок иногда даже в бескорпусном варианте исполнения. Тогда для восстановления данных потребуется обращаться к настоящим профессионалам (например, в ростовскую фирму ACELAB), которые и без того завалены заказами и берут за свою работу нехилые деньги.

Короче говоря, с жесткими дисками лучше не экспериментировать и самолечением не заниматься. Если уж совсем не в терпеж, то на ftp://nezumi.org.ru вы найдете материалы, рассказывающие о способах восстановления винчестеров в домашних условиях, однако, без острой необходимости к ним лучше не прибегать.

Своему винчестеру мы доверяем самое дорогое что у нас есть — свои данные. Знакомые меня постоянно спрашивают: какого производителя выбрать? Какой модели отдать предпочтение? Цена не критична. Остальные параметры (ну, быть может, за исключением шума) тоже. Главное — чтобы он не сдох без предупреждений. (Медленная смерть, сопровождающаяся посторонними звуками типа визга или шума и размножающимися BAD-секторами не в счет, тут любому понятно, что диск надо менять). Я сам задаю себе тот же вопрос, но… как говорится, «во вселенной существуют вопросы, на которые нет ответов». У жестких дисков нет надежности. Вместо этого у них гарантийный талон. И точка. На сотни тысяч часов наработки на отказ, приводимых в документации, можно не опираться, поскольку они берутся с потолка и производитель за них не отвечает (а следовало бы…).

Не бывает «хороших» и «плохих» производителей. С каждым брендом случались свои проколы. Независимо от производителя, в партии из тысячи дисков, от одного до десяти винчестеров возвращаются задолго до истечения гарантийного срока, даже если они позиционируются как серверные модели. Все решает вероятность. Кому-то жить, а кому-то умирать.

Правильнее говорить о неудачных (то есть «падучих») моделях. Например, печально известная серия FujitsuMPG, в которой использовалась микросхема CirrusLogic с измененным составом подложки, со временем образовывала паразитные утечки и практически все эти винчестеры вымерли в течении 2х лет. Или вот IBM DTLA (в просторечии называемый дятлом) с идиотской конструкцией разъема гермоблока, вызывающей периодический неконтакт и как следствие — преждевременный обрыв операции записи. Часть сектора записана, часть — нет. В результате на диске образуются виртуальные BAD-сектора (контрольная сумма не совпадает, но физических дефектов нет), которые можно (в принципе) прочитать, но нельзя восстановить (данные не дописаны). У меня было три дятла. Один сдох в течении первых 2х месяцев, но был успешно отремонтирован и заброшен на полку как враг народа. Два других успешно работают до сих пор. А сколько дисков полетело у моих знакомых — не сосчитать! Все решает слепая вероятность и, может быть, даже судьба (у одного винчестера одна карма, у другого — другая). Ну и качество блока питания, отсутствие вибраций, наконец!

Сбор статистики затруднен еще и потому, что ее просто не откуда взять. Абсолютное количество отказов само по себе еще ни о чем не говорит. Требуется учесть распространенность данной модели и условия эксплуатации. SCSI-диски надежнее IDE только потому, что они устанавливаются на серверах и работают практически никогда не выключаясь (а большинство неисправностей как раз и происходит в момент включения/выключения), им неведомо что такое перегрев или «винт в сумке».

У всех производителей встречаются неудачные модели, к тому же, как уже говорилось, источник отказов зачастую располагается вне диска. Поэтому, вопрос о надежности правильнее ставить так: «какой диск имеет наибольшие шансы на успешное восстановление?».

За этим я обратился к ведущему инженеру фирмы ACELab Сергею Яценко, через руки которого прошли тысячи дисков: «Ответ на вопрос «какие же диски лучше» в ключе, какие из них проще восстанавливать: более удачны в восстановлении (проще подобрать блок головок в случае проблем с ним, практически нет самоповреждения записи, сравнительно низкое количество экстремально сложных узлов): Seagate, Samsung, Hitachi-IBM(HGST), Fujitsu(2.5»), ну и может быть Toshiba(2.5«), хотя у последней есть очень мерзкая проблема с протеканием подшипника шпиндельного двигателя из-за того, что крышка его не приварена, как у других, а приклеена… Хотя у Maxtor'а она тоже приклеена, но из-за значительно большей толщины и габаритов проблемы с ней не возникают. Название компаний я упорядочил по мере увеличения проблематичности их дисков…

Далее идут диски, которые доставляют массу неприятностей при восстановлении, хотя может и отказывают не значительно чаще представителей первого списка (этот список так же упорядочен по нарастанию глючности):

  1. Maxtor (очень «порадовали» глючной записью и нестабильностью головок);
  2. WDC (крайне сложно подобрать исправные головки и восстановить функциональность служебной зоны в некоторых случаях, плюс у них статический транслятор, что приводит к невозможности прочитать данные пользователя в случае разрушения модулей транслятора и таблицы дефектов в служебной зоне);
  3. Quantum (хотя компании уже нет, но диски продолжают дохнуть и при этом практически невосстановимы). Самый действенный способ восстановления, но не самый продуктивный — это заморозка. В некоторых случаях отмороженный при -10 гр. Цельсия диск в течении где-то получаса начинает отдавать данные… Но этот трюк проходит не часто. Замена головок у них крайне затруднена и в случае 3х и более голового диска практически не реальна (вернее реальна, но при впечатляющих трудозатратах);

Если у кого-то стоят Quantum AS, советую скорее от них избавится. Maxtor и WDC со своими трудностями справляются с явной неохотой…

Естественно, объективную оценку дать сложно, но ситуация, по тому что мы наблюдаем, обстоит так».

Чтобы никогда не заниматься восстановлением резервных копий (а это занятие не из приятных), всегда дублируйте все критически данные, чтобы при отказе одного из носителей не хвататься за сердце и не глушить коравалол. Поверьте, парни! Время, затраченное на резервирование, не идет ни в какое сравнение с расходами на восстановление! А если так, то чего же мы ждем? Почему до сих пор не резервируемся?!

media-rec_image_9.jpg

Рисунок 10 резервные носители требуют уважения!