Gdy dochodzi do utraty danych wile osób staje przed trudną decyzją, co do dalszych kroków i wyborem między samodzielnym działaniem a profesjonalnym odzyskiwaniem danych. Proces decyzyjny jest szybki, bo przeważnie dane potrzebne są na wczoraj, ale i obarczony ryzykiem, ponieważ pierwsze decyzje mają ogromny wpływ na to czy dane w ogóle da się odzyskać.

SPIS TREŚCI:

  1. Przyczyny utraty danych
  2. Co robić a czego nie robić gdy dojedzie do awarii
  3. Darmowe programy do odzyskiwania danych
  4. Płatne programy do odzyskiwania danych
  5. Profesjonalne programy do odzyskiwania danych

W tym artykule postaramy się przybliżyć top 5 najważniejszych informacji związanych z usługami odzyskiwania danych, zrobimy przegląd darmowych programów do odzyskiwania i porównamy je z profesjonalnymi narzędziami, których używamy w naszym laboratorium.

Mamy nadzieję, że to wyjaśni Państwu jak wygląda profesjonalne odzyskiwanie i dlaczego samodzielne działania lub pomoc znajomych informatyków jest w tym zakresie, często, z góry skazana na porażkę.

Nośniki danych:

Na rynku dostępnych jest kilka typów nośników na których trzymamy dane. Większość z nich to powszechnie dostępne i tanie konstrukcje, których używamy w domach i biurach oraz urządzeniach powszechnego użytku. Należą do nich:

  • Karty pamięci
  • Pendrive
  • Dyski przenośne i zewnętrzne
  • Dyski twarde
  • Dyski SSD
  • Płyty CD, DVD
  • Dyski Sieciowe (serwery NAS)
  • Macierze RAID

Głównymi producentami tych urządzeń przynajmniej na Polski rynek są:

  • Seagate
  • Western-Digital (WD)
  • Toshiba
  • HGST
  • Samsung
  • Kingston
  • Transcend
  • Adata
  • PNY
  • Synology
  • Qnap

Postaramy się więc skupić na najczęstszych problemach naszych klientów i odpowiedzieć na najbardziej nurtujące pytania.

1. Przyczyny utraty danych i możliwości ich zabezpieczenia

W naszej pracy spotkaliśmy się już chyba ze wszystkim co może spowodować utratę danych. Niestety statystyki pokazują jasno, że większość usterek, z jakimi zjawiają się klienci, to problemy związane z użytkowaniem. Do najczęściej występujących problemów z jakimi się spotykamy należą:

  • Uszkodzenia mechanicznych dysków twardych – są jedną z najczęściej występujących awarii w dyskach, które trafiają na odzyskiwanie danych w nasze ręce. Usterki mechaniczne to głównie uszkodzenia głowic oraz w kilku procentach awarie silników. Mają one w dużej części związek z eksploatacją, a główne przyczyny ich powstawania to: wstrząsy podczas pracy dysku, upadki, praca w podwyższonej temperaturze, używanie dysków do pracy 2 trybie 24h/7/365, które nie są do tego przeznaczone.
  • Uszkodzenia elektroniki dysków twardych – to głównie problemy występujące w dyskach zewnętrznych, które przez podłączenie złego zasilacza (często mylnego z zasilaczem od laptopa) ulegają awarii. Zdarzają się również w dyskach twardych w komputerach i serwerach i wynikają w większości przypadków z przegrzania.
  • Przypadkowe lub celowe formatowanie – te problemy występują we wszystkich rodzajach nośników. Głównie narażone są na nie dyski przenośne lub zewnętrzne, które wykorzystywane są do przenoszenia danych miedzy komputerami, laptopami a np. telewizorami czy dekoderami telewizji kablowej lub satelitarnej. Dość często tego typu sytuacje występują również u fotografów czy operatorów kamer gdzie gromadzi się dane na kartach pamięci.
  • Skasowanie danych – to dość powszechny problem. Zaliczyć do niego możemy celowe działania pracowników, przypadkowe skasowanie plików podczas ich inwentaryzacji lub kopiowania lub usunięcie plików w trakcie aktualizacji Windows. Ten ostatni problem dotyczy szerokiej rzeszy użytkowników Windows 10 i powraca z kolejnymi aktualizacjami jak bumerang
  • Uszkodzenia pamięci lub firmware’u dysków SSD – to kolejna grupa sytuacji jakie mają wpływ na utratę danych. Mimo iż dyski SSD miały być bezawaryjne, okazało się, że tak jednak nie jest i co chwilę odzyskujemy dane z dysków SSD. Nośniki SSD wyeliminowały wiele problemów tradycyjnych dysków twardych ale niestety stworzyły nowe.
  • Awarie serwerów NAS i macierzy RAID – Jako, że macierze RAID i serwery NAS to jedne z najbezpieczniejszych nośników danych na rynku, ich użytkownicy wychodzą często z błędnego założenia, że dane na nich są bezpieczne i nic im nie grozi. To mylne założenie prowadzi często do wielu problemów i zastojów w firmach, ponieważ awarie się jednak zdarzają.

Obecnie na rynku nie ma nośników, które są w 100% bezpieczne, a jedynym pewnym zabezpieczeniem naszych danych są cykliczne kopie zapasowe. Polityka w tym zakresie powinna być jasno określona w każdym przedsiębiorstwie i instytucji. A im więcej cennych plików posiadamy tym większą rangę powinniśmy temu przypisywać. Na temat kopi zapasowych zostało napisane już wiele artykułów, więc nie będziemy ich tu powtarzać, ale zwrócimy tylko uwagę na jeden problem z interpretacją czym tak naprawdę jest kopia zapasowa.

Z naszych doświadczeń wynika, że wiele osób myli kopie zapasowe z trzymaniem danych na serwerze NAS, macierzy RAID lub dysku zewnętrznych. To nie jest kopia zapasowa. Kopię mamy wtedy gdy posiadamy dane przynajmniej na dwóch niezależnych nośnikach. Z naszego punktu widzenia nawet replikacja danych między serwerami, które są stale włączone w jeden system sieciowy nie jest kopią zapasową, o czym przekonało się wielu naszych klientów, np. podczas awarii zasilania, pożarów, powodzi lub ataków wirusów szyfrujących Ransomware.

2. Co robić, a czego nie robić gdy dojdzie do awarii ?

Gdy dochodzi do awarii nośnika, niezależnie od tego czy to dysk twardy, SSD, karta pamięci czy duża macierz RAID w urzędzie lub korporacji, często dochodzi do sytuacji, w których użytkownicy lub informatycy podejmują szereg błędnych decyzji, pogarszających sytuację. Wynikają one głównie z niezrozumienia problemu, presji na szybkość załatwienia sprawy i odzyskanie dostępu do danych ze strony przełożonych, obawą o wysokie ceny usług odzyskiwania danych, które w niektórych przypadkach faktycznie mogą być astronomiczne, ale w większości, przy pierwotnych usterkach, są akceptowalne dla większości osób i firm. Poniżej opiszemy więc co robi wiele osób zanim odda dysk do laboratorium i jaki ma to wpływ na możliwość odzyskania danych:

co robić gdy dojdzie do utraty danych

  • Podgrzewanie lub zamrażanie uszkodzonych dysków – Nie wiemy skąd się biorą te pomysły ale są często powielane. Niestety nic to nie daje a dyski po takich zabiegach ulegają dodatkowym uszkodzeniom. W nasze ręce trafiały już dyski z których odpadały elementy elektroniczne, miały stopione plastikowe elementy we wnętrzu lub rozmagnesowane w wyniku przekroczenia temperatury rozmagnesowania stopu napylonego na talerze dysku. Szczerze to mniejsze problemy potrafi spowodować pożar niż użytkownicy. Zamrażanie z kolei sprawia, że po podaniu zasilania i wzroście temperatury zaczyna wytrącać się wilgoć, powodująca uszkodzenia elektroniki. Tak naprawdę poza dodatkowymi uszkodzeniami nic to nie wnosi.
  • Uderzenie dysku, który wydaje dziwne dźwięku – to kolejny pomysł, który można porównać do wjechania kolejny raz w drzewo samochodem, bo może usterki się zmniejszą albo znikną. Dyski twarde to bardzo delikatne urządzenia, a wstrząsy i uderzenia to najczęstsza przyczyna uszkodzenia głowic dysku. Jak więc kolejne uderzania mają pomóc? Nie wiemy, ale klienci często mówią, że ktoś na forum im to doradził i niestety się pogorszyło.
  • Wymiana elektroniki dysku lekarstwem na każde uszkodzenie – niestety nie. Jeśli dysk się kręci elektronika na pewno jest sprawna. A jeśli silnik dysku się nie uruchamia to wymiana elektroniki nic i tak nie da, ponieważ w procesorze zapisane są indywidulane parametry dla każdego dysk ( nie dla modelu, a konkretnego egzemplarza). Aby taka elektronika zadziałał należy ją odpowiednio oprogramować, do czego służą profesjonalne narzędzia jak PC3000, które opiszemy później.
  • Rozbieranie dysku i wymiana talerzy – to kolejna głupota jaką wykonują zdesperowani użytkownicy, chcąc zaoszczędzić. W konsekwencji tego typu działań przychodzą do nas z układankami w których nie wiadomo, który talerz jak był zamontowany. Dodatkowo na talerzach często są już rysy albo wytrawienia od odcisków palców, co dyskwalifikuje możliwość odzyskania danych.

Wiele czynności podejmowanych przez użytkowników, które mają pomóc i być za darmo, tak naprawdę powoduje tylko dodatkowe problemy. Często używanie darmowych programów, które są dostępne w internecie również powoduje wiele dodatkowych kłopotów. Dyski, które jakkolwiek działały, podczas wielogodzinnego skanowania padają do końca a klient w którymś momencie budzi się z klikającym dyskiem i kosztami na poziomie kilku tysięcy, gdy pierwotnie pewnie zapłaciłby 30 do 50% tej kwoty.

Niemniej jednak w następnym dziale przyjrzymy się darmowym rozwiązaniom jakie możemy znaleźć w internecie na różnego rodzaju stronach związanych z informatyką.

Jak więc się zachować gdy dojdzie do utraty danych?

  1. Przede wszystkim nie panikować – to najgorsze co można zrobić.
  2. Spisać jak doszło do sytuacji utraty danych, opisać objawy jakie temu towarzyszyły, czy dysk wydawał dziwne dźwięki itp.
  3. Wyłączyć komputer i sprawdzić połącznia, w laptopie odpiąć koniecznie baterię i zasilacz.
  4. Zresetować system
  5. Jeśli nic się nie poprawiło, wyłączyć zasilanie
  6. Dostarczyć uszkodzony sprzęt do profesjonalnej firmy na analizę. Nasz firma oferuje bezpłatną wycenę niezależnie od decyzji

3. Darmowe programy do odzyskiwania danych

Darmowe programy do odzyskiwania danych początkowo powstały jako odpowiedź na potrzeby klientów starszych dysków twardych. Ich główną cechą było to, że potrafiły pomóc w odzyskaniu plików po skasowaniu lub sformatowaniu dysku. Do dziś niektóre z nich całkiem nieźle się spisują, ale ich wykorzystanie  do uszkodzonych dysków oraz dysków SSD jest mocno ograniczone, aby nie napisać że nie możliwe i często kończy się wieloma dodatkowymi problemami.

Jeśli już ktoś musi skorzystać z tych programów lub jego dane nie są zbyt ważne można to zrobić, przy zachowaniu kilku zasad bezpieczeństwa

Zasady bezpieczeństwa podczas odzyskiwania danych

  1. Należy mieć bezwzględną pewność, że nośnik jest sprawny
  2. Należy wykonać kopię posektorową dysku 1:1 zanim cokolwiek zrobimy
  3. Nigdy nie wolno instalować tych programów na dyskach z których chcemy cokolwiek odzyskać
  4. Nigdy nie kopiujemy odzyskanych plików na nośnik z którego je odzyskujemy
  5. Przeczytaj jeszcze raz zasady bezpieczeństwa i nie idź na skróty, bo to się niestety mści.

Programy:

  1. TestDisk jest chyba pierwszym darmowym programem do odzyskiwania skasowanych plików i naprawy partycji. Jego główną funkcją jest jednak możliwość naprawy sektorów rozruchowych niektórych systemów plików. Takie problemy są spowodowane błędami ludzkimi lub mniej agresywnymi wirusami. To ciekawy program oparty o konsolę DOS i dość karkołomny w użyciu ale skuteczny w pewnym zakresie.
  2. PhotoRec jest wynikiem kontynuacji prac nad TestDisk. Ma otwartoźródłowy kod i służy głównie do odzyskiwania skasowanych plików po ich znacznikach HEX. Główne zastosowanie znalazł do odzysku zdjęć i dokumentów z kart pamięci, pendrive i aparatów. Program całkiem nieźle radzi sobie również z niektórymi formatami dokumentów oraz plikami spakowanymi. PhotoRec jest łączony z TestDisk, a oba programy można pobrać ze strony CGSecurity. Często jest również dołączany do różnych dystrybucji Linuxa.
  3. Recuva to trochę nowocześniejsze rozwiązanie od poprzednich dwóch. Program został wyprodukowany przez firmę Piriform. Oferuje obsługę Microsoft Windows 10, 8, 7, Vista, XP, 2003 i 2000[1]. Program oferuje odzyskiwanie skasowanych plików oraz możliwość pracy z uszkodzonymi dyskami. Ta praca z uszkodzonymi dyskami to trochę na wyrost, ale z pojedynczymi bad-sectorami sobie poradzi. Wspiera systemy plików jak FAT, NTFS i exFAT. Program próbuje odtworzyć strukturę plików i katalogów a nieprzypisane pliki odzyskuje po ich znacznikach. Jest to ciekawe rozwiązania, które w prostych przypadkach się pewnie sprawdzi, ale niestety nie radzi sobie z wieloma problemami, o czym często informują nasi klienci

Podobnych do Racuvy programów jest wiele, wymienić tu możemy np.: StrogRecovery, czy DiskDrill Free, ale cechą wspólną wszystkich tych programów oraz tych płatnych tanich, które opiszemy w następnym punkcie jest to, że nie radzą sobie z uszkodzonymi dyskami, a wręcz często mogą pogorszyć ich stan. Dzieje się tak z tego względu, że wszystkie te programy obsługują komunikację z dyskiem przy pomocy systemu operacyjnego. A system, jak to system jest napisany do pracy z dyskami sprawnymi więc gdy coś jest nie tak, to wywołanie odczytu danych z sektora będzie kontynuował aż się zawiesi lub uszkodzi dysk. Przejdźmy zatem do opisu kolejnej grupy programów.

4. Płatne programy do odzyskiwania danych

W tej grupie znajdziemy właściwie dwa rozwiązania, które są warte naszej uwagi. Są to narzędzie, których licencje kosztują w okolicach 300 zł, ale w tej cenie otrzymamy trochę bardziej zaawansowane funkcje w stosunku do poprzednich programów. Nie są to jednak narzędzia idealne ale można je polecić do odzyskania skasowanych zdjęć z wakacji lub wyszukania skasowanego dokumentu, pod warunkiem że nie był on zapisany  na dysku SSD, bo tu może już nic nie pomóc ze względu na wykorzystanie komendy TRIM. Aby używać tych programów przypomnijmy zasady bezpieczeństwa:

  1. Należy mieć bezwzględną pewność, że nośnik jest sprawny
  2. Należy wykonać kopię posektorową dysku 1:1 zanim cokolwiek zrobimy
  3. Nigdy nie wolno instalować tych programów na dyskach z których chcemy cokolwiek odzyskać
  4. Nigdy nie kopiujemy odzyskanych plików na nośnik z którego je odzyskujemy
  5. Przeczytaj jeszcze raz zasady bezpieczeństwa i nie idź na skróty, bo to się niestety mści.

Programy:

  1. R-Studio jest chyba najstarszym i dość dopracowanym programem do odzyskiwania danych. Podobnie jak darmowe programy może odbudować uszkodzoną strukturę plików i katalogów oraz odzyskiwać dane po ich znacznikach HEX. Ma jednak znacznie większą bazę obsługiwanych formatów plików i jest wciąż rozwijany dzięki czemu radzi sobie z nowymi wersjami systemów plików jak nowy NTFS lub Apple APFS.

Program ma również możliwość obsługi szyfrowanych partycji np. przez BitLocker.

  1. DMDE to bardzo ciekawy program, który jest podobny w funkcjonalności do R-Studio. Jest wyposażony w szybką odbudowę struktur katalogów i możemy przyznać, ze sami wykupiliśmy licencję techniczną i wykorzystujemy to narzędzie w końcowej fazie odzyskiwania danych z uszkodzonych dysków do sprawdzenia na szybko czy udało się odzyskać i jakie dane klienta.

Poniżej kilka przykładowych screan'ów z programu DMDE

DMDE program do odzyskiwania danych

lista partycji DMDE

Lista katalogów DMDE

Jak już wspomnieliśmy największą wadą tych programów, z punktu widzenia profesjonalnych usług odzyskiwania danych, jest fakt, że potrafią uszkodzić dysk jeśli tan ma już jakieś problemy ze sobą. Najgorsze scenariusze z jakimi przychodzą do nas klienci to te w których dysk zaczął być skanowany a po jakimś czasie zaczyna klikać bo dysk zaciął się na jakimś sektorze, którego nie mógł odczytać i uszkodził się do końca. To niestety częsta sytuacja w naszej pracy.

Jeśli są Państwo ciekawi jak odzyskuje się dane i jakich narzędzi używa się w profesjonalnych zastosowaniach zapraszamy do lektury kolejnej części naszego artykułu5.Profesjonalne programy i narzędzia do odzyskiwania danych.

5. Profesjonalne programy do odzyskiwania danych

W profesjonalnych rozwiązaniach do odzyskiwania danych nie ma zbyt dużej konkurencji ponieważ na rynku mamy właściwie jedną firmę która takie rozwiązania sprzedaje a jest nią Acelaboratory z Rosji, producent systemu PC3000 w wersjach do obsługi dysków twardych, dysków SSD, SAS oraz kart pamięci i pendrive. Za systemem PC3000 można powiedzieć wprost długo nic nie ma i pojawia się DeepSpar oraz Atola. Jest jeszcze kilka Chińskich podróbek PC3000 ale nigdy nie odważylibyśmy się ich użyć do dysków klientów. Przeprowadzone przez nas testy dyskwalifikują te urządzenia z komercyjnego użytku.

PC3000 jest na wyposażeniu naszych wszystkich stanowisk i jest to system, którego główną zaletą jest możliwość kopiowania danych w locie już w trakcie sprawdzania kondycji dysku. Daje to w porównaniu do tanich i darmowych programów ogromną przewagę na samym wstępie i ogranicza możliwość utraty wszystkich danych gdy dysk w trakcie ich zabezpieczenia ulegnie uszkodzeniu.

Poza główną zaletą, którą opisaliśmy wyżej PC3000 daje wiele różnych możliwości obsługi komunikacji z dyskiem na poziomie serwisowym. Jako, że każdy model dysku działa inaczej, obsługa dysków twardych i dysków SSD podzielona jest na poszczególne rodziny, a oprogramowanie jest dostosowane do ich obsługi. Instrukcja obsługi do jednej grupy dysków to często kilkadziesiąt stron, więc łatwo sobie wyobrazić jak skomplikowane w użytkowaniu jest to narzędzie.

Dla przykładu opiszemy Państwu jedną z funkcji PC3000 aby można było sobie uzmysłowić jakie zagrożenia są podczas odzyskiwania danych z nowoczesnych dysków.

Nowe dyski WD maja wbudowane dynamiczne translatory. Oznacza to, że jeśli dysk wykryje jakiś błąd podczas odczytu lub zapisu danych jego oprogramowanie może zdecydować o wyłączeniu całego obszaru zajmującego od kilku GB do całej pojemności dysku z użycia i przeliczeniu informacji o położeniu sektorów. W starszych dyskach sektor zgłaszany był do relokacji albo po prostu zgłaszał błąd odczytu. Gdy dojdzie do takiej sytuacji cały dysk WD może nagle wystawić wyzerowane sektory (Dysk będzie wyglądał jak nowy nie zainicjowany, prosto ze sklepu) a dane zostaną utracone.

W PC3000 można zablokować możliwość wpisywania informacji do strefy serwisowej co sprawia, że nawet jeśli oprogramowanie spróbuje to zrobić, to PC3000 zablokuje zmiany. Inna możliwość jaką daje to urządzenie jest skopiowanie strefy serwisowej dysku na wszelki wypadek.

Poza możliwościami ingerencji w firmware dysków oraz ich naprawy PC3000 daje również bardzo zaawansowane funkcje analizy systemu plików FAT, exFAT, NTFS, HFS +, APFS, EXT2 / 3/4, XFS, ReiserFS, BtrFS, VMFS, UFS1 / 2, ZFS, DHF4.1, WFS0.x Obsługuje obrazy VMDK (VMWare), VHD, VHDX, DMG, oraz kopiowania danych klientów z atrybutami plików z pełnym i niepełnym odczytem. Ma również szereg funkcji wykorzystywanych w informatyce śledczej.

Przykładowe ekrany z PC3000 do wstępnej diagnozy dysków WD

PC3000 - profesjonalny program do naprawy dysków i odzyskiwania dnaych

PC3000 diagnoza dysku WD

PC3000 to również jedyny skuteczny program do odzyskiwania danych z uszkodzonych dysków SSD, a listę obsługiwanych modeli prezentujemy na tej stronie https://centrumodzyskiwaniadanych.pl/uslugi/ssd

na naszym wyposażeniu jako uzupełnienie jest również system DDI firmy Deepspar, który wykorzystujemy głównie do dysków z duz ilością bad sektorów. Możliwość ustawiania czasów odczytu, pomijania puli uszkodzonych sektorów i automatyzacja niektórych funkcji sprawiają, że jest to narzędzie, które można wykorzystać do niektórych zleceń.

Podsumowanie

Odzyskiwanie danych to zajecie dla osób, które maja w tym zakresie doświadczenie, szczególnie jeśli dane użytkowników są ważne. Znajomość budowy dysków i zasad działania poszczególnych modeli daje profesjonalnym firmom przewagę na starcie, a wykorzystanie narzędzi takich jak PC3000 ogranicza ryzyko dla klienta. Wybierając firmę, której powierzycie Państwo swoje dane, warto zrobić to na spokojnie. Zalecamy sprawdzić bloga firmowego i poczytać o prawdziwych zleceniach. Zalecamy również omijać szerokim łukiem małe serwisy komputerowe oraz firmy, których artykuły są napisane jakby zrobił to automat. Ponadto proszę zwrócić uwagą, że w Polsce jest nie więcej niż 20 firm które mają pełne profesjonalne wyposażenie a porady z for i stron branżowych często powodują wiele szkód. Rozbieranie dysków czy używanie darmowych programów naprawdę nie jest dobrym pomysłem.

Dodatkowe informacje

https://od24h.pl/blog/155-jaki-program-do-odzysku-danych

https://datarecoverylab.pl/blog/odzyskiwanie-danych-5-najwazniejszych-informacji/