Co je nového v oblasti záchrany dat, plány Acelabu do budoucna, PC-3000 Portable III, efektivní řešení záchrany dat z moderních pevných disků, záchrana dat z NVMe SSD, novinky u PC-3000 Flash a novinky v software Data Extractor. To je stručný souhrn letošní konference, kterou uvedly Jitka Žídková a Elena Shulga.

Hotline
ZÁCHRANA DAT
+420 608 177 773

10 a více let nazpět jsme se v oblasti záchrany dat setkávali téměř výhradně s klasickými pevnými disky a nějaký způsob šifrování dat na nich byl spíše výjimkou. Doba se však změnila, a ač i dnes jsou HDD stále nejčastějšími “pacienty v ordinacích” specialistů na záchranu dat, tak média založená na flash pamětech a média různými způsoby šifrovaná se také stále častěji stávají předmětem záchrany dat. S těmito výzvami se popasovali inženýři Acelabu a v průběhu čtvrteční konference (v Evropě, v USA o den později) se o své poznatky podělili s kolegy a zákazníky z celého světa.

Letos v hlavní roli PC-3000 Portable III

Jedno univerzální řešení pro většinu běžných úloh v oblasti záchrany dat. Pro řadu specialistů v této sféře je poněkud matoucí nabídka Acelabu, kde se zdánlivě některými funkcemi překrývají produkty PC-3000 Express, PC-3000 UDMA a PC-3000 Portable III. A v podstatě ano, funkčně se tyto produkty částečně překrývají, ale PC-3000 Portable III je zamýšlen spíš jako rozšíření portfolia k téměř kompletnímu pokrytí všech běžných oblastí záchrany dat. Takový samostatně fungující a funkcemi nabitý forenzní kufřík, který doplní výbavu specializované laboratoře. My už jej ostatně ve výbavě máme :-)

USB host, SATA, PATA, NVMe, USB flash, SD a micro SD, Apple MacBook SSD, tak s těmito typy médií si v současnosti PC-3000 Portable III poradí. Ale tím výčet nekončí. Acelab již pracuje na rozšířeních, která přidají tomuto produktu do výčtu funkcí také podporu PCI Express a SAS disků.

Standalone Mode, Easy Mode, Full-Featured Mode

Zařízení je možné použít ve třech režimech. Ve Standalone Mode funguje samostatně, bez potřeby použít počítač. Je možné provádět jen základní operace s disky, jako základní diagnostika disku, čtení SMART, test čtení disku, spočítat hash, výmaz dat, kopírování dat, ale také třeba prohlížet jednotlivé sektory.
Pro použití v terénu často dostačující a logy z provedených operací je možné následně stáhnout do počítače.

Easy mode ja pak vhodný pro začátečníky nebo například pro forenzní experty, kteří potřebují využít komplexní funkce a čas je prioritou. V Easy Mode je možné mimo jiné provádět rychlou komplexní diagnostiku disku, emulovat disk ve WIndows pomocí Win Disk Utility, pracovat s ATA password (ochrana disku uživatelským heslem na úrovni servisní oblasti disku), připravit binární kopii disku na jiný disk nebo do souboru, generovat report o stavu disku a mnoho dalších funkcí připravených tak, aby je bylo možné provádět rychle a bez nutnosti využití hlubší znalosti problematiky.

Touto částí prezentace prováděl inženýr Acelabu Roman Morozov. V praktické ukázce práce s Easy Mode se zaměřil například na zmíněnou práci s ATA password ochranou disku. PC-3000 Portable III v kombinaci se software Data Extractor si hravě poradili s 2TB diskem Western Digital WD20EARS, kdy se po spuštění procesu během několika kliků data recovery inženýr nebo forenzní specialista dostane k možnosti heslo disablovat zcela nebo jej zobrazit v čitelné podobě. Součástí této ukázky byla také práce s hlavami disku na softwarové úrovni, kdy jedna z šesti hlav disku nebyla v dobré kondici. Na závěr ukázky Morozov pomocí Data Extraktoru vygeneroval detailní report provedené práce s diskem, včetně přehledných grafů výkonu jednotlivých hlav. Tento report může například zákazníkovi ukázat, co se přesně s jeho diskem děje a proč je obnova dat náročnější.

Pro většinu odborníků na záchranu dat, kteří již produkty Acelabu využívají, je tzv. Full Future Mode dobře známý. Jedná se o pracovní režim, kdy jsou přístupné všechny funkce v rozšířeném režimu a práce s nimi je plně v našich rukou. Narozdíl od ostatních produktů Acelabu má PC-3000 Portable III v rukávu několik vychytávek, které budou hlavním důvodem, proč jej pořídit.

USB Host port

USB Host Port poskytuje při práci s USB zařízením absolutní nezávislost na operačním systému. Pokud s USB zařízením pracujete pomocí USB portu na základní desce, je práce vždy ovlivňována počítačem samotným, ovladačem zařízení a operačním systémem. To rozhodně nemusí být žádoucí v případě záchrany dat a už vůbec ne, pokud potřebujete například zajistit forenzní důkazy z datového média tak, aby byly zcela netknuté a použitelné u soudu.

Plná kontrola spotřeby zařízení a její analýza, komunikace pomocí speciálního ovladače vyvinutého Acelabem, zcela imunní vůči OS, přímá komunikace mezi PC-3000 Portable III a USB zařízením, možnost práce s technologickými příkazy, které se mohou hodit například při práci s nativními USB disky Toshiba, Seagate či Western Digital. Pracovat však můžete i s USB disky a SD a microSD kartami, jejichž podpora byla Acelabem přidána před několika týdny. To jsou hlavní výhody USB Host Portu.

Předmětem názorné ukázky byla microSD karta značky Sandisk, která se po připojení k PC s OS Windows detekovala, ale uživatel neměl přístup k datům. Morozov pro porovnání zkusil ke kartě také přistoupit pomocí software PC-3000 Flash, kde byl problém stejný. Přímý přístup pomocí PC-3000 Portable III ke kartě, s využitím obyčejného adaptéru na USB, okamžitě problém vyřešil a data byla přístupná.

Ovšem nutno podotknout, že v obou úvodních případech pokus probíhal na úrovni připojení karty k OS. PC-3000 Flash je možné vybavit adaptérem pro čtení SD a microSD, kdy práce s kartou následně také probíhá mimo vliv OS. Výsledek by byl patrně stejný, jako s PC 3000-Portable III.

NVMe SSD a trocha historie. Protokol robustní, stejně jako problematický v případě potřeby záchrany dat

První PCI-E disky se objevily na trhu již v letech 2007-2012. Byly to ovšem, z dnešního pohledu, poněkud mastodonti. Výrobci se snažili vyřešit relativně pomalé čtení a zápis tehdejších SSD disků tak, že jich několik vtěsnali na jednu PCB, přidali řadič RAID, PCI-E Bridge a tak vznikali první předchůdci dnešních poměrně miniaturních NVMe disků. Tyto vlaštovky SSD světa dosahovaly rychlosti 700-1200 MB/s, což byl a stále je mnohonásobek rychlosti klasických pevných disků. Jejich rozmachu však kromě vysoké ceny stála v cestě i řada jiných nedostatků, jako byla problematická kompatibilita se základními deskami a operačními systémy a absence jakékoliv interní optimalizace (TRIM a další...). Z pohledu záchrany dat pak byla problematická složitá interní struktura disku.

Výrobci se v dalších letech zaměřili hlavně na vývoj SSD disků, u kterých brzy narazili na technologický limit rychlosti čtení a zápisu (550/540 MB/s). Logickým dalším krokem v evoluci SSD tak bylo nové rozhraní, které by pokořilo rychlostní limity SATA a umožnilo aplikovat již vymyšlené (výše uvedené) schéma funkčnosti, ovšem v součinnosti s ostatním hardware i operačními systémy.

Jako první se výzvy uvést na trh nové rozhraní ujal Apple. Apple ale na “nejablečný” hardware nemyslel. V letech 2013-2014 se na trhu objevují první M.2 AHCI PCIe disky Plextor P6e, Sandisk A110 a Samsung XP941. Ty jsou již bez problémů schopné komunikovat se současným i starším hardware a operačními systémy a díky využití nativního PCI-E 2.0 x2-x4 řadiče dosahují rychlosti až 1200 MB/s. Ovšem cena stále brání jejich většímu rozmachu.

V letech 2015-2017 se SSD zbavují protokolu AHCI a kráčí dále pod taktovkou protokolu NVMe. Výhodou samozřejmě je využití nativních PCI-E řadičů a s tím rostoucí přenosové rychlosti. Zcela nový unifikovaný protokol bez zpětných vazeb na ATA, AHCI a SAS však může být výhodou i nevýhodou v jednom. Řeč je samozřejmě o záchraně dat z NVMe SSD, kde na scénu vstupuje PC-3000 Portable III, který byl v hlavní roli letošní konference Acelabu.

Starší (leč stále aktuální) produkty Acelabu PC-3000 Express a UDMA podporu pro SSD disky mají. Ovšem technologicky spadají do doby před NVMe, takže se bavíme pouze o SATA SSD.

Nativní podporu NVMe SSD nabízí PC-3000 Portable III. Inženýři Acelabu věnovali tomuto novému komunikačnímu protokolu velkou pozornost, protože bez jeho podpory byla v uplynulých měsících a letech záchrana dat z NVMe SSD často spíš experimentem. Laboratoře vybavené PC-3000 Portable III tak nyní mohou svým klientům nabídnout záchranu dat z NVMe SSD.

Apple Fusion Drive

Apple fusion drive je technologie vyvinutá a používaná pouze společností Apple, takže jako i jiné speciality z “jablečné” dílny přináší do světa záchrany a obnovy dat nové výzvy. Na loňské konferenci Acelabu se o Apple Fusion Drive hovořilo hlavně v souvislosti s APFS. Letos přišlo na řadu v souvislosti s podporou NVMe SSD u nového PC-3000 Portable III.

K práci s Fusion Drive je zapotřebí vlastnit PC-3000 Portable III v RAID verzi. Pokud se jedná čistě o rekonstrukci Fusion Drive nebo Fusion Drive s logickým poškozením a máme k dispozici funkční NVMe SSD a HDD, pak je to opravdu otázka několika kliků, jak názorně Alexander Leonenko předvedl při práci s 1TB HDD Seagate a 28GB SSD Apple.

Hlavní problém s NVMe SSD ovšem doposud byl, pokud nastal problém s řadičem či firmware. A zde má možnost PC-3000 Portable III ukázat své silné stránky. Ukázka probíhala s NVMe SSD s řadičem Phison PS5007. Disk se chybně detekoval, ukazoval chybnou kapacitu a samozřejmě nebylo možné číst uživatelská data. Další práce pod taktovkou specialisty z Acelabu vypadala snadně - nahrát loader disku, spustit Data Extractor, automaticky zrekonstruovat translator a uživatelská data byla přístupná. Podmínkou ovšem je, aby disk byl Acelabem již analyzován a v rámci jejich software podporován.

Názorně zpracovaný NVMe SSD nebyl součástí Fusion Drive, ale podstatné je, že bychom byli schopni udělat jeho binární kopii a dále s ní pracovat.

NVMe rozšíření pro PC-3000 Express a PC-3000 UDMA? Nejspíš ne

Již mnohokrát specialisté na záchranu dat z různých koutů světa na diskusních fórech debatovali, zda Acelab zahrne podporu NVMe SSD také pro současné produkty PC-3000 Express a UDMA. Inženýr Acelabu Alexander Leonenko se během konference vyjádřil, že produkty PC-3000 Express a UDMA vznikaly v době, kdy protokol NVMe neexistoval a neobsahují PCI-E řadič. Ten je součástí pouze nejnovějšího produktu PC-3000 Portable III a samotná redukce z rozhraní M.2 je opravdu pouze redukce, neobsahuje žádné můstky a vše je řešeno uvnitř zařízení PC-3000 Portable III. Z toho lze odvodit, že PC-3000 Express a PC-3000 UDMA zpětně podporou NVMe SSD dovybaveny nebudou.

Podpora SAS disků a PCI-E disků je otázkou blízké budoucnosti

SAS disky nejsou zrovna častým předmětem záchrany dat, když však s nimi potřebujeme pracovat, pak je v současnosti potřeba samostatné řešení od Acelabu PC-3000 SAS. Nativní PCI-E disky zatím nejsou podporovány. Aby forenzní kufřík PC-3000 Portable III byl ještě blíže své komplexnosti, rozhodli se v Acelabu přidat podporu SAS a PCI-E disků, na které v současnosti pracují. NVMe se stává (nebo lépe řečeno již stalo) standardem, proto ho nelze přehlížet ani v oblasti záchrany dat.

SMR: komplikace záchrany dat hned na několika úrovních

Výrobci pevných disků v poslední době používají různé metody, které společnostem zabývajícím se záchranou dat komplikují práci a zákazníkům s defektním diskem provětrávají peněženky. SMR budiž dalším příkladem. Alexander Leonenko se na konferenci ujal prezentace nových a vylepšených funkcí software Data Extractor. Jako první zmínil právě SMR disky, jejich časté problémy a možná řešení.

Translator HDD bez funkce SMR ve zkratce překládá LBA (Logical Block Address) na PBA (Physical Block Address), jedná se o tzv. Single-level translator. Ovšem translator SMR disků musí vykonat mnohem víc práce, aby měl uživatel stále přístup ke svým datům, probíhá významně více změn v servisní oblasti disku, kde je translator uložen. SMR disky disponují tzv. two-level translatorem. Leonenko pro názornost předvedl kolik změn musí být zapsáno v servisní oblasti, pokud změníme jeden jediný bit na disku. Konkrétně se jednalo o téměř 50000 změněných bitů v servisní oblasti.

Jeden příklad s vadným translátorem byl názorně ukázán na disku WD10SPZX-22Z10T0. Disk po připojení na první pohled neobsahoval žádná data. Jednotlivé sektory obsahovaly pouze nuly a pomocí RAW taktéž nebylo nic k nalezení. Abychom získali přístup zpět k datům, bylo zapotřebí pracovat s modulem 190, což je u tohoto disku WD právě second-level translator, následně přepnout způsob čtení z disku na LBA a data byla na světě. Data extractor v této souvislosti disponuje nově také funkcí Lock SA access, cože je funkce, která uzamkne přístup do servisní oblasti.

Moderní disky Seagate, nepodporovaný firmware, práce se servisní oblastí a RAM

No HOST FIS-ReadyStatusFlags a Fault State jsou terminálem hlášené stavy disku, které odborníkovi na záchranu dat napoví, kudy se ubírat, aby získal přístup k datům uživatele. Běžný uživatel uvedené stavy nikde neuvidí. Neuvidí ale ani svá data. Jeho disk přestane s počítačem komunikovat a jakkoliv ho přemlouvá, tak ke svým datům ztratil přístup.

Nové funkce integrované v Data Extractoru přinášejí vylepšení, kdy pomocí práce v RAM disku, je možné vyřešit i některé dříve obtížně řešitelné případy. Součástí prezentace byla praktická ukázka s disky Seagate ST2000DM001-1CH164 a Seagate ST1000LM035-1RK172, tzv. Rosewood (interní označení těchto Seagate disků), který je mezi odbornou komunitou dobře znám.

Block Writing - další užitečná funkce pro práci s moderními disky

Jak je z názvu patrné, Block Writing je funkce, která zamezí disku zapisovat data. Konkrétnědo servisní oblasti, potažmo u některých disků do oblasti s uživatelskými daty. Tato funkce může být užitečná zejména při práci s moderními disky, které rády pracují se servisní oblastí významně víc, než jejich předchůdci a také u nich není možné některé postupy aplikovat obvyklými metodami. Dále například umožní řešení některých problémů souvisejících s Media Cache a Scratch Pad.

A v souvislosti s funkcí Block Writing opět přišla řeč na SMR disky, které do servisní oblasti zapisují velmi často a například obvyklá metoda změny mapy hlav je u SMR disků nevhodná, může být nebezpečná. Funkce Block Writing toto může změnit, ale jak Leonenko zmínil, funkce změny mapy hlav je stále ve vývoji.

Leonenko funkci shrnul zhruba takto: Pokud máme možnost využít funkci Block Writing, můžeme si disk připravit a nastavit podmínky, kdy je možné bezpečně zachránit data. Zabráníme jakýmkoliv snahám disku o změnu dat na něm uložených (samozřejmě vztaženo k určitým vadám, o kterých tato prezentace byla).

The trusted power of PC-3000 Flash

Část konference zaměřená na záchranu dat z flash disků a paměťových karet se nejprve zaměřila na forenzní specialisty. Leonenko v názorné ukázce předvedl, jak si PC-3000 Flash poradí s analýzou a obnovením dat z realokovaných paměťových bloků, kdy tato funkce může být užitečná právě při zajišťování forenzních důkazů ze zdánlivě zcela smazaného flash disku.

Další novinkou v software PC-3000 Flash jsou nově integrované komplexní operace, které jednak ušetří čas a také mohou být užitečné pro začátečníky s tímto softwarem. Například funkce nazvaná CREATE SUBMAP AND “REREAD” zvládne sama celou řadu kroků vedoucích k obnově dat z flash paměti počínaje prací s korekcí chyb. Další zajímavá funkce pomůže zrekonstruovat image disku za pomoci informací ze souborového systému. Nazývá se RAW RECOVERY AND CREATE DRIVE FROM MAP. Může být užitečná například v případě, kdy není možné rekonstruovat souborový systém za pomoci translátoru.

Výzbroj PC-3000 Flash byla dále dovybavena mnoha novými zdroji, jako jsou nové XOR, ECC, novými translátory pro Silicon Motion (SM), Sandisk a Phison, doplněny byly nové paměťové čipy a byla přidána vylepšení a rozšíření, která mohou být užitečná nejen pro zkušené experty v oblastí zcáhrany dat z flash paměťových médií, ale také pro začátečníky v této oblasti a forenzní experty, kteří často nemají času nazbyt.

Hotline
ZÁCHRANA DAT
+420 608 177 773

Additional maps - entropy map, map of metadata headers, GREP based maps

Data Extractor vytváří klasické mapy sektorů datového média, kdy zeleně jsou označeny úspěšně přečtené sektory, černá barva znamená chybu při čtení atd.
Additional maps, neboli dodatečné mapy, fungují jinak.

Entropická mapa (entropy map) pomůže při řešení problémů s datovým médiem, které je zcela nebo částečně zašifrované a také při detekci parametrů diskových polí RAID. Entropická mapa vyjadřuje míru neuspořádanosti dat a je udávána v hodnotách 0 - 1. Hodnota blízká číslu 1 pak naznačuje, že mapa pochází ze šifrovaných nebo komprimovaných dat. V praxi je pak tuto funkci možné využít například k určení, zda je médium nějak zašifrované, případně zda zcela nebo částečně.

Mapa hlaviček metadat (Map of metadata headers) zní v češtině poněkud krkolomně, ale název dostatečně vypovídá o funkci, kterou tato mapa plní. K čemu je to ale dobré, když si mohu spustit RAW recovery a získat stejná data? Mapa hlaviček metadat vzniká již během vytváření binární kopie datového média. Předmětem záchrany dat jsou často datová média, která mají z různých příčin poškozený souborový systém. Za pomoci této mapy získáte přehled o možných dostupných souborových systémech a také okamžitý přístup k metadatům souborových systémů a jejich využití.

Mapa založená na GREP informacích (GREP based map) může být vhodná například při práci se SMR disky. Mapu si nadefinuje sám specialista na záchranu dat a může ji využít k definování jakýchkoliv GREP informací, které budou zobrazeny na zvláštní mapě disku již během vytváření binární kopie datového média, což usnadňuje jeho analýzu.

Nové možnosti záchrany dat z NTFS

Data Extractor dostává v nejnovější verzi do výbavy další funkce pro práci s NTFS, což je patrně nejrozšířenější souborový systém. Nově dokáže pracovat i z tzv. Volume Shadow Copies, které jsou vytvářeny operačním systémem Windows nebo některým zálohovacím softwarem. Při instalaci nového softwaru nebo na podnět uživatele vytvoří funkce Windows System Restore and Backup snapshot změněných dat, které WIndows následně dokáží využít k návratu do stavu před instalací daného softwaru, což se může hodit, pokud něco selže a nově instalovaný software způsobuje problémy operačního systému. Tyto snapshoty jsou uloženy v rootu disku ve složce \System Volume Information\. Data Extractor dokáže za pomoci takto uloženého snapshotu vytvořit virtuální disk, který obsahuje data tak, jak byla před určitou změnou v operačním systému.

Další funkce Data Extractoru umí pracovat s $LogFile, který obsahuje informace o provedených změnách v systému. Například které soubory byly smazány, přejmenovány, přemístěny atd. Nová funkce se jmenuje Parse $LogFile a dokáže na základě získaných informací vygenerovat virtuální souborový systém s náhledem na verze jednotlivých souborů rozdělených do adresářů, případně totéž v tzv. Folder view, kdy umožní náhled na verze jednotlivých souborů s jejich původním umístěním. Poslední možnost práce s funkcí Parse $LogFile jsou jednotlivé verze virtuálního disku (Virtual Drive “Versions”).

Bezpečně připojit virtuální disk s možností čtení a zápisu? Nyní si Windows mohou odložit data do separátní datové vrstvy.

V předchozích verzích Data Extractor umožňoval připojit virtuální disk v režimech Read-only, Write simulation a Read and write. První dvě možnosti neumožňují Windows kontrolu nad virtuálním diskem a třetí jmenovaná je zase potenciálně nebezpečná nebo nechtěná, pokud specialista na záchranu dat pracuje například s forenzními daty.

Nově přibyla funkce zápisu do separátní datové vrstvy (Read and write to the additional layer), kdy Windows získají plnou kontrolu nad virtuálním diskem, veškeré změny jsou však uloženy v separátní vrstvě a původní data zůstanou netknuta. Tato funkce může být užitečná například pokud potřebujeme k obnově dat pracovat se souborovým systémem pomocí software třetí strany. Nová funkce může ušetřit nemalé množství času, který bylo dříve potřeba věnovat vyexportování dat na jiný disk a pokud se něco nezdařilo, tak celý proces opakovat. Zejména u disků s větší kapacitou tato nová funkce může ušetřit i dny vynaloženého pracovního času.

Tombola se letos konat nemohla, tak na závěr tradiční doporučení

Ač to někdy vypadá, že SSD jsou již jediná možnost, kterou si dnes lze do nového počítače či notebooku pořídit, není tomu tak. Klasické pevné disky stále hrají důležitou roli a jsou tak stále nejčastějším předmětem záchrany dat. I dnes jsou HDD s vyšší kapacitou výhodnou volbou, protože vysokokapacitní SSD jsou stále drahé. Klientům i na konci mnoha příspěvků do blogu doporučuji pravidelné zálohování dat. Zálohujte a můžete si ušetřit starosti i peníze v případě selhání datového média. Jednoho dne tak možná bude konference o záchraně dat bezpředmětná :)