Восстановление SSD-накопителей: Как это делают?

Автор Nemo, 01 сентября 2014, 11:21:49

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Nemo

Когда хорошая память попадает в неприятные ситуации

В этот раз мы связались с лабораторией Flashback Data, сотрудники которой занимаются всеми типами устройств для хранения данных, но имеют особый опыт работы с флэш-памятью. Представители Flashback Data согласились показать нам, какие усилия предпримет высококлассная лаборатория ради спасения нашей драгоценной флэш-памяти.

[attachimg=1]

Диапазон чтения

В самом начале своего пути Flashback в основном производила замену неисправных чипов, но со временем продолжать это становилось всё тяжелее, поскольку производители стали использовать различные компоненты на различных стадиях производства в одной и той же модели. На некоторых устройствах появилось шифрование, которое ещё больше затрудняет процесс восстановления данных. В этом случае от Flashback требовалась возможность чтения памяти напрямую, что, в свою очередь, означало необходимость обладать невероятным количеством способов для чтения чипов из столь широкого разнообразия имеющейся флэш-памяти.

Заметим, что когда Flashback ссылается на "шифрование", это состояние, как правило, является неизвестным для пользователя. Например, где-то с 2006 года SanDisk начала шифровать данные на всех своих накопителях, как поведал нам один из основателей и вице-президент компании Flashback Рассел Чозик (Russell Chozick). Как и в случае с автоматическим шифрованием жёстких дисков, контроллер производит шифрование всех данных, хранящихся во флэш-памяти. Так как для блокировки шифрования не предусмотрен пароль, данные расшифровываются и извлекаются из носителя. Так что в случае повреждения печатной платы сотрудники Flashback стараются переместить контроллер и чипы памяти в новое устройство. "Если сгорел контроллер, то получить данные обратно практически нереально, поскольку именно на нём содержится информация о том, как именно нужно расшифровать данные. При отсутствии возможности работы с контроллером вы сталкиваетесь с большой проблемой".

[attachimg=2]

Типы флэш-памяти

Эти тёмно-серые чипы стандарта TSOP48 в течение многих лет являлись типичными компонентами USB-накопителей, а также карт памяти SSD/SD/CF, но в последнее время они открыли дорогу и для других чипов. На самом нижнем образце на картинке видно заднюю часть чипа TLGA, и вы можете заметить, что сбоку нет контактов, а модули расположены на задней стороне. Такие чипы являются обычными для всех типов флэш-памяти и работают, например, в новейших смартфонах iPhone.

Во время процесса восстановления сотрудники Flashback вставляют чипы TSOP48 в считывающие устройства, но TLGA также должны быть припаяны. Очевидно, что при этом процессы анализа и восстановления информации происходят куда сложнее. Так что после внедрения в смартфоны более компактной флэш-памяти старые "монолитные" форматы кажутся более простыми в сравнении с ней.

[attachimg=3]

Карты памяти формата SD и USB-устройства LaCie также имеют монолитные чипы. В то время как большинство карт памяти имеет отдельные чипы контроллера и памяти, в монолитном чипе оба компонента объединены в одном крошечном модуле. Очевидно, что нарушения в работе таких устройств могут произойти по любой из множества причин. Если перестаёт работать контроллер, то специалисты всё равно могут получить доступ к данным при помощи других средств вместо использования контактов для подключения к кардридеру, смартфону или камере. На фотографии заметно, как с устройства частично снят корпус, поскольку специалистам необходимо удалить некоторую часть припаянного чёрного покрытия, чтобы найти определённые точки для подключения к логическому анализатору. Как только все точки будут определены, карта будет подсоединена так, как это показано на следующих картинках.

Для удаления части покрытия сотрудниками Flashback используются удивительно незамысловатые инструменты: шлифовальная паста и полировальный круг. Для достижения этой цели можно использовать и химикаты, однако нам сказали, что лучше воспользоваться медленным и тщательным процессом полировки. В процессе шлифования можно легко повредить очень тонкие контакты. Сначала мы попросили подключить накопитель LaCie, но затем отказались от этой идеи, узнав, что такая работа может занять у специалиста целый день.

[attachimg=4]

Типичные ошибки флэш-накопителей

Мы видели фотографии повреждённых жёстких дисков, большинство из которых пострадало из-за столкновения головки с треками в магнитном носителе. Практически все повреждения SSD-накопителей и флэш-памяти, которые обнаруживают сотрудники Flashback, незаметны. В редких случаях можно увидеть след ожога на печатной плате, но, в целом, сломанные контроллеры и сожжённые предохранители не оставляют видимых признаков. В итоге, специалистам приходится долго работать, тестируя каждый резистор. В сравнении с этим отсоединить коннектор, как это показано на фото, для специалистов по ремонту – пара пустяков.

[attachimg=5]

Как насчёт изнашивания?

Ранее мы уже писали о постоянной гонке двух процессов – усовершенствованием чтения алгоритмов по мере увеличения ёмкости и сокращением литографии, что напоминает перетягивание каната. В частности, мы обеспокоены тем, что флэш- и SSD-накопители, проработавшие несколько лет, могут проявлять признаки износа.

К счастью, как нам говорят, большинству SSD-накопителей, которые поступают в лабораторию Flashback, нет ещё и года, так что и износа NAND-памяти не наблюдается. На самом деле, случаи фактического износа крайне редки. Хотя у USB-флэшек (особенно более старых моделей с менее совершенными алгоритмами выравнивания) износ распространён чуть больше. Считывание с чипов происходит отлично, но при проверке информации возникает множество ошибок ECC, и никакие данные извлечь не получается. Наличие четырёх красных точек (далее на картинках) говорит о проблемах с ECC. Напротив, основные проблемы износа будут отмечены четырьмя зелёными точками.

Были и такие случаи, когда специалисты проводили анализ, вынимали чип, чистили ламель и ставили всё на место, усугубляя проблему со считыванием данных, на что теперь требовалось больше времени. Так что износ и правда можно расценивать как реальную опасность, но здесь не идёт речи ни о каком кризисе, хотя многие могли бы о нём подумать.

[attachimg=6]

Нагрей

Чипы должны быть удалены с печатной платы при помощи специального паяльного приспособления, и одним из главных инструментов на этом этапе является горячий воздух. На картинке видно, как специалисты удаляют TLGA-чип из USB-устройства. Они контролируют температуру и давление воздуха, нагревая устройство настолько, чтобы можно было расплавить спаянные точки. В таких паяльных станциях также имеются паяльники, сварочный флюс, омметры и другие приспособления для диагностики. Некоторые из этих станций занимают основную лабораторию Flashback, площадь которой составляет примерно 465 квадратных метров.

[attachimg=7]

Удаление памяти

Контроллер этого SSD-накопителя является сгоревшим, так что специалисты Flashback проводят аккуратное снятие чипов памяти, каждый из которых пронумерован вручную для отслеживания и упрощения процесса сбора данных.

"Иногда мы так и не узнаем, какие именно компоненты вышли из строя, - рассказывает вице-президент компании. – Мы просто знаем, что в этом типе накопителя имеется сбой в прошивке, или такая ошибка наиболее типична для него, так что для работы нам требуется снять чипы. Наши клиенты постоянно спешат, поэтому во множестве случаев точную причину того, что и почему сгорело, установить не удаётся. Но зато мы знаем, что процесс считывания через контроллер здесь не пройдёт, но он и не зашифрован, так что мы должны отсоединить чипы, произвести считывание, а затем и восстановление.

[attachimg=8]

Отсоединение чипов

Флэш-накопители и SSD-диски являются не единственными устройствами, которые подвергаются тепловому воздействию. Через сервис Flashback проходит постоянный поток сотовых телефонов, таких, как вот этот HTC Evo, который был утоплен в бассейне. Услуги по восстановлению информацию с флэш-памяти стоят сотни и тысячи долларов, так что становится очевидным, что этот телефон отдали не для восстановления детских мультиков. Говорят, что некоторые такие телефоны содержат последние фотографии покойных друзей или близких людей. Регулярно поступают устройства, связанные с расследованиями уголовных дел, и если преступник может уничтожить улики, грубо говоря, под ногами, то из неповреждённой флэш-памяти можно достать ценную информацию для проведения расследования.

Сейчас смартфону HTC Evo два года. Новые устройства, например, Samsung Galaxy и некоторые другие от компании HTC, часто поддерживают технологию eMMC, которая содержит встроенный в модуль памяти контроллер, как и на карте памяти формата SD. В этом случае процесс восстановления может стать ещё более простым.

[attachimg=9]

Жёсткий диск против флэш-памяти

В так называемой зоне обслуживания жёсткого диска содержится информация, позволяющая ему "общаться" с самим собой. Для перевода данных в процессы чтения/записи необходимо сообщать информацию о том, где расположены сбойные сектора, сколько имеется магнитных головок, какие из них включены, а какие отключены, и так далее. Такая информация располагается на пластинах в специальной зоне, которая отделена от пространства диска, зарезервированного для записи пользовательских данных.

В случае с флэш-памятью производители также оставляют место для такой зоны, где содержится вся информация о кодах коррекции ошибок, наличии в секторах ошибок, местах расположения этих секторов, и так далее.

В то время как жёсткий диск состоит в основном из 512-байтовых секторов, флэш-память обычно использует 528-байтовые, где 512 байт относятся к памяти, а ещё 16 – к вышеупомянутой зоне обслуживания. В SSD-накопителях происходит преобразование в доступный пользователю размер сектора 512 байт. Но когда Flashback считывает исходные данные, специалисты получают информацию с обеих областей. Данные смешиваются, сваливаются в одну кучу и при этом чередуются. Когда специалистам нужно отобразить доступную информацию, все её элементы, извлечённые из зоны обслуживания, должны быть удалены.

[attachimg=10]

Более внимательный осмотр

Иногда специалистам требуется провести очень тщательный визуальный осмотр чипов и их хрупких внутренностей. Лучшим инструментом для такой работы считается микроскоп Mantis от Vision Engineering, и хотя он стоит примерно $2000, зато помогает специалистам по восстановлению изучить схему в 3D (с помощью двух световых дорожек, проходящих через одну линзу) с двадцатикратным увеличением. Более естественная и комфортная работа с Mantis помогает обнаружить те проблемы, которые могли быть незаметны при использовании обычных микроскопов. Он также становится помощником при паяльной работе, при разборке и в ремонте.

[attachimg=11]

Сканирующие станции

После того, как чипы соединены таким образом, что могут быть прочитаны внешними устройствами, сотрудники Flashback помещают их в самостоятельно собранные конфигурации для считывания данных. Они довольно просты, хотя в них имеются специальные системы, которые позволяют обозревать разные сектора, контролировать время работы и так далее. Если чтение происходит медленнее, чем обычно, существует возможность перехода на другие неиспорченные сектора, чтобы как можно быстрее получить доступную информацию.

"Мы можем двигаться и вперёд, и назад, - утверждает вице-президент компании. – Мы можем заставить прибор сканировать файловую таблицу MFT и отображать только лишь выделенные данные вместо получения свободного пространства, так что работа может быть выполнена очень быстро. Иногда приходится бороться c устройством, который даже в процессе восстановления продолжает сбоить, иногда есть клиенты, которым нужно как можно скорее вытащить один-два важных файла в сжатые сроки".

[attachimg=12]

Выбор крепления

Для подключения чипов к системам считывания Flashback применяет поразительное множество специальных креплений. На картинке можно увидеть тип адаптера, который был использован для работы с чипами TSOP48 и считывающим устройством TLGA. Внутри этих адаптеров каждый из контактов разъёма касается контактов на чипе памяти. Адаптер вкручивается в плату для последующего соединения с TSOP-разъёмом. В нижней части имеется USB-интерфейс для связи с системами сканирования.

[attachimg=13]

Микс данных

Помните тот чип памяти, который был снят с телефона HTC? Мы можем увидеть его снова, теперь уже с проводами для считывания. Печатные платы были сделаны на заказ для подключения к USB-устройству. Отверстия в каждом из углов помогают закрепить чип на плате. Вместе с TSOP-адаптером, который был показан выше, каждый из его контактов касается одного контакта на чипе памяти. Но в таком миксе все ламели чипов открыты, так что специалисты могут заниматься распайкой вместо подключения к разъёму. Поскольку здесь много монолитных чипов и разъёмов, Flashback требуется соединиться с конкретными точками и припаять их к чипу.

Это восьмибитный чип, о чём свидетельствуют восемь проводов, которые подсоединены к печатной плате. В 16-битном чипе их было бы вдвое больше.

[attachimg=14]

Процесс чтения в течение нескольких часов

При подсоединении монолитных чипов используется аналогичный подход. Разным устройствам нужны разные провода, но подход остаётся тем же – каждое соединение выполняет свою функцию. Например, в правом верхнем углу через контакт поставляется 3,3 В питания. Глядя на этот процесс, вы начинаете понимать, насколько много времени занимает простое извлечение данных из чипов.

[attachimg=15]

Добро пожаловать в мир хаоса

Посмотрим, с чем работают специалисты по восстановлению данных. Здесь видно содержимое необработанных исходных данных из главной загрузочной записи SSD-накопителя. Данные смешиваются при помощи алгоритмов, применяющихся контроллерами при оптимизации скорости чтения и записи, нивелировании износа и так далее.

"Считывая чипы, мы получали целую кучу необработанных данных, - рассказывает вице-президент компании. – Например, здесь чип памяти имеет 528-байтовый сектор, где 512 байт задействуются для данных, а ещё 16 – для хранения информации об этих данных и коррекции ошибок. Мы называем такую область зоной обслуживания. При первом просмотре этого массива данных в шестнадцатеричной системе счисления мы должны найти известные нам структуры данных, чтобы выяснить их расположение".

Здесь и далее на картинках видно, как располагаются известные структуры данных в шестнадцатеричной системе счисления.

[attachimg=16]

FAT под микроскопом

Здесь показаны файловая система FAT16 и загрузочный сектор

"Главная загрузочная запись (MBR) обычно отмечена в секторе 0, - рассказывает Чозик. – Теперь её там нет, но мы можем её найти и определить известную структуру данных. Мы знаем, где она располагается, как далеко находится от загрузочного сектора и так далее. Это можно увидеть на следующей картинке. Такой процесс напоминает сбор доказательств. Мы находим MBR, загрузочный сектор и FAT. Теперь мы видим знакомые нам структуры, и должны подумать над тем, как их вместе переместить обратно.

Чозик отмечает, что иногда специалистам не удаётся найти какую-либо из этих структур, как правило, из-за приложенного к устройству алгоритма. Некоторые алгоритмы инвертируют все биты данных. Если такой подход обнаружен, то специалистам известно, как провести обратный процесс. Некоторые алгоритмы будут касаться каждого байта вместо целого сектора, поэтому каждый байт будет располагаться на разном чипе памяти. Это требует воссоединения по каждому байту, а не по целому сектору. Некоторые алгоритмы будут использовать шифры, которые ещё больше усложняют процесс. Для процесса, выполняемого компьютером, восстановление довольно часто выполняется вручную.

[attachimg=17]

Совместное возвращение

Давайте внимательнее посмотрим на данные в секторе, где информация рассеивается по нескольким чипам памяти. Вы можете увидеть, как выглядит первая часть каждого сектора.

В шестнадцатеричной системе счисления обозначения располагаются в таком порядке: 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, A, B, C, D, E, F, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 1A, 1B, 1C и так далее. На чипе #1 видно, что порядок нарушен дважды – сначала между значениями 09 и 0Е, а затем между 11 и 16. А что происходит с соответствующими данными? Ответ – на чипе #2.

[attachimg=18]

По порядку

Специалистам требуется воссоединить эти разделённые 2112 байт (4 сектора по 528 байт), и когда это случится, результат будет выглядеть так же, как на картинке ниже.

А теперь представьте, что есть 64 дампа памяти, которые надо объединить. Почему 64? Потому что отдельный чип может иметь не один дамп, а, например, сразу четыре. Так что возьмите 16 чипов (к примеру, на SSD-накопителе), умножьте их количество на четыре – вот и выйдет общее число дампов (ровно 64).

[attachimg=19]

До и после

Возможно, трудно себе представить, как на самом деле все эти колебания на уровне байтов выглядят на макроуровне. Пустая ячейка в таблице (или повреждённый файл) не может отразить всю ситуацию в полной мере.

Картинка от Flashback способна проиллюстрировать это. На некоторых примерах заголовок и часть данных нетронуты, так что они могут, по виду, располагаться близко, но быть перемешанными, что отражается в артефактах изображения.

Взяв поврежденный JPEG-файл, специалисты применяют ECC-коррекцию и перемещение блоков для упорядочивания данных и удаления битовых ошибок, которые были обработаны при помощи контроллера. Они также заново упорядочены и освобождают зону обслуживания от собранных данных для обеспечения чистого и непрерывного потока данных.

[attachimg=20]

Конечный результат

После нескольких часов ремонта и различных манипуляций даже с использованием алгоритмов, помогающих автоматизировать сбор данных, сотрудники Flashback предоставляют данные в виде файлов и папок. Всё расположено по порядку. Насущным остаётся вопрос, восстановились ли данные полностью и соответствуют ли они своему первоначальному виду.

Частично это можно проверить при помощи файловых заголовков. Карты памяти SD и аналогичные накопители, как правило, содержат массу изображений, которые визуально легко проверить на наличие ошибок. Ошибки ECC в отдельных файлах обнаружить довольно легко - с остальными типами файлов может быть сложнее. Утилиты способны подсказать специалистам при помощи заголовка, что файл вылечен, но могут не отметить сбойный сектор, который хорошо виден наблюдателю.

"В отношении большинства клиентов мы делаем упор на практичность, - отмечает вице-президент компании. – Мы спрашиваем, что им необходимо получить, и тестируем файлы, если они об этом просят. Если выходит так, что мы не можем восстановить структуру директорий, нам приходится делать это при помощи заголовка файла. Это как "сырое" восстановление, где мы не получаем файловых имён. Мы будем вытаскивать данные, причём получим даже больше, чем рассчитывают люди, поскольку мы также можем восстановить и удалённую информацию. Иногда мы видим, что таблица FAT полностью повреждена, и тогда приходится приступать к именно такому виду восстановления".

[attachimg=21]

Что важнее?

В одной из статей о восстановлении данных кто-то из читателей отметил в комментариях, что по существу любой мог бы заняться таким бизнесом и что действие Flashback происходит на другом уровне в сравнении с более известными сервисами. Доказательство этому факту можно найти в результатах работы и списке клиентов, где имеется широкий спектр коммерческих и государственных организаций.

Согласно информации от Чозика, ведущие специалисты Flashback имеют более чем 15-летний опыт работы в сфере восстановления данных. Компания вложила сотни и тысячи долларов в оборудование и запчасти для проведения этих процессов.

"Очень тяжело познать это дело самостоятельно, - говорит он. – R&D-отделам понадобились годы для того, чтобы достичь тех высот, которых достигли мы. Наша компания не так уж мала, как кажется: наша площадь составляет почти 465 квадратных метров, и у нас установлен высокий уровень безопасности. Также имеется четырёхуровневый биометрический контроль с круглосуточным наблюдением. В лаборатории в целях борьбы со статикой используется заземлённый пол с медными проводами, так что нет никакого риска электрического повреждения. У нас есть специальная защищённая решётками область для хранения тех данных, которые используются в качестве доказательства в расследованиях. Также для жёстких дисков предназначены специальные чистые рабочие станции с ламинарным воздухопотоком (уровней Class 10 и Class 100). Судебная лаборатория является единственной частной ASCLD-лабораторией с международной аккредитацией (ISO 17025)".

[attachimg=22]

Не так уж и мала

Лаборатория Flashback для восстановления данных состоит из трёх комнат. Большое пространство первой заполнено компьютерами, паяльными станциями, аппаратами для восстановления, визуализации и прошивок. Также имеются серверы для хранения данных и подобных задач. В другой комнате хранятся тысячи жёстких дисков, различные версии прошивок и масса самых разных девайсов на случай, если понадобится печатная плата, внутренние головки чтения/записи или что-нибудь ещё. Стоит заметить, что здесь действительно чисто и выполняется принудительная циркуляция воздуха для работы с жёсткими дисками.

Ещё один уровень безопасности поддерживается в так называемой области судебной экспертизы, о которой уже шла речь, и клетка, в которой хранятся соответствующие накопители, прикреплена к полу и оснащена датчиками движения.

Но это не самое важное в статье: она знакомит вас с теми процессами, которые происходят за кулисами крупных компаний, занимающихся восстановлением информации. Восстановление – это не просто процесс "подключи и копируй", объём работы кажется просто запредельным. Конечно, мы все надеемся никогда не стать клиентами таких сервисов, но если вдруг придётся воспользоваться услугами, то именно через такой процесс восстановления данных будут вынуждены пройти ваши устройства.

[attachimg=23]

Источник: http://www.thg.ru/