Проблеми й технології відновлення доступу до даних, збережених на машинних носіях

ЛЕКЦІЯ 11.

Тема 9. МЕТОДИ ВІДНОВЛЕННЯ ТА ГАРАНТОВАНОГО ЗНИЩЕННЯ ІНФОРМАЦІЇ

Контрольні запитання.

1. Визначите прикмет досліджень та розробок у стеганографії.

2. Які існують розділи класичної стеганографії?

3. Сформулюйте зміст цифрової стеганографії.

4. Що може застосовуватися у якості носія інформації, що приховується?

5. Що називається стеганографічним контейнером?

6. Що таке стеганографічна система кодування найменшого значущого біту?

7. Які елементи включає модель комп'ютерної стеганографічної системи?

8. Які цілі може переслідувати порушник безпеки стеганографічної системи?

9. Які існують види атак на комп'ютерні стеганографічні системи?

План

1. Проблеми й технології відновлення доступу до даних, збережених на машинних носіях.

2. Знищення інформації, збереженої на НЖМД.

3. Розслідування комп'ютерних інцидентів

Оброблення інформації з обмеженим доступом на обчислювальної техніці потребує вирішення двох протилежних задач:

- гарантоване знищення даних на машинних носіях у необхідних випадках. При цьому мається на увазі таке знищення, внаслідок якого інформація з носія не може бути зчитана аніякім методом;

- відновлення інформації з машинних носів, на яких вона була пошкоджена внаслідок випадкових або навмисних дій.

Обі дві проблеми мають складні фізико-технічні рішення, зупинимося на методах їх розв'язання детально. Наведений нижче матеріал публікується з дозволу компанії «ЕПОС», яка є автором відповідних технологій, рішень та засобів).

Відновлення даних може бути необхідно у наступних випадках:

ü фізичні пошкодження носіїв інформації (рис. 9.1), їх елементів, наприклад руйнування дисків (рис. 9.2), пошкодження блоку магнітних голівок;

ü після видалення розділів і файлів (рис. 9.3);

ü після логічного руйнування файлових систем (NTFS, FAT і ін.);

ü після форматування дисків;

ü електричні й механічні пошкодження елементів електроніки;

ü поява збійних секторів на поверхнях дисків або в комірках пам'яті;

ü руйнування службової інформації накопичувача.

Рис. 9.1 Комп'ютер, пошкоджений після пожежі

Причинами, внаслідок як знищуються дані, можуть бути:

ü апаратні збої;

ü програмні збої;

ü помилки користувачів;

ü вплив вірусів;

ü навмисні дії;

ü стихійні лиха.

Для відновлення інформації використовується спеціалізоване устаткування й програмне забезпечення.

Рис. 9.2 Пошкоджений HDD (дисковід)

У поточний час відпрацьовані методи та технології відновлення інформації на наступних машинних носіях:

ü жорсткі диски (HDD, вінчестери) з інтерфейсами – PATA (IDE), SATA, у формфакторі – 3.5”, 2.5”, 1.8”, 1.0”;

ü Raid-масиви;

ü зовнішні накопичувачі HDD з інтерфейсом USB, Еsata, Fibre Channel;

ü USB Flash-Накопичувачі (флешки), MP3- і медіа плеєри;

ü карти пам'яті: CF (Compactflash), SD (Secure Digital), mini SD, microSD, Memorystick Pro/Pro Duo, MMC (Multimedia Card), RS-MMC, xd-Picture;

ü SSD накопичувачі (Solid State Drive);

ü CD- / DVD- / Floppy - диски.

Кращі фізико-технічні та математичні методи відновлення інформації за даними сервісного центру ТОВ «ЕПОС» дозволяють відновити понад 90% інформації.

Вихід з ладу магнітних голівок, заклинювання двигуна, зсув пластин і т.п. – одні із самих складних випадків втрати інформації. Для відновлення даних найчастіше необхідно розбирати не тільки несправний вінчестер, але й аналогічні робочі для з'ясування деталей функціонування. Роботи з розкриття жорстких дисків можна виконувати тільки в спеціальному приміщенні - герметичній камері з мінімізованим вмістом у повітрі пилу. Спроби розкриття корпусу HDD зовні такого приміщення можуть призвести до незворотної втрати інформації.

Рис.9.3 Знищення інформації засобами операційної системи

Основне правило після випадкового видалення даних – якнайменше звертань до жорсткого диска. Чим менше разів включався комп'ютер і чим менше даних було записано на вінчестер після видалення, тим вище ймовірність та повнота відновлення інформації при руйнуваннях логічної структури

Руйнування логічної структури, переформатування призводять до втрати доступу до розділів диска, зникненню елементів файлової системи, відображенню розділів як неформатованих і т.п. Як і в попередньому випадку, важливо мінімізувати кількість звернень до диску. Тому робота ведеться тільки з точною посекторною копією диска, без внесення змін у логічну структуру накопичувача, що дозволяє уникнути помилок при відновленні інформації.

При руйнуванні службової інформації жорсткий диск не визначається в BIOS або визначається некоректно. Для відновлення даних використовується спеціальне устаткування й програмне забезпечення, що дозволяють виправити помилки в службовій області накопичувача.

Виникнення дефектних секторів часто спричиняє лавиноподібний процес руйнування поверхонь дисків. Щоб знизити ризик необоротної втрати даних, у використовуються спеціальні технології, що дозволяють швидко й з мінімальними втратами зберегти інформацію.

Відмова електроніки жорсткого диска – одна з найбільш частих причин втрати даних. На противагу поширеній думці заміна контролера сучасного вінчестера автоматично не вирішує проблеми. Це пояснюється тим, що службова інформація про конфігурацію конкретного приводу, що включає дані про кількість голівок, розмітці диска й т.п., зберігається в мікросхемі BIOS на платі контролера. Для відновлення даних необхідно «перепрошити» BIOS вінчестера так, щоб привести у відповідність службову інформацію контролера й гермоблоку.

Іноді в результаті збою вінчестер мимовільно встановлює пароль на доступ до даних. Щоб відновити інформацію, необхідне зняття пароля, для чого використовується спеціальні програмні й апаратні засоби.

Технологічний процес відновлення доступу до інформації завжди починається з діагностики технічного стану накопичувача, що включає в себе: діагностику робочих поверхонь, тестування контролера, виконання тестів читання даних. Після визначення причини втрати доступу до даних вибирається відповідний спосіб його відновлення.

Якщо за результатами діагностики технічний стан жорсткого диска відповідає нормам (накопичувач справний), а втрата інформації відбулася внаслідок програмного збою (вплив вірусів, некваліфіковані дії користувачів, збої операційної системи), то для відновлення доступу до інформації використовується спеціалізоване програмне забезпечення, що дозволяє одержати доступ до даних на диску на рівні команд інтерфейсу. У цьому випадку говорять про відновлення доступу до даних на логічному рівні.

При наявності достатнього досвіду в багатьох випадках відновити доступ до інформації на справному жорсткому диску можна й без застосування спеціальних утиліт, користуючись тільки Diskedit. Справедливості заради необхідно помітити, що досвід необхідний і при застосуванні спеціальних утиліт. В автоматичному режимі навіть широко відома утиліта "Tiramisu" не в змозі правильно відновити послідовність кластерів, що містять той або інший файл. Проте, у випадку повної справності жорсткого диска доступ до даних можна відновити й самостійно. Важливо тільки розуміти, що з першої спроби вгадати правильну послідовність кластерів не вдається. Тому, щоб не втратити інформацію остаточно, усі роботи по відбудові інформації можна проводити тільки з копією жорсткого диска.

Саме тому наступним кроком після діагностики накопичувача є створення точної копії (образа) жорсткого диска. Створення копії жорсткого диска необхідно не тільки з метою убезпечити свою роботу. Поверхня диска може мати окремі ушкодження. Ці ушкодження небезпечні тим, що супроводжуються появою усередині герметичної камери жорсткого диска дрібних твердих часток. Ці частки приводять до нових ушкоджень поверхні, причому цей процес носить лавиноподібний характер. У результаті після декількох годин роботи накопичувача на значній площі поверхні дисків робочий шар стирається повністю.

Технологія відновлення доступу до інформації з несправного жорсткого диска суттєво відрізняється від відновлення даних на логічному рівні. У багатьох випадках відновити працездатність накопичувача вдається лише на нетривалий час. Наприклад, у результаті "ляпанцю" голівки ушкоджується як сама голівка, так і поверхня диска. Найчастіше саме це і є причиною розглянутої вище несправності. Вибиті з поверхні диска осколки, перебуваючи усередині герметичної камери, продовжують руйнувати робочий шар, що дуже швидко призводить до повної відмови накопичувача.

Якщо при перших ознаках несправності жорсткий диск приносять у сервісний центр, те, як правило, вдається врятувати більшу частину інформації. Більше того, вдається відновити деяку частину інформації навіть із ушкоджених ділянок пластин жорсткого диска. Для цього при створенні копії жорсткого диска використовується технологія адаптивного копіювання.

Суть її полягає у швидкім копіюванні інформації з пошкоджених ділянок і наступному багаторазовому (до 100 разів) зчитуванні інформації з пошкоджених ділянок. Потім проводиться статистична обробка результатів зчитування збійних секторів за допомогою методу максимальної правдоподібності. Критерієм успішного відновлення інформації є досягнення заданого граничного значення коефіцієнта вірогідності. У деяких випадках після процедури адаптивного копіювання потрібне проведення робіт по відбудові даних на логічному рівні.

Ушкодження поверхні пластин жорсткого диска є, напевно, найпоширенішою й небезпечною несправністю, але далеко не єдиною. Жорсткі диски можуть виходити з ладу по безлічі причин. Це й порушення теплового режиму, і підвищена вологість, і виробничі дефекти, і "ляпанці" голівки через зовнішні ударні впливи, і зношування внаслідок інтенсивної роботи.

У таблиці 1 наведені деякі типові несправності жорстких дисків і способи відновлення доступу до інформації.

Таблиця 1.

Типові несправності жорстких дисків і способи відновлення доступу до інформації

Таким чином, усі випадки відновлення доступу до інформації на жорстких дисках, що відмовили, можна розділити на дві великі групи: потребуючі розкриття герметичної камери й не потребуючі її розкриття.

У випадку, коли розкриття герметичної камери не потрібно, проблема відновлення інформації вирішується заміною контролера або чипа керування двигуном на аналогічний. У принципі, таку операцію кваліфікований користувач може виконати самостійно. Необхідно знайти повний аналог несправного жорсткого диска й акуратно переставити з нього контролер.

Відновлення інформації з ушкодженнями в камері (обрив або ушкодження голівок, відмова комутатора, дефекти й зношування робочої поверхні) вимагає розкриття гермоблоку, що, у свою чергу, вимагає застосування спеціального устаткування й, у першу чергу, наявність " чистої кімнати" - приміщення, у якім строго контролюється концентрація зважених у повітрі дрібних порошин.

У неробочому стані голівки притискаються до пластин у спеціальній зоні, називаною зоною паркування. Вихід голівок у зону паркування виконується автоматично при зниженні швидкості обертання двигуна нижче номінальної або провалі напруги живлення. Оскільки поверхні дисків і голівки виготовляються дуже гладкими, те іноді спостерігається ефект "прилипання" голівки до диска. У цьому випадку, при подачі напруги на накопичувач голівки не встигають відірватися від поверхні починаючих обертання дисків і відбувається їхній перекіс або обрив. Ушкодження голівок можуть виникати й у результаті "ляпанцю" голівки, викликаного зовнішнім ударним впливом на робочий жорсткий диск. В обох випадках голівка починає дряпати поверхню диска, ушкоджуючи його поверхню.

Щоб відновити інформацію з такого накопичувача, необхідно замінити ушкоджену голівку або блок голівок повністю. У більш старих моделях жорстких дисків кожна голівка в блоці при виробництві юстирувалися під свою робочу поверхню, тому навіть в одному блоці голівки могли бути позиціоновані по-різному. При заміні блоку голівок було необхідно калібрувати всі чотири голівки, що забирало багато часу, при цьому при спробах уважати дані ще більше ушкоджувалася поверхня диска. Щоб розв'язати цю проблему, було розроблено прецизійне обладнання для заміни і юстировки окремих голівок. Це обладнання дозволяє вилучити ушкоджену голівку, запресувати на її місце робочу й відкалібрувати її з точністю до одиниць мікронів.

У сучасних жорстких дисках з високою щільністю запису такої точності юстировки голівки вже недостатньо, оскільки ширина доріжок запису становить порядку десятих часток мікрон. Крім того, завдяки досягненням у технологіях виробництва жорстких дисків блоки голівок у накопичувачах однієї серії практично ідентичні. Тому при ушкодженнях окремих голівок повністю заміняється весь блок.

Розповсюдженою причиною відмов жорстких дисків є вихід з ладу попереднього підсилювача-комутатора в результаті кидків напруги або неправильного підключення напруги живлення. У старих моделях накопичувачів мікросхема комутатора перебувала усередині камери. Це дозволяло виконувати її заміну без зняття блоку голівок.

Щоб забезпечити мінімальне загасання сигналу зчитування, у сучасних жорстких дисках підсилювач-комутатор розміщають безпосередньо на блоці голівок. У цьому випадку перед заміною мікросхеми необхідно зняти весь блок голівок, щоб уникнути перегріву дисків при ремонті та втрати інформації. Деякі виробники використовують безкорпусні мікросхеми комутаторів, які не підлягають заміні - у цьому випадку заміняють увесь блок голівок.

Заміна будь-якого елемента жорсткого диска негативно позначається на його характеристиках. Через неможливість точно відкалібрувати блок голівок збільшується кількість помилок читання. Після заміни підсилювача-комутатора звичайно знижується відношення сигнал/шум, що теж приводить до росту помилок. Тому при копіюванні даних з відремонтованого жорсткого диска на технологічний доцільно застосовувати алгоритм адаптивного копіювання. Але навіть при застосуванні алгоритму адаптивного копіювання голівка часто "зациклюється" на деяких доріжках, багаторазово намагаючись уважати той самий сектор. Це приводить до того, що на зчитування інформації з такого жорсткого диска йде дуже багато часу - у середньому добу, а іноді й до місяця безперервної роботи. Якщо виконувати таке копіювання у звичайнім приміщенні, голівка досить швидко зітре робочий шар до основи.

Герметизація камер деяких жорстких дисків забезпечується за допомогою спеціальної липкої стрічки, що наклеюється по периметру корпуса накопичувача. При ушкодженні цієї стрічки (при необережному обігу при транспортуванні або установці у вузькі кишені деяких корпусів комп'ютера) можлива ненавмисна розгерметизація камери.

Порушення герметизації може приводити до влучення усередину камери пилу, що руйнує голівки й робочі поверхні дисків. Такий накопичувач може ще працювати якийсь час, однак звичайно дуже скоро починається лавиноподібний процес виникнення збійних секторів і він виходить із ладу. Проте, якщо вчасно звернутися в центр відновлення інформації, інформацію ще можна буде врятувати. Жорсткий диск розкриють у чистій кімнаті, акуратно вичистять пил, що потрапив усередину камери. Потім дані будуть переписані на технологічний жорсткий диск.

Слід зазначити, що будь-яке розкриття камери жорсткого диска, навіть без заміни його вузлів, приводить до погіршення його роботи й у наслідку до виходу його з ладу. Середній термін служби накопичувача, камера якого розкривалася, не перевищує двох-трьох місяців. Потім починається швидкий ріст кількості збійних секторів, збільшується ймовірність помилок читання й жорсткий диск виходить із ладу остаточно. Саме тому розкриття камери жорсткого диска й ремонт елементів, розташованих у камері, проводиться тільки з метою відновлення інформації, а не з метою відновлення його працездатності.

Останнім часом почастішали випадки, коли користувачі намагаються самостійно відновити інформацію або відремонтувати жорсткий диск, розкриваючи при цьому його камеру. Це завжди приводить до остаточного порушення його працездатності й дуже утрудняє відновлення даних. Наприклад, відбитки пальців із дзеркальної поверхні пластини вилучити вже практично неможливо. І якщо інформацію на початку диска, де звичайно зберігається операційна система, ще можна буде відновити, то користувацькі дані в середині й кінці диска можуть бути загублені безповоротно.

Подавати напругу живлення на накопичувач із відкритою камерою поза чистою кімнатою неприпустимо. Повітряний потік захоплює частки пилу, які починають руйнувати робочий шар. Залежно від швидкості обертання дисків частки пилу знищать робочий шар за один-дві години, стираючи його до основи, з якої виготовлені диски. Інформацію в цьому випадку відновити неможливо.

Описані вище методи дозволяють у більшості випадків відновити інформацію. Однак, можливості всіх цих методів обмежуються точністю механічного позиціонування голівок читання. У цей час розроблені й могутніші способи відновлення інформації, що засновані на візуалізації магнітних полів розсіювання. Ці способи дозволяють створювати візуальний образ робочих поверхонь носія з високим дозволом, достатнім для побітового дослідження інформації. Відомо більш десятка таких методів, але при високої щільності запису даних сучасних жорстких дисків найбільшими можливостями по відновленню інформації має метод зняття магнітної сигналограми, заснований на магнітній силовій мікроскопії. Найбільші труднощі при застосуванні магнітної силової мікроскопії викликає необхідність сполучення безлічі зображень різних ділянок поверхні диска.

За допомогою подібних систем можливе відновлення інформації в ряді випадків навіть після того, як на місце зберігання відновлюваного файлу багаторазово записана нові дані.

Трохи менш потужним, але зате значно більш дешевим є метод Биттера (метод "магнітних чорнил"). Здатність аналізу при візуалізації магнітних полів за методом Биттера обмежується розмірами часток феромагнітних часток у суспензії, використовуваної в процесі візуалізації. Проте, застосовувана в центрі відновлення інформації компанії ЕПОС суспензія дозволяє здійснювати візуалізацію магнітних полів для жорстких дисків обсягом до 4ГБ. Більше того, для дисків більшої ємності можна одержати зображення з деталізацією, достатньої для аналізу загальної структури диска й стану його робочої поверхні.

У порівнянні з іншими типами флеш носіїв інформації має ряд особливостей, серед яких можна виділити найбільш істотні:

1. обмежена кількість циклів запису;

2. наявність спеціальної резервної області;

3. блокова організація пам'яті.

Такі особливості флеш пам'яті приводять до необхідності використання виробниками накопичувачів спеціальних алгоритмів оптимізації використання комірок пам'яті для запису даних. Це приводить до того, що інформація в флеш пам'яті записується в кодованому виді. Відсутність інформації про принципи кодування (що є комерційною таємницею багатьох виробників флеш накопичувачів), і велика кількість кодів ускладнює процес відновлення інформації.

Специфіка фізичних і математичних принципів запису інформації у накопичувачів типу флеш пам'яті потребує застосування адекватних технологій.

Наприклад, розроблений ТОВ «ЕПОС» комплекс EPOS Flashextractor – є за суттю професійним рішенням для відновлення даних с флеш накопичувачів, що базується на технології фізичного доступу до флеш пам'яті. Комплекс являє собою друге покоління систем відновлення інформації. Основними відмінностями нової версії стали підвищена (в 2-3 рази) швидкість читання мікросхем пам'яті, вбудовані засоби корекції помилок зчитування й керування напругою живлення чипів.

Основні функції комплексу:

ü Відновлення даних з будь-яких типів флеш накопичувачів, у тому числі фізично несправних;

ü Відновлення даних з флеш накопичувачів, що захищені за допомогою паролю.

Комплекс EPOS Flashextractor підтримує наступні типи флеш накопичувачів:

ü USB флеш диски;

ü SSD накопичувачі;

ü Карти пам'яті Secure Digital (SD card), Compactflash, xd Card, Memory Stick, Multimedia Card (MMC), Smartmedia і ін.;

ü флеш - пам'ять цифрових фотоапаратів, диктофонів, мобільних телефонів, MP3 - плеєрів, кишенькових комп'ютерів.

Комплекс дозволяє подолати багато труднощів, що обумовлені швидкими змінами у принципах побудови та протоколах функціонування сучасних флеш накопичувачів. Він забезпечує зчитування даних з максимальною швидкістю, яка обмежена тільки швидкодією мікросхем пам'яті. Для сучасних 16-розрядних чипів вона досягає 3,5 ГБ/хв. Вбудована технологія корекції помилок гарантує максимальну вірогідність зчитуваних даних. У комплексі реалізована підтримка найсучасніших протоколів читання з мікросхем пам'яті. Це дозволяє коректно витягати дані з мікросхем усіх типів і ємностей будь-яких виробників. Забезпечена підтримка трьох різних рівнів напруг живлення, а також можливість роботи із чипами пам'яті, що мають дві напруги живлення.

Дата добавления: 2014-01-07; Просмотров: 574; Нарушение авторских прав?; Мы поможем в написании вашей работы!