Nhóm 17 Nguyễn Thanh Tâm 12520909 Đặng Thái Hồ 12520596 Võ Đức Hoà 12520147 Hồ Quang Chiến 12520547 Tài liệu: eForensics Magazine 02 2015 Đề tài 5: Khôi phục liệu: Thực tiễn tốt cho nhà cung cấp dịch vụ Bởi Jonathan Yaeger Lời giới thiệu: Khi trung tâm dịch vụ máy tính bị hư hại ổ đĩa cứng Khơi phục liệu mang lại lợi nhuận, phải thực cách khôn ngoan cẩn thận Việc thiếu thông tin thực tế giảm chí hủy hoại hội khôi phục liệu thành công nhà cung cấp phải chịu trách nhiệm pháp lý Con đường học tập Để đạt chuyên môn phục hồi liệu khơng phải q trình nhanh chóng khơng dễ dàng Ổ đĩa có nhiều loại mẫu mã khác nhau, hãng sản xuất khác hãng Các mơ hình từ sản xuất khác q trình xây dựng hoạt động Một số lượng lớn thông tin kỹ thuật chi tiết phải thu thập quản lý để trở nên chuyên nghiệp Các nhà sản xuất ổ đĩa cứng tiết lộ chi tiết kỹ thuật sản phẩm họ, họ muốn bảo vệ tài sản trí tuệ bí mật thương mại Mặc dù phần lớn kỹ thuật viên phục hồi liệu tự tìm hiểu sử dụng, kèm với thử sai phạm, quan trọng không để khách hàng phải phàn nàn Các nguyên tắc chung Nhận hạn chế thân, đặt lợi ích khách hàng ưu tiên hàng đầu: khơng có đủ kiến thức, thiết bị, kinh nghiệm tự tin để giải cơng việc đơn giản dừng lại, tốt làm liệu khách hàng • Chuẩn đốn điều quan trọng: bạn khơng thể sửa chữa trừ biết chắn bị • Nếu bạn khơng có cơng cụ phục hồi liệu thích hợp, khơng nên cố gắn sửa chữa • Hình Cơng cụ phục hồi liệu Đừng làm điều mà khơng thể hồn tác lại sau Tài liệu nhãn tên tất cả: ghi lại tất bước mà bạn sử dụng để phục hồi liệu, giúp cho bạn kỹ thuật viên sau giải với vấn đề tương tự • Đặt nhãn tên lên thành phần thiết bị khách hàng, để đảm bảo không bị lẫn lộn với người khác chắn khơi phục với trạng ban đầu • • Hình Các nhãn tên thành phần thiết bị • • • • • • Thực ổ đĩa thử nghiệm trước tiên, đừng để ổ đĩa khách hàng thử nghiệm làm hỏng ổ đĩa Khơng thể sử dụng công cụ phần mềm để bù đắp cho vấn đề phần cứng: ổ đĩa bị hư, thử chép liệu qua ổ đĩa cứng khác tìm hiểu sửa chữa ổ cứng sau Dành thời gian để nghiên cứu, xem xét ổ đĩa trước làm điều gì, chuẩn đốn sai khơng lãng phí thời gian mà làm liệu Giữ bí mật tất liệu khách hàng: liệu có giá trị Khơng để để xảy rủi ro bảo mật hay bị sau khôi phục hoàn thành, loại bỏ phương tiện dùng trình đảm bảo loại bỏ Trung thực đạo đức: nguyên tắc vàng chắn phải thực Đánh giá ban đầu Bước q trình phục hồi có thông tin lịch sử sử dụng khách hàng, điều quan trọng Ví dụ: xảy ổ đĩa bị lỗi? có bị rơi khơng? Có cố cúp điện hay khơng? Những biểu đáng ngờ mà bạn thấy được: nắp cong góc, dấu hiệu thiệt hại vật lí gợi ý việc làm rơi, đập phá Phải dành thời gian để nghiên cứu, xem xét ổ đĩa trước làm điều gì, chuẩn đốn sai khơng lãng phí thời gian mà làm liệu Kiểm tra bo mạch máy tính Kiểm tra bên ngồi bo mạch máy tính, đặc biệt với đĩa cứng máy tính xách tay, xem có dấu hiệu nhiễm bẩn chất lỏng hay ăn mòn khơng? Các ổ đĩa có mùi cà phê hay rượu? có bị dính lạ khơng? Nếu có khả bảng mạch bị nhiễm bẩn hỏng Tất nhiễm bẩn phải loại bỏ trước trình hồi phục bắt đầu Nếu có chỗ bị cháy bảng mạch: Hình Một bảng mạch bị cháy Motor IC Hầu hết bo mạch ổ cứng chứa thông tin ổ đĩa cụ thể, phần Bộ nhớ đọc nhúng vào xử lý chính, thường gọi thơng tin đáp ứng hay phần mềm nhớ Hình Chip Bộ nhớ đọc bảng mạch máy tính xách tay Nếu liệu khơng thể phục hồi hồn tồn, giải pháp tốt trở với ổ đĩa hỏng bảng mạch gốc kèm theo ban đầu Nguyên tắc: Không thể thay bảng mạch hư mà không chuyển liệu sang bảng mạch thay thế, quy trình đòi hỏi cần có thiết bị đặc biệt Đơi trung tâm dịch vụ đổi bảng mạch khác loại bỏ bảng mạch hỏng mà khơng nói với khách hàng: ảnh hưởng đến nỗ lực phục hồi sau này, phục hồi Nếu liệu khơng thể phục hồi hồn toàn, giải pháp tốt trở với ổ đĩa hỏng bảng mạch gốc kèm theo ban đầu Trước cấp nguồn cho ổ đĩa Hình 5: Đoạn đầu đọc bị hỏng đường nối Nguyên tắc Không cung cấp nguồn cho ổ đĩa bạn biết nghi ngờ bị rơi sốc nặng Ổ đĩa bị rớt chất lỏng bị nhiễm khơng vận hành Đọc để tìm hiểu sao: Ổ đĩa cứng gồm tập nhiều linh kiện công nghệ cao, thiết bị điện tử, phần mềm chương trình nội (còn gọi phần mềm nhớ), chúng cổ máy tinh vi Trong thời gian hoạt động, đầu nhỏ Đọc - Ghi bay đĩa cứng liệu Có khoảng cách nhỏ đầu đĩa cứng Nếu ổ đĩa gặp trục trặc vật lý, phần đầu va chạm vào đĩa cứng, gây thiệt hại cho phần đầu phần cứng, đơi thiệt hại xáy với đầu đọc mỏng manh ổ đĩa bị rớt tắt nguồn Hình cho thấy số tập hợp đầu bị hư đặt đoạn nối bãi đậu Hình 6: Một đầu đọc bị trầy xước nhiễm bẩn (phóng to) Hình cho ta thấy cận cảnh đầu đọc bị hư hỏng tai nạn đầu đọc Đầu đọc bị trầy xước phương tiện truyền thông số phương tiện truyền thơng từ tính từ ổ đĩa hạt nhỏ bụi kim loại Các khu vực ổ đĩa bị hư hỏng khôi phục Sau ổ cứng bật, đầu đọc bị biến dạng di chuyển lên đĩa hành động giấy nhám dao nhỏ, cạo liệu với khả phục hồi Các mảnh vỡ va chạm lên trình hoạt động giống đá lớn rớt ngẫu nhiên đường cao tốc, điều có nghĩa có tai nạn Các hạt lớn 0,25 micron khơng thể qua khoảng cách đệm khơng khí đầu đọc đĩa Đối với quan điểm, đường kính sợi tóc người trung bình khoảng 80 microns, lớn 320 lần Hình cho ta thấy điều ổ đĩa giống vận hành với đầu đọc bị rơi Trong trường hợp này, liệu di chuyển tốt, liệu khách hàng "trong lọc." Hình 7: ổ cứng bị tai nạn đầu đọc phương tiện truyền thông Ổ đĩa thiệt hại phương tiện truyền thơng nhẹ phục hồi được, đơi phục hồi phần; phụ thuộc vào mức độ thiệt hại Làm việc với hư hại phương tiện truyền thông ổ đĩa điều đặc biệt, số công ty phục hồi liệu sản xuất kết tốt so với người khác Tại thời điểm này, nên làm đĩa kiểm tra đầu, phần quan trọng việc chẩn đoán để phục hồi liệu, môi trường thật Mở khoan kín ổ đĩa cứng Khơng phải ý tưởng tốt mở ổ đĩa cứng bên ngồi mơi trường Tại ? Bởi vì, lưu ý, hạt nhỏ để gây hư hại đầu đọc, mở ổ đĩa bên môi trường sạch, bạn làm hư hỏng ổ cứng làm tăng nguy hư hại khả phục hồi Mở ổ đĩa phòng làm nhiễm tới khu vực làm việc Đơi tháo nắp ổ đĩa hồn tồn tốt gây nhiễm khoan kín; hạt nhỏ,mảnh vỡ thường tích tụ xung quanh nắp, hạt bụi nhỏ gây hư hại đầu đọc Hình 8: Cận cảnh ổ đĩa nhiễm bẩn Nếu bạn không phép nhà sản xuất để mở ổ cứng, bạn làm hiệu lực bảo hành Chống lại thơi thúc “nhìn trộm” Gởi ổ đĩa đến nhà chuyên môn Nhiều công ty phục hồi liệu chun nghiệp tính phí khơng có để kiểm tra ổ đĩa trước thu hồi Cấp nguồn vào ổ đĩa Sự cám dỗ thường tránh khỏi, ổ đĩa bị rơi khơng nên cấp nguồn lên mà khơng có kiểm tra phòng lần đầu phương tiện truyền thông Hãy hỏi khách hàng bạn đĩa bị rơi Trừ bạn có phòng sẽ, kinh nghiệm chun mơn, ý tưởng tốt để tham khảo ổ đĩa bị rơi từ phòng thí nghiệm phục hồi liệu có trình độ Bạn an tâm khách hàng cố gắng để truy cập vào ổ đĩa điểm thất bại thừa nhận Đơi vấn đề vài giây hoạt động ổ đĩa bị lỗi cách máy móc mà sau kết cơng việc phục hồi khó khăn khơng thể Một bạn hài lòng ổ đĩa an toàn để bật nguồn, lắng nghe cách cẩn thận từ Ổ đĩa mà cho tiếng ồn bất thường, đặc biệt cào âm the thé, nên tắt Bất có khơng chắn, ln ln sai lầm phía thận trọng Chụp ảnh ổ đĩa Một tảng thực hành tốt phục hồi liệu để tạo sao, hình ảnh, ổ đĩa bị lỗi, sau làm phục hồi tập tin từ hình ảnh Có nhiều lý tốt cho thực hành này: Một ổ cứng lỗi có số giới hạn làm việc lại trước lỗi hồn tồn Cách tốt cố gắng để lấy liệu từ ổ đĩa nhanh tốt, với thiệt hại tối thiểu tới ổ đĩa gốc 2 Đôi cần nhiều thuật toán phục hồi tập tin cần thiết kết tối ưu Một ảnh cho phép trải qua nhiều lần phục hồi, đơi bạn nhận phát với ổ đĩa lỗi Ảnh ổ kho lưu trữ liệu gốc thường thường hữu ích Điều quan trọng phải hiểu trình ổ đĩa cứng đọc lỗi thực nhiệm vụ khác hoạt động bình thường Ổ cứng thường tích hợp khả dọn dẹp vào phần mềm nhớ/phần sụn Những chạy chế độ vơ hình người dùng cuối Một thơng lệ tiêu chuẩn quản lí khiếm khuyết , liệu yếu/kém lỗi cung từ chuyển đến cung từ khác ổ đĩa Các cung từ xấu “đánh dấu” thêm vào danh sách khiếm khuyết lớn, gọi G-Danh sách Chức dọn dẹp thường xuyên cập nhật ổ cứng S.M.A.R.T Những ghi theo dõi thuộc tính hiệu suất ổ đĩa; ví dụ bao gồm số lần ổ đĩa khởi động, khơng có khả đọc cung từ, cập nhật ghi lỗi Những thuộc tính thể khía cạnh "ngưỡng vượt quá" "ngưỡng khơng vượt q" giá trị, mà cung cấp cảnh báo sớm thất bại xảy ổ đĩa (hình 9) Hình S.M.A.R.T thuộc tính hiển thị Ổ đĩa cứng thường lỗi chế độ theo tầng Ví dụ ổ đĩa đầu trở nên dơ bẩn lỗi đọc ghi liệu Cung từ tốt bị báo xấu , ổ cứng cố gắng di chuyển liệu đến cung từ khác (ví dụ thơng qua việc phân bổ lại) Nếu khơng ghi thành cơng vào vị trí xác minh liệu ghi, báo cáo cung từ lỗi Mỗi di chuyển cung từ cho xấu, cập nhật G-Danh sách ghi S.M.A.R.T Các ổ đĩa bị vòng luẩn quẩn ảnh hưởng đến ảnh đĩa cuối dẫn đến hình thành lỗi ổ cứng Do đó, cung từ xấu quy trình quản lý S.M.A.R.T bị tắt ảnh, hội thành cơng hồn chỉnh lớn Phần mềm so với ảnh “phần cứng” Ổ đĩa cứng nhân đơi (hoặc chụp ảnh) máy tính sử dụng chương trình phần mềm cho mục đích Ổ đĩa chép ảnh phần cứng, sử dụng bảng mạch thiết kế đặc biệt máy chuyên dụng Một số máy chụp phần cứng có tính mà vượt qua khả có phần mềm Chúng có thể: • Vơ hiệu hố quản lý lỗi xử lý thuộc tính S.M.A.R.T; • Cho phép phục hồi nhiều lần ổ cứng lỗi • Điều chỉnh tốc độ "chiều sâu" trình đọc cách điều chỉnh loại thiết lập lại, số nổ lực để đọc cung từ xấu, v.v • Xây dựng đồ đầu ảnh đầu • Tắt ảnh nguồn điện, nhảy đến đầu khác, bỏ qua số định trước cung từ, v.v… theo điều kiện lập trình • Đã dành riêng cho máy chụp nà kàn cho việc chụp trở nên nhanh (so với máy tính chạy phần mềm) • Hỗ trợ tập tin hình ảnh MFT cấu trúc thư mục khác Theo Serge Shirobokov DeepSpar, Inc., "Về phần mềm vs phần hình phần cứng, khác biệt lớn hai có lẽ thực tế phần cứng tự động thiết lập lại ổ đĩa thời gian chờ phần mềm có chờ đợi Nếu lệnh đọc rơi vào khu vực xấu, cơng cụ phần cứng hạn chế thiệt hại từ cách cắt thời gian xử lý xuống đến vài trăm mili giây (sau đặt lại ổ đĩa), phần mềm phải chờ đợi toàn vài giây cho ổ đĩa để trở lại với lỗi Điều làm cho phần cứng hình ảnh làm hư hại nhiều lần Bởi hầu hết ổ xuất trình để phục hồi liệu khơng lành mạnh (ko tốt) theo định nghĩa, cách sử dụng giải pháp hình ảnh dựa phần cứng thường coi thực hành tốt Khi phần mềm hình ảnh, ý tưởng tốt để sử dụng chặn ghi với công cụ phần mềm hình ảnh, máy tính cố gắng để khởi tạo ổ đĩa ghi đè lên phân vùng khởi động quan trọng phân vùng thông tin Cho phép ghi chặn đọc từ ổ cứng, chặn nỗ lực để ghi thay đổi liệu Hầu hết thiết bị phần cứng , số sử dụng phần mềm Chú ý việc chặn ghi thường khơng ngăn cản ổ đĩa cập nhật từ S.M.A.R.T hay G-Danh sách Câu lệnh hướng dẫn “dd” Unix đơi phù hợp để làm ảnh ổ đĩa chép cung từ mà phần hoạt động thư mục, bao gồm "xóa" tập tin Mặt khác, hướng dẫn dòng lệnh DOS chẳng hạn XCOPY tốt cho việc chép tập tin liệt kê thư mục Nếu thư mục bị hỏng, tập tin bị xóa, XCOPY bỏ qua tập tin Có số "ra khỏi kệ" chương trình tiện ích để tạo ảnh đĩa Giải pháp phần mềm ảnh đĩa hoạt động tốt với ổ đĩa cứng tốt Tuy nhiên, chúng có giới hạn, gây hại, làm việc với ổ đĩa có vấn đề chẳng hạn có nhiều cung từ xấu, vấn đề phần mềm nhớ/phần sụn (firmware) đầu lỗi Như nói, cách tốt để làm việc với ổ đĩa bị lỗi để tắt chế nhược điểm ổ đĩa (gọi tái phân bổ cung từ) vơ hiệu hóa chức khai thác gỗ SMART Điều làm giảm hội mà ổ đĩa tự hủy trình chụp ảnh Tuy nhiên, việc tắt phân bổ khu vực đòi hỏi lệnh từ nhà cung cấp, ví dụ, mã viết riêng cho ổ đĩa đặc biệt, mẫu, hàng loạt Một giải pháp phần mềm hữu hiệu phải kết hợp lệnh nhà cung cấp và có phương tiện phù hợp với lệnh để ổ đĩa để chụp ảnh Đối với am hiểu công nghệ: BIOS hầu hết máy tính cá nhân cung cấp lựa chọn để tắt trình đơn thông báo S.M.A.R.T lỗi ổ đĩa xảy ra, tính khơng ảnh hưởng đến hoạt động nội S.M.A.R.T ổ cứng Một lệnh ATA tiêu chuẩn để vơ hiệu hóa SMART ổ đĩa mô tả phần 7.52 tiêu chuẩn T13 ATA, nêu: “lệnh vơ hiệu hóa tất khả S.M.A.R.T thiết bị bao gồm tất chức đếm thời gian kiện tính liên quan độc quyền cho chức Khi dừng chụp ảnh Ghi nhớ phương châm phục hồi liệu "đầu tiên, khơng làm hại", quan trọng để nhận để dừng, tiếp tục làm hại nhiều lợi Dừng chụp ảnh khi: Ổ đĩa tạo tiếng nhấp tiếng ồn “bất ổn” khác Ổ đĩa bị lỗi sẵn sàng bị huỷ bỏ Các ổ đĩa phơi bày dấu hiệu lỗi tầng, tức là, nhiều lần (more heads) mà làm việc tiến trình bắt đầu bị lỗi Một khu vực "màu xám" có cung từ chưa đọc đếm số cung từ xấu cao Đơi khó để nói điều phương tiện truyền thơng suy thoái (cung từ xấu), quản trị logic lỗi, nguyên nhân khác Lần đầu thất bại cách tự nhiên trình chụp ảnh Ổ đĩa hình thành ảnh liệu đầu lại, "miệng núi lửa/ tạo" gây vòng thiệt hại nhiễm diện rộng Tại thời điểm này, có phòng cơng cụ thích hợp lưu phục hồi liệu khách hàng RAIDS Một RAID ban đầu đứng cho "mảng dự phòng đĩa rẻ tiền", mà sau trở thành "một mảng độc lập đĩa độc lập." Tuy nhiên, RAID hệ thống lưu trữ có nhiều ổ đĩa RAID có phân loại cấp, chẳng hạn RAID , RAID 1, RAID RAID 10 Wikipedia cho RAID cung cấp cho nhìn tổng quan tốt: http://en.wikipedia.org/wiki/RAID Cấu hình bốn mảng ổ RAID với bảng điều khiển phía trước loại bỏ ARAID bao gồm hai ổ đĩa không dư thừa chút nào, Cả hai ổ đĩa cứng phục hồi để có liệu hữu ích từ RAID Cả hai ổ cứng phục hồi để lấy liệu cần thiết từ RAID Các tính dự phòng RAIDS thực cho phép nhiều ổ đĩa mảng mà lỗi giữ lại chức Các RAID cảm nhận lỗi điều chỉnh độ đọc ghi liệu cho phù hợp Ví dụ, ổ đĩa đơn từ ba ổ đĩa RAID lỗi Nếu kỹ thuật thay ổ đĩa bị lỗi với nhau, RAID "biết" - nhắc nhở - người sử dụng để xây dựng lại RAID cách sử dụng ổ đĩa Tuy nhiên hai ổ đĩa lỗi cấu hình RAID 5, phục hồi liệu cần thiết; RAID xây dựng lại từ ổ đĩa tốt Khả phục hồi RAID tự động bán tự động sau ổ đĩa lỗi tính tuyệt vời cho khách hàng, khơng hoàn toàn hiểu kỹ thuật viên, “thử nghiệm” với mảng RAID lỗi thỏa hiệp hay chí đánh bại nỗ lực phục hồi liệu sau Thật dễ dàng để nhận lấy rắc rối vào bạn khơng biết bạn làm Quy tắc thực hành tốt cho RAIDS • Nếu bạn khơng biết xác bạn làm, dừng lại bạn làm • Ổ đĩa không nên đổi chung quanh bị đặt vị trí khác RAID Hình 11 Một RAID thể cấu hình switch Hình 11 Hiển thị chọn cấu hình cho RAID cho phép thiết lập cấp độ RAID khác chế độ Không thay đổi chế độ cách nhanh chóng (on fly) Điều gây hỏng liệu nghiêm trọng Các thực hành tốt làm việc với RAID có vấn đề thực chép ổ đĩa, sau làm việc Điều bảo vệ RAID gốc “ tiếp nhận” điều kiện, sử dụng nguyên tắc chung "khơng làm hại" "khơng làm điều bạn khơng thể hồn tác sau này.” Xử lí sau ảnh Nói chung, phần mềm phục hồi liệu (để xây dựng lại tập tin thư mục) chạy vào hình ảnh để cố gắng khơi phục lại file bị mất, xây dựng lại thư mục, vv Một lý khác để chạy phần mềm khôi phục, so với đơn giản chép liệu, hầu hết chương trình khắc phục vấn đề cấp phép với liệu thu hồi Có nhiều chương trình phục hồi liệu, chúng dường có tập hợp cụ thể mạnh điểm yếu Khơng có chương trình đơn lẻ mà cách quán "tốt nhất" Tiến phía trước Cố gắng kết hợp Nguyên tắc chung (được liệt kê đầu) thực hành tốt phục hồi liệu Phấn đấu để ln ln làm lợi ích tốt khách hàng, có lựa chọn, biết giới hạn Phục hồi liệu nghệ thuật khoa học, khơng có thay cho kiến thức thu qua kinh nghiệm  ... làm điều mà khơng thể hồn tác lại sau Tài liệu nhãn tên tất cả: ghi lại tất bước mà bạn sử dụng để phục hồi liệu, giúp cho bạn kỹ thuật viên sau giải với vấn đề tương tự • Đặt nhãn tên lên thành... đĩa cứng tốt Tuy nhiên, chúng có giới hạn, gây hại, làm việc với ổ đĩa có vấn đề chẳng hạn có nhiều cung từ xấu, vấn đề phần mềm nhớ/phần sụn (firmware) đầu lỗi Như nói, cách tốt để làm việc với... giải pháp tốt trở với ổ đĩa hỏng bảng mạch gốc kèm theo ban đầu Trước cấp nguồn cho ổ đĩa Hình 5: Đoạn đầu đọc bị hỏng đường nối Nguyên tắc Không cung cấp nguồn cho ổ đĩa bạn biết nghi ngờ bị