V počítači byl osazený 16GB SATA DOM (Disk On Module) značky Apacer, který se choval jako klasické SSD – standardní 2,5" SATA disk. Disk vykazoval chybovost paměťových čipů, které narušily čitelnost některých systémových oblastí a vedly k selhání operačního systému.
Obnova dat z DOM se nelišila od obnovy dat z SSD
Průběh obnovy dat se prakticky nelišil od práce se standardním SSD. Bylo třeba vytvořit kompletní binární kopii původního disku, včetně všech chybných oblastí, a následně pomocí profesionálních forenzních nástrojů dokorigovat čtení co největšího počtu vadných sektorů, respektive paměťových bloků, jejichž poruchy bránily správnému načtení dat. Poté jsme analyzovali strukturu oddílů a souborového systému, identifikovali poškozené části a připravili klon disku pro další opravy systému.
Poškozeno bylo několik systémových souborů a klíčový registr Windows (ve Windows zastoupen coby soubor COMPONENTS). Systémové soubory jsme nahradili z odpovídajícího instalačního média Windows, u registrů ale může být situace výrazně složitější. V tomto případě však velikost registru (37 MB) a relativně malý rozsah poškození dávaly šanci na obnovu, respektive opravu.
Pomocí binární analýzy jsme zjistili, že soubor měl validní hlavičku a obsahoval přes 9400 HBIN bloků, z nichž většina byla čitelná. Vytvořili jsme dvě varianty oprav:
- zkrácený soubor bez chybné oblasti
- upravený soubor s přeskokem přes vadný blok
Varianta A byla funkční a Windows úspěšně naběhly, ale tím práce nekončila. Počítač obsluhoval specifickou výrobní aplikaci a na místě nebylo možné s jistotou ověřit její plnou funkčnost. Klient provedl ověření přímo ve svém provozu a potvrdil, že vše funguje – obnova systému i dat z DOM se tak podařila.
Možnosti náhrady DOM za SSD
Náhrada DOM za běžný SSD může být ve specifických případech vhodná, pokud je zajištěna kompatibilita rozhraní a režimu řadiče (např. IDE). Výhodou je dostupnost a vyšší kapacity SSD disků oproti specifickým DOM modulům. Na druhou stranu, DOM je navržen pro vyšší mechanickou odolnost a dlouhodobý provoz v průmyslovém prostředí. Pro zařízení, kde se klade důraz na robustnost, minimální spotřebu a bezúdržbový chod, může být zachování DOM modulu konzervativnějším, ale bezpečnějším řešením. Pokud je však nutná rychlá obnova provozu a DOM není ihned k dispozici, je SSD s odpovídajícím nastavením validní alternativou.
Bylo nutné ověřit, zda je možné vyměnit DOM za běžný SSD. BIOS (AMI z roku 2013) podporuje jak IDE, tak AHCI režimy. Přestože DOM modul původně používal IDE, nový SSD byl rozpoznán bez potíží – klíčová byla pouze volba kompatibilního režimu v BIOSu.
Shrnutí a doporučení
- Počítače s Windows Embedded a DOM moduly lze v mnoha případech nahradit běžným SSD – je však třeba zachovat kompatibilní režim SATA řadiče
- Vadné registry lze částečně opravit, pokud je většina hive nepoškozená
- Při obnově podobných systémů se vyplatí kombinace forenzního čtení, binární analýzy a zkušeností s embedded systémy
- Samozřejmě nejsnazší řešení by bylo obnovit systém ze zálohy. Tento počítač však spolehlivě fungoval přibližně 11 let a byl proto zřejmě považován za bezchybný a prakticky nezničitelný. Případ ale znovu potvrdil, že dokonalé datové médium neexistuje – jedinou účinnou prevencí ztráty dat zůstává pravidelné zálohování.
DOM (Disk On Module) – kompaktní flash disk, často v průmyslových počítačích, připojený přes SATA, IDE nebo jiná proprietární rozhraní. Může být ve formě 2,5" zařízení nebo přímo jako konektorový modul, chová se jako SSD.
Registr Windows / COMPONENTS (registry hive) – binární soubor představující jednu z hlavních částí systémového registru. Obsahuje informace o nainstalovaných komponentách, knihovnách a jejich závislostech v rámci systému (WinSxS), a je zásadní pro správné fungování aktualizací a integrity systému Windows.
HBIN blok – datový blok uvnitř souboru registru, základní jednotka ukládání klíčů a hodnot.
