NEXT 1/2008 - Odzyskać utracone bity

W Katowicach mieści się największe w Europie Środkowo-Wschodniej laboratorium odzyskiwania danych i informatyki śledczej, prowadzone przez firmę Kroll Ontrack. Przechodząc przez drzwi, trafiamy na wiele mówiące hasło: „Masz nas oddanych”.

W razie awarii

NEXT: Jak powinien zachować się użytkownik, który utracił cenne dane? Paweł Odor: W przypadku utraty danych wskutek mechanicznej awarii nośnika należy zgłosić się do specjalistów. W Polsce działa bezpłatna infolinia utraty danych 0800 90 90 90. W przypadkach logicznych (najczęściej błąd systemu lub oprogramowania) można spróbować odzyskać dane na własną rękę – jednak zawsze korzystając z renomowanego oprogramowania. Aby operacja się powiodła, należy przestrzegać czterech zaleceń: odłączyć komputer od zasilania, nie uruchamiać systemu z dysku, na którym doszło do utraty danych, nie instalować nic na takim dysku ani nie zapisywać żadnych danych, przełożyć dysk do innego komputera z zainstalowanym oprogramowaniem do odzyskiwania danych. NEXT: Czy można odzyskać dane z zaszyfrowanych partycji? PO: Tak, odzyskujemy również dane z zaszyfrowanych nośników. Nie oznacza to jednak, że zajmujemy się łamaniem zabezpieczeń. W takich przypadkach odzyskane dane są również zaszyfrowane, a dostęp do nich mają osoby posiadające klucz. W przypadkach dużych uszkodzeń struktury danych bądź nośnika konieczne jest przekazanie nam klucza, aby istniała możliwość jak najdokładniejszego poskładania struktury plików. NEXT: Z jakimi kosztami trzeba się liczyć, korzystając z Państwa usług? A może niekiedy są one wykonywane za darmo? PO: Zdarza się, że współpracujemy z klientami na zasadach niekomercyjnych. Jednak zawsze takie zaangażowanie uwarunkowane jest wagą informacji nie tylko dla zleceniodawców, ale również osób trzecich. W przypadku zleceń komercyjnych średnie ceny usług odzyskiwania danych wahają się od 2 do 4 tys. zł.

W laboratorium Kroll Ontrack wszystko jest antyelektrostatyczne: wykładziny, stoły, krzesła, a nawet koszulki, do których wkłada się dokumentację zlecenia. Pracownicy przebywający na terenie laboratorium noszą specjalne fartuchy. Wobec gości nie ma aż tak restrykcyjnych wymagań, wszyscy muszą jednak przejść przez specjalne, klejące maty, do których przywiera pył z butów. Jest to konieczne, ponieważ dyski twarde, produkowane w warunkach podwyższonej czystości powietrza, są hermetycznie zamknięte. Podczas prac, które czasem wymagają ich otwarcia, nie mogą zostać zanieczyszczone np. drobinami kurzu.

W kolejce do analizy

Dopiero po przejściu procedury oczyszczającej mogliśmy przekroczyć próg laboratorium. Pierwszą rzeczą, którą ujrzeliśmy, były regały po brzegi zapełnione dyskami twardymi. Część z nich to napędy, na które będą przegrywane dane, zaś pozostałe posłużą jako źródło zapasowych elementów. Nośniki dostarczone przez klientów, z których będą odzyskiwane dane, czekają na swoją kolej w specjalnych antyelektrostatycznych kuwetach.

Kiedy dysk twardy trafi już w ręce specjalistów, pierwszą czynnością jest wstępna ekspertyza uszkodzenia. Awarii mogła bowiem ulec elektronika, część mechaniczna albo struktura logiczna (do tej ostatniej kategorii zalicza się też odzyskiwanie skasowanych danych). W tym momencie inżynierowie przeprowadzający badanie oceniają także szanse na pomyślne odzyskanie danych. Informacje te są następnie przekazywane do klienta, który podejmuje decyzję o rozpoczęciu bądź zaniechaniu dalszych czynności.

Odzyskiwanie danych

Procedura odzyskiwania danych polega na fizycznym przekopiowaniu informacji z uszkodzonego dysku na nowy nośnik, na którym prowadzi się później wszystkie prace. Podczas tej operacji specjalne oprogramowanie kopiuje całą strukturę uszkodzonego dysku, łącznie z informacjami technicznymi, normalnie niedostępnymi dla użytkownika, systemu operacyjnego ani też dla kontrolera na płycie głównej. Program może zacząć tę czynność od dowolnego fragmentu talerza, co w wypadku niektórych typów uszkodzeń ma istotne znaczenie. W tej fazie odzyskiwania danych kopiowana jest np. zawartość niewidocznych zapasowych sektorów, do których dysk w razie problemów z odczytem przenosi dane użytkownika. Kopiowane są również bity kontrolne, które okazują się nieocenioną pomocą przy odzyskiwaniu utraconych informacji. Co ciekawe, fizyczna wielkość pojedynczego sektora z danymi wynosi nie 512 B – jak widzi to system operacyjny – lecz 560 B. Różnica 48 B to właśnie wspomniane bity kontrolne.

Jeśli uszkodzeniu uległa struktura logiczna danych lub chodzi o odzyskanie skasowanych plików, a sam napęd jest sprawny, wówczas wszystkie informacje od razu kopiowane są na dysk roboczy, z którego specjaliści, posługując się specjalnym oprogramowaniem, odzyskają utracone dane. Gdy zaś napęd nie funkcjonuje, to w pierwszej kolejności trzeba przywrócić mu sprawność w taki sposób, by zadziałał on chociaż ten jeden, ostatni raz.

Ocena:    (aby ocenić, musisz się zalogować w serwisie)

 del.icio.us |  Wykop mnie |  Digg this story |  dodajdo.com

• Czesko-polskie komputery »
  reportaż z fabryki komputerów
• Okiełznać fotony »
  optyczne laboratorium Intela
• Pogromca Outlooka »
  PIM ZIMBRA DESKTOP
• Odzyskać dane »
  SEARCH AND RECOVER 4
• Odzyskać ten dokument »
  test porównawczy programów do odzyskiwania danych