С
omment ça va? Putain de russes! Ils voulaient saignent me à blanc! - такой бы диалог состоялся у нашего клиента, после его визита в одну из Московских «контор» по восстановлению данных. Но к большому несчастью последних, спутница нашего героя, оказалась куда более стойкой к неожиданным ударам судьбы. И решила проверить «спасителей» на адекватность. О распространенных способах раскрутки вас на американских горках, вы сможете прочитать позже тут. А сейчас, мы вернемся к нашему иностранному кейсу.
Сегодня в нашей рубрике Восстановление данных 24 - изнутри!, прямиком из Франции, внешний HDD Western Digital My Passport WD20NMVW-11W68S0 семейства семейства Shrek
с аппаратным шифрованием (о возможности взлома, данных накопителей, можно почитать тут или в оригинальном докладе рабочей группы), что для нашего региона, как вы понимаете, было отключено - почему, читаем тут..
Сегодня в нашей рубрике Восстановление данных 24 - изнутри!, прямиком из Франции, внешний HDD Western Digital My Passport WD20NMVW-11W68S0 семейства семейства Shrek
Список накопителей семейства Shrek
| Drive model | Number of discs | Read/Write heads | Drive model | Number of discs | Read/Write heads |
|---|---|---|---|---|---|
| WD20NMVW-11W68S0 | 4 | 8 | WD20NPVT-00Z2TT0 | 4 | 8 |
| WD20NPVT-11Z2TT0 | 4 | 8 | WD20NMVW-59AV3S2 | 4 | 8 |
| WD15NMVW-11W68S0 | 4 | 8 | WD15NPVT-00Z2TT0 | 4 | 8 |
В чем была проблема, со слов клиента и какие файлы требовалось достать?
- Пролог
- При копировании данных с внешнего hdd, макбук начал зависать. После чего, мне пришлось перезагрузить его. При повторном подключении диска, finder ругнулся, что вставленный вами диск не может быть прочитан на этом компьютере.
- Файловая система
- ExFAT
- Задача
- По возможности все папки, если структура будет повреждена, то все файлы форматов: DNG, ARW, CR2.
- Примечание
- После повторного подключения был легкий свист, но потом он исчез. В прошлой лаборатории сказали, что диск запиливается и нужно как минимум, потратить 5 жестких дисков-доноров! Да ещё и зашифрован!
Предварительный осмотр с лирическим отступлением
Le chasseur entendit un sifflement étrange a l’intérieur de la maison.
П опробуем дать шанс нашим коллегам по цеху! И предположим, что специалист, который производил диагностику, был в не себе и у него начались слуховые галлюцинации. В принципе, в жизни каждого восстановителя, даже звук тормозящего велосипеда (с дисковыми тормозами) проезжающего под окном, будет ассоциироваться со скрежетом головок об поверхность пластин. Так что, кошмарные звуки и скрежет, которые описывали специалисты, не что иное, как сквозняк! Но даже при таком стечении обстоятельств, не ясно одного - почему накопитель не остался вскрытым и осмотренным!
«…Et que tu as une grande bouche,» murmura la petite fille d’une voix faible.
Н о как же ребятам удалось определить сколько нужно дисков доноров!? Думаю математика тут проста: чем больше сказать вначале, тем легче отнять в конце! Все это безобразие можно охарактеризовать одним словосочетанием: рыночные отношения! Так что, наверное, это было сделано из благих побуждений. Чтобы в конце аттракциона, обрадовать клиента и сделать ему скидку!Ну еще можно было добавить, что диск с аппаратным шифрованием, то есть зашифрованный! А с учетом предварительных изысканий, усложнило бы процесс восстановления информации.
Процесс восстановления данных с внешнего HDD WD20NMVW-11W68S0
О
смотрев накопитель, приступаем к адаптации донорской платы (2060-771823-000 REV A) электроники c sata-интерфейсом взамен платы пациента внешнего hdd (выпаиваем или вычитываем пзу и переносим на донорскую плату). Как уже было сказано ранее, накопитель имеет аппаратное шифрование на базе usb-моста JMS538S с которым благополучно может работать комплекс PC-3000 Express. А отсутствие следов вскрытия, с большей долей вероятности, говорит о том, что накопитель можно запустить и просмотреть состояние служебной зоны (без вскрытия сложно поставить диагноз и тем более говорить о донорах и их количестве и ценах).
П
осле успешного запуска накопителя, немедленно производим копирования служебных модулей накопителя. И временно запрещаем работу с дефект-листами в ОЗУ (мы еще не знаем, могут ли писать головы). Далее перезаписываем не критичный для инициализации накопителя модуль - запись есть по всем служебным головам!
Нас все еще преследует цель оправдать наших заблудившихся коллег, сославшись на их невнимательность! Запускаем «тест головок» (только чтение), возможно данный тест ввел их в заблуждение! И бинго! Тест ругается на неисправность (3, 4, 5, 6 и 7 голов). Такое поведение объясняется тем, что служебная зона не вся форматирована, а значит и проверка «только чтением» не годится. Но тогда, почему об этом не знают специалисты данной конторы? Может «новобранец» получил диск на диагностику, а менеджер решил заработать на поход в ресторан?
Нас все еще преследует цель оправдать наших заблудившихся коллег, сославшись на их невнимательность! Запускаем «тест головок» (только чтение), возможно данный тест ввел их в заблуждение! И бинго! Тест ругается на неисправность (3, 4, 5, 6 и 7 голов). Такое поведение объясняется тем, что служебная зона не вся форматирована, а значит и проверка «только чтением» не годится. Но тогда, почему об этом не знают специалисты данной конторы? Может «новобранец» получил диск на диагностику, а менеджер решил заработать на поход в ресторан?
Поиск ключей шифрования и вычитка данных.
Т еперь пришло время разобраться с шифрованием. Комплекс поддерживает работу с такими дисками и мы без труда можем получить доступ к пользовательской зоне для восстановления. Для примера пробуем прочитать любой сектор. Как можно наблюдать на скриншоте, он зашифрован. Воспользуемся функционалом комплекса и попробуем запустить поиск ключей шифрования (тот самый заводской 256-bit DEK) в служебной зоне. Спустя некоторое время ключи были обнаружены и мы без труда получили расшифрованный сектор.
Осмотр голов и констатация фактов?
З аключительный этап - тестируем головки на чтение пользовательской зоны. И приступаем к вычитке данных. Забегая вперед. Чтение по 4 голове оказалось невозможным. Видимо по этой причине накопитель перестал определяться в системе. Для большей наглядности, мы вновь решили проверить коллег и после вычитки, произвели вскрытия гермозоны накопителя для осмотра блока магнитных головок. Посмотрев на картинки вы сами все поймёте. Конкретно о результате, такой большой процент дефектов вышел из-за размеров файлов (в основном это были видео файлы). Такой результат устроил заказчика. По итогам у нас вышло:Folders - 4058 Files - 70777 ( 748,82 Гб) Problem Files - 8305 ( 321,34 Гб)
#0-я Голова - чистая, чтение возможно.
#2-я Голова - чистая, чтение возможно.
#4-я Голова - чистая, но не читает.
#6-я Голова - чистая, чтение возможно.
#1-я Голова - чистая, чтение возможно.
#3-я Голова - чистая, чтение возможно.
#5-я Голова - чистая, чтение возможно.
#7-я Голова - чистая, чтение возможно.
Pas de conclusions hâtives!
Н е доверяйте никому, даже нам! Представьте, что вы, как перевёрнутая черепаха, среди акул. Не делайте поспешных выводов, сравнивайте источники и не гоняйтесь за дешёвыми ценами. Кушаем круассаны и слушаем приятную музыку! И как нам уже не раз намекает комплекс PC3000 - главное не деньги, а внимание: