Восстановление утраченных данных на устройствах хранения

Аватар пользователя dev
Опубликовано вс, 07/05/2015 - 15:21 пользователем dev

Восстановление данных

Восстановление данных (Data Recovery, DR) — одна из малоприметных, но незаменимых отраслей компьютерного сервиса, нечто вроде информационного МЧС. Всем известно, что в наше время данные стоят значительно больше, чем накопитель, на котором они находятся. В случае аварии жесткого диска (HDD), RAID-массива или твердотельного устройства (флешки, карты памяти, SSD) пользователь прежде всего хочет получить обратно свои файлы, а сама «железка» отправляется в корзину или меняется по гарантии. Задачу реанимации данных как раз и решает DR.

Ненадежность любого накопителя и жизненную необходимость резервного копирования, людскую самонадеянность и лень не перешибить ничем.

В нынешних информационных реалиях (громадные, по сравнению со скоростью интерфейса, объемы HDD, разнородные типы данных и места их хранения, общий доступ и т.п.) организовать «правильный» бэкап не так уж просто. Сисадмины знают, что восстановить даже корпоративный сервер или базу данных после аварии удается не всегда: имеющиеся резервные копии зачастую неполны, устарели либо просто не читаются.
Необходимость привести в чувство проблемный жесткий диск или флешку и снять ценную информацию возникает регулярно. Накопители далеко не всегда доходят до полной неработоспособности — нередко сбоит лишь какой-то один участок, именно там располагаются самые нужные файлы, и скопировать их обычным образом не получается. Содержимое дисков портится программным путём — это и зловредные вирусы, и сбои ОС при поддержке прикладных программ, и ошибочные действия самого пользователя (отформатировал не тот раздел, преждевременно выдернул флешку и т.п.).

Во всех этих случаях в дело вступают специалисты , извлекают безвозвратно потерянные файлы. Результат достигается использованием разнообразного инструментария, обширной подготовкой и опытом.

Компаний, специализирующихся на восстановлении данных, не так уж много — бизнес этот сложный, требующий немалых вложений в оснащение, подбор сотрудников и раскрутку. Специалистов DR, кстати, нигде не готовят.

Вообще, все держится именно на людях. Ведь на освоение тонкостей профессии уходит не один год и не один десяток убитых накопителей (конечно, не клиентских, а специально купленных на опыты). Постоянно надо учиться работать с новыми моделями дисков и флешек — «на дату», как выражаются ремонтники, они приходят уже через полгода после появления на рынке. Архитектура становится все сложнее, конструкция — нежнее, ну а плотность записи и объем достигают каких-то фантастических показателей. Требования к чистоте, точности и скорости работ резко растут.

Нельзя забывать и про «старичков», ведь 10-15-летние диски не такое редкое явление. Для этого специально сохраняются старые стенды и «музейное» DOSовское ПО, приводы для устаревших сменных носителей — дискет, разномастных кассет с магнитной лентой, магнитооптических дисков, картриджей ZIP, JAZ .
Чтобы всерьез заниматься восстановлением данных, необходим широкий кругозор и разносторонняя практика. Уверенность приходит лет через пять, здесь преобладают зрелые специалисты. В отрасли насчитывается немало 40-50-летних «ветеранов».

Идут частные заказчики, бизнес (от малых предприятий до международных компаний), IT-компании, передающие субподряды для своих клиентов, услуги для других DR-компаний. Они передают сложные заказы, с которыми сами не могут справиться (специалист не будет «доламывать» диск клиента, если он не уверен в своей подготовке или технической базе. Он обратится к более опытному коллеге, этого требует профессиональная этика).

Не принято рассказывать о проблемах клиентов, регулярно приходится восстанавливать информацию после попыток её уничтожения различными варварскими методами. Компьютеры и ноутбуки после пожаров, протечек, побывавшие в пыльной буре, пыль проникла в диск и убила головки.

Обеспечение должного уровня информационной безопасности — основа работы. Весь бизнес базируется на доверии клиентов, а оно возникает на базе репутации. Одна утечка данных — и репутация, заработанная в течение многих лет, непоправимо испорчена.

Безопасность включает в себя как технические меры, так и подбор персонала, локальная сеть имеет двухуровневую структуру, внешний доступ к файловым серверам полностью закрыт. Через две недели после сдачи заказа клиенту все данные по нему уничтожаются. Межсетевые экраны имеют жесткие настройки, на компьютерах установлено антивирусное и антишпионское ПО, весь софт обновляется , нелицензионным программам места нет.

Безупречная репутация — главный актив. Специалисты, друг друга знают, регулярно общаются по Сети и вживую, обмениваются разработками. В подобной среде вопрос кражи или порчи данных даже не возникает.

Стоимость услуги зависит от объёма работ. Большой опыт позволяет достаточно точно спрогнозировать цифры в том или ином случае потери данных, поэтому необходим прайс-лист по основным видам неисправности. Точная цена восстановления определяется в процессе первичной бесплатной диагностики. Расчеты производятся после успешного завершения работ.

В каких случаях нет возможности восстановить данные? Зависит ли это от состояния накопителя, или чего-то еще?

К «безнадежным» случаям, относятся:

  • Тяжелые повреждения пластин жесткого диска — запилы, при которых магнитный слой вместе с данными сдирается с пластины и оседает в виде пыли на фильтре;
  • Порча модулей служебной информации, содержащих так называемые адаптивы. Все модули хранятся в служебной зоне жесткого диска и используются в процессе его инициализации при включении. Адаптивы задают настройки, уникальные для данного экземпляра, например коэффициент усиления и микросдвиг каждой головки. Без их применения пользовательские данные считать невозможно, даже если всё остальное в идеальном состоянии. Другие адаптивы, хотя бы и от диска-близнеца, здесь не помогут, а подобрать их пока нереально;
  • Утрата родной платы диска. Часть адаптивов хранится в микросхеме ПЗУ на плате, и замена платы на неродную, равно как и порча ПЗУ, может фатально сказаться на доступе к данным. Мы иногда сталкиваемся с таким после неквалифицированного вмешательства (сломанный диск не ковыряйте сами и не отдавайте «ремонтникам широкого профиля», а сразу несите DR-специалистам. );
  • Перезапись секторов, в которых была нужная информация. Вопреки бытующим легендам, восстановить данные в подобных случаях по остаточной намагниченности либо другим мистическим способом на современных жестких дисках никто в мире не сможет;

Для флеш-накопителей — серьезные повреждения микросхем памяти (разлом корпуса)

Восстановление данных на выезде технически возможно в простых случаях. Однако время квалифицированного специалиста стоит дорого, и конечная цена такой услуги будет довольно высока.

Возможно ли удаленное восстановление данных через Интернет или другие каналы связи? Ведь многим людям боязно отправлять свой накопитель по почте , а в своем городе подобного сервиса нет.

Удалённое восстановление данных с физически неисправного накопителя по понятным причинам невозможно. Единственное исключение — совместная работа со специалистами других организаций, имеющих сходное с нашим оборудование и соответствующие навыки.

Восстановление данных с исправных накопителей возможно, но не целесообразно, поскольку в большинстве случаев пользователь может все сделать самостоятельно, используя простые в освоении программные средства, на нашем жаргоне — «рекаверилки». Среди них есть и бесплатные, но работающие на уровне лучших коммерческих продуктов (например, R.Saver). Возвращаясь к теме удалённого восстановления данных, для конечных заказчиков это целесообразно только при работе с RAID-массивами, которые состоят из исправных дисков, а «развалились» по причине сбоя контроллера или неумелых действий системного администратора.

Сейчас широко используются RAID-массивы, эта функция встроена почти в каждую материнскую плату.

Как восстанавливаются данные с массивов?

Восстановление данных с RAID-массивов выполняется так:

сначала снимаются посекторные копии с неисправных дисков, затем массив собирается программными методами.
В простых случаях, если у вас есть нужное количество образов на исправных дисках (для RAID 5, например, это n-1, где n — общее количество дисков в массиве), массив можно собрать самостоятельно. По этой теме в Сети есть немало полезных материалов.

Есть массивы, которые простыми методами не собираются. Как правило, это связано с нестандартной конфигурацией и расположением служебных секторов, здесь уже требуется опытный специалист и индивидуальный подход.

О надежности твердотельных накопителей SSD? Можно ли их использовать для ответственных задач? И почему так дорого стоит восстановление?

Технология ещё достаточно молодая, производители только ищут и обкатывают оптимальные технические решения. Вероятно, в перспективе SSD превзойдут по надёжности HDD, но сейчас им до этого ещё далеко.
Восстановление данных с неисправных SSD действительно стоит дорого, 20000 рублей и выше, и, к сожалению, снизить цену пока возможности нет. Данные с SSD восстанавливаются так же, как и с флешек, принципы одинаковые, просто объём работы намного больше. Там надо выпаять все микросхемы памяти, считать их содержимое, и, самое сложное, собрать из считанного образ диска.

Проблема здесь в том, что SSD, как и флеш-накопители, использует механизм выравнивания износа, который постоянно перемещает логические адреса памяти по физическим ячейкам. И если просто соединить считанные с микросхем данные, мы получим бессмысленную мешанину. Поэтому требуется восстановить таблицу трансляции и собрать образ файловой системы в соответствии с ней. Работа кропотливая, во многом пока ручная.
С SSD стоит быть поосторожнее.

В современных условиях модельные ряды жестких дисков меняются быстрее, чем степень их надёжности. В дисках всех производителей используется сходный набор технологий, так что и надежность у них примерно одинакова. Время от времени тот или иной производитель выпускает дефектную партию или модель, но к моменту, когда эти диски начинают массово попадать в ремонт, они уже исчезают из продажи.

Модели корпоративного класса, которые позиционируются производителями как более надёжные, выходят из строя с той же вероятностью. Корпоративные диски рассчитаны на круглосуточную работу под высокой нагрузкой, они лучше выдерживают перегрев, вибрации от соседних дисков в корзине и прочие невзгоды эксплуатации , в обычных условиях такая выносливость от накопителей не требуется. А от ударов или плохого питания дорогие диски мрут точно так же, как и дешевые.

Разумно будет взять модель, которая выпускается как минимум полгода (чтобы не нарваться на «детские болезни») и чьи характеристики в точности соответствуют требованиям рабочего места — не меньше, о модных «зеленых» сериях: низкий нагрев и шум в них достигаются за счет уменьшенной скорости вращения (5400-5900 об./мин) и замедленного позиционирования головок. Поэтому для размещения ОС и вообще для произвольного доступа они не очень подходят, зато отлично служат как хранилище мультимедийных данных.

Вопрос не в том, сломается диск или нет, а в том, когда это произойдет. Продлить жизнь диску помогает правильная эксплуатация. Уделите внимание питанию и охлаждению, защитите диск от ударов и вибрации, контролируйте его состояние — и вероятность аварии заметно уменьшится.

Почему флешки стали такими ненадежными? Как правило, при активной эксплуатации они больше года не живут — ломаются, либо начинают «глючить», портить и терять данные.

Основная причина — давление рынка, требующего от производителей «больше, быстрее и дешевле». Отсюда и следствия:

удешевление элементной базы и конструкции всеми доступными способами. Экономят даже на припое, а дискретные стабилизаторы и фильтры уже давно не ставят;
максимально сжатые сроки разработки и тестирования новых моделей. Зачастую на рынок попадают непроверенные сырые решения, ведущие к скорым отказам;
флеш-память имеет ограниченный ресурс по числу перезаписей. И современное поколение микросхем, применяемое в недорогих моделях, имеет значительно меньшее значение этого показателя, чем предыдущие поколения. При интенсивном обновлении данных на флешке (типичный пример — бухгалтерские базы данных) проблемы начинаются спустя считанные месяцы.

Грамотный пользователь в простых случаях вполне способен восстановить данные самостоятельно.

Какую технологию вы порекомендуете для длительного и максимально надежного хранения цифровых данных?

Например, чтобы человек мог посмотреть свои детские фотографии через 30-40 лет.

Магнитная лента или жесткий диск. Перезаписываемые оптические диски (CD-R/RW и DVD±R/RW), вопреки расхожему мнению, довольно быстро становятся нечитаемыми. Рекламный срок хранения в 30 лет не подтверждается (главная причина здесь — исходно низкое качество болванок. Выбирать их по брендам сейчас сложно ввиду разброса партий и частых подделок. Также играет роль износ пишущих приводов и несоблюдение условий хранения).

Магнитная лента наиболее надёжна — она проверена полувековым использованием. Но ей требуются приводы (стримеры), которые не слишком доступны. Так что жесткие диски удобнее. У некоторых моделей со временем могут проявляться «врождённые болезни», даже если накопитель просто лежит на полке. Поэтому, если вы храните данные на дисках, желательно иметь хотя бы пару копий и раз в год-два их обновлять, просто перезаписывая заново.
Комплекс PC-3000 стал практичным и действительно эффективным инструментом для восстановления данных и ремонта HDD. Сегодня им пользуются почти все отечественные и многие зарубежные DR-фирмы. Комплекс постоянно развивается, чтобы расширить его возможности, охватить новые семейства накопителей и, что немаловажно, сократить время восстановления. Обновления программной части выпускаются 3-4 раза в год, а полностью новая версия появляется раз в 2-3 года.

Аппаратно PC-3000 представляет собой плату расширения для шины PCI, на которой имеются два проприетарных IDE-порта, а также контроллер питания для управления подключенными дисками. Порты позволяют вычитывать данные на скорости до 100 Мбайт/с, что близко к пропускной способности шины. Для нынешних гигантских объемов HDD (до 3 Тбайт, а в скором времени 4 Тбайт) этого уже недостаточно, и ACE разработала плату PC-3000 для шины PCI Express.

Новая плата оснащена 4 портами SATA и 2 портами IDE и позволяет одновременно вычитывать данные с четырех накопителей на скорости до 120 Мбайт/с каждый. Путем замены микросхем SATA-мостов на более производительные скорость может быть поднята до 170 Мбайт/с, что дает достаточный запас на будущее. Серийный выпуск платы PCI Express начнется в конце года после бета-тестирования на реальных задачах. При этом всё ПО будет идентично для обеих версий комплекса.

Для полноценного Data Recovery одного PC-3000 недостаточно. Ведь комплекс работает на низком уровне (модули «служебки» и сектора пользовательской зоны диска), а клиенту в конечном счете нужны его файлы. При восстановлении данных с поврежденных накопителей применяется программный продукт ACE Data Extractor. Ему уже больше десяти лет, и он вобрал в себя немало наработок, позволяющих справляться с тяжелыми случаями.

DE может (разумеется, в тесной связке с PC-3000) вычитывать данные в технологическом режиме. При этом у диска могут быть отключены неисправные головки, модифицирована микропрограмма для обхода блокирующих проверок и т.п. В обычном режиме такой диск в готовность не выходит и чаще всего просто «стучит».

Подобное тонкое вмешательство зачастую позволяет скопировать нужные файлы, не прибегая к перестановке головок — процедуре дорогой, трудоемкой и недостаточно предсказуемой. Ведь поиск донора может затянуться, а головки не всегда «приживаются». В то же время, благодаря высокой плотности записи, требуемый файл во многих случаях умещается на одной дорожке и может быть успешно вычитан, если соответствующая головка жива.

Недавно появилось новое расширение DE — программный комплекс Data Extractor RAID Edition. Как следует из названия, он ориентирован на восстановление данных из поврежденных дисковых массивов. Это стало актуальной проблемой в связи с широким распространением RAID-контроллеров — они встраиваются в большинство материнских плат. При этом надёжность массовых контроллеров довольно низка: при малейшем сбое диска-участника или даже намеке на него (увеличенное время отклика и т.п.) массив разрушается и становится недоступным для ОС. К тому же и пользователи нередко «добивают» массив своим неквалифицированным вмешательством.

Поэтому в практике всё чаще встаёт задача корректной сборки RAID-массива и вычитывания данных из него. Существующее ПО ориентировано на случаи чисто логических разрушений структур данных и бесполезно при наличии физических повреждений дисков-участников. В таких случаях приходится действовать в два этапа: сначала скопировать все, что можно, с проблемных дисков, а затем пытаться собрать массив из копий. Очевидна трудоемкость и неэффективность подобной работы.

Умеет восстанавливать данные из массивов в случаях, когда один или несколько его участников имеют не только логические, но и физические проблемы. При этом не требуется предварительного создания полной копии: в созданном виртуальном RAID вычитываются только нужные файлы. Это радикально сокращает время восстановления и придает ему максимальную гибкость.

Кроме того, виртуальный RAID (напомним, с участием неисправных накопителей) можно смонтировать в качестве физического диска операционной системы и использовать ПО сторонних производителей, «заточенное» под специфические файловые системы и форматы данных. Это бывает крайне полезно при восстановлении данных с видеорегистраторов, сетевых хранилищ и прочих нестандартных устройств, которые встречаются всё чаще.
Ещё одно преимущество комплекса — автоопределение параметров RAID-массива, основанное на анализе данных файловых систем и данных пользователя. Если неизвестен порядок подключения дисков в массиве (такое, как ни странно, часто встречается), то это дает многократную экономию времени и усилий. Представьте себе 12-18 дисков, составлявших когда-то RAID 50, и вы оцените перспективы.

Надо заметить, что стоит Data Extractor RAID Edition порядочно — от 75000 рублей. Тем не менее он может окупиться всего за два-три заказа: расценки московских DR-компаний на восстановление сложных массивов достигают 30-40 тысяч (фраза о том, что самое дорогое — это данные, обретает новый смысл).

В ACE Lab много занимаются твердотельными накопителями — SSD, обычными флешками и картами памяти. Они нередко выходят из строя, и чаще всего это связано с контроллером и другими радиоэлементами платы. Причины могут быть как внешние (бросок напряжения, перегрев, механическое воздействие), так и внутренние (повреждение служебных областей флеш-памяти). Основной метод восстановления в этом случае — вычитывание микросхем памяти на физическом уровне и сборка файловой системы.

Вариантов сборки насчитывается уже много тысяч, и не потеряться в них помогает «Система решений» — онлайновая база данных, которую ACE ведет по всем известным типам контроллеров и чипов памяти. В идеале, комплекс PC-3000 Flash сам связывается с базой, получает оттуда формализованный алгоритм для конкретного случая и применяет его к считанному дампу. Через несколько минут собранная файловая система готова к копированию данных.

Реальность, конечно, не так безоблачна. Готовых решений в базе пока маловато (около 1300), и не все из них приводят к успеху. Нередко приходится экспериментировать. Результаты по желанию отправляются в «Систему решений». В ней аккумулируется опыт и статистика сотен специалистов, и со временем автоматизированные режимы становятся все более продуктивными.

Из других проблем упомянем низкое качество современных флеш-чипов – при значительном износе ячеек данные с них считываются нестабильно. В новой версии PC-3000 Flash SSD Edition реализовано многократное вычитывание сомнительных мест, а также корректировка данных по ECC-кодам (незаменимо для бухгалтерских баз). В SSD все чаще стало встречаться шифрование данных, а также нестандартные файловые системы (ext4, HFS и др.).

Разработчики активно продвигаются в этом направлении, хотя их тормозит нехватка подопытных «кроликов».

Основа работы с жесткими дисками в технологическом режиме — доскональное знание их микропрограмм. А это совсем не приветствуют производители HDD, стремящиеся скрыть свои решения от конкурентов. Все, связанное с reverse engineering, балансирует на грани дозволенного. Этим, в частности, объясняется закрытость основных методических ресурсов по PC-3000 (документации, веб-форума, почтовой конференции). Ведь производители тоже ими интересуются, хотя бы для того, чтобы ликвидировать «дырки» в новых моделях.

Многим памятен дефект прошивки дисков Seagate 7200.11, известный как «муха CC». После того как его решение разошлось по Интернету (суть сводилась к пересчету транслятора через терминал), последующие семейства уже были модифицированы с тем, чтобы затруднить подобное вмешательство.

«Спасателям» из ACE Lab, а их меньше 50 человек, много лет удается выдерживать темп, набранный ведущими производителями HDD и SSD. Учитывая, что все производители «там», а ACE Lab — здесь, порой приходится непросто, но ничего, справляются. Возможно, историки будущего напишут, что модернизация начиналась с малого…