Không thể sử dụng một công cụ phần mềm để bù đắp cho một vấn đề phần cứng: nếu một ổ đĩa bị hư, hãy thử sao chép dữ liệu qua một ổ đĩa cứng khác rồi tìm hiểu sửa chữa ổ cứng này sau..
Trang 1Nhóm 17
Nguyễn Thanh Tâm 12520909
Đặng Thái Hoà 12520596
Võ Đức Hoà 12520147
Hồ Quang Chiến 12520547
Tài liệu: eForensics Magazine 02 2015
Đề tài 5: Khôi phục dữ liệu: Thực tiễn tốt nhất cho nhà cung cấp dịch vụ.
Bởi Jonathan Yaeger
Lời giới thiệu:
Khi trung tâm dịch vụ máy tính bị hư hại ổ đĩa cứng Khôi phục dữ liệu có thể là một mang lại lợi nhuận, nhưng nó phải được thực hiện một cách khôn ngoan và cẩn thận
Việc thiếu thông tin thực tế có thể giảm hoặc thậm chí hủy hoại cơ hội khôi phục dữ liệu thành công và các nhà cung cấp có thể phải chịu trách nhiệm pháp lý
Con đường học tập
Để đạt được chuyên môn trong phục hồi dữ liệu không phải là một quá trình nhanh chóng và cũng không
dễ dàng
Ổ đĩa có rất nhiều loại và mẫu mã khác nhau, cùng một hãng sản xuất hoặc khác hãng
Các mô hình từ một sản xuất có thể khác nhau trong quá trình xây dựng và hoạt động
Một số lượng lớn các thông tin kỹ thuật và chi tiết phải được thu thập và quản lý để trở nên chuyên nghiệp hơn
Các nhà sản xuất ổ đĩa cứng tiết lộ rất ít về chi tiết kỹ thuật sản phẩm của họ, vì họ muốn bảo vệ tài sản trí tuệ của mình và bí mật thương mại
Mặc dù phần lớn những gì kỹ thuật viên phục hồi dữ liệu tự tìm hiểu và sử dụng, đi kèm với thử và sai phạm, nhưng quan trọng là không để khách hàng phải phàn nàn
Các nguyên tắc chung
Nhận ra những hạn chế của bản thân, đặt lợi ích của khách hàng là ưu tiên hàng đầu: nếu không có
đủ kiến thức, thiết bị, kinh nghiệm và sự tự tin để giải quyết công việc thì đơn giản là dừng lại, sẽ tốt hơn là làm mất dữ liệu của khách hàng
Chuẩn đoán đúng là điều rất quan trọng: bạn không thể sửa chữa gì trừ khi biết chắc chắn nó bị gì
Nếu bạn không có những công cụ phục hồi dữ liệu thích hợp, không nên cố gắn sửa chữa
Trang 2Hình 1 Công cụ phục hồi dữ liệu.
Đừng làm điều gì đó mà không thể hoàn tác lại sau này
Tài liệu và nhãn tên là tất cả: ghi lại tất cả các bước mà bạn đã sử dụng để phục hồi dữ liệu, nó sẽ giúp cho bạn hoặc kỹ thuật viên sau đó có thể giải quyết với các vấn đề tương tự
Đặt một nhãn tên lên từng thành phần thiết bị của khách hàng, để đảm bảo rằng không bị lẫn lộn với người khác và chắc chắn rằng khôi phục đúng với hiện trạng ban đầu
Hình 2 Các nhãn tên trên các thành phần thiết bị
Thực hiện trên các ổ đĩa thử nghiệm trước tiên, đừng để nó là ổ đĩa của khách hàng vì các thử nghiệm có thể làm hỏng ổ đĩa
Không thể sử dụng một công cụ phần mềm để bù đắp cho một vấn đề phần cứng: nếu một ổ đĩa bị
hư, hãy thử sao chép dữ liệu qua một ổ đĩa cứng khác rồi tìm hiểu sửa chữa ổ cứng này sau
Dành thời gian để nghiên cứu, xem xét ổ đĩa trước khi làm điều gì, một chuẩn đoán sai không chỉ lãng phí thời gian mà còn có thể làm mất dữ liệu
Giữ bí mật tất cả dữ liệu của khách hàng: đó có thể là những dữ liệu có giá trị
Không để để xảy ra rủi ro bảo mật hay bị mất sau khi khôi phục hoàn thành, loại bỏ các phương tiện đã dùng trong quá trình và đảm bảo đã loại bỏ
Trung thực và đạo đức: đây là nguyên tắc vàng chắc chắn phải được thực hiện
Trang 3Đánh giá ban đầu
Bước đầu tiên trong quá trình phục hồi là có được thông tin lịch sử sử dụng của khách hàng, những điều này là rất quan trọng
Ví dụ: những gì đã xảy ra khi ổ đĩa bị lỗi? nó có bị rơi không? Có sự cố cúp điện hay không? Những biểu hiện đáng ngờ mà bạn thấy được: nắp cong tại một góc, dấu hiệu thiệt hại về vật lí gợi ý về việc làm rơi, đập phá
Phải dành thời gian để nghiên cứu, xem xét ổ đĩa trước khi làm điều gì, một chuẩn đoán sai không chỉ lãng phí thời gian mà còn có thể làm mất dữ liệu
Kiểm tra bo mạch máy tính
Kiểm tra bên ngoài bo mạch máy tính, đặc biệt là với đĩa cứng máy tính xách tay, xem có bất kỳ dấu hiệu nào của nhiễm bẩn chất lỏng hay ăn mòn không? Các ổ đĩa có mùi của cà phê hay rượu? có bị dính gì lạ không?
Nếu có thì khả năng bảng mạch đã bị nhiễm bẩn và hỏng Tất cả các nhiễm bẩn phải được loại bỏ trước khi quá trình hồi phục bắt đầu
Nếu có chỗ bị cháy trên bảng mạch:
Hình 3 Một bảng mạch bị cháy Motor IC Hầu hết các bo mạch ổ cứng chứa thông tin duy nhất về các ổ đĩa cụ thể, như là một phần của Bộ nhớ chỉ đọc hoặc nhúng vào các bộ xử lý chính, thường được gọi là thông tin đáp ứng hay phần mềm nhớ
Trang 4Hình 4 Chip Bộ nhớ chỉ đọc trên một bảng mạch máy tính xách tay.
Nếu dữ liệu không thể phục hồi hoàn toàn, giải pháp tốt nhất là trở về với ổ đĩa hỏng và bảng mạch gốc kèm theo ban đầu
Nguyên tắc: Không thể chỉ thay thế một bảng mạch hư mà không chuyển các dữ liệu sang bảng mạch thay
thế, quy trình này đòi hỏi cần có thiết bị đặc biệt
Đôi khi các trung tâm dịch vụ sẽ đổi một bảng mạch khác hoặc loại bỏ các bảng mạch hỏng mà không nói với khách hàng: có thể ảnh hưởng đến các nỗ lực phục hồi sau này, hoặc không thể phục hồi
Nếu dữ liệu không thể phục hồi hoàn toàn, giải pháp tốt nhất là trở về với ổ đĩa hỏng và bảng mạch gốc kèm theo ban đầu
Trước khi cấp nguồn cho ổ đĩa
Hình 5: Đoạn đầu đọc bị hỏng trong đường nối
Trang 5Nguyên tắc
Không được cung cấp nguồn cho một ổ đĩa nếu bạn biết hoặc nghi ngờ nó đã bị rơi hoặc sốc nặng Ổ đĩa
bị rớt trong một chất lỏng nào đó hoặc nếu bị ô nhiễm cũng không vận hành Đọc để tìm hiểu tại sao:
Ổ đĩa cứng gồm tập nhiều linh kiện công nghệ cao, thiết bị điện tử, các phần mềm chương trình nội bộ
(còn gọi phần mềm nhớ), nhưng chúng cũng là những cổ máy tinh vi
Trong thời gian hoạt động, đầu nhỏ Đọc - Ghi bay trên đĩa cứng dữ liệu Có một khoảng cách rất nhỏ giữa đầu và các đĩa cứng Nếu một ổ đĩa gặp trục trặc vật lý, phần đầu có thể va chạm vào đĩa cứng, gây ra thiệt hại cho cả phần đầu và phần cứng, đôi khi thiệt hại có thể xáy ra với đầu đọc mỏng manh nếu ổ đĩa bị rớt khi tắt nguồn
Hình 5 cho thấy một số tập hợp các đầu bị hư được đặt trong đoạn nối bãi đậu
Hình 6: Một cái đầu đọc bị trầy xước và nhiễm bẩn (phóng to)
Hình 6 cho ta thấy cận cảnh một đầu đọc bị hư hỏng bởi một tai nạn đầu đọc Đầu đọc này bị trầy xước các phương tiện truyền thông và một số phương tiện truyền thông từ tính từ các ổ đĩa bây giờ là các hạt nhỏ bụi kim loại Các khu vực ổ đĩa bị hư hỏng không thể khôi phục
Sau khi ổ cứng được bật, đầu đọc bị biến dạng sẽ di chuyển lên trên đĩa và hành động như giấy nhám hoặc con dao nhỏ, cạo đi dữ liệu cùng với những khả năng phục hồi
Các mảnh vỡ va chạm lên bởi các quá trình hoạt động giống như những hòn đá lớn rớt ngẫu nhiên trên đường cao tốc, điều đó có nghĩa là sẽ có những tai nạn tiếp theo đó Các hạt lớn hơn 0,25 micron không thể đi qua các khoảng cách đệm không khí giữa đầu đọc và đĩa
Đối với quan điểm, đường kính của một sợi tóc con người là trung bình khoảng 80 microns, nó là lớn hơn
320 lần
Hình 7 cho ta thấy điều gì đó về các ổ đĩa giống như vậy nếu nó được vận hành với đầu đọc bị rơi Trong trường hợp này, các dữ liệu di chuyển rất tốt, dữ liệu của khách hàng là "trong bộ lọc."
Trang 6Hình 7: ổ cứng bị tai nạn đầu đọc và phương tiện truyền thông
Ổ đĩa thiệt hại phương tiện truyền thông nhẹ có thể phục hồi được, mặc dù đôi khi chỉ có thể phục hồi duy nhất một phần; nó phụ thuộc vào mức độ thiệt hại Làm việc với các hư hại phương tiện truyền thông ổ đĩa
là một điều đặc biệt, một số công ty phục hồi dữ liệu sản xuất các kết quả tốt hơn so với những người khác Tại thời điểm này, nên làm sạch các đĩa và kiểm tra đầu, đó là một phần quan trọng trong việc chẩn đoán để phục hồi dữ liệu, nhưng chỉ đúng trong một môi trường thật sự sạch sẽ
Mở khoan kín của ổ đĩa cứng
Không phải là một ý tưởng tốt khi mở một ổ đĩa cứng ra bên ngoài một môi trường sạch sẽ Tại sao ? Bởi
vì, như đã lưu ý, chỉ duy nhất một hạt nhỏ để gây ra một hư hại đầu đọc, và nếu mở một ổ đĩa bên ngoài của một môi trường sạch, bạn sẽ làm hư hỏng các ổ cứng và làm tăng nguy cơ hư hại hoặc mất khả năng phục hồi
Mở một ổ đĩa trong một căn phòng sạch cũng có thể làm ô nhiễm tới các khu vực làm việc đó
Đôi khi tháo nắp của một ổ đĩa hoàn toàn tốt cũng có thể gây ô nhiễm khoan kín; các hạt nhỏ,mảnh vỡ thường tích tụ xung quanh của nắp, một hạt bụi nhỏ cũng có thể gây ra hư hại đầu đọc
Trang 7Hình 8: Cận cảnh ổ đĩa nhiễm bẩn
Nếu bạn đang không được phép của nhà sản xuất để mở ổ cứng, bạn sẽ làm mất hiệu lực bảo hành
Chống lại sự thôi thúc “nhìn trộm” Gởi các ổ đĩa đến nhà chuyên môn Nhiều công ty phục hồi dữ liệu chuyên nghiệp tính phí ít hoặc không có gì để kiểm tra một ổ đĩa trước khi thu hồi
Cấp nguồn vào một ổ đĩa
Sự cám dỗ thường là không thể tránh khỏi, nhưng một ổ đĩa bị rơi không nên được cấp nguồn lên mà không có sự kiểm tra phòng sạch của lần đầu và phương tiện truyền thông
Hãy hỏi khách hàng của bạn nếu đĩa đã bị rơi Trừ khi bạn có một căn phòng sạch sẽ, kinh nghiệm và chuyên môn, đó là một ý tưởng tốt để tham khảo các ổ đĩa bị rơi từ các phòng thí nghiệm phục hồi dữ liệu
có trình độ
Bạn có thể an tâm rằng các khách hàng đã cố gắng để truy cập vào ổ đĩa cho đến một điểm của sự thất bại
đã được thừa nhận Đôi khi nó chỉ là một vấn đề của một vài giây hoạt động của một ổ đĩa bị lỗi một cách máy móc mà sau này kết quả trong một công việc phục hồi khó khăn hoặc không thể
Một khi bạn đã hài lòng rằng một ổ đĩa an toàn để bật nguồn, lắng nghe một cách cẩn thận từ nó Ổ đĩa mà cho tiếng ồn bất thường, đặc biệt là cào và âm thanh the thé, nên tắt ngay lập tức Bất cứ khi nào có sự không chắc chắn, luôn luôn sai lầm về phía thận trọng
Chụp ảnh ổ đĩa
Một nền tảng thực hành tốt nhất của phục hồi dữ liệu là để tạo một bản sao, hoặc hình ảnh, của ổ đĩa bị lỗi, sau đó làm phục hồi tập tin từ các hình ảnh Có nhiều lý do tốt cho thực hành này:
1 Một ổ cứng lỗi có thể có một số giới hạn giờ làm việc còn lại trước khi nó lỗi hoàn toàn Cách tốt nhất là cố gắng để lấy dữ liệu ra từ ổ đĩa càng nhanh càng tốt, và với thiệt hại tối thiểu tới ổ đĩa gốc
Trang 82 Đôi khi cần nhiều hơn một thuật toán phục hồi tập tin thì cần thiết để cho kết quả tối ưu Một ảnh cho phép trải qua nhiều lần phục hồi, trong khi đó đôi khi bạn nhận được một phát với một ổ đĩa lỗi
3 Ảnh ổ là một kho lưu trữ của dữ liệu gốc và thường và thường thì chỉ hữu ích
Điều quan trọng là phải hiểu quá trình ổ đĩa cứng đọc lỗi và thực hiện các nhiệm vụ cơ bản khác trong khi hoạt động bình thường như thế nào
Ổ cứng thường được tích hợp khả năng dọn dẹp vào trong phần mềm nhớ/phần sụn Những cái này chạy trong chế độ nền và vô hình đối với người dùng cuối Một thông lệ tiêu chuẩn là quản lí khiếm khuyết , trong đó dữ liệu yếu/kém hoặc lỗi các cung từ thì được chuyển đến các cung từ khác của ổ đĩa Các cung
từ xấu thì được “đánh dấu” và được thêm vào danh sách khiếm khuyết lớn, còn được gọi là G-Danh sách Chức năng dọn dẹp thì thường xuyên cập nhật của ổ cứng S.M.A.R.T
Những bản ghi theo dõi các thuộc tính về hiệu suất của ổ đĩa; ví dụ bao gồm số lần ổ đĩa được khởi động, không có khả năng đọc các cung từ, và cập nhật các bản ghi lỗi Những thuộc tính này được thể hiện ở khía cạnh của "ngưỡng vượt quá" và "ngưỡng không vượt quá" giá trị, mà có thể cung cấp một cảnh báo sớm về sự thất bại sắp xảy ra của ổ đĩa (hình 9)
Hình 9 S.M.A.R.T thuộc tính hiển thị
Trang 9Ổ đĩa cứng thường lỗi trong chế độ theo tầng Ví dụ một ổ đĩa đầu có thể trở nên dơ bẩn và lỗi đọc hoặc ghi dữ liệu Cung từ tốt sẽ bị báo là xấu , và ổ cứng sẽ cố gắng di chuyển dữ liệu đến những cung từ khác (ví dụ thông qua việc phân bổ lại)
Nếu nó không ghi thành công vào vị trí mới và xác minh dữ liệu đã ghi, nó cũng sẽ báo cáo cung từ mới cũng lỗi Mỗi khi nó di chuyển một cung từ được cho là xấu, nó sẽ cập nhật cả G-Danh sách và bản ghi S.M.A.R.T Các ổ đĩa bị một vòng luẩn quẩn đó ảnh hưởng đến ảnh đĩa và cuối cùng có thể dẫn đến hình thành lỗi ổ cứng
Do đó, nếu các cung từ xấu và quy trình quản lý S.M.A.R.T có thể bị tắt trong ảnh, cơ hội thành công và hoàn chỉnh hơn thì lớn hơn
Phần mềm so với ảnh “phần cứng”
Ổ đĩa cứng có thể được nhân đôi (hoặc chụp ảnh) bởi máy tính sử dụng chương trình phần mềm cho mục đích nào đó Ổ đĩa cũng có thể được sao chép bằng ảnh phần cứng, sử dụng bảng mạch thiết kế đặc biệt hoặc các máy chuyên dụng
Một số máy chụp phần cứng có các tính năng mà vượt qua khả năng của chỉ có phần mềm Chúng có thể:
Vô hiệu hoá quản lý lỗi và xử lý thuộc tính S.M.A.R.T;
Cho phép phục hồi nhiều lần trên ổ cứng lỗi
Điều chỉnh tốc độ và "chiều sâu" của quá trình đọc bằng cách điều chỉnh các loại thiết lập lại, số nổ lực để đọc mỗi cung từ xấu, v.v
Xây dựng một bản đồ đầu và ảnh đầu
Tắt ảnh hoặc nguồn điện, nhảy đến một đầu khác, bỏ qua một số chỉ định trước của các cung từ, v.v… theo điều kiện lập trình
Đã dành riêng cho máy chụp nà kàn cho việc chụp trở nên nhanh hơn (so với máy tính chạy phần mềm)
Hỗ trợ tập tin hình ảnh bởi MFT hoặc cấu trúc thư mục khác
Theo Serge Shirobokov của DeepSpar, Inc., "Về phần mềm vs phần hình phần cứng, sự khác biệt lớn nhất giữa hai có lẽ là thực tế rằng phần cứng có thể tự động thiết lập lại ổ đĩa trên thời gian chờ và phần mềm chỉ có chờ đợi
Nếu một lệnh đọc rơi vào một khu vực xấu, công cụ phần cứng có thể hạn chế thiệt hại từ đó bằng cách cắt thời gian xử lý xuống đến một vài trăm mili giây (sau đó đặt lại ổ đĩa), trong khi phần mềm phải chờ đợi toàn bộ vài giây cho một ổ đĩa để trở lại với một lỗi Điều này một mình làm cho phần cứng hình ảnh làm hư hại nhiều lần ít hơn
Bởi vì hầu hết các ổ xuất trình để phục hồi dữ liệu là không lành mạnh (ko tốt) theo định nghĩa, cách sử dụng một giải pháp hình ảnh dựa trên phần cứng thường được coi là một thực hành tốt nhất
Khi phần mềm hình ảnh, nó là một ý tưởng tốt để sử dụng một chặn ghi với các công cụ phần mềm hình ảnh, bởi vì một máy tính có thể cố gắng để khởi tạo một ổ đĩa và có thể ghi đè lên phân vùng khởi động quan trọng hoặc phân vùng thông tin Cho phép ghi chặn đọc từ ổ cứng, nhưng chặn nỗ lực để ghi hoặc
Trang 10thay đổi dữ liệu Hầu hết các thiết bị phần cứng , nhưng một số sử dụng phần mềm Chú ý rằng việc chặn ghi thường thì không ngăn cản ổ đĩa cập nhật từ S.M.A.R.T hay G-Danh sách
Câu lệnh hướng dẫn “dd” của Unix thì đôi khi phù hợp để làm ảnh ổ đĩa bởi vì nó có thể sao chép các cung từ mà không phải là một phần của hoạt động thư mục, bao gồm cả "xóa" các tập tin
Mặt khác, hướng dẫn dòng lệnh DOS chẳng hạn như XCOPY thì chỉ tốt cho việc sao chép tập tin được liệt kê trong một thư mục Nếu thư mục bị hỏng, hoặc tập tin đã bị xóa, XCOPY sẽ bỏ qua các tập tin
Có một số "ra khỏi kệ" các chương trình tiện ích để tạo ảnh đĩa Giải pháp phần mềm ảnh đĩa hoạt động tốt với các ổ đĩa cứng tốt Tuy nhiên, chúng có giới hạn, và có thể gây hại, khi làm việc với các ổ đĩa có vấn đề chẳng hạn như có nhiều cung từ xấu, vấn đề phần mềm nhớ/phần sụn (firmware) hoặc đầu lỗi Như đã nói, cách tốt nhất để làm việc với một ổ đĩa bị lỗi là để tắt chế những nhược điểm của ổ đĩa (gọi là tái phân bổ cung từ) và vô hiệu hóa các chức năng khai thác gỗ SMART Điều này làm giảm cơ hội mà các ổ đĩa sẽ tự hủy trong quá trình chụp ảnh
Tuy nhiên, việc tắt phân bổ khu vực đòi hỏi lệnh từ nhà cung cấp, ví dụ, mã được viết riêng cho một ổ đĩa đặc biệt, mẫu, hoặc hàng loạt Một giải pháp phần mềm hữu hiệu sẽ phải kết hợp các lệnh của nhà cung cấp và và có một phương tiện phù hợp với các lệnh để ổ đĩa để được chụp ảnh
Đối với những am hiểu công nghệ: BIOS của hầu hết các máy tính cá nhân cung cấp một sự lựa chọn để tắt trình đơn thông báo S.M.A.R.T của lỗi ổ đĩa sắp xảy ra, nhưng tính năng đó không ảnh hưởng đến các hoạt động nội bộ S.M.A.R.T của ổ cứng
Một lệnh ATA tiêu chuẩn để vô hiệu hóa SMART của ổ đĩa mô tả trong phần 7.52 của tiêu chuẩn T13 ATA, trong đó nêu: “lệnh này vô hiệu hóa tất cả các khả năng S.M.A.R.T trong thiết bị bao gồm bất kỳ
và tất cả chức năng bộ đếm thời gian và sự kiện tính liên quan độc quyền cho chức năng này
Khi nào dừng chụp ảnh
Ghi nhớ rằng một phương châm chính của phục hồi dữ liệu là "đầu tiên, không làm hại", nó là rất quan trọng để nhận ra khi nào để dừng, hoặc khi tiếp tục có thể làm hại nhiều hơn lợi
Dừng chụp ảnh khi:
1 Ổ đĩa tạo ra tiếng nhấp hoặc tiếng ồn “bất ổn” khác
2 Ổ đĩa bị lỗi sẵn sàng bị huỷ bỏ
3 Các ổ đĩa phơi bày các dấu hiệu lỗi tầng, tức là, một hoặc nhiều lần (more heads) mà đã làm việc khi tiến trình đã bắt đầu bị lỗi
Một khu vực "màu xám" là khi có cung từ chưa đọc hoặc đếm số cung từ xấu cao Đôi khi rất khó để nói nếu điều này là do phương tiện truyền thông suy thoái (cung từ xấu), quản trị logic lỗi, hoặc nguyên nhân khác Lần đầu có thể thất bại một cách tự nhiên trong quá trình chụp ảnh Ổ đĩa có thể hình thành ảnh dữ liệu trên đầu còn lại, hoặc nó có thể "miệng núi lửa/ tạo" và gây ra một vòng thiệt hại và ô nhiễm trên diện rộng Tại thời điểm này, có một căn phòng sạch và các công cụ thích hợp có thể lưu phục hồi dữ liệu và của khách hàng
RAIDS