Русский
Русский
English
Статистика
Реклама

Хождение по рукам или грустные реалии рынка услуг восстановления данных

Для обычного пользователя отказ жесткого диска представляет из себя стрессовую ситуацию, так как в большинстве своем рядовой потребитель не задумывается о том, что все то, что для него представляет ценность, может быть легко утрачено от одного неловкого движения. Человек, который не является продвинутым пользователем или техническим специалистом, впервые столкнувшись с отказом диска, как правило, задумывается о том, как ему привести в чувство свой компьютер, и лишь когда узнает о неисправности накопителя, начинает думать о том, как бы это скопировать с него данные.

Разумеется, первая мысль, что в любом городе полно различных сервисных центров, которые наперебой будут предлагать услугу ремонта накопителя с сохранением данных, и что стоит лишь сделать один звонок или заполнить форму заказа на сайте, как тут же прямо домой явится специалист, который за несколько минут решит все проблемы.

Но обычно через небольшой промежуток времени приходит понимание, что из неисправного накопителя на дому никто данные извлекать не спешит, а те, кто соглашается, по приезду настаивают на том, что диск нужно везти в мастерскую на диагностику. Или выдают короткое резюме в духе сгорел и как-то пояснить суть такого диагноза затрудняются, но при этом настаивают на том, что диск нужно везти в мастерскую на расширенную диагностику.

Тем, кому повезло столкнуться с более или менее грамотным сервисным центром, обычно там дают говорят, что необходима услуга восстановления данных, и рекомендуют немногочисленные профильные компании. Тем, кому повезло меньше, приходится проходить тернистый путь, во время которого с накопителем происходят различные изменения, не лучшим образом сказывающиеся на его состоянии.

В этом повествовании будет рассказана история жесткого диска из ноутбука Hitachi HTS547575A9E384, который прошел достаточно длинный путь, прежде чем вернуть данные своему владельцу.


Рис. 1 Hitachi HTS547575A9E384 обычно выглядит так.


Первое знакомство с этим диском у нас состоялось в начале октября 2020 года. Некий молодой человек посетил наш офис. Клиент был не особо разговорчив и лишь сообщил, что веник застучал, нужна дата. Какой-либо информации о том, при каких обстоятельствах это произошло, клиент сообщить не смог. Также нам был дан запрет на вскрытие диска.

Если мы слышим от клиента, что диск был ударен или издает стучащие звуки, то, как правило, это означает, что мы должны снять крышку и оценить характер проблем внутри гермоблока. Но так как в этом случае мы этого сделать не можем, то вынуждены отойти от стандартного регламента диагностики, предупредив клиента о дополнительных рисках.

Что ж, для минимизации рисков усугубления проблемы мы сначала проверим исправность платы контроллера и удостоверившись, что с нею все хорошо, подключим к порту комплекса PC3000 Express и выполним кратковременный старт накопителя. Очень важно оценить звуки, которые он издает с первой секунды. В данном случае слышим, как начинается раскрутка вала, слышится характерный воздушный шум внутри гермоблока, попытки калибровки, затем в какой-то момент появляются нетипичные звуки (легкое постукивание), не похожие на стук, который издавал бы данный жесткий диск, если бы ему не удалось обнаружить сервометки, и происходило бы цикличное биение об ограничитель.

Раз звук не представляет угрозы, подождем около 20-30 секунд (в некоторых случаях возможно и больше времени). Через полминуты накопитель вышел в готовность, о чем сообщил в регистрах DRD и DSC. Попытаемся прочитать паспорт.


Рис. 2 Ошибка чтения паспорта.

Диск на эту попытку подачи команды запроса паспорт ответил отказом, взведя флаг ошибки ERR и в регистре ошибок указав тип ABR. Это, как правило, свидетельствует о том, что микропрограмма не была загружена или ее загрузка была прервана на каком-то этапе.

В таком случае принудительно выберем нужное семейство в утилите и посмотрим, сможет ли накопитель хоть что-то прочесть из служебной зоны после подачи ключа технологического режима.


Рис. 3 Запуск специализированной утилиты комплекса.

Теперь снова запросим паспорт, так как во многих случаях будет играть роль, что именно там будет содержаться в ответных данных. По этому ответу нередко можно понять стадию на которой была остановлена загрузка микропрограммы без углубленного анализа содержимого ОЗУ.


Рис. 4 Паспорт накопителя Hitachi HTS547575A9E384

Накопитель выдал полноценный паспорт устройства. Это говорит о том, что загрузка микропрограммы была прервана на поздних стадиях, и скорее всего загрузка небольшого количества модулей в ОЗУ даст полный доступ к пользовательской зоне.

Проверим в ОЗУ, на местах ли модули PSHT (p-list) и RDMT (g-list), которые ответственны за трансляцию.


Рис. 5 Адрес ОЗУ, куда должен быть загружен PSHT при нормальной инициализации.

Проверка показывает, что эти модули не были загружены в ОЗУ. Необходимо выяснить читабельность модулей микропрограммы.


Рис. 6 Проверка читабельности модулей микропрограммы.

При попытке чтения модулей не наблюдается ошибок чтения, кроме тестовых модулей WRT (0-3).

Произведем загрузку модулей RDMT и PSHT в ОЗУ накопителя и установим флаг загрузки. Выполним попытки чтения небольших участков (около 1 000 000 секторов) в разных местах логического диапазона диска. Этот быстрый тест на данном семействе поможет оценить качество чтения всех головок в зонах разной плотности, а читабельность в конце логического диапазона подтвердит корректность трансляции.

По результатам теста подтвердилось, что трансляция получается корректная, все 4 головки читать могут.

Мы видим устойчивое чтение микропрограммы, но легкое постукивание при старте накопителя и затяжной выход в готовность говорят, что проблема все же имеется.

Нам известна идеология работы микропрограммы: при старте накопителя в процессе загрузки она тестирует способность записи каждой из головок на модулях WRT(0-3).

Так как с чтением служебной и пользовательской зон проблем замечено не было, необходимо проверить, работает ли запись. Попытка записи в модули WRT приводит к тем же постукиваниям, которые мы слышали при старте накопителя. Это говорит, что у данного накопителя БМГ не совсем исправен, но скорее всего это не помешает извлечению данных, и можно будет обойтись без использования донорского БМГ.

На этом диагностику, длительность которой составляет менее 10 минут, можно считать завершенной и сообщать клиенту диагноз, порядок производства работ по извлечению данных, сроки и стоимость.

Клиент, выслушав эту информацию, буркнул нечто невнятное себе под нос, схватил накопитель и стремительно покинул офис.

По прошествии недели с небольшим совершенно другой человек приносит этот же накопитель и также затрудняется что-либо сообщить о том, при каких условиях произошел отказ. Проводим повторную диагностику и удостоверяемся, что накопитель в неизменном состоянии, информируем о роде проблем, стоимости услуги и сроке выполнения работ. Но уже в этот раз клиент подробно расспрашивает на предмет, а если не получится до конца прочитать оригинальным головками, то сколько будет стоить вариант с пересадкой БМГ. Получив все ответы, прощается и удаляется.

Проходит почти месяц, поступает звонок в офис, в котором потенциальный клиент интересуется: А правда, что замена голов может стоить 500$?. Поясняем, что случаи бывает очень и очень разными, что стоимость этих работ зависит от сложности операции по пересадки, сложности работы с микропрограммой накопителя, нюансов в вычитывании, а также от стоимости донора или нескольких доноров, которые придется использовать. Так как клиент затрудняется дать точное название модели накопителя, то сообщаем, от чего начинается цена работ, связанных с пересадкой, и предлагаем бесплатные диагностические процедуры в течение 15-20 минут, после которых мы сможем прояснить ситуацию. Озвученное время, которого достаточно для понимания характера проблем накопителя почему-то удивило клиента, что он даже переспросил, действительно ли он правильно услышал 15-20 минут.

Через некоторое время этот клиент посетил наш офис. На стойку в приемной зоне был выложен накопитель в таком виде.


Рис. 7 Внешний вид Hitachi HTS547575A9E384 после варварского вмешательства.

По серийному номеру на наклейке и его дубле на торце гермоблока узнаем старого знакомого, который уже дважды бывал у нас. Правда с той поры внешне выглядеть он стал очень и очень плохо.

Задаем клиенту вопрос: С какой целью была снята наклейка с крышки и частично отклеена наклейка у технологического отверстия?.


Рис. 8 Нарушена наклейка закрывающая технологическое отверстие.

Получаем ответ, что это сделали в одном из сервисов, где последнюю неделю диагностировали его жесткий диск.

Информируем клиента о том, что сейчас тогда снимем крышку, произведем осмотр данного накопителя и сообщим результаты.

После снятия крышки обнаруживаем отсутствие рециркуляционного фильтра, небольшой жировой след на прижимной шайбе и на краю верхней поверхности, а также наличие субстанций, похожих на слюну и перхоть, оставленных, вероятно, человеком, вскрывавшим этот накопитель.

В таком случае необходимо снимать БМГ и осматривать его состояние. В процессе снятия обнаруживаем, что момент затяжки винтов, которыми крепится контактная колодка, очень похож на заводской. Визуальных деформаций подвесок и оборванных слайдеров нет. Следов металлической пыли при осмотре слайдеров под микроскопом также не обнаруживается.

Есть основания полагать, что накопитель был лишь варварски открыт, но БМГ в нем, вероятно, никто не менял. И отсутствие металлической пыли на слайдерах может давать надежду на то, что еще возможно чтение родным БМГ.

Собираем накопитель обратно. Информируем клиента о том, что необходимо проводить процедуры по удалению загрязнений, и описываем, каких именно. Также говорим о том, что есть некоторая вероятность получения данных более бюджетным способом, так как полная негодность БМГ при осмотре не подтверждена. Информируем о стоимости услуги, если все же потребуется пересадка БМГ от донора. Озвученная стоимость услуг в обоих случаях оказалась меньше той, о которой вопрошал клиент по телефону. После недолгих раздумий клиент оставил заказ и сообщил техническое задание.

Далее последовала рутинная процедура по удалению пыли и перхоти посредством продувки, растворение жира и засохшей слюны посредством химических составов с последующим их удалением с поверхности пластины, установка рециркуляционного фильтра от донора.

После очистки и сбора выяснилось, что состояние элементов накопителя осталось тем же, каком и было во время первых двух диагностик.

Дальнейший сценарий подразумевает создание задачи с посекторным копированием в Data Extractor. Откроем содержимое LBA 0


Рис. 9 Таблица разделов.

В таблице разделов описано 3 NTFS раздела.

Первый со статусом активного начинается с 0x00000800 (2048) сектора, размером 0x00032000 (204 800) секторов. Характерный раздел для нужд загрузчика ОС Windows Vista или Windows 7.

Второй раздел начинается с 0x00032800 (206 848) сектора, размером 0x06176000 (102 195 200) секторов. Размер совпадает с размером системного диска, который указал клиент при озвучивании технического задания.

Третий раздел начинается с 0x061A8800 (102 402 048) размером 0x5139D000 (1 362 743 296) секторов, и, согласно техническому заданию, совпадает с размером второго раздела (диска D), где расположены самые важные для клиента данные.
Строим карту минизон, начиная со 102 402 048 сектора и до конца логического пространства.


Рис. 10 Таблица минизон.

В сценарии задачи ставим прыжок больше размера любой минизоны и таймаут чтения 500 миллисекунд, а также подачу техноключа после программного сброса, который будет выполняться после задержки чтения. После двух проходов чтения, пусть и с некоторыми нестабильностями, содержимое главного раздела получено в полном объеме.

После выполнения основной части технического задания строим карту минизон для раздела с операционной системой и производим его чтение с аналогичными параметрами. После нескольких проходов с разными параметрами чтения получаем следующую статистическую картину:


Рис. 11 Статистика чтения диска.

Проведя анализ MFT на всех разделах удостоверились в корректности записей и отсутствии повреждений этих структур. Сопоставление расположения файлов с картой дефектов выявило, что повреждения распространяются на $Logfile, pagefile и некоторые индексные записи, то есть если говорить о пользовательских данных, получен практически 100% результат.

На приемке результата клиент согласился с тем, что данные, необходимые ему, получены в полном объеме, и рассказал небольшую историю о том, как относил диск в 4 разные фирмы, которые находились в его районе, и что после нескольких дней диагностики везде озвучивались диагнозы неисправности головок и говорилось о необходимости искать такой же диск, но в последней фирме в течение недели не спешили вносить ясность с диагнозом. Когда терпение клиента иссякло он посетил ту компанию с намерением узнать диагноз, но там его информировали, что все специалисты очень заняты и сейчас ему ничего не могут сказать, звоните завтра. Ответ пришелся клиенту не по нраву, и он сообщил им о намерении забрать свой жесткий диск, но и здесь его подстерегал ответ, что накопитель нужно собрать, а мастера все заняты и опять же предложение звонить завтра. В этот же день клиент воспользовался поиском в google, нашел много нелестных отзывов о компаниях с подобными методами работы и принял решение повторно идти и добиваться возврата жесткого диска. После тяжелого разговора сначала с администратором, а затем с неким лицом, представившимся директором, и угрозе вызвать милицию дело сдвинулось с мертвой точки. Клиенту пообещали, что в течение часа освободится мастер и расскажет все про состояние диска. Через почти 2 часа в офис пришел некий молодой человек с пакетиком, выложил перед клиентом вскрытый диск и сообщил, что тут поможет только замена головок и что по стоимости это эквивалентно 500 долларам США, а также что только их специалисты в городе готовы справиться с этой проблемой. Клиент же после чтения отзывов и неудовлетворенный таких подходом оплатил этой компании диагностику, которая была бесплатной лишь в случае согласия проведения работ, и забрал накопитель. Также клиент еще предпринял попытку вернуться в компанию, в которую обращался в самый первый раз, но там увидев варварски вскрытый диск отказались принимать заказ, мол уже поздно.

Ну и после нескольких дней чтения различных форумов клиент уяснил, что компаний, профессионально оказывающих услуги восстановления информации, в городе не так уж и много, как может показаться, и что рынок пестрит предложениями недобросовестных исполнителей, привлекающих низкой ценой.

Подводя итоги, можно заметить, что рядовая задача отняла у клиента почти полтора месяца вместо 2-3 рабочих дней, а также пришлось оплачивать липовую диагностику, из-за варварских действий подвергаться риску безвозвратной потери данных, заплатить несколько больше за услугу, так как потребовалось устранение последствий вскрытия.

Хочется пожелать гражданам более ответственного отношения к своим данным. Не забывайте о необходимости делать резервные копии на разные устройства. А если уж нагрянет беда, то ответственно подходите к выбору исполнителей, чтобы не стать жертвой обмана либо неквалифицированного вмешательства.

Предыдущая публикация: HDD для Mac или заурядный случай для лаборатории восстановления данных
Источник: habr.com
К списку статей
Опубликовано: 14.11.2020 18:04:39
0

Сейчас читают

Комментариев (0)
Имя
Электронная почта

Системное администрирование

Восстановление данных

Хранение данных

Компьютерное железо

Накопители

Восстановление

Данных

Информации

Жесткий диск

Гермоблок

Головки

Пластины

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru