ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ СТАВРОПОЛЬСКИЙ ГОСУДАРСТВЕННЫЙ АГРАРНЫЙ УНИВЕРСИТЕТ ИНСТИТУТ ДОПОЛНИТЕЛЬНОГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ Учебная дисциплина «Экспертиза и диагностика объектов и систем» Для студентов специальности 230201.65 Информационные системы и технологии ПРАКТИЧЕСКОЕ ЗАНЯТИЕ №1 ХАРАКТЕРИСТИКИ И ПОРЯДОК ИСПОЛЬЗОВАНИЯ ПРОГРАММНО-АППАРАТНЫХ КОМПЛЕКСОВ ДЛЯ ПРОВЕДЕНИЯ КОМПЬЮТЕРНО-ТЕХНИЧЕСКОЙ ЭКСПЕРТИЗЫ Учебные вопросы 1 Характеристики и порядок использования программноаппаратного комплекса для извлечения пользовательской информации Data Extractor 2 Характеристики и порядок использования программноаппаратного комплекса PC-3000 Ставрополь 2012 1 Характеристики и порядок использования программноаппаратного комплекса для извлечения пользовательской информации Data Extractor Назначение "Data Extractor" Программно-аппаратный комплекс "Data Extractor" предназначен для извлечения пользовательской информации с поврежденных или частично неисправных накопителей, а так же исправных накопителей с разрушенной логической структурой. Поддерживаются все HDD с интерфейсом IDE емкостью от 500 Мбт до 128 Гбт, работающих в режиме LBA. Обязательным условием использования комплекса является выход накопителя в готовность. Использование Data Extractor-а позволяет восстанавливать информацию (частично или полностью) с накопителей, имеющих такие повреждения, как БЭД сектора, частичное разрушение серворазметки, неисправность блока магнитных головок и пр. Объем восстановленной информации зависит от степени разрушения накопителя и определяется в каждом конкретном случае. Комплекс Data Extractor работает под управлением персонального компьютера PC (не ниже Pentium 166, RAM 32 Мбт) в операционной среде Windows 95-98. Базовой аппаратной частью Data Extractor-а является плата PC-3000 PRO (из комплекта PC-3000) устанавливаемая в свободный слот расширения ISA управляющего компьютера. Также управляющий компьютер должен иметь штатный накопитель достаточной емкости для создания файла образа. Собственное программное обеспечение комплекса занимает порядка 10 Мбт. Основные принципы извлечения информации при помощи Data Extractor Накопитель, с которого необходимо извлечь данные подключается к плате PC-3000 PRO с установленным на него адаптером PC-3K PWR посредствам плоского кабеля IDE и кабеля питания. При запуске управляющей программы, питающие напряжения +5В и +12В, на накопитель, подаются автоматически. В процессе работы извлекаемые данные сначала переносятся в файлобраз, хранящийся на управляющем компьютере. Затем образ данных (или любая его часть) переносится на любой IDE накопитель подходящей емкости. В процессе извлечения данных создается подробная карта поврежденного накопителя, в которой описывается состояние каждого физического сектора. Процесс извлечения данных можно прервать в любой момент, а затем, продолжить его в любое удобное время. Специально разработанный алгоритм в сочетании с системой управления питанием предотвращают переход накопителя в опасные для него состояния, позволяя извлечь максимум сохранившейся информации, даже в случае выхода из строя одной или нескольких головок. Программа Data Extractor содержит специализированный "проводник", позволяющий проанализировать логическую структуру поврежденного накопителя, и в случае, если степень логического разрушения позволяет, адресно извлечь необходимые заказчику данные. Это особенно важно, в случае если накопитель продолжает разрушаться, имеет очень большую емкость или большое количество дефектов. В данной версии анализ логической структуры реализован для всех типов FAT и NTFS. "Проводник" можно использовать для восстановления данных в случае исправного накопителя и разрушенной логической структуры (MBR, BR, в некоторых случаях FAT, ROOT). В случае разрушения транслятора HDD, в Data Extractor-e реализован ручной механизм создания карты возникших смещений и последующая возможность, с использованием "проводника", с учетом этой карты, копирования необходимых данных. Перед началом извлечения данных, необходимо продиагностировать, неисправный накопитель. Сделать это возможно, используя комплекс PC3000 (в комплект поставки Data Extractor-а не входит) или любого другого диагностического софта. Все неисправные накопители можно разделить по категориям неисправности: 1. БЭД сектора; 2. Неисправности серворазметки; 3. Неисправность Блока Магнитных Головок; 4. Разрушение служебной информации; 5. Неисправность платы электроники. В первом и во втором случаях степень восстановления информации велика и сама процедура полностью автоматизирована. В третьем случае степень извлеченной информации обратно пропорциональна количеству неисправных головок. Сама процедура извлечения информации также автоматизирована, но возможно, если в восстановленной части не окажется необходимых данных, то потребуется перестановка исправного БМГ. В четвертом случае вероятность извлечения велика, но потребуется перезапись служебной информации (такую процедуру, выполняет, например, комплекс PC-3000) или потребуется исправный накопитель аналогичной модели для осуществления процедуры HOT-SWAP (перестановке платы при включенном питании). В последнем пятом случае потребуется поиск исправной платы от аналогичной модели. Data Extractor UDMA Используется совместно с комплексом PC-3000 for Windows UDMA. Предназначен для вычитывания информации с дисков, имеющих дефекты поверхности пластин и повреждения логических структур файловых систем. Работает с любыми накопителями IDE (ATA, SATA), форм факторов: 3.5", 2.5", 1.8", 1.0". Data Extractor UDMA поддерживает файловые системы: FAT, NTFS, EXT2 и EXT3, HFS+, UFS1 и UFS2. Скорость вычитывания данных с HDD подключенных к плате-тестеру PC-3000 UDMA до 50 Мб/с. Расширенные возможности управления HDD при вычитывании данных: управление питанием; управление сбросами; переинициализации; отключения режима чтения через КЭШ (Read Ahead); отключение режима скрытия поврежденных секторов (Autorelocation sectors); вычитывание по одной или нескольким магнитным головкам; использование технологического режима при вычитывании данных. Основные режимы работы Data Extractor UDMA: режим вычитывания данных по физическим параметрам (PZCHS) помогает получить доступ к данным пользователя в случае когда доступ по LBA невозможен; режим чтения данных с HDD исключая одну или несколько поврежденных головок; режим восстановления данных в случае разрушения динамического транслятора HDD; режим поиска данных (пользовательских данных и метаданных); режим просмотра и редактирования структур данных различных файловых систем; режим "raw recovery"; режим построения карты занятого (незанятого) пространства; Поддержка UNICODE позволяет работать с данными пользователя в национальной кодировке. Data Extractor UDMA помогает восстановить данные в следующих случаях: При физических повреждениях HDD: повреждение магнитных поверхностей или головок и как следствие множественные BAD-сектора; «стуки» во время чтения (повреждения головок или сервометок); не определяющиеся в BIOS HDD или не работающие по логическим параметрам; восстановление данных после процедуры HOT-SWAP; нестабильное чтение данных (после замены БМГ или переноса пакета дисков в другой гермоблок); повреждение динамического транслятора HDD; повреждение платы электроники HDD (необходимость адаптации донорской платы). При логических повреждениях: разрушения таблицы разделов; разрушения структур данных раздела (FAT, MFT, INODE tables и удаление данных пользователем; форматирование или удаление разделов и т.д.; повреждения в следствии воздействия вирусов. т.д.); Перспективы развития комплекса Data Extractor Продолжение развития в сторону анализа логической структуры данных: 1. Совершенствование логического анализа и востановления данных для реализованных файловых систем; 2. Реализация анализатора для Nowell, Unix и других распространенных файловых систем. 3. Реализация автоматического режима восстановления данных для накопителя с разрушенным транслятором, но конкретной файловой системой (в первую очередь FAT, NTFS). 4. Развитие в сторону использования информации о физической геометрии HDD. Это особенно важно в случае выхода из строя БМГ, так как позволит точнее обходить наиболее опасные участки. 5. Расширение сервисных возможностей для пользователей занимающихся востановлением информации. Примеры использования Data Extractor 1.Накопитель: Quantum FB CX (10 Гбт). Неисправность: При включении питания, c прогревом стучит. Причина: неисправна МС управления шпиндельным двигателем и позиционером TDA5247HT. Накопитель стоял в бухгалтерском компьютере и из-за перегрева вышеупомянутой МС начал стучать, бухгалтерская программа повисла. Бухгалтер не стала выключать компьютер, а отправилась за техником, который подошел через 15-20 минут. Накопитель принесли к нам, мы установили на него исправную плату. При диагностике на PC-3000 наблюдались множественные ошибки UNC в начальной области диска (и области FATа). Накопитель был подключен к Data Extractor-у, извлечение данных выполнялось в автоматическом режиме, были включены опции по умолчанию. Данные считались полностью за один проход, весь процесс занял 8 часов. 2.Накопитель: IBM IC35L040A 40 Гбт (1 раздел FAT32) Неисправность: В БИОС определяется, в ОС не виден, издает скрежещие звуки. Причина: Множественные повреждения поверхности. При выполнении логического анализа с помощью "проводника" Data Extractor-а обнаружены разрушения MBR, BR, 1-ой копии FAT и ROOT. Без полного копирования данных с накопителя, области содержащие FAT и ROOT были считаны с использованием механизмов чтения Data Extractor-а (большое количество повторов, статистический анализ и пр.) Далее скорректировали MBR и BR в созданном образе и, используя 2-ю копию FAT, избирательно скопировали все пользовательские данные, которые удалось идентифицировать с учетом разрушений ROOT. Выяснив, что несколько необходимых заказчику каталогов не удается найти, построили в "проводнике" виртуальное дерево всех найденных в разделе каталогов и просмотрев его скопировали недостающую информацию. Общий объем избирательно извлеченной информации составил 10.1 Гбт, временные затраты, с учетом использования логического разбора Data Extractor-a, 18 часов. В случае полного копирования данных, с учетом степени разрушений, время восстановления было бы, как минимум в 4 раза больше. 3.Накопитель: WD21200 (1.2 Гбт). Неисправность: При попытке загрузить Windows стучит. Причина: Неисправна 3-я магнитная головка, при обращении к ней накопитель срывается на стук. Данный накопитель был в ремонтной организации, там в ней пытались переставлять БМГ, но необходимые данные считать не удалось, накопитель постоянно срывался в стук. К нам попал уже с неродным БМГ. При тестировании на PC-3000AT наблюдались множественные ошибки UNC, IDNF по всему объему диска, иногда накопитель срывался в стук. Общий объем дефектных секторов составил порядка трети от общего их количества. Накопитель был подключен к Data Extractor-у, извлечение данных выполнялось в автоматическом режиме, в один проход с установками по умолчанию. Проход занял около 3-х суток. Данные были восстановлены не полностью, однако их состав удовлетворил заказчика и дальнейшее восстановление данных было прекращено. 4.Накопитель: Fujitsu MPG3102AT (10 Гбт). Неисправность: Не определяется в БИОСе компьютера Причина: испортилась служебная информация По утверждениям пользователя ничего особенного с этим накопителем не делали, утром не смогли загрузить на нем ОС, при попытке подключить его, как дополнительный, он не определился в БИОСе. Накопитель носили в ремонтную организацию, где произвели вскрытие гермоблока. Но реально данные восстановить не смогли. При проверке на PC-3000 выяснилось, что у данного HDD испорчены модули 05h (FI), 0Bh, 31h (RE), 32h (WE), 70h. После перезаписи этих модулей, при помощи комплекса PC-3000, накопитель стал определяться, но у него оказались две области с большим количеством БЭД секторов с ошибками UNC, IDNF, AMNF. Накопитель был подключен к Data Extractor-у, извлечение данных выполнялось в два прохода в автоматическом режиме. На первом проходе были включены опции по умолчанию. Чтение продолжалось порядка 8 часов, количество непрочитанных секторов порядка 1000, причем зона повреждения совпала с положением корневого каталога. В связи с этим был выполнен второй проход с увеличенным количеством программных попыток чтения (до 50). Второй проход занял 20 часов и после его выполнения данные удалось прочитать полностью. 5.Накопитель: WD32100 (2.1 Гбт). Неисправность: Накопитель нормально определялся в БИОС, но при попытке загрузиться с него система зависала. Причина: Неисправна 3-я магнитная головка. По ней наблюдалось значительное ухудшение чтения вплоть до стуков. Данный накопитель был в ремонтной организации, где пытались восстанавливать данные, после неудачи принесли к нам. При тестировании на PC-3000AT наблюдались множественные ошибки UNC, IDNF, которые были расположены зонами в соответствии с неисправной магнитной головкой, иногда накопитель срывался в стук. Накопитель был подключен к Data Extractor-у, извлечение данных выполнялось в автоматическом режиме, в три прохода. На первом были включены опции: кол-во попыток чтения 10, использование аппаратных повторов. Первый проход занял около суток. Два последующих прохода выполнялись примерно такое же время, однако параметры чтения были ужесточены (кол-во попыток чтения увеличено до 50 и 100 соответственно, аппаратные повторы отключены). После первого прохода кол-во секторов прочитанных с ошибкой было порядка 3000, после 3-го прохода осталось около 200 таких секторов. Необходимые данные удалось восстановить полностью. Общее время восстановления 2-е суток. 2 Характеристики и порядок использования программно- аппаратного комплекса PC-3000 Технологии PC−3000 используются многими специалистами по всему миру в качестве основных инструментов при выполнении работ с неисправными накопителями. Область применения Ремонт Восстановление данных Восстановление данных в «полевых» условиях Тип носителя информации Программно-аппаратный комплекс IDE, SATA HDD PC-3000 for Windows (UDMA) SCSI, SAS HDD PC-3000 for SCSI IDE, SATA HDD PC-3000 for Windows (UDMA) + Data Extractor UDMA SCSI, SAS HDD PC-3000 for SCSI + Data Extractor SCSI Накопители на Flash памяти PC-3000 Flash IDE, SATA HDD PC-3000 Portable Программно-аппаратный комплекс PC−3000 for Windows (UDMA) Программно-аппаратный комплекс позволяет диагностировать и восстанавливать работоспособность HDD следующих производителей: Seagate, Western Digital, Fijitsu, Samsung, Maxtor, Quantum, IBM (HGST), Hitachi, Toshiba: с интерфейсами ATA (IDE) и SATA (Serial ATA 1.0, 2.0); ёмкостью от 1 Гб до 1,5 Тб; форм факторов: 3.5" - настольные ПК; 2.5" и 1.8" - ноутбуки; 1.0" - портативные компьютеры/устройства; 1.0" - портативные компьютеры/устройства с интерфейсом Compact Flash. Аппаратные средства комплекса PC−3000 for Windows (UDMA) представлены на рисунке 1. Рисунок 1 - Аппаратные средства комплекса PC−3000 for Windows (UDMA) Основные особенности PC-3000 for Windows (UDMA): поддержка HDD от самых старых до самых современных моделей; использование технологического режима работы для диагностики и восстановления HDD; тестирование HDD ведется через специализированную двухпортовую плату тестер PC-3000 UDMA в режимах PIO, UDMA33/66; возможна одновременная работа с двумя HDD; все необходимые переходники и адаптеры включены в комплект поставки; подробное пошаговое руководство пользователя с методиками восстановления HDD; встроенная справочная система по семействам HDD. Комплекс PC-3000 for Windows (UDMA) предназначен для диагностики неисправностей и восстановления данных с жестких дисков в следующих случаях: Повреждения служебной информации: HDD не определяется в BIOS; HDD определяется заводским названием; повреждение служебных модулей; повреждение системы трансляции; переполнение логов. Повреждения головок или поверхностей: множественные BAD-сектора; повреждение некоторых головок; «стук» при включении питания. Повреждения платы электроники: повреждение данных в конфигурационных ПЗУ; повреждение микропрограммы в ПЗУ; не вращается шпиндельный двигатель; повреждения элементов на плате электроники; проблемы совместимости платы электроники и гермоблока. Дополнительно: изменение серийного номера и названия модели; стирание данных на HDD; снятие установленного пароля HDD; сброс SMART параметров. Программно-аппаратный комплекс PC−3000 for SCSI Программно-аппаратный комплекс предназначен для диагностики, ремонта и восстановления данных с любых SCSI и SAS HDD (рисунок 2). Рисунок 2 – Состав программно-аппаратного комплекса PC−3000 for SCS Основные особенности PC-3000 for SCSI: поддерживаемые интерфейсы: SCSI-2, Ultra SCSI, Ultra2 SCSI, Ultra 160 SCSI, Ultra 320 SCSI, SAS (Serial Attached SCSI); оригинальный, удобный и интуитивно понятный интерфейс пользователя (аналогичный используемому в комплексе PC-3000 for Windows); одновременная работа от 1 до 15 SCSI HDD; максимальная скорость не зависит от количества одновременно подключенных HDD; специализированные утилиты для HDD Seagate, Maxtor, Quantum, IBM, Fujitsu; возможность создания образа для SCSI, SAS, ATA, SATA HDD; подробное пошаговое руководство пользователя с методиками восстановления HDD. Комплекс PC-3000 for SCSI может диагностировать и восстанавливать поврежденные HDD в следующих случаях: Повреждения служебной информации: HDD не определяется в BIOS; повреждение служебной информации; повреждение системы трансляции; невозможность читать данные по логическим параметрам (LBA); определяется емкостью 0 Гб; переполнение логов. Повреждения головок или поверхностей: множественные BAD-сектора; повреждение некоторых головок; «стук» при включении питания. Повреждения платы электроники: повреждение данных в конфигурационных ПЗУ; повреждение микропрограммы в ПЗУ; не вращается шпиндельный двигатель; повреждения элементов на плате электроники; проблемы совместимости платы электроники и гермоблока. Дополнительно: адаптация платы донора к гермоблоку реципиента; использование технологического режима для диагностики и ремонта HDD. Программно-аппаратный комплекс Data Extractor SCSI Используется совместно с комплексом PC-3000 for SCSI. Предназначен для вычитывания информации с дисков, имеющих дефекты поверхности пластин и повреждения логических структур файловых систем. Работает с любыми накопителями SCSI, SAS HDD. Поддерживаемые интерфейсы: SCSI-2, Ultra SCSI, Ultra2 SCSI, Ultra 160 SCSI, Ultra 320 SCSI, SAS (Serial Attached SCSI). Data Extractor SCSI поддерживает файловые системы: FAT, NTFS, EXT2(3), HFS+, UFS1 и UFS2. Основные особенности PC-3000 for SCSI: имеется возможность вычитывания данных с поврежденных накопителей, в случае, когда никакими другими средствами получить доступ к данным не удается; восстановление данных в случае физических повреждений HDD, логических повреждений или обоих вариантов вместе; расширенные возможности управления HDD в процессе вычитывания данных; чтение данных не стандартными методами; возможность вычитывания данных по головкам исключая поврежденные; расширенные возможности управления процессом чтения данных (управляя параметрами можно сделать чтение более эффективным или более быстрым); возможность создания полной или частичной копии с поврежденного на исправный HDD, при этом считанные данные могут копироваться на другой диск сектор в сектор или в виде файла образа; возможность вычитывания данных по физическим параметрам (PZCHS) помогает получить доступ к данным пользователя в случае когда доступ по LBA невозможен; возможность чтения данных с HDD исключая одну или несколько поврежденных головок; возможность восстановления данных в случае разрушения динамического транслятора HDD; поддержка UNICODE позволяет работать с данными пользователя в национальной кодировке. Data Extractor SCSI помогает восстановить данные в следующих случаях: При физических повреждениях HDD: повреждение магнитных поверхностей или головок и как следствие множественные BAD-сектора; «постукивания» во время чтения (повреждения головок или сервометок); не определяющиеся в BIOS HDD или не работающие по логическим параметрам; восстановление данных после процедуры HOT-SWAP; нестабильное чтение данных (после замены БМГ или переноса пакета дисков в другой гермоблок); повреждение динамического транслятора HDD; повреждение платы электроники HDD (необходимость адаптации донорской платы). При логических повреждениях: разрушения таблицы разделов; разрушения структур данных раздела (FAT, MFT, INODE tables и т.д.); удаление данных пользователем; форматирование или удаление разделов и т.д.; повреждения вследствие воздействия вирусов. . Программно-аппаратный комплекс PC−3000 Portable Простой в использовании, компактный комплекс предназначен для быстрой диагностики и восстановления данных с поврежденных HDD (рисунок 3). Удобен для работы в «на выезде». Наличие автоматических режимов позволяет начинающим пользователям легко освоить процесс восстановления данных. Подсоединение к компьютеру осуществляется через USB интерфейс. Комплекс поддерживает работу с HDD производителей Seagate, Western Digital, Fujitsu, Samsung, Maxtor, IBM (HGST), Hitachi, Toshiba: с интерфейсами ATA (IDE) и SATA (Serial ATA) ёмкостью от 20 Гб до 1 Tб форм-фактором 3.5";, 2.5"; и 1.8". Рисунок 3 – Состав программно-аппаратного комплекса PC−3000 Portable Основные особенности PC-3000 Portable: упрощенная версия комплексов PC-3000 UDMA и Data Extractor UDMA; наилучшее решение для новичков в области ремонта HDD и восстановления данных; использование комплекса не требует глубоких знаний устройства HDD; наличие автоматизированных режимов диагностики и восстановления HDD; встроенная справочная система; поддерживает наиболее популярные модели HDD; мобильное решение, возможность использования с ноутбуком; в комплект поставки входят все необходимые переходники и адаптеры; совместимость ресурсов с профессиональными комплексами PC3000 и Data Extractor UDMA; подробная документация с основами организации и построения современных HDD. Комплекс PC-3000 Portable может восстанавливать данные с поврежденных HDD в следующих случаях: Повреждения служебной информации: повреждение системы трансляции; повреждение модулей служебной информации; переполнение логов. Повреждения поверхностей или головок: чтение данных в случае множественных BAD секторов; чтение данных, исключая поврежденную поверхность (головку). Повреждения платы электроники: адаптация платы донора к гермоблоку пациента. Дополнительно: очистка паролей HDD; сброс SMART параметров; восстановление Max LBA; создание имиджа данных пользователя; режим проводник для копирования восстановленных данных выборочно. . Программно-аппаратный комплекс PC−3000 Flash Программно-аппаратный комплекс PC−3000 Flash - профессиональный инструмент для восстановления данных с физически и логически поврежденных Flash накопителей (рисунок 4). Основу комплекса составляет аппаратное считывающее устройство Flash Reader и специализированное программное обеспечение, выполняющее все необходимые преобразования с данных, как на уровне двоичных структур так и на уровне файлов. Для работы с Flash накопителями используется своя уникальная, разработанная компанией АСЕ, технология, которую можно применить и для SSD накопителей. PC-3000 Flash поддерживает работу со всеми моделями NAND Flash накопителей (SD, SSD, SM, MMC, USBFlash, MemoryStick, CompactFlash и др). Рисунок 4 - Программно-аппаратный комплекс PC−3000 Flash Основные особенности PC-3000 Flash: мобильное решение, возможность использования с ноутбуком; специализированное устройство чтения NAND FLASH – PC Flash Reader; наличие автоматизированных режимов диагностики и восстановления Flash; подробная документация с основами организации и построения современных Flash накопителей; наилучшее решение для новичков в области восстановления данных с Flash накопителей; регулярно пополняющаяся база данных используемых мс памяти Flash; регулярно пополняющаяся база данных контроллеров и используемых алгоритмов. PC-3000 Flash позволяет восстановить данные в следующих случаях: серьезные механические повреждения накопителя; серьезные электрические повреждения печатной платы накопителя; логические повреждения структур данных; повреждения контроллера накопителя; повреждения файловой системы.