Опубликовано 03 августа 2006, 00:33

Ничто не исчезает бесследно… Почти ничто! Восстановление информации.

При всём многообразии используемых устройств хранения данных первое место по-прежнему принадлежит жёсткому диску (он же HDD, он же винчестер) — подавляющая часть актуальной и востребованной информации, настоятельная необходимость обращения к которой может возникнуть в любой момент, хранится именно на нём. Поскольку жёсткий диск является более сложной системой, нежели, скажем, те же оптические приводы, то и вероятность критичной неисправности в ней определённо выше, что создаёт риск потери ценных (или не очень) данных.
Ничто не исчезает бесследно… Почти ничто! Восстановление информации.

Какие они бывают?

На данный момент жёсткие диски принято характеризовать по типу интерфейса, скорости доступа и передачи данных и надёжности, а также по используемой файловой системе (к конструктивным особенностям устройства отношения она, конечно, не имеет, но играет при этом весьма немаловажную роль). Некоторые из указанных параметров мы рассмотрим чуть ниже в качестве общего представления.

1. Типы интерфейса

Parallel ATA (IDE/EIDE) — пока ещё является доминирующим типом интерфейса для персональных компьютеров, но в последнее время активно вытесняется пришедшим ему на смену интерфейсом SATA. Основное преимущество — самая низкая по сравнению с накопителями на иных интерфейсах цена.

Serial ATA (SATA) — в данном стандарте при подключении дисков используется новый тип кабелей, допускается горячее подключение накопителей (без отключения системы в целом), а также использован механизм оптимизации очереди команд внутри контроллера с целью ускорения операций ввода-вывода данных. Также отличается от предшественника (PATA) тем, что к одному каналу можно подключить только одно устройство. SATA-II поддерживает улучшенную пропускную способность (до 300 Мбайт/с).

SCSI — наиболее производительный и дорогой из используемых интерфейсов. Скорость вращения шпинделя составляет в зависимости от модели 10-15 тысяч оборотов в минуту. Скорость передачи данных — до 320 Мбайт/с. Используемые технологии существенно снижают нагрузку на центральный процессор, плюс поддерживается подключение до пятнадцати устройств на один канал. В силу высокой стоимости и сравнительно небольшой ёмкости используется преимущественно в серверных системах. Существуют как варианты, поддерживающие горячую замену, так и с отсутствием оной.

2. Скорость вращения, доступа, надёжность накопителей на жёстких дисках

При тенденции постоянного повышения плотности записи на пластину более высокая скорость вращения имеет достаточно большое значение — иногда на дисках с невысокой частотой вращения вызывает некоторый дискомфорт обработка увесистых файлов или длительная загрузка очередного уровня любимой игры. В то же время с увеличением скорости вращения возрастает вероятность возникновения сбоя при чтении/записи данных, а также энергопотребление, что в большей степени критично для систем класса ноутбуков. В данный момент стандартные скорости вращения (заявленные производителями — на практике в силу объективных причин они несколько ниже) — 4200, 5400 и 7200 оборотов в минуту. Первые два варианта используются преимущественно в мобильных системах, последний характерен для подавляющего большинства настольных ПК. Также не так давно был анонсирован вариант на интерфейсе SATA-II со скоростью вращения 10000 об/мин (то есть вплотную приблизившийся к низкоуровневым накопителям на интерфейсе SCSI), но распространения пока не получил. Кстати, именно в связи с необходимостью обеспечения высокой надежности и отказоустойчивости систем с высокими скоростями вращения накопители с интерфейсом SCSI имеют относительно небольшую плотность записи данных и, как следствие, меньший по сравнению с менее производительными системами объём.

Также одним из наиболее значимых параметров является скорость доступа к данным. В случае обработки небольшого количества объёмных (то есть большее значение имеет скорость передачи, а не поиска) файлов это может не иметь особого значения, но при обработке большого количества данных либо при работе с сильно фрагментированным диском скорость поиска и доступа становится критичной.

3. Распространённые типы файловых систем

Наиболее распространёнными файловыми системами являются NTFS, FAT12/16/32, а также линуксовые ext2/ext3.

NTFS

NTFS (от англ. New Technology File System — “Файловая система новой технологии”) — стандартная файловая система для семейства ОС Microsoft Windows NT (Windows 2000, Windows XP, Windows Server 2003).

NTFS заменила прежде использовавшуюся в MS-DOS и ранних версиях Windows файловую систему FAT. NTFS поддерживает систему метаданных и использует специализированные структуры данных для хранения информации о файлах для улучшения производительности, надёжности и эффективности использования дискового пространства. Имеет встроенные возможности разграничения доступа к данным для различных пользователей и групп пользователей, а также назначения квот (ограничения на максимальный объём дискового пространства, занимаемый теми или иными пользователями). NTFS использует систему журналирования для повышения надёжности файловой системы.

Различают несколько версий NTFS: v1.2 используется в Windows NT 3.51 и Windows NT 4.0, v3.0 поставляется с Windows 2000, v3.1 — с Windows XP и Windows Server 2003. Иногда последние версии обозначают как v4.0, v5.0 и v5.1 в соответствии с версиями Windows, с которыми они поставляются.

FAT

FAT (от англ. File Allocation Table — “Таблица размещения файлов”) — файловая система, используемая в операционных системах DOS и Windows. Логический диск, отформатированный в системе FAT, имеет следующие разделы:

  • загрузочный сектор;
  • таблица размещения файлов — собственно FAT (традиционно в двух экземплярах);
  • корневой каталог;
  • файлы.

Существует три версии FAT — FAT12, FAT16 и FAT32. Они отличаются количеством бит, отведённых для хранения номера кластера. FAT12 применяется в основном для дискет, FAT16 — для дисков малого объёма.

В различных операционных системах также были внедрены различные расширения FAT. Например, в DR-DOS имеются дополнительные атрибуты доступа к файлам; в Windows 95, Linux — поддержка длинных имён файлов; в OS/2 — расширенные атрибуты файлов.

EXT2/EXT3

ext2 , или 2-я расширенная файловая система , — файловая система для ядра Linux. Она была разработана в качестве замены для extended file system. Она достаточно быстрая для того, чтобы служить эталоном в тестах производительности файловых систем, но не является журналируемой файловой системой, и это её главный недостаток. Развитием ext2 стала журналируемая файловая система ext3, полностью совместимая с ext2.

Профилактика при работе с накопителями на жёстких дисках

В данном разделе попытаемся рассмотреть, что желательно предпринять, дабы свести риск потери данных к минимуму, и чего делать нельзя ни в коем случае.

1. Ограничение доступа

Чем больше пользователей обладают правами на изменение различного рода параметров (особенно системных), тем выше вероятность того, что при отсутствии необходимой квалификации либо из-за банальной человеческой ошибки произойдёт сбой системы. Ограничение количества пользователей и их возможностей управления непосредственно ресурсами ПК существенно снижает уровень опасности утери данных.

2. Корректное завершение работы

Крайне желательно завершать работу ОС корректно, поскольку, хотя та же NTFS обладает встроенным инструментарием для восстановления потерянных в результате неординарных действий данных, её возможности небезграничны, и простое отключение рубильника может привести к довольно-таки печальным последствиям.

3. Проверка диска

Периодическое сканирование жёсткого диска на предмет проверки целостности файловой структуры и раннего выявления проблем с рабочей поверхностью позволяет предупредить возникновение сложных ситуаций и принять соответствующие меры для обеспечения сохранности ценной информации.

4. Резервное копирование

Очень важный пункт профилактических действий, поскольку даже в случае возникновения форс-мажорных обстоятельств удастся восстановить если и не всё, то по крайней мере большую часть информации. Чем более регулярно и систематично проводится бэкап, тем больше шансов на то, что не придётся впустую тратить нервные клетки.

Резервное копирование — фактически единственное мероприятие, дающее практически стопроцентную гарантию сохранности данных (при правильном проведении и наличии нескольких копий). Даже наилучшие аппаратные и программные меры не смогут спасти данные при непредвиденных либо форс-мажорных обстоятельствах (пожар в офисе, умышленное повреждение данных или носителя и проч.).

5. Дополнительное охлаждение на производительных системах

Современные накопители ввиду их интенсивного использования имеют тенденцию достаточно сильно нагреваться в процессе работы. Зачастую это приводит не только к снижению скорости работы, но и (при значительном превышении температурных норм) к выходу устройств из строя. Особенно актуально это для производительных серверных систем, имеющих  шесть, восемь и более дисковых накопителей, и находящихся в помещениях с плохой вентиляцией. На данный момент существует достаточно много способов обеспечить нормальное охлаждение — от выбора просторного, хорошо скомпонованного корпуса и до установки дополнительных корпусных вентиляторов, а также вентиляторов непосредственно для жёстких дисков.

6. Источники бесперебойного питания

Практически необходимая вещь для предотвращения потери данных вследствие сбоя в работе электросети или полного отключения электроэнергии. В зависимости от ёмкости аккумуляторной батареи и мощности подключённого оборудования позволяет не только успеть сохранить необходимую информацию, но и комфортно проработать до получаса.

7. Антивирусное программное обеспечение

Немалый ущерб данным наносит и пренебрежение средствами защиты от вирусов и несанкционированного доступа к данным посредством сетевого подключения извне. Как правило, авторы деструктивных программ преследуют такие цели: модификация или уничтожение данных либо получение доступа к ценной информации (пароли, личные и деловые данные etc.). Соответственно, в любом случае на компьютере должна быть установлена антивирусная программа с возможностью обновления баз данных, а при подключении к локальной сети или Интернету необходимо наличие файрволла — программного пакета для обнаружения и ликвидации попыток несанкционированного доступа к ПК.

Какие бывают наиболее вероятные проблемы? Каковы последствия неисправностей и чем они чреваты?

1. Случайное удаление раздела

В принципе, стандартные средства ОС Windows не позволяют снести системный раздел на диске, но пытливый пользователь способен, как известно, на всё, и подобный исход исключать нельзя. При удалении обычного (не являющегося системным) раздела проблем, конечно, несколько меньше, но они будут. Если ценных данных не было, то, конечно, проще заново создать раздел и переустановить ОС. В противном случае не стоит пытаться вернуть всё самостоятельно — практика показывает, что в подавляющем большинстве случаев это чревато окончательной потерей информации. Требуется сразу прекратить любые операции с диском и воспользоваться услугами специализированных центров — риск в данном случае будет минимален, а потеря, к примеру, серьёзной базы данных или всей бухгалтерии вряд ли благоприятно скажется на жизненных перспективах.

Более того, если пользователь не может загрузиться, то вариантов навредить себе у него остается меньше, чем у того, кто удалит несистемный раздел, а потом будет упражняться в методах его восстановления. Следует также учесть, что опытные пользователи, наоборот, ничего важного не хранят на системных разделах. Вся пользовательская информация хранится отдельно от системы и программ.

hdd 2

Вместо того, чтобы пытаться восстанавливать информацию самому, лучше отдать жесткий диск "людям в белых халатах". На фото - эксперты компании Ontrack

hdd 2

Вместо того, чтобы пытаться восстанавливать информацию самому, лучше отдать жесткий диск "людям в белых халатах". На фото - эксперты компании Ontrack

2. Ошибки программ работы с разделами (Partition Magic, FDisk)

Помимо непосредственного удаления всего раздела, описанного в предыдущем пункте, имеют место быть также и ошибки в действиях программ для работы с дисковыми разделами — например, потеря данных при попытке перераспределения размера логического диска либо специфичные при использовании Partition Magic проблемы. К примеру, наиболее востребованной функцией PMagic является изменение границ разделов и перераспределение дискового пространства. Подобные операции, не связанные с физическим перенесением информации на диске, проблем не вызывают, но понадобится ли такое перенесение или нет, неопытный пользователь вряд ли определит, а шанс успешного исхода при перенесении крайне мал — раздел запросто может исчезнуть.

Ввиду серьезности возникающих в данном контексте проблем также рекомендуется обращаться к специалистам, минуя этап самодеятельности.

3. Некорректная переустановка ОС

Также вполне обычна ситуация, когда пользователь, по какой-либо причине переустановивший ОС (как правило, с предварительным форматированием), вдруг вспоминает, что параллельно снес ценный архив или важную документацию, резервное копирование которой, как водится, не произвёл.

4. Сбой электропитания

В принципе, не столь частый и при наличии источника бесперебойного питания не имеющий фатальных последствий момент. Тем не менее при “удачном” стечении обстоятельств запросто может быть потеряна не только информация, с которой работали на момент сбоя в сети, но и часть данных, хранящихся на жёстком диске (вплоть до отказа диска или исчезновения какого-либо раздела). Возможен и выход из строя непосредственно накопителя. Случаи последнего типа достаточно редки, но доставляют немало проблем, связанных с важностью потерянной информации. ИБП — наше спасение! Вариант — работа без оного в целях экономии и обращение в случае чего к специалистам по восстановлению данных.

5. Выход из строя жёсткого диска или RAID

Выход из строя жёсткого диска может произойти в силу различных факторов — начиная от непосредственно аппаратных проблем (сгоревшая электроника, выход из строя вследствие активной тряски или падения, нарушение целостности магнитного слоя) и заканчивая неумелыми попытками самостоятельного “лечения”. Данный случай уже существенно сложнее, поскольку до того, как пытаться восстанавливать непосредственно данные, необходимо привести в рабочее состояние сам агрегат. Если Вы не являетесь специалистом по ремонту подобной техники, а простая замена диска нереальна ввиду хранившейся на убиенном ценной информации, то будет большой ошибкой пытаться исправить ситуацию самостоятельно. Данные, скорее всего, потом уже не удастся спасти в принципе.

RAID, соответственно, вследствие поддержки в различных конфигурациях (за исключением “зеркал”) нескольких накопителей требует особого подхода, поскольку в том же варианте Stripe, когда информация без дублирования пишется одновременно на несколько дисков, выход даже одного из них из строя вызывает серьёзные проблемы — от попыток стопроцентного восстановления первоначальной ситуации и до проблем с извлечением уцелевших данных и приведения их в целостное состояние с частями, записанными на прочие носители. Разумеется, здесь без специализированного оборудования, программного обеспечения и навыков обойтись нереально.

6. Удаление файлов, форматирование

По сравнению с вышеперечисленными проблемами эта считается не столь страшной, но неприятной. Можно удалить файл случайно, при включённой опции удаления без сохранения копии удалённого файла, либо вспомнить о его ценности после определённого периода, когда на незанятое после удаления место на диске уже была записана какая-либо новая информация. Существуют, конечно, программные средства, позволяющие (по мере возможностей) исправлять подобные огрехи, но гарантии стопроцентного восстановления данных, конечно, нет. В частности, если файл хотя бы частично уже перезаписан, восстановить его почти наверняка не удастся.

Необдуманное форматирование также является весьма интересным действом и источником последующей головной боли. Данные при этом процессе сносятся все, и восстановить их возможно лишь в том случае, если пользователь применял “быстрое форматирование” и на раздел не начали писать новую информацию. Запись “поверх” опасна для удалённой информации примерно так же, как и для отформатированного раздела.

При полном форматировании шансов на восстановление практически нет, поскольку, в зависимости от типа используемой программы, вся поверхность диска перезаписывается нулями или случайными байтами и уповать остается лишь на весьма призрачную возможность того, что программа не сработала.

hdd 3

Если вы потеряли какие-то данные - лучше всего перестать использовать этот диск вообще. Тогда шансы на восстановление возрастут, а вы избежите таких укоризненных взглядов специалистов

hdd 3

Если вы потеряли какие-то данные - лучше всего перестать использовать этот диск вообще. Тогда шансы на восстановление возрастут, а вы избежите таких укоризненных взглядов специалистов

7. Вирусные атаки

Вирусы, как известно, делятся на несколько разновидностей:

  • не приносящие вреда, за исключением каких-либо внешних проявлений;
  • передающие вовне какую-либо личную или деловую информацию с ПК (так называемые трояны);
  • имеющие деструктивную направленность, производящие модификацию либо удаление данных, что приводит к их неработоспособности.

В силу специфики обзора нас интересует последняя подгруппа. Как уже упоминалось выше, свести риск к минимуму вполне помогает установка на компьютер пакета, включающего в себя антивирусное ПО и файрволл (брандмауэр). При соблюдении достаточно простых и необременительных требований безопасности и регулярном обновлении антивирусных баз возникновение связанных с вирусными атаками проблем маловероятно. В случае же заражения крайне желательно в целях предотвращения как потери данных, так и дальнейшего распространения вируса прекратить любую деятельность на данной машине и обратиться в специализированный центр.

Если данные всё же утеряны, как спасти хотя бы их часть, желательно большую?

В большинстве случаев возможность вернуть какую-то (бывает, что и всю) информацию вполне реальна. Основной момент: не стоит пытаться самостоятельно реанимировать накопитель, поскольку с большой долей вероятности будут потеряны не только данные, но и непосредственно устройство хранения. Оптимальным выходом в данной ситуации будет обращение к профессионалам в области восстановления данных.

Пример из жизни. В компанию DataRC на восстановление был принесён диск Fujitsu MPG3204AH. В компании по восстановлению данных, в которую этот диск попал раньше, чем к нам, при диагностике определили неисправность блока магнитных головок. Специалист при этом опирался на внешние признаки проблемы в поведении диска: при подаче питания диск начинал стучать головками. В BIOS он, конечно, не определялся. Поставив такой диагноз, этот нерадивый специалист приступил к “лечению”. Перестановка головок с диска-донора результата не дала. И к нам диск уже попал в совершенно раскуроченном состоянии: со вскрытой гермозоной, с неродными неработающими головками. Истинная проблема же заключалась в некорректной работе платы электроники. Именно на ней располагается прошивка ПЗУ определённой версии, без корректной работы которой диск данной модели (!) не может правильно распарковать головки и выйти на готовность. Решается эта проблема гораздо легче и за меньшие деньги, чем неисправный блок магнитных головок. А между тем на тот момент диск был в таком состоянии, что восстановление данных с него превратилось в подвиг, сравнимый с переходом через Альпы.

Изложим некоторые принципы и методику восстановления данных для наглядной демонстрации происходящих в этом случае процессов.

Прежде всего необходимо верно оценить неисправность, приведшую к потере информации, её характер и сложность решения проблемы. Отнестись к данному этапу рекомендуется со всей серьёзностью, поскольку известно немало случаев, когда пренебрежительное отношение к диагностике или попросту неверная оценка приводили к печальным последствиям, которых вполне можно было избежать при строгом и грамотном подходе. Так, например, было и в описанном выше случае. При изначально верной оценке проблема была бы решена куда легче и за гораздо меньшие деньги.

Для начала необходимо подробно расспросить хозяина носителя, при каких обстоятельствах произошла утеря информации. Вполне вероятно, что уже эти данные позволят установить причину возникшей проблемы. Разумеется, немалую роль при этом играет опыт специалиста. Далее оцениваются внешние проявления работы привода (отсутствие посторонних звуков либо их наличие, какие именно шумы), тестирование специальным программным комплексом на наличие нечитаемых секторов и различных характеристик работы диска.

Впрочем, основную роль все равно играет специалист по восстановлению. Его квалификация и опыт работы (в том числе знание конкретных моделей и их типичных проблем) зачастую позволяют определить характер и состояние проблемы без какого-либо специального оборудования — порой бывает достаточно послушать диск, подключённый к блоку питания, либо обойтись стандартной рабочей станцией с установленным специальным программным обеспечением.

Следующим после определения характера и степени проблемы является этап диагностики, позволяющий дать ответ на вопрос: восстановимы ли данные? Этап более длительный и зачастую уже является частью работ по непосредственно восстановлению. Особенно когда речь идёт о логических проблемах и RAID-массивах. В таких случаях необходимости определять характер неисправности может и не быть. Заказчик и сам может сказать: “У меня раздел пропал!” или “Я файл нужный стёр!”. И тогда, чтобы ответить на вопрос, возможно ли восстановить информацию, её нужно хотя бы частично восстановить.

Восстановление данных

За профессиональным рассказом о самих работах по восстановлению и комментариями мы обратились к Вячеславу Мочалову, заместителю генерального директора компании DataRC.

Работы по восстановлению данных, если их ведёт профессионал, схожи с действиями хорошего врача. Здесь то же “не навреди”, что и в медицине! Во-первых, профессионал точно представляет, какие последствия должны быть результатом его действий. (В отличие от врачей мы почти всегда правы. Наверное, “организм” цифровой техники гораздо проще человеческого.) Никаких экспериментов над носителями заказчиков быть не может. Работа с ними ведётся только на чтение. Если необходимо произвести какие-либо изменения, всё это уже делается с посекторным образом диска-пациента.

Очевидно, план действий при восстановлении напрямую зависит от точно поставленного диагноза. В случаях аппаратных проблем (когда само устройство неисправно) восстановление начинается с приведения носителя в исправное состояние. При этом нельзя забывать, что цель — восстановление данных, а не ремонт как таковой. Если при ремонте думать только об исправности носителя, то очень часто это можно сделать быстрее и проще, но... Данные будут утеряны.

Итак, проблемы платы электроники могут решаться с помощью запасных частей, паяльников, паяльных фенов и так далее. Также важную роль играет опыт специалиста, его база знаний об особенностях той или иной электроники, совместимости плат и т.д. Часто нельзя ограничиваться простой заменой платы на идентичную, так как на ней может быть прошивка определённой версии или вовсе уникальная. В таких случаях применяются специальные программно-аппаратные комплексы, способные перепрошивать платы HDD. Они могут представлять собой простую плату (внешне она может быть похожа на RAID-контроллер) со специальным программным обеспечением. С помощью такого комплекса можно не только решить проблемы с ПЗУ и служебной областью, но и окончательно уничтожить данные или раз и навсегда сломать HDD в том случае, если этот комплекс попадет “не в те” руки.

Проблемы с залипшими головками или заклиниванием двигателя, как правило, решаются со вскрытием диска в условиях “чистой комнаты” (то есть в помещении с пониженным содержанием пыли). При выполнении таких работ важно доскональное знание строения HDD. Сложность может варьироваться. Операции над расклиниванием двигателя могут происходить от нескольких минут до некоторых часов (чистого времени). Иногда в ходе такой операции диск разбирается почти полностью (и двигатель в том числе). Ошибки или неловкое движение технического специалиста при таких операциях, как правило, фатальны.

hdd 1

А вот так не делайте никогда - тем более, в домашних условиях.

hdd 1

А вот так не делайте никогда - тем более, в домашних условиях.

Неисправность блока магнитных головок решается перестановкой рабочего БМГ с диска-донора. В доноры годится, как правило, только абсолютно такой же диск. Вся эта операция производится также в условиях “чистой комнаты”, а сложность её ничуть не ниже расклинивания двигателя.

Проблемы с нечитаемыми секторами (bad-блоками) могут решаться с помощью специального комплекса, позволяющего вычитывать данные с дисков, не работающих по вине bad-секторов. Часто после этого необходимо восстановление логической структуры разделов, разрушенной bad-блоками. А это уже делается с помощью специальных программных средств. Примерно такими же программными средствами решаются и остальные логические неисправности: пропавшие разделы, папки или файлы, отформатированные диски, удалённые данные и так далее.

Не пишу никаких названий. И не только потому, что это вредит нашему бизнесу. Не хотелось бы никому делать рекламу, тем более не вполне её заслужившим. Большая часть этих программных средств хорошо работает с узким количеством проблем. Что-то лучше делает эта, а что-то — та, другая. У всех программ свои достоинства и недостатки, и знания о них — это результат нескольких лет работы. Есть опасение, что, почитав об этих средствах в СМИ, обыватель может ринуться “на борьбу за свои данные”. А ведь это почти как пробовать себя на поприще хирурга, почитав медицинскую энциклопедию. Скорее всего, ни к чему хорошему не приведёт. Следует учитывать, что в свободном доступе на данный момент есть множество тех средств, о которых я написал. Что-то дешевле, что-то дороже. Есть вообще бесплатные или взломанные программы. Но самые сложные случаи восстановления как раз связаны с переделыванием чьей-то работы. Доделыванием за кем-то… Все чаще приносят диски на восстановление после многочисленных попыток самостоятельно вернуть данные. Как правило, в таких случаях простые проблемы превращаются в очень сложные.

Подытоживая, можно отметить, что какого-либо универсального метода восстановления данных не существует. Мифы о навороченных стендах, на которых можно считать данные с пластины жёсткого диска, как с пластинки, — это всего лишь мифы. Таким же мифом в отношении современных жёстких дисков является информация об остаточной намагниченности. При перезаписывании сектора данные, бывшие на нём до того, восстановлению не подлежат.

И ещё раз напомним — мы совершенно намеренно не пишем здесь ничего, что могло бы служить учебным пособием. Знания должны быть фундаментальными, и мы настоятельно не рекомендуем браться за самостоятельное восстановление данных — если, конечно, вы не профессионал в этой области!