• SZKOLENIE nr 2: PRACA Z DYSKAMI, PODSTAWY DIAGNOSTYKI DYSKÓW

This topic is marked as ARCHIVAL. Please only reply if your message contains the solution (Terms and Conditions p. 12.1).

#1 SZKOLENIE nr 2: PRACA Z DYSKAMI, PODSTAWY DIAGNOSTYKI DYSKÓW


by arvika 10 March 2011, 09:01
Niniejszym postem chciałbym rozpocząć serię artykułów dotyczących diagnostyki dysków twardych, pendrive, kart pamięci itp. Artykuły będą bazować na doświadczeniu podczas pracy przy odzyskiwaniu danych. Na poszczególnych etapach diagnostyki i odzyskania danych pozwolę sobie zaproponować oprogramowanie – w miarę możliwości darmowe – które pomoże nam w rozwiązaniu danego problemu.

Na co dzień większość z nas pracuje w serwisach laptopów, mamy więc nieprzerwany kontakt z nośnikami danych. Zapewne wszyscy wymieniliby przynajmniej kilka programów do odzyskiwania danych. Z reguły będą to programy typu „next” przy których nie trzeba specjalnie myśleć. I nie byłoby w tym nic złego gdyby nie popełniane często podstawowe błędy, skutkujące albo pogorszeniem sytuacji nośnika, albo wręcz uniemożliwiające odzyskanie danych.

Szkolenie podzielimy na lekcje, będzie ich z czasem przybywać. Każda lekcja będzie miała zadany temat. Jeśli macie pytania, sugestie o kolejnych lekcjach proszę o informację na PW.

Lekcja 1 – Wykonywanie kopii 1:1 dysku, pendrive lub innego nośnika
Lekcja 2 – Parametry SMART dysku
Lekcja 3 - Fakty i mity na temat odzyskiwania danych
Lekcja 4 – Diagnoza dysku na podstawie objawów zewnętrznych (dźwięki, spalona PCB itp.)

Re: SZKOLENIE nr 2: PRACA Z DYSKAMI, PODSTAWY DIAGNOSTYKI DYSKÓW


by Google Adsense [BOT] 10 March 2011, 09:01

#2 LEKCJA 1- Wykonywanie kopii 1:1 dysku, pendrive itp.


by arvika 10 March 2011, 09:19
Bardzo często można się spotkać z sytuacją w której musimy wykonać kopię 1:1 dysku na inny nośnik, tzw. klon. Taką kopię należy wykonać ZAWSZE gdy coś się stało z dyskiem i chcemy użyć programów typu „next” lub chkdsk. W momencie niepowodzenia nic nie stracimy bo będziemy mieli wykonaną wcześniej kopię, którą możemy przywrócić.
Do tego celu użyjemy programu DMDE. Program w wersji darmowej oferuje sporo możliwości, m.in. kopiowanie całych dysków lub ich fragmentów. Skorzystamy z wersji pod systemy Windows. Jest dostępna również wersja pod DOS.

UWAGA! Kopiowanie dysku w systemie Windows ma sens jedynie wtedy gdy dysk jest sprawny, lub uszkodzony w bardzo niewielkim stopniu (uszkodzone sektory, tzw. Bad blocki w niewielkiej ilości). Próba wykonania kopii poważnie uszkodzonego dysku może mu tylko zaszkodzić i podczas tej operacji Windows może nam się przycinać.

Program DMDE możemy pobrać stąd:
http://softdm.com/download.html
Program posiada polską wersję interfejsu.

Po rozpakowaniu i uruchomieniu programu pojawi nam się okno:

Image

Program domyślnie wyświetla każdy napęd jako urządzenie fizyczne. Na zdjęciu zaznaczony jest Physical Drive 0, który tworzy macierz RAID1.


Przykład 1
Naszym zadaniem będzie wykonanie obrazu dysku Physical Drive 1 do pliku.

Dla upewnienia się co to za dysk, możemy również zobaczyć jak sytuacja wygląda w Menadżerze urządzeń w Panelu sterowania:

Image

Mamy cztery napędy, dwa dyski i dwa napędy optyczne. Dysk 0 jest to dysk główny komputera. Dysk 1 jest to dysk dodatkowy (nasz pacjent).
Na dysku 1 mamy trzy partycje, w tym wypadku każda jest partycją podstawową: RECOVERY, System oraz Dokumenty. Partycja RECOVERY ma system plików FAT32, pozostałe NTFS.

Wracamy do programu DMDE. Aby skopiować dysk nie musimy wybierać żadnego napędu z listy. Klikamy Anuluj i w menu Narzędzia wybieramy: Kopiuj sektory.

Pojawi nam się następujące okno:

Image

Jako źródło wybieramy Physical Drive 1 po uprzednim kliknięciu na pole Urządzenie…

Program automatycznie rozpozna wielkość dysku i zaznaczy początkowy i końcowy sektor dysku (w tym wypadku 0 i 156301487).

Chcemy wykonać kopię posektorową do pliku. W związku z tym w okienku „Docelowy” wybieramy Plik… i zaznaczamy partycję na której będzie wykonany obraz. Trzeba wygospodarować odpowiednią ilość miejsca, w tym wypadku 80GB. Program domyślnie zaproponuje nazwę obrazu: sec_0_156301488. Oznacza to, że będzie to 156301488 sektorów zaczynających się od sektora 0.

Po dwukrotnym sprawdzeniu czy nie pomyliliśmy kolejności dysków klikamy „ok” i dysk zaczyna się kopiować.


Przykład 2
Mamy dysk klienta, częściowo uszkodzony. Klient chce wymienić dysk i zainstalować na nim system. Nie dostarcza jednak płyty z systemem operacyjnym, naklejka licencyjna została wytarta.

Uruchamiamy DMDE, wybieramy Phisical Drive 1 i widzimy:

Image

Partycja RECOVERY rozciąga się od sektora 63 do 20482874. Chcemy wykonać obraz tej partycji na nowym dysku i z niej uruchomić klientowi instalację systemu. Zalety: klient ma cały czas legalny system, partycja recovery jest zachowana, nie ma konieczności szukania i instalowania sterowników.

Kopię wykonujemy dokładnie tak samo jak w Przykładzie 1 z tym że tutaj w dysku źródłowym podajemy sektor startowy 0 (koniecznie 0, a nie 63, tak aby wykonać również kopię Master Boot Record) oraz końcowy 21000000 (najlepiej dla wygody zaokraglić do pełnej liczby, większej niż ostatni sektor partycji).

Kopię możemy wykonać bezpośrednio na nowy dysk (docelowy) lub do pliku, a potem z pliku na dysk docelowy. Wszystkie operacje robimy przez analogię do Przykładu 1.

Po wykonaniu kopii partycji RECOVERY na nowy dysk próbujemy odpalić z niego instalację systemu. Możemy spotkać się z sytuacją, że system nie będzie chciał wystartować z tego dysku – trzeba ustawić partycję RECOVERY jako aktywną.

Otwieramy DMDE, dysk docelowy, na oknie partycji naciskamy ESC. Menu Tryb->Heksadecymalny. Aby przejść do trybu edycji wciskamy CTRL+E i w offsecie 0x1be (podświetlony na czarno) wpisujemy 80

00 – oznacza partycje nieaktywną
80 – oznacza partycję aktywną

Image

Po tej operacji zamykamy okno heksadecymalne i potwierdzamy wprowadzenie zmian.

UWAGA: Sektor 0 jest sektorem startowym dysku, jeśli poprzestawiamy niewłaściwe bity, możemy uszkodzić system partycji.

W tej chwili laptop powinien uruchomić Recovery z dysku. Są oczywiście od tego wyjątki, związane z tym że pliki startowe znajdowały się na partycji kolejnej (tam gdzie był fizycznie zainstalowany system). Należy wtedy te pliki przywrócić, tak aby umożliwić wystartowanie recovery. Zdarza się również że partycja RECOVERY jest ostatnią partycją na dysku.

W analogiczny sposób możemy wykonać kopię pendrive, kart pamięci, lub innych nośników które są widoczne jako urządzenia fizyczne w systemie.

#3 Lekcja 2 – Parametry SMART dysku


by arvika 16 May 2011, 22:01
S.M.A.R.T. czyli Self-Monitoring, Analysis, and Reporting Technology jest to system monitoringu pracy dysku twardego, który raportuje nam różne parametry, m.in. kondycję dysku twardego, czas pracy, ilość uruchomień itp.
Systematyczne kontrolowanie parametrów SMART pozwala nam z wyprzedzeniem dostrzec problemy z dyskiem i uniknąć ryzyka utraty danych. W momencie naprawy serwisowej laptopa/komputera PC na podstawie parametrów SMART możemy wykluczyć lub potwierdzić problem z dyskiem.

Do sprawdzenia parametrów SMART (atrybutów) może nam posłużyć wiele programów. Wymieńmy najpopularniejsze:

Victoria – działa pod Windows, nie czyta dysków podpiętych przez USB
MHDD – działa z nośnika startowego (dyskietka, płyta CD), nie czyta dysków podpiętych przez USB
HDDScan – odczytuje SMART dysków podpiętych przez USB, działa pod Windowsem
CrystaDiskInfo - odczytuje SMART dysków podpiętych przez USB, działa pod Windowsem

Victoria:
Po wybraniu odpowiedniego napędu w zakładce Standard, przechodzimy do zakładki SMART i klikamy Get SMART
Image

MHDD:
Uruchamiamy program z medium startowego, wybieramy przy starcie odpowiedni dysk, następnie wciskamy F8 aby pokazały nam się parametry SMART
Image
Zdjęcie zapożyczone z internetu.

HDDScan:
Wybieramy odpowiedni nośnik (Select driver), i klikamy S.M.A.R.T.
Image

Crystal Disk Info:
W przypadku gdy mamy tylko jeden dysk, automatycznie po uruchomieniu programu zostanie nam przedstawiony SMART. W innym wypadku w menu Dysk wybieramy odpowiedni nośnik. Pamiętajmy, aby była odznaczona opcja Ukryj informacje S.M.A.R.T. z menu Funkcje
Image

Parametry SMART opisują wartości Value (bieżący) , Worst (najgorszy) , Threshold (próg), RAW (HEX).

Value:
Wartość ta oscyluje w zakresie 1-100, ale są wyjątki dla niektórych parametrów. Dysk porównuje te wartości z progami. Do czasu gdy wartość poszczególnych parametrów jest większa niż próg, dysk działa poprawnie. Problemy zaczynają się gdy wartość Value spadnie poniżej progu (należy pamiętać że nie każdy parametr SMART jest krytyczny, w związku z tym niekoniecznie musi to świadczyć o awarii dysku)

Worst:
Jest to najgorsza odnotowana wartość danego parametru, która wystąpiła do tej pory (najniższa odnotowana wartość Value)

Threshold:
Próg dla poszczególnych parametrów SMART jest ustawiany fabrycznie przez producenta dysku. W ciągu pracy dysku progi nie zmieniają się. Próg jest najniższą możliwą wartością, jaką może uzyskać parametr SMART aby dysk działał poprawnie. SMART porównuje wartości Progów dla poszczególnych parametrów.

RAW:
Wyświetla wartości poszczególnych parametrów. W programie HDDScan oraz CrystaDiskInfo wartość jest wyświetlana jako hex.

Parametry S.M.A.R.T – na czerwono parametry krytyczne
(W najbliższym czasie postaram się uzupełnić opis parametrów).

Parametr ID 01 (01) - Read Error Rate
Parametr ID 02 (02) - Throughput Performance
Parametr ID 03 (03) - Spin-Up Time
Parametr ID 04 (04) - Start/Stop Count
Parametr ID 05 (05) - Reallocated Sectors Count
Parametr ID 06 (06) - Read Channel Margin
Parametr ID 07 (07) - Seek Error Rate
Parametr ID 08 (08) - Seek Time Performance
Parametr ID 09 (09) - Power-On Hours (POH)
Parametr ID 10 (0A) - Spin Retry Count
Parametr ID 11 (0B) - Recalibration Retries (Calibration Retry Count)
Parametr ID 12 (0C) - Power Cycle Count
Parametr ID 13 (0D) - Soft Read Error Rate
Parametr ID 183 (B7) - SATA Downshift Error Mount (parametr dysków WD i Samsung)
Parametr ID 184 (B8) - End-to-End error
Parametr ID 185 (B9) - Head Stability
Parametr ID 186 (BA) - Induced Op-Vibration Detection
Parametr ID 187 (BB) - Reported Uncorrectable Errors
Parametr ID 188 (BC) - Command Timeout
Parametr ID 189 (BD) - High Fly Writes
Parametr ID 190 (BE) - Airflow Temperature
Parametr ID 191 (BF) - G-sense error rate
Parametr ID 192 (C0) - Power-off Retract mount (Emergency Retract Cycle count )
Parametr ID 193 (C1) - Load Cycle Mount (Load/Unload Cycle Mount)
Parametr ID 194 (C2) - Temperature
Parametr ID 195 (C3) - Hardware ECC Recovered
Parametr ID 196 (C4) - Reallocation Event Count
Parametr ID 197 (C5) - Current Pending Sector Count
Parametr ID 198 (C6) - Uncorrectable Sector Count

Parametr ID 199 (C7) - UltraDMA CRC Error Count
Parametr ID 200 (C8) - Multi-Zone Error Rate (Write Error Rate)
Parametr ID 201 (C9) - Soft Read Error Rate
Parametr ID 202 (CA) - Data Address Mark errors
Parametr ID 203 (CB) - Run Out Cancel
Parametr ID 204 (CC) - Soft ECC Correction
Parametr ID 205 (CD) - Thermal Asperity Rate (TAR)
Parametr ID 206 (CE) - Flying Height
Parametr ID 207 (CF) - Spin High Current
Parametr ID 208 (D0) - Spin Buzz
Parametr ID 209 (D1) - Offline Seek Performance
Parametr ID 211 (D3) - Vibration During Write
Parametr ID 212 (D4) - Shock During Write
Parametr ID 220 (DC) - Disk Shift
Parametr ID 221 (DD) - G-Sense Error Rate
Parametr ID 222 (DE) - Loaded Hours
Parametr ID 223 (DF) - Load/Unload Retry Count
Parametr ID 224 (E0) - Load Friction
Parametr ID 225 (E1) - Load/Unload Cycle Count
Parametr ID 226 (E2) - Load 'In'-time
Parametr ID 227 (E3) - Torque Amplification Count
Parametr ID 228 (E4) - Power-Off Retract Cycle
Parametr ID 230 (E6) - GMR Head Amplitude
Parametr ID 231 (E7) - Temperature
Parametr ID 240 (F0) - Head Flying Hours (Transfer Error Rate)
Parametr ID 241 (F1) - Total LBAs Written
Parametr ID 242 (F2) - Total LBAs Read
Parametr ID 250 (FA) - Read Error Retry Rate
Parametr ID 254 (FE) - Free Fall Protection

Podczas tworzenia artykułu korzystałem z http://en.wikipedia.org/wiki/S.M.A.R.T.



You have to be logged in to view the files attached to this post.

#4 Lekcja nr 3 - Fakty i mity


by arvika 12 September 2011, 22:11
Pracując na co dzień przy odzyskiwaniu danych spotkałem się wielokrotnie z różnymi teoriami, pogłoskami i mitami dotyczącymi tego tematu. Bardzo często osoby pracujące na co dzień w branży IT nie są świadome pewnych faktów i rozpowszechniają nieprawdziwe informacje na temat danych i możliwości ich odzyskania. Aby rozjaśnić nieco sytuację przedstawię kilka najpopularniejszych poglądów na ten temat wraz z uzasadnieniem.

MITY:

- dane nadpisane do siedmiu razy można odzyskać
Nieprawda. Wystarczy raz nadpisać dane, a odzyskanie ich nie będzie możliwe. Zerowanie dysku, czyli zapisanie każdego sektora wartością „00” jest oczywiście nadpisywaniem danych. Po tej operacji mamy pewność że nikt nie odzyska danych (nawet laboratorium FBI i innych tajnych służb :) )

- zamrażanie dysku, aby odzyskać dane
Nieprawda. Jest to jeden z wielu mitów dotyczących odzyskiwania danych i może przyczynić się do bezpowrotnej utraty danych. W momencie wyciągnięcia nośnika z zamrażarki wewnątrz dysku przez otwór wentylacyjny może się skondensować powietrze i uszkodzić powierzchnię dysku.

- przekładanie talerzy jako najlepsze panaceum na wszystko
Nieprawda. Współczesne dyski w większości przypadków mają przynajmniej dwa talerze na których są zapisywane informacje. Platery te są skalibrowane względem siebie. Przesunięcie ich rotacyjnie względem siebie w niewielkim nawet stopniu uniemożliwi (bądź w niektórych przypadkach bardzo utrudni) odzyskanie danych. W przypadku uszkodzeń elektroniki bądź głowic nie ma konieczności przekładania talerzy. Konieczność ta zachodzi w momencie uszkodzenia silnika dysku, zatarcia łożyska – czyli usterek które uniemożliwiają poprawną rotację talerzy. Operacja ta jest wykonywana zawsze jako ostateczność przy zachowaniu odpowiednich środków ostrożności.

- przekładanie elektroniki jako drugie najlepsze panaceum na wszystko
Nieprawda. Obecnie produkowane dyski twarde w większości posiadają indywidualne parametry pracy zaszyte w oprogramowaniu dysku. W przypadku zamiany uszkodzonej elektroniki na sprawną (taką samą), dysk nie jest się w stanie poprawnie skalibrować, ponieważ korzysta z indywidualnych parametrów dysku dawcy. Od tych sytuacji są oczywiście wyjątki w zależności od modelu dysku, oprogramowania itp.

- odczytywanie danych bezpośrednio z talerzy (laserowo i inne kosmiczne technologie)
Nieprawda. Nie ma możliwości odczytu danych inaczej niż poprzez głowice. Są prowadzone badania na temat innej metody odczytu danych, do tej pory jednak nie udało się uzyskać poprawnego odczytu dużej ilości informacji. Odczyt sprowadzał się tylko do pojedynczych bitów.

- stuknięcie dysku uleczy go – tzw. strzał serwisowy
Nieprawda. Dyski do użytku domowego pracują zazwyczaj z prędkościami 5400/7200 obrotów na minutę. Głowice w momencie pracy unoszą się na poduszce powietrznej nad talerzami. W momencie gdy dysk zostanie uderzony celowo (bądź niecelowo - upadek), następuje duże prawdopodobieństwo kontaktu głowic z platerami. W najlepszym przypadku głowice się degradują (możliwy odczyt, ale powolny), w najgorszym głowice zapiłowują platery, bądź zaciera się łożysko.

- otworzę dysk, „a nuż się uda”
No i nie udaje się. Nie wolno otwierać dysku poza clean roomem (komorą laminarną). Nawet gdy po otwarciu nie widać gołym okiem żadnych cząstek na platerach, pod mikroskopem je zobaczymy. Jest to kurz (nie wspominam o odciskach palców, rys od śrubokręta który zeskoczył ze śrubki itp.), który jest większy niż odległość główki głowicy od platera. W momencie gdy głowica wpadnie na taką przeszkodę może zapiłować plater.

- skanowanie dysku do upadłego
W przypadku zdegradowania głowic, występowania dużej ilości uszkodzonych sektorów itp. Skanując dysk oprogramowaniem do odzyskiwania danych powodujemy że głowice są bardzo mocno obciążane. W tym wypadku głowice skaczą po różnych obszarach dysku, co powoduje przyspieszenie poważniejszej awarii. W takich wypadkach jeśli dysk odczytuje dane należy jako pierwszą czynność wykonać kopię posektorową (Lekcja 1).

- defragmentacja dysku w celu odzyskania danych
Nieprawda. Defragmentacja układa dane na dysku w sposób odpowiedni dla ustawień programu defragmentującego. W przypadku utraty danych (skasowanie, sformatowanie dysku), uruchomienie defragmentacji powoduje zupełne wymieszanie bloków danych z tym co jest zapisane w tablicach MFT. Odzyskanie danych po tej czynności jest z reguły niemożliwe.

Trzeba pamiętać, że Klient, który zechciał skorzystać z Twojej pomocy, ufa Ci i wierzy, że odzyskasz mu dane. Niejednokrotnie są to zdjęcia, filmy czy dokumenty firmowe, których po powyższych "zabawach z dyskiem" nie da się już odzyskać. To nie jest układ BGA, który z reguły można wymienić, gdy ulegnie przegrzaniu - przy uszkodzeniu powierzchni magnetycznej nośnika danych w wyniku prób i zabaw, można spowodować bezpowrotną utratę danych. Pamiętaj o tym!

Lekcja nr 3 - Fakty i mity


by Google Adsense [BOT] 12 September 2011, 22:11
This topic is marked as ARCHIVAL. Please only reply if your message contains the solution (Terms and Conditions p. 12.1).

Who is online

Users browsing this forum: No registered users and 0 guests

_______________________________
All rights reserved. Unauthorised copying of this website's content or any of its part is strictly forbidden.
Any trademarks, brand names, products or services published on this website belong to their legal owners, are copyrighted and used for information purposes only.