Jak odzyskać pliki z dysków twardych, kart pamięci i pendrive'ów?

Gdy nośnik danych odmawia posłuszeństwa i cenne pliki zostają utracone,
pomóc mogą jedynie specjaliści od ratowania danych. Przyjrzeliśmy się na miejscu jak wygląda ich praca.

Jak odzyskać pliki z dysków twardych, kart pamięci i pendrive'ów?
Źródło zdjęć: © chip

Kiedy system w ogóle nie dostrzega, że nośnik jest podłączony, nie możemy liczyć na jakiekolwiek oprogramowanie do odzyskiwania danych. Jednak to, co dla zwykłych użytkowników oznacza katastrofę, dla zawodowców wyspecjalizowanych w odtwarzaniu utraconych danych jest po prostu kolejnym przypadkiem. W sterylnych laboratoriach dysponują oni arsenałem narzędzi i części zamiennych, pozwalających przeprowadzać operacje na trzewiach dysków magnetycznych. Dzięki takim metodom często udaje się odczytać uwięzione informacje i ponownie połączyć je w kompletne pliki.

Aby spotkać się z tymi _ cyfrowymi chirurgami _ i podejrzeć ich przy pracy, udaliśmy się do niemieckiego Böblingen, gdzie znajduje się filia międzynarodowej firmy Kroll Ontrack - specjalisty w dziedzinie odzyskiwania danych. Kierownik do spraw logistyki i zakupów Stefan Heib każdego dnia przyjmuje od 2. do 30 nowych zleceń.

- Spektrum problemów, z jakimi mamy do czynienia, obejmuje wszystko: od przypadkowo sformatowanych pendrive'ów do zalanych szaf serwerowych - opowiada. Technicy firmy umożliwiają ponowne odczytanie zawartości nośników pamięci i tworzą jej idealną kopię. Później ich koledzy z działu odtwarzania danych wyodrębniają z niej pojedyncze pliki. Choć niektóre przypadki wydają się beznadziejne, w 90 proc. zdarzeń udaje się przygotować dla klienta nowy dysk z odtworzonymi danymi.

Obraz
© (fot. chip)

Nośniki, które należą do prywatnych użytkowników, często ulegają uszkodzeniom w wyniku nieszczęśliwego wypadku. Do typowych przypadków należą zewnętrzne dyski po upadku w trakcie pracy czy dość niedelikatnie traktowane notebooki. Wstrząs powoduje zderzenie głowic z wirującymi talerzami dyskowymi - w normalnych warunkach te elementy dysku dzieli zaledwie kilka nanometrów. W trakcie kolizji głowice żłobią rysy na delikatnych powierzchniach magnetycznych, a niekiedy same zostają fizycznie uszkodzone.

- Kiedy zniszczeniu ulegają fabrycznie naniesione ścieżki i sektory prowadzące, po wypadku głowice tracą orientację i nie są w stanie określić położenia talerzy względem siebie - tłumaczy Martin Hiller, kierownik _ cleanroomu _, czyli pomieszczenia czystego - laboratorium z kontrolowaną atmosferą.

Fizyczne uszkodzenia: dysk twardy "klika"

Gdy podczas rozruchu dysku słychać regularne kliknięcia, są to odgłosy ruchu ramienia głowic, które daremnie usiłują odnaleźć właściwą pozycję wyjściową. Urządzenie zgłasza systemowi brak gotowości i nie jest przez niego rozpoznawane. Może tu pomóc jedynie laboratorium odzyskiwania danych - przed przekazaniem napędu specjalistom należy niezwłocznie odłączyć go od zasilania, uważając, by nie narazić go na kolejne wstrząsy.

Obraz
© (fot. chip)

Moduły pamięci nośników SSD, kluczy USB, smartfonów czy tabletów, które trafiają do laboratorium z powodu uszkodzeń mechanicznych, często są nienaruszone - nie działa tylko zawierające je urządzenie bądź połączony z nimi interfejs. Wówczas ratownicy danych starają się przeprowadzić naprawy niezbędne do tego, żeby móc przynajmniej uzyskać dostęp do plików.

Błędy logiczne: utrata danych

Do Kroll Ontrack trafia też wiele nośników, które są w idealnym stanie. Są one także prawidłowo wyświetlane w menedżerze plików Windows, jednak nie da się odnaleźć danych zapisanych w ich pamięci, na przykład z powodu błędu systemu plików bądź skasowania czy sformatowania partycji.

- W takich sytuacjach trzeba przede wszystkim zapobiec jakimkolwiek operacjom zapisu danych na dysku, gdyż w ich wyniku mogą zostać nadpisane dane, które, choć niewidoczne, nadal znajdują się w jego pamięci - wyjaśnia Martin Hiller.

Cleanroom: operacja na otwartym dysku

Każdy nośnik na początek zostaje podłączony do stacji kopiującej. To komputer wyposażony w szereg kontrolerów i złączy. Autorskie oprogramowanie firmy, którego twórcami są firmowi informatycy, najpierw sprawdza, czy da się w łatwiejszy sposób naprawić pliki. Jeśli okaże się, że wina leży po stronie uszkodzonych przez głowicę talerzy, nośnik trafia do sterylnego laboratorium.

Obraz
© (fot. chip)

Po zdiagnozowaniu defektu technicy sięgają do przepastnego zbioru części zamiennych - tylko oddział w Böblingen dysponuje 2. tys. elementów dysków różnych producentów. Części muszą pochodzić z dokładnie tego samego modelu, gdyż wytwórcy często wprowadzają drobne modyfikacje w kolejnych partiach produkcyjnych.

Pamięć flash: problematyczne szyfrowanie

Dyski SSD stawiają przed ratownikami danych inne wyzwania niż dyski magnetyczne. Są bardziej wytrzymałe na uszkodzenia - nie zawierają ruchomych części, a ponadto zapisane na nich dane są przechowywane w osobnych układach pamięci, które Martin Hiller i jego koledzy mogą pojedynczo zdejmować z płytki drukowanej i odczytywać, kiedy odmówi posłuszeństwa kontroler. Wyodrębnienie z odczytanych danych poszczególnych plików może jednak okazać się trudną sztuką.

Ratownicy danych są w stanie w relatywnie łatwy sposób odczytać dane z pamięci smartfonów z Androidem oraz starszych urządzeń z iOS-em. W iPhonie 4S i jego następcach, iPadzie 2 czy urządzeniach z Androidem z aktywną funkcją szyfrowania nie da się jednak uzyskać dostępu do pamięci bez działającego oprogramowania systemowego. Również karty microSD sprawiają wiele kłopotów z racji zminiaturyzowanej konstrukcji. Z tego względu lepiej regularnie tworzyć kopie zapasowe ważnych plików przechowywanych na nośnikach tego typu.

Odtwarzanie danych jak układanie puzzli

Umożliwienie odczytania zawartości nośnika to jedynie pierwszy krok do odtworzenia cennych informacji. Ze strumienia surowych danych trzeba jeszcze wyodrębnić poszczególne pliki. W tym celu inżynierowie tworzą dokładny obraz pamięci danego nośnika, zawierający wszystko, co udało się z niego odczytać. W przypadku typowych dysków z popularnym systemem plików dość łatwo jest podzielić go na pojedyncze elementy.

Utrata danych: zawodowcom też zdarzają się błędy Największe zlecenia trafiają do firmy Kroll Ontrack od centrów obliczeniowych, w których jakiekolwiek ryzyko utraty danych wydawałoby się nie do pomyślenia.

- Nawet administratorzy popełniają błędy podczas obsługi systemów. Jedno fałszywe kliknięcie, a terabajty archiwów poczty elektronicznej, danych klientów czy wyników badań znikają w niebycie. Zdarzają się też nieprzewidywalne katastrofy.
- Jednym z naszych najpoważniejszych przypadków było centrum obliczeniowe, w którym pożar aktywował system tryskaczowy, doprowadzając do zalania licznych szaf serwerowych i napędów taśmowych, służących do archiwizacji danych. W laboratorium w Böblingen skonstruowano wówczas specjalną maszynę oczyszczającą i odczytującą taśmy magnetyczne. Specjaliści radzą sobie również z innymi spektakularnymi klęskami: firma odtworzyła m.in. wyniki badań z dysku odnalezionego wśród zwęglonych szczątków amerykańskiego wahadłowca Columbia.

Domowe sposoby na przywrócenie plików z pendrive'a lub karty pamięci

Jeśli nasze dane nie zostały jeszcze nadpisane, odtworzymy je za pomocą bezpłatnego narzędzia Recuva albo Image Recovery. Może się okazać, że pliki nie będą posortowane w folderach i będą nosić inne nazwy, ale przynajmniej je odzyskamy. Jeśli dane jednak zostały nadpisane, trzeba rozważyć kontakt ze specjalistami.

słk

wiadomościpendrivekarta pamięci
Wybrane dla Ciebie
Komentarze (17)