データ復旧・データ消去技能者の個人ブログ

HAYATO.NET

未分類

データ復旧サービスの手順・方法・手段

更新日:

はじめに

効率的に、最善の結果を目指すのが、データ復旧の真の姿

ですが、徹底的にディスク調査を行う事によりデータ復旧に関わるコスト(設備、研究費、開発費、人件費)を大きく上げてしまうのも事実。お客様のご予算に応じて作業時間などをカットし熟練技術者達が対応をしていく事については当社含め他社さんのサービスに賛同します。

また、このページについての内容は私が尊敬しているデータ復旧技術者の師である「ぬらりひょん」が作った資料を元に私が追記させて頂きました。
ベースを作成された「ぬらりひょん」に敬意を表し公開をさせて頂きます。

データ復旧サービスにおける障害区分

大きく『論理障害』と『物理障害』に切り分けられる。

論理障害

HDD等の媒体には異常が無いが、区画構造情報(MBR)やファイル構造情報(FAT、MFTなど)や、データ・ファイルの構造的な障害に起因する障害。(やっちまった!系が多い)

論理障害の例

誤消去

  • ゴミ箱からデータを削除してしまった。
  • メールデータを削除してしまった。
  • データを上書きしてしまった。

誤フォーマット

  • 間違って別なディスクをフォーマット(初期化)してしまった。
  • 携帯、スマフォなどのSDカードをフォーマットしてしまった。

区画消滅

  • パーティションを開放してしまった。
  • 外付けディスクをアンマウントせずに抜いてしまった。
  • SDカードがの写真が表示されない。(FAT32に多い現象)
  • RAIDのリビルドを途中停止してしまった。

ファイル消滅等

  • ウィルス、マルウェア、ランサムウェアなどに感染してしまった。
  • 退職した従業員のデータが見つからない。
  • 暗号化されているファイル、ストレージにアクセスが出来ない。

アクセス不可

  • 暗号化されているファイルやストレージデバイスにアクセスが出来ない。
  • NASやファイルサーバにアクセス出来ない。
  • 管理者パスワードを忘れてしまった。

 

論理障害の復旧方法

簡単には、データ復旧ソフトで復旧可能なものとも言えるが、ファイルシステムに対してや、申告された症状により各ソフトの良し悪しを見抜く。(熟練の復旧技術者によるソフト選定が非常に重要

そして、誤解も存在する。
(例:OSは読めないが、ユーザデータは読める場合は物理障害)

物理障害

HDD等の媒体に存在する障害が原因の障害

物理障害の例

バッドセクタ、リードエラー、ヘッドや基板(PCB)等の媒体を構成する部品等が原因となって発生した障害。(PCB上のチップの損傷など)

多く発生する障害は何?

障害の内容を発生順位で見ると・・・

1位:リードエラー

物理障害に分類されるが、あの手・この手を尽くすと読み取りが可能

2位:ファームウェア障害

HDDが認識できない(HDDの起動シーケンスが終了できない)

3位:ヘッド故障

HDDが認識できない(HDDの起動シーケンスも開始しない)

データ復旧の手順-1.1

初期診断(障害内容の切り分け-1)

※お客様の申告内容で、論理的な障害であると判明している場合を除く。

耳で聞く、目で見る

HDDの起動シーケンスが終了するのか、途中でエラー終了してしまうのか、何処まで進むのか?

起動シーケンスとは?

  • HDDは電源に接続されると、自動的に起動シーケンスが動作します。
  • ファームウェアを読み込み、SA(システムエリア、サービスエリア、トラックゼロ情報、基本的物理構造情報などと呼ばれます)を読み、HDDが動作可能になるように準備をします。
  • 完了すると、Ready信号を出力し、BIOSやOSに認識されます。

 

データ復旧の手順-1.2

BIOSで認識するけど?

以前は、代表的な障害内容の切り分け手法として、BIOSでの認識の有無が用いられていましたが、最近のHDDでは、この手法は必ずしも正しくありません。BIOSは、接続されている媒体に対して、順番に信号を送り、メディアIDの回答を待ち、その回答を得て認識しています。HDDのメディアIDは、昔はプラッタのSA領域だけに存在したので、認識できない=SAが読めない=物理障害 が成立していましたが、最近は、基板上のメモリーからIDを返す物が多くなってきているので、BIOSでの認識可否だけで判定することは出来ません。

データ復旧の手順-1.3

ファームウェアって何してる?

ファームウェアは、品質をランク分けしたヘッドやプラッタの組み合わせで正常に動作するように、プラッタに記録されたデータのヘッド出力(アナログデータ)をデジタルデータに変換するための、微分回路や積分回路の定数の設定や、書き込みヘッドと読み出しヘッドの微小な位置のずれを補正するための設定、リードエラーが発生した場合のリトライの方法など、正にHDDの中心に存在しコントロールする頭脳的な役割を持っています。
このために、HDDの基板は同一型番であってもファームが一致しないと役に立たないのです。それだけでなく、基板上に存在するファーム情報を、HDDのSA上に書き込んでしまい、手に負えない状態にしてしまう可能性すら存在します。

データ復旧の手順-1.4

SAには、

  • ハードディスクの仕様に関する情報(型番/シリアルナンバー等)
  • S.M.A.R.T. ハードディスクの自己診断機能情報
  • P-List 製造段階で生じた不良セクターに関する情報(リスト)
  • G-List 出荷後に生じた不良セクターに関する情報(リスト)
  • ファームウェア情報
  • ゾーンテーブル プラッタの外周部と内周部の記録密度を調整するためのトラック情報
  • セキュリティ情報 パスワードや暗号化に関する情報

等が記録されています。

起動シーケンスでは、この情報と実際の状況が一致していることの確認を行い、一致していることが確認できないと、異常として動作を停止します。ですから、どの時点で停止(異音発生)するのかを見極めることが重要です。

データ復旧の手順-2.1

調査(障害内容の切り分け-2)

初期診断において、HDDの起動シーケンスが完了し、デバイス認識が完了するもの、お客様の情報で論理障害と判定したものは、次のステップとして、クローンHDDの作成を行います。

クローンを作成する理由

  • どの様な場合においても、ヒューマンエラーを皆無にすることは出来ません。作業上のミス等が有った場合の再処理を可能にするためにも、お預かりした媒体上のデータを直接操作することは、取り返しの付かないデータの消失を防ぐために行ってはならないことです。
  • HDDは、リードエラーやバッドセクタが皆無であると考えてはいけません。論理障害であると判断したものでも、実はリードエラーやバッドセクタが原因(物理障害)の可能性があります

データ復旧の手順-2.2

クローン作成ツールについて

  • 最近安価なHDDコピーツール(接続ケーブル)や、コピー装置が販売されていますが、それらの多くはHDDにエラーが存在しないことを条件に設計されています(ソフトウェアの常識)。 そのためにリードエラーなどを検出すると、エラー停止してしまうことが多く、せっかく開始した作業が無駄になってしまう等、悔しい思いをすることがあります。 データ復旧業者と名乗るからには、無駄の無い「プロフェッショナル」と、胸を張って言える仕事をしましょう。
  • リードエラーやバッドセクタを最小限に抑え、スキップして作成されたクローンHDDを論理処理すれば、通常のデータ復旧ソフトだけでは復旧できないファイルのデータ復旧も可能になります。
  • データ復旧業者が、DDやDD Rescueなどでなく、高額な専用設備を使用するのもそんな理由によるものです。

データ復旧の手順-2.3

クローン作成ツールで判定

  • クローン作成専用の設備/ツールでは、クローン作成時に検出したエラーのレポート機能が備わっていることが常識です。 このレポートを見ると、エラーの存在等の詳細な状況がわかります。論理障害だと思っていたものが、実はリードエラーやバッドセクタなどの物理障害であった。このような事は、日常茶飯事に存在します。ですから、データ復旧業者によって、障害の判定が「論理障害」であったり、「物理障害」であったり、判定が変わってしまうことも不思議ではありません。
  • データサルベージでは、この理由により「物理障害」、「論理障害」のような区別ではなく、「重度、中度、軽度」のような、実際の作業の種類・難易度による区別を用いています。
  • 本来は、診断・調査作業としてクラスタスキャンのような、調査・判定作業を行うべきだと考える方もいらっしゃると思います。しかし、そのような作業を行った後に再度クローンの作成を行うことが、効率な作業とは言えないと思います。また、その判定作業中に障害が進行する可能性もあるので、無駄な作業は省き、最善の結果を求める行動を選択するべきであると、データサルベージは考えます。

データ復旧の手順-3.1

調査(障害内容の切り分け-3)

初期診断において、HDDの起動シーケンスが開始できないもの、または途中終了や異音が発生するものの判定は、

起動シーケンスが開始しない

重度の物理障害であって、部品の交換作業などが必要。

起動シーケンスが途中で終了

  • ヘッド以外に障害(プラッタに傷等が存在して復旧不能)
  • ファームウェアに障害が存在
  • SA領域に損傷が存在(リカバリー専用機器による精密・詳細診断が必要)

リカバリー専用機器についての詳細は別ページをご覧ください。
『データ復旧ハードウェアまとめ』
https://www.hayato.net/datarecoveryhardware/

データ復旧の手順-3.2

部品交換

ヘッドや基板のような、ファームウェアが関係する部品の交換は、当然のこととして使われているファームウェアが一致することが条件となります。但し、基板交換の場合においては、有る程度の互換性が確保出来る基板が入手できれば、基板上のファームウェアが書き込まれているROMチップを乗せ替えることで、解決することも可能です。また、リカバリー専用機器では、データベースがあるので、該当するファームウェアを入手し、書き換えるようなことも出来ます。(100%ではない)

  • ヘッドの交換のように、HDDを開封しなければ作業できないものは、クリーンベンチ、クリーンブースのような、クリーンな環境を準備する必要があります。

  • 互換性のある部品を確保・在庫しておくことは大変な費用と場所が必要となりますし、100%を満たすことは不可能と言っても間違いではありません。ヤフオクやeBayなどを利用して探すこともあります。 ですから、取扱件数が少ない場合は、技術的な興味や向上心があるのは理解できますが、ビジネスとしてお勧めできるものではありません。

データ復旧の手順-3.3

ファームウェア、SAの障害

リカバリー専用機器に代表される、データ復旧専用機器を利用することが不可欠です。

リカバリー専用機器には、ファクトリーモードと呼ぶ、HDD製造工場で使われている製造設備と同等の機能が備わっており、この機能を利用することによって、起動シーケンスの途中でエラー停止してしまうようなHDDでも、ATAコマンド等を利用して、ファームの書き換えや、SA領域を読み出すようなことを可能にしています。この機能を利用して、リカバリー専用機器の製造元が作成しているデータベースにアクセスし、そのデータを利用することによって、ファームウェアの修復を行ったりする、高度なデータ復旧作業を可能にしています。

これらの作業が完了し、起動シーケンスが終了する(OSで認識する)ことを可能にすることが出来れば、クローンを作成し、そのクローンに対して、種々のデータ復旧用のソフト、ツールを用いたファイルの回収作業(論理処理)に進みます。

データ復旧の手順-4

論理処理

データ復旧の対象となるHDDのクローンさえ取得できれば、後は使い慣れたデータ復旧用のソフトやツールを利用して、ファイルの回収を実施すれば、データ復旧作業自体は終了になります。ここで、注意することが必要なのは、どの様な場合でも、ファイルは復旧対象の媒体に書き込まず、他の媒体を用意して書き出しを行うことです。

不用意に、復旧元の媒体に書き込みを行うと、ファイル構造情報でマッピングされていないデータエリアに対してファイルの書き込みを行ってしまい、復旧できたはずのファイルを作業中に消滅させてしまうようなこと発生する可能性があります。

データ復旧ソフトの選定については以下当サイトのURLの『データ復旧ソフトまとめ』をご覧ください。

データ復旧ソフトまとめ(手は必ず見つかる)
https://www.hayato.net/datarecverysoftware/

-未分類
-, , , , , , , , ,

Copyright© HAYATO.NET , 2021 AllRights Reserved Powered by STINGER.