Kategoria: Odzyskiwanie danych

Nasz artykuł w Forensic Science International

Opublikowany 22 kwietnia 202122 kwietnia 2021 przez Ilia

Zapraszamy do zapoznania się z naszym artykułem o pożarze w Kuźni Społecznej w Olsztynie, który został opublikowany w renomowanym czasopiśmie międzynarodowym Forensic Science International: Reports

Denis Solodov, Ilia Solodov, Data recovery in the case of fire-damaged Hard Disk Drives and Solid-State Drives, Forensic Science International: Reports, 2020

Budowa SSD. Część 3: TRIM a odzyskiwanie danych.

Opublikowany 19 lutego 202120 lutego 2021 przez Ilia

Jak już wiemy z poprzedniego wpisu kontroler dysku SSD musi dysponować wolnymi komórkami pamięci NAND. Jest to konieczne, jeśli chodzi o pracę translatora FTL, bez którego nie funkcjonuje logiczna adresacja LBA, a bez LBA nie działa system operacyjny, czyli użytkownik nie może korzystać z dysku SSD, odczytywać lub zapisywać jakiekolwiek dane. W związku z tym kontroler dysku SSD nieustannie szuka bloków pamięci NAND, które można zwolnić bez uszkodzenia danych użytkownika lub danych systemowych dysku SSD. Z tą drugą kategorią danych dla kontrolera „wszystko jest jasne”, bo on sam je tworzy i wypełnia treścią. Natomiast zrozumienie, które to dane użytkownika nie są mu już potrzebne, jest dla kontrolera nieco bardziej skomplikowane.

Jak pamiętamy z poprzedniego wpisu, w przypadku, kiedy użytkownik usuwa pliki, system operacyjny nie trudni się nadpisywaniem usuniętych danych, a zmienia tylko kilka bitów w odpowiednich tabelach (tzw. flagi). To powoduje, że plik z poziomu systemu operacyjnego staje się niewidoczny. W przypadku dysków SSD takie podejście powodowałoby, że po pewnym czasie dysk zapchałby się niepotrzebnymi danymi i przestał działać. Aby zwolnić zajęte przez „niepotrzebne” pliki komórki pamięci NAND (czyli wykasować te dane na stale), kontroler dysku musi najpierw zidentyfikować pliki, które nie są już potrzebne użytkownikowi.

*Na szczęście nasze dane na zawsze pozostaną w pamięci data centrów FaceBook, Google i wielu innych graczy rynku BigData.*

Czytaj dalej

W tym celu kontroler dysku SSD może zastosować dwie metody:

— zastosować algorytm umożliwiający ciągłe analizowanie struktur kluczowych systemu plików — taki algorytm będzie inny dla każdego systemu plików, tj. NTFS, FAT16/32/64, EXT2/3/4, HFS itd. Aby to robić, kontroler SSD musi mieć dodatkową moc obliczeniową oraz zwiększoną objętość własnego RAM;

— uzyskać informacje o skasowanych plikach od systemu operacyjnego.

Z uwagi na koszty, na rynku dominują urządzenia wykorzystujące te drugie podejście. Nazywa się one TRIM. TRIM jest realizowane jako jedno z poleceń interfejsu, przy pomocy którego system operacyjny komunikuje się z nośnikiem danych, czyli protokołu ATA (ang. Advanced Technology Attachments) – jego współczesną implementacją jest SATA. Za pomocą TRIM system operacyjny może przekazać oprogramowaniu SSD adresy danych, które nie są już potrzebne użytkownikowi. Te dane kontroler SSD wpisuje na listę adresów przeznaczonych do kasowania i rozładowywania (operacja erase). Obe te operacje – kasowanie i rozładowywanie – wykonywane są w tzw. wolnej chwili (idle time) w ramach wspomnianej wcześniej operacji garbage collection.

Czasami prawidłowe działanie funkcji TRIM się zakłóca, bo TRIM wymaga sprawnego współdziałania co najmniej trzech elementów komputera: systemu operacyjnego (TRIM jest nadbudową systemu operacyjnego i musi być w nim prawidłowo zaimplementowany), interfejsu znajdującego się pomiędzy systemem operacyjnym a dyskiem – musi podtrzymywać przekazywanie poleceń TRIM, oraz samego dysku SSD. Błędy w przypadku dowolnego z tych elementów mogą powodować, że TRIM przestanie funkcjonować. Niedziałający lub działający nieprawidłowo TRIM będzie z jednej strony ułatwiał odzyskiwanie usuniętych danych, które będą pozostawały w komórkach pamięci. Z drugiej strony, po jakimś czasie kontroler wykorzystuje wolne miejsce, po czym przed każdą nową operacją zapisywania danych będzie musiał rozładowywać bloki, co istotnie obniża prędkość działania nośnika. W naszej praktyce, kiedy mieliśmy podobne sytuacje, prędkość dysku SSD spadała do około 30 mb/s. Dla porównania, w trybie normalnym jest to 300-400 mb/s.

Wadą i głównym koszmarem, dzięki któremu wiemy o istnieniu TRIM jest to, że od chwili, kiedy dysk SSD otrzymał polecenie TRIM, jego kontroler zaczyna rozładowywać odpowiednie obszary pamięci, co powoduje trwałe usunięcie danych. Kontroler będzie to robił zupełnie niezależnie, w każdej chwili, jak tylko dysk otrzyma zasilanie. Na ten fakt zwrócono uwagę jeszcze w dalekim 2010 r., kiedy to grupa badaczy z australijskiego Murdoch University opisała wpływ mechanizmów działania dysków SSD na możliwości odzyskiwania danych cyfrowych.

W ramach eksperymentu popularny model dysku SSD o pojemności 64 GB porównywano do dysku typu HDD o pojemności 80 GB. Opisano zostało zjawisko tzw. korozji (ang. self-corrosion), tj. samodzielnego, bez polecenia użytkownika czy też systemu operacyjnego, trwałego niszczenia przez kontroler zapisanych na dysku danych cyfrowych.

Badany SSD wykonywał tą operację również w sytuacji, gdy badacze stosowali standardowe metody prewencyjne, zapobiegające uszkodzeniu danych używane przez biegłych policyjnych (utworzenie obrazu dysku, blokada zapisu). Co ciekawe, dysk SSD zaczynał usuwać dane już po upływie 3 minut od momentu włączenia zasilania, a w przeciągu następnych trzech minut potrafił całkowicie usunąć te dane, które były uprzednio oznaczone przez użytkownika jako „niepotrzebne” (wykonywano szybkie formatowanie dysku). W konsekwencji nie udało się odzyskać ani jednego całego pliku. Z 25 000 plików tekstowych, którymi badacze wypełnili dysk SSD, tylko jeden dało się częściowo odzyskać (na 50% jego oryginalnej zawartości). To był najlepszy rezultat. Większość plików zostało uszkodzonych nawet w 82%. „Operację” bezpiecznie „przeżyło” zaledwie 0,03% zapisanych na dysku danych.

Należy zaznaczyć, że badaczy nie zaobserwowali żadnych zmian świadczących o tym, że wykonywany jest algorytm garbage collection – nie było wizualnych czy dźwiękowych ostrzeżeń systemowych, wibracji czy kliknięć, które można byłoby w podobnej sytuacji oczekiwać mając do czynienia z dyskiem typu HDD. Pod tym względem działający dysk SSD niczym się nie różnił od dysku SSD odłączonego od zasilania. Wniosek był taki, że korozja danych cyfrowych w przypadku dysków SSD odbywa się „bezobjawowo”.

Nie każdy jednak dysk SSD zachowuje się tak, jak opisano wyżej. Pamiętajmy, że producenci tych urządzeń, a jest ich ponad 80, mają różne koncepcje, jeśli chodzi o „idealny” SSD. To dotyczy również implementacji polecenia TRIM będącego częścią standardu ATA. Badacze raportują, że niektóre wersje oprogramowania dysków SSD posiadają błędy powodujące to, że dysk nie pozbywa się danych usuniętych przez użytkownika. Nawet jeśli takich błędów nie ma, szybkość przeprowadzenia operacji garbage collection będzie zależała od właściwości fizycznych i ustawień konkretnego SSD.

Powstaje tu także pytanie – co SSD będzie robił z danymi które trafiły do garbage collection, ale nie zostały jeszcze wykasowane przez kontroler? Czy on wciąż będzie je pokazywał pod tymi samymi adresami LBA jak to robi dysk HDD? Czy je ukryje pokazując zamiast same zera? Na szczęście, ten etap funkcjonowania dysku SSD (tzw. Read After Trim) jest także przewidziany w standardzie ATA. Niemniej jednak wybór jednego z trzech proponowanych tu rozwiązań jest indywidualny dla każdego producenta:

1. Non-deterministic TRIM, czyli nie-deterministyczny odczyt po TRIM –SSD może pokazywać dane oryginalne dopóki odpowiednie bloki nie zostaną rozładowane (erase);

2. Deterministic Read After TRIM (DRAT), czyli deterministyczny odczyt po TRIM – przy próbie odczytania sektorów zawierających skasowane dane, SSD zamiast tych danych wyświetla ustawiony przez producenta wzór lub same zera;

3. Deterministic Zeroes After TRIM (DZAT), czyli deterministyczny odczyt zer po TRIM – dane użytkownika wpisane do listy garbage collection nie są pokazywane; zamiast nich pokazywane są same zera i nic więcej.

Pierwsze rozwiązanie czasami znajdziemy w najtańszych modelach dysków SSD wyprodukowanych przez mało znanych producentów. Drugie – deterministyczny odczyt po TRIM – jest najczęściej spotykane. Ostatnie, trzecie, rozwiązanie jest charakterystyczne dla dysków SSD należących do klasy enterprise, tj. tych wykorzystywanych w macierzach RAID.

Użytkownicy systemów operacyjnych na bazie Linux mogą dowiedzieć się, które rozwiązanie jest zastosowane w przypadku ich dysku (SSD) wprowadzając w Terminale polecenie hdparm –I. Na przykład:

$ sudo hdparm -I /dev/sda | grep -i trim

DRAT i DZAT powodują, że dane skasowane przez użytkownika lub system operacyjny robią się niewidoczne z poziomu interfejsu SSD. Niemniej jednak dane te mogą pozostawać przez pewien czas w kostkach pamięci NAND – aż do ich usunięcia (erase) przez kontroler dysku. Czas ten różni się w zależności od modelu dysku. W przypadku sprawnie działającego mechanizmu garbage collection może to być 15 minut lub nawet kilka lat, jeśli z jakiegoś powodu mechanizm ten nie działa. Oczywiście, jeśli odłączyć dysk SSD od zasilania od razu po tym, jak usunięto pliki, czas ten wydłuży się do kolejnego podłączenia zasilania.

Wcześniej jedynym sposobem na odzyskanie danych po uruchomieniu funkcji TRIM był tzw. chip-off – operacja polegająca na wylutowywaniu kostek pamięci i ich późniejszym odczytaniu przy pomocy specjalnego sprzętu. Trudności jednak powstają przy próbie odwrócenia przekształceń (transformacji) danych użytkownika dokonanych przez kontroler przy zapisywaniu tych danych do NAND – to jest przy odbudowywaniu „wirtualnego kontrolera” przy pomocy specjalnego oprogramowania (np. Rusolut). Tego rodzaju modyfikacje są konieczne nie tylko ze względu na dziwną „fizykę” pamięci NAND Flash (o tym pisaliśmy w pierwszej części), ale też, aby zapewnić niezawodność dysku SSD w czasie obowiązywania gwarancji. W związku z tym, odbudowa „wirtualnego kontrolera” dysku SSD jest zadaniem niesamowicie trudnym, czasochłonnym i kosztownym.

Na szczęście, ostatnio pojawiło się inne rozwiązanie – odczyt SSD w trybie factory mode (znanym również jako safe mode). Dostępne ono jest głównie dla posiadaczy programowo-sprzętowego kompleksu odzyskiwania danych PC3000 produkcji rosyjskiej. Więcej na ten temat można dowiedzieć się na oficjalnej stronie AceLab.

Wniosek końcowy brzmi następująco: aby zachować jak najwięcej danych zapisanych na dysku SSD i zwiększyć szanse na odzyskanie danych skasowanych, należy niezwłocznie odłączyć źródło zasilania.

Budowa SSD. Część 2: mechanizm działania kontrolera, translator FTL.

Opublikowany 13 stycznia 202119 lutego 2021 przez Ilia

To wszystko, o czym pisaliśmy w części pierwszej powoduje, że dysk SSD musi mieć pewnego rodzaju „pośrednika” pomiędzy dwoma mechanizmami zapisu i odczytu danych – adresacją logiczną LBA (którą posługuje się system operacyjny) z jednej strony a scalakiem pamięci NAND z drugiej. Ten ostatni, jak już Państwo wiecie z poprzedniego wpisu, może wykonywać tylko trzy rodzaje operacji – read, write oraz erase. Zauważmy, że nie ma wśród nich operacji rewrite, czyli nadpisywania – wynika to z fizycznych ograniczeń tego typu pamięci. Ale tak się składa, że jest to operacja istotna dla funkcjonowania mechanizmu LBA, który bezwarunkowo umożliwia systemowi operacyjnemu zapisywanie/odczytywanie/modyfikację danych w każdym bloku logicznym (de facto sektorze z danymi), który tą adresacją jest objęty – czyli posiada wyrażony liczbą (od 0 do iluś bilionów) adres LBA.

Obraz 1: W programie DMDE widzimy, że każdy sektor z zapisanymi danymi jest oznaczony liczbą porządkową – to akurat jest LBA.

Czytaj dalej

Jak więc organizowana jest współpraca pomiędzy NAND a systemem operacyjnym, jeśli ten drugi musi mieć tą funkcję (modyfikacji/nadpisywania) i nie może bez niej funkcjonować? Niestety mechanizm adresacji LBA był stworzony w czasach, kiedy podstawowym nośnikiem danych były nośniki magnetyczne – dyski HDD oraz taśmy streamerów. W przypadku dysków HDD operacja modyfikacji danych to tylko jeden „przelot” głowicy nad odpowiednimi sektorami, na skutek czego ich zawartość (dotychczasowa) zostaje nadpisana przez nowe dane. Jeśli chodzi zaś o pamięci NAND Flash, to tego rodzaju „zabieg” wymaga szeregu manipulacji. Zajmuje się tym część oprogramowania dysku SSD nosząca nazwę translator (czyli tłumacz).

Warto zwrócić uwagę na to, że dyski typu HDD również mają mechanizm translacji adresów LBA w adresy fizyczne, o czym opowiemy w kolejnych wpisach.

W pamięciach typu NAND jest to tzw. FTL (ang. Flash Translation Layer), który uwzględnia opisaną wyżej specyfikę działania pamięci flash oraz pozwala na przedstawienie urządzenia na poziomie systemu operacyjnego jako tzw. “block device”. Działanie FTL nie jest widoczne z poziomu użytkownika i systemu operacyjnego. Jego prawidłowe funkcjonowanie to zadanie kontrolera pamięci NAND i tylko on o nim wie.

Poniższy przykład obrazuje mechanizm działania FTL w sytuacji, kiedy mamy dwa bloki pamięci NAND oznaczone X i Y.

Obraz 2: Obraz ukazuje działanie operacji “Garbage collection” – jednej z podstawowych funkcji FTL.

Przyjmijmy, że w ramach kroku pierwszego do bloku „X” użytkownik zapisał dane A, B, C oraz D. Dalej użytkownik chce zmodyfikować już zapisane dane, poczynając od A, kończąc na D oraz zapisać obok nowe dane E, F, G oraz H. Z uwagi na to, że raz zapisanych danych zmienić nie można, FTL zapisuje nowe dane A–D do obszaru wolnego bloku „X”. W rezultacie powstają dane A’–D’, a kolejno FTL oznacza wcześniejsze dane A–D jako nieaktualne (ang. invalid). „Nieaktualność” powoduje, że dane stają się niewidoczne dla systemu operacyjnego oraz trafiają do kolejki na kasowanie. Żeby pozbyć się nieaktualnych danych i zwolnić miejsce pod nowe dane, kontroler tworzy kopię danych ważnych (ang. valid) w obszarze wolnym (blok „Y”) – to negatywne dla pamięci NAND zjawisko ma nazwę write amplification, czyli amplifikacja, poszerzanie zapisu. Dopiero po zabezpieczeniu ważnych danych w bloku „Y” kontroler usuwa wszystkie dane z bloku „X” „rozładowując” (operacja erase) go. Ten ostatni etap jest nazywany „zbieranie śmieci” czyli „garbage collection” – opiszemy go w następnych wpisach. Oczywiście wszystkie opisane manipulacje z danymi są zupełnie nie widoczne z poziomu użytkownika. Stosując FTL kontroler dysku „dba” o to, aby użytkownik, tj. system operacyjny, nie widział niczego poza ładnym ciągiem adresów LBA.

Z powyższego wynika, że FTL, aby działać prawidłowo, potrzebuje wolnego miejsca na dysku. Niestety niewiedza użytkowników, którzy często wypełniają pamięć na maksa w połączeniu z write amplification powodują, że tego miejsca na dysku staje się coraz mniej. Producenci stosują różne metody umożliwiające identyfikację obszarów pamięci, które oprogramowanie dysku SSD może zwolnić bez uszkodzenia danych użytkownika. Najprostszą jest sytuacja, kiedy oprogramowanie SSD (czyli FTL) samo stwarza dane nieaktualne (jak w podanym wyżej przykładzie). Wtedy dysk na pewno „wie”, że stara kopia tych danych nie jest już potrzebna. Inaczej wygląda sytuacja, kiedy użytkownik opróżnia kosz czy w inny sposób kasuje niepotrzebne mu pliki. W dyskach typu HDD, kasowanie pliku powoduje, że zmienia się kilka bitów (tzw. flagów) w plikach służbowych, systemowych. Np. w systemie plików NTFS w przypadku skasowanego pliku zmienia się jeden bit w „głównej tabeli plików” (tzw. MFT – Master File Table) oraz kilka bitów w pliku $BitMap, który zawiera ewidencję wolnego miejsca na dysku. W rezultacie, miejsce, które dalej jest zajęte przez skasowany plik, jest oznaczane jako wolne, a system operacyjny przestaje dany plik „widzieć”. W systemie plików FAT, w przypadku usunięcia pliku pierwsza litera jego nazwy jest zastępowana przez symbol specjalny. Kiedy system operacyjny chce zapisać (na dysku) nowe dane, sprawdza wymienione wyżej „flagi”. Obszar LBA oznaczony jako wolny zostaje nadpisany. Inaczej sytuacja wygląda w dyskach SSD – kontroler dysku SSD przed tym, jak zapisać nowe dane, musi mieć do dyspozycji wolne miejsce, tj. uprzednio rozładowane bloki. Pomaga mu w tym TRIM, działanie którego opiszemy w następnej części.

Budowa SSD. Część 1: budowa fizyczna, LBA i NAND.

Opublikowany 30 grudnia 202019 lutego 2021 przez Ilia

Dyski typu SSD coraz częściej wykorzystuje się jako podstawowy nośnik danych zarówno w urządzeniach klasy konsumenckiej, jak i specjalistycznej (np. w serwerach). Zgodnie z prognozami, w 2021 r. sprzedaż dysków SSD przewyższy sprzedaż dysków twardych typu HDD. Dzisiaj istnieje ponad 80 firm, które produkują dyski SSD (warto zwrócić uwagę na to, że dyski HDD w 1985 roku, tj. na początku ich istnienia, były produkowane przez 75 firm, z których obecnie funkcjonuje tylko 3).

Niektóre producenci komponentów do dysków SSD
Źródło: kaleron.pl

Kilka lat temu dyski SSD wyprzedziły dyski typu HDD pod względem pojemności maksymalnej. Obecny „rekordzista” wśród dysków typu HDD ma pojemność 20 terabajt – znacznie mniej niż 100 terabajtowy konkurent z rodziny SSD firmy Nimbus.

Czytaj dalej

Co ciekawe, użytkownik, kiedy ma do czynienia z dyskiem półprzewodnikowym (SSD), może o tym nawet nie wiedzieć. Na poziomie użytkownika, korzystanie z dysku SSD niczym się nie różni od korzystania ze zwykłego dysku twardego. System operacyjny rozpoznaje taki dysk jako tzw. urządzenie blokowe (ang. block device) – ciąg adresów LBA (ang. Logical Block Adres) od 0 do kilku miliardów. Każdy taki block logiczny w zależności od zastosowanej w nośniku technologii zawiera od 512 bajt do 4 KB danych. Zwracając się do każdego z nich system operacyjny odczytuje/zapisuje znajdujące się pod tym adresem dane zupełnie nie przyjmując się tym, w jaki sposób (fizycznie) dane te są zapisywane/przechowywane – troszczy o to kontroler dysku. Tak samo nic się nie zmienia dla użytkownika – posługuje się on (użytkownik) środkami systemu operacyjnego, tj. tworzy, modyfikuje lub przegląda zawartość bloków logicznych (plików). Jedyna zauważalną różnicą w przypadku dysków SSD będzie znaczący wzrost prędkości zapisu/odczytu danych oraz skrócenie czasu wyszukiwania, czyli seek time. O tym, jakie to ma znaczenie pisaliśmy w blogu o budowie dysków twardych HDD.

W celu zapewnienia kompatybilności, dyski SSD są również bardzo podobne do dysków HDD, jeśli chodzi o wymiary fizyczne, wygląd zewnętrzny czy też umiejscowienie wewnątrz komputera.

W odróżnieniu od dysków twardych HDD (ang. Hard Disk Drive – napęd z dyskiem twardym), dyski SSD (ang. Solid State Drive – napęd o stanie stałym) nie mają ruchomych elementów- talerzy, głowicy i ich ramion. W przypadku dysku SSD można bez obaw zdjąć górną pokrywę i zajrzeć do wnętrza- nie spowoduje to awarii dysku czy modyfikacji/uszkodzenia danych. SSD będzie dalej funkcjonował – jest to skutek zupełnie innej zasady działania. Dane urządzenie składa się tylko z dwóch elementów: układy scalone NAND Flash oraz kontroler pamięci.

Pamięć typu NAND Flash pełni rolę nośnika danych. Pierwsza cześć tej nazwy jest wskazaniem na zasadę logiczną (tzw. bramkę logiczną), na podstawie której działa NAND – jest to zasada „NOT AND”. Druga zaś cześć (flash) w tłumaczeniu z angielskiego oznacza „błyskawicę” i zobrazuje fizyczną stronę jej działania. Warto zwrócić jednak uwagę na to, że nazwa ta nawiązuje nie do szybkości działania – jest ona tak naprawdę niewielka, jeśli chodzi o pojedyncze kostki pamięci. Stosunkowo większa szybkość operacji (odczytu-zapisu) osiąga się dzięki połączeniu tych scalaków w jedną „macierz”, co umożliwia zapisywanie/odczyt danych w kilku z nich na raz, a więc ich prędkości się sumują. Pojedyncze komórki działają natomiast stosunkowo wolno. To są tranzystory, którzy dzięki dodatkowej „bramki pływającej” (ang. „floating gate”), zachowują ładunek elektryczny po odcięciu zasilania.

W pamięciach starego typu „NAND SLC” (ang. Single Level Cell) obecność ładunku w tranzystorze interpretowana była jako 0 w kodzie binarnym, a jego brak jako 1. Powodem jest najprawdopodobniej to, że kod binarny z reguły ma więcej jedynek niż zer. Odwrócenie sposobu reprezentacji licz binarnych (obecność ładunku symbolizuje zero, a jego brak symbolizuje jedynkę) obniża zużycie się komórek. We współczesnych pamięciach typu MLC (ang. Multi Level Cell), TLC (ang. Triple Level Cell) czy QLC (ang. Quad Level Cell) liczby binarne są kodowane przy pomocy zmiany poziomu, stopnia naładowania komórek. Dzięki temu można w nich przechowywać większe ilości danych.

W celu obniżenia kosztów produkcji, pamięci Flash projektowane są w taki sposób, że z ich komórkami można wykonać tylko 3 rodzaje operacji:

Programować (ang. „program”) – czyli ładować do nich ładunek elektryczny;
Odczytywać (ang. „read”) – czyli sprawdzać, czy jest w komórce ładunek elektryczny czy nie;
Kasować (ang. „erase”) – czyli rozładowywać komórkę pozbawiając ją ładunku elektrycznego.

Kolejnym ograniczeniem jest to, że nie wszystkie te operacje można wykonać na poszczególnych tranzystorach. Programować (program) i odczytywać (read) można tylko z tzw. „stron” (ang. page) – jednostek pamięci, które w przypadku pamięci typu SLC mogą się składać nawet z 16 tysięcy pojedynczych tranzystorów! Więc aby odczytać stan naładowania poszczególnych tranzystorów (czyli „bit”) musimy odczytać całą „stronę”. “Gorzej” wygląda operacja rozładowywania (erase). Fizyczne ograniczenia przyczyniają się do tego, że skasować (erase) można tylko tzw. blok – jednostkę rozmiarową pamięci zawierającą w pamięciach SLC około 2 000 000 pojedynczych tranzystorów = bit. We współczesnych pamięciach typu TLC, rozmiar bloku wynosi od 1.5 do 3 megabajtów, co daje w sumie od 13 do 25 mln tranzystorów!

Oznacza to, że w pamięciach typu Flash nie ma możliwości zmiany zawartości pojedynczego tranzystora (indywidualnie) ze stanu naładowanego (w kodzie binarnym „0”) do stanu rozładowanego („1”).

Jednoczesne rozładowywanie takiej ilości komórek powoduje powstanie dużego przepływu prądu. Stąd i nazwa flash, czyli błyskawica. Wyzwolony ładunek po drodze uszkadza bramki pływające wraz z pozostałymi elementami, przez to operacja rozładowywania jest najbardziej szkodliwą, jeśli chodzi o żywotność pamięci. Właśnie w liczbie cykli programowania/kasowania mierzy się żywotność pamięci NAND. Jest to też najwolniejsza operacja z trzech możliwych. Dlatego wykonuje się ją z reguły w tle, kiedy mózg dysku SSD, tj. jego kontroler, ma wolną chwilę.

Z czasem wypracowane, zmęczone komórki przestają się programować lub pojawiają się problemy z ich rozładowywaniem. Podobne komórki zostają wpisane na listę „uszkodzonych”, i więcej oprogramowanie SSD z nich nie korzysta. Przy czym, im dłużej dane pozostają w tym samym miejscu fizycznym pamięci, tym trudniej jest rozładować zajęte tymi danymi komórki (operacja erase). Dane te w pewnym sensie utrwalają się na stale w komórkach pamięci podobnie do tego, jak dawno temu pozostawały na ekranach monitorów kineskopowych (CRT) obrazki statyczne – zjawisko te otrzymało nazwę „data retention”. Dlatego też potrzebne jest ciągłe przemieszczanie danych z jednego fizycznego obszaru do drugiego w ramach tzw. Równoważenia Zużycia (ang. Wear Leveling). Operacja Wear leveling służy również innym celom, ale o tym w następnych blogach 🙂

Czy HDD i SSD są w stanie „przeżyć” pożar?

Opublikowany 9 grudnia 202014 grudnia 2020 przez Ilia

W niniejszym blogu analizujemy przypadek odzyskiwania danych z nośników cyfrowych uszkodzonych podczas pożaru i operacji gaśniczej. Szczegółowo opiszemy także procedury odzyskiwania danych.

Zdarzenie

Pożar wybuchł około 3 nad ranem w dwukondygnacyjnym budynku niemieszkalnym – olsztyńskiej Kuźni Społecznej. Po godzinie został zauważony i wezwano straż pożarną. W akcji gaśniczej brało udział ponad 60 strażaków. Udało im się ograniczyć rozprzestrzenianie się ognia na drugim piętrze, ale całkowite ugaszenie ognia zajęło prawie cztery godziny. Uszkodzona została trzecia część budynku, w tym drugie piętro zajmowane przez wydawnictwo. Przyczyna pożaru została później określona jako przypadkowa. Większość komputerów firmy wydawniczej, w tym komputery stacjonarne i laptopy, znajdowała się na pierwszym piętrze, przez co narażone one były nie tylko na działanie wysokich temperatur, lecz także na oddziaływanie środków gaśniczych, uderzenia i wstrząsy.

Do laboratorium UratujemyTwojeDane.pl trafiło 14 nośników. Wśród nich 3,5-calowe dyski twarde z komputerów stacjonarnych, dyski SSD oraz 2,5-calowe dyski twarde z laptopów oraz dyski twarde zewnętrzne z interfejsami USB 3.0.

Czytaj dalej

Oględziny

Inspekcja wizualna wykazała, że dyski zainstalowane w komputerach stacjonarnych mają większe uszkodzenia, niż dyski zainstalowane w laptopach. Komputery stacjonarne, a szczególnie te przeznaczone do prac graficznych zawierają zazwyczaj wiele elementów, które, aby działać prawidłowo, wymagają intensywnego chłodzenia – procesory i karty graficzne generują sporo ciepła. Aktywnego chłodzenia wymagają również niektóre modele dysków twardych, ponieważ temperatura wewnątrz HDD może osiągnąć nawet 60 C, co zwiększa ryzyko przedwczesnej degradacji warstw magnetycznych. Dlatego każda obudowa PC jest zaprojektowana tak, aby zapewnić jak najlepszą cyrkulację powietrza. Ponieważ niektóre komputery działały aż do chwili wyłączenia prądu przez strażaków, gorące powietrze mogło dostać się wewnątrz obudów powodując przegrzanie się i w konsekwencji uszkodzenie ich elementów wewnętrznych.

Dyski z laptopów były w znacznie lepszym stanie. Kompaktowe 2,5-calowe dyski instalowane w laptopach mają znacznie niższą temperaturę pracy w porównaniu do 3,5-calowych dysków przeznaczonych do komputerów stacjonarnych. Nie wymagają więc intensywnego chłodzenia. Wszystkie badane laptopy pozostawiono z zamkniętymi pokrywami górnymi (zwykle dyski znajdują się w dolnej części obudowy laptopów). Podczas akcji gaszenia pożaru dyski były dodatkowo chronione przez metalowe ramy laptopów, klawiatury i ekrany.

Plastikowe obudowy dysków zewnętrznych zostały nadpalone i miały na sobie ślady po środkach przeciwpożarowych. Wewnątrz obudów nie było widocznych uszkodzeń, co oznaczało, że dyski nie były narażone na oddziaływanie wysokich temperatur.

Temperatura

Niestety nie mieliśmy żadnych informacji o tym, jakiej temperatury doświadczyły badane nośniki. Odpowiedź na to pytanie byłaby jednak korzystna z pozycji ustalenia wytrzymałości termicznej poszczególnych modeli dysków. W przybliżeniu dało się oszacować temperaturę, która oddziaływała na dyski, na poziomie 120-300 °C. O tym, że temperatura maksymalna nie przekraczała 300 °C świadczyło to, że elementy na płytkach drukowanych sterowników dyskowych oraz dysków SSD nie przesunęły się, czego można byłoby się spodziewać w przypadku, kiedy temperatura oddziaływająca na te elementy przekracza 300 °C. Na podstawie stanu etykiet na dyskach ustaliliśmy dolną granicę tej temperatury. Każda etykieta dysku HDD czy SSD jest wykonana z winylu a tekst na niej jest nanoszony przy pomocy drukarki laserowej. Podobnie jak w każdej innej drukarce tego rodzaju, najpierw nanoszona jest cienka warstwa tonera. Następnie, wysoka temperatura w połączeniu z naciskiem powodują, że toner się topi i łączy się z podłożem. Badania pokazują, że temperatura fiksacji tonera w różnych modelach drukarek wynosi od 124 do 210 °C. Ponowne wystawienie nadruku na oddziaływanie wysokiej temperatury może spowodować odwarstwienie się tonera, co zaobserwowaliśmy na etykietach uszkodzonych dysków.

Jeszcze trochę i można drukować nowy napis 😉

Zauważyliśmy również, że toner można usunąć z etykiety przy pomocą stacji lutowniczej Hot Air oraz waciku nasyconego IPA.

Pożar a dyski SSD

Teoretycznie układy pamięci w dyskach SSD są bardziej odporne na wibracje i uderzenia w porównaniu do dysków twardych. Niemniej jednak i one mogą ulec uszkodzeniu, jeśli mamy do czynienia z ekstremalnie wysoką temperaturą.

W odniesieniu do dysków SSD, badacze podkreślają wpływ wysokich temperatur na skuteczność procedury „chip-off” polegającej na wylutowywaniu chipów pamięci NAND z płytki drukowanej (PCB) i ich bezpośrednim odczytaniu przy pomocy specjalnych adapterów. Do wylutowywania układów pamięci używa się stacji lutowniczej Hot Air. Temperatura topienia lutu wynosi co najmniej 200 °C, ale zwykle zbliża się do 300 °C. Ustalono jednak, że zaaplikowanie nawet najniższej możliwej temperatury zwiększa ilość błędów bitowych co prowadzi do uszkodzenia zapisanych danych.

Z drugiej strony dyski SSD są mniej podatne na uszkodzenia fizyczne. Dane przechowywane na dysku SSD są dobrze chronione przez wewnętrzną konstrukcję dysku, a mianowicie przez brak ruchomych części oraz sztywną obudowę scalaków pamięci.

Niemniej jednak, podobnie jak i w przypadku HDD, tu również woda może dostać się do wnętrza obudowy i uszkodzić elektronikę.

Pożar a dyski HDD

Wcześniej pisaliśmy o tym, jaki wpływ mają wysoka temperatura i wilgoć na talerzy magnetyczne w dyskach HDD. Po pierwsze, w przypadku dysków twardych intensywne ciepło może rozmagnesować cząsteczki ferromagnetyczne. W połączeniu z wilgocią temperatura może powodować korozję warstwy magnetycznej talerza zawierającej dane służbowe i użytkownika, co wymaga jednak czasu. Po drugie, podczas pożaru HDD może być narażony na silne wibracje, uderzenia czy upadki. Działający dysk twardy jest dość delikatny, ponieważ jego głowice pracują bardzo blisko obracających się z dużą prędkością talerzy magnetycznych. Zetkniecie się głowicy z powierzchnią talerza może powodować powstawanie zadrapań i uszkodzenie obu elementów. Po trzecie, środki gaśnicze również mogą uszkodzić dysk twardy. Z reguły nie jest on wodoodporny (wyjątek stanowią hermetyczne dyski twarde wypełnione helem), a jego delikatne elementy nie mówiąc o obwodach elektrycznych są pod tym względem podatne na uszkodzenie.

Woda a PCB

W przypadku uszkodzonych przez wodę płytek drukowanych (PCB) udowodniono, że im więcej czasu mija, tym większe są problemy.

„Zaśniedziała” elektronika wygląda nie przyjemnie.

Na szczęście właściciele dysków zareagowali szybko – dyski zostały przekazane do laboratorium w ciągu kilka godzin po odzyskaniu.

Warto zauważyć, że pomimo tego, że płytki PCB zostały oczyszczone, korozja dalej postępowała. Kilka dni po odzyskaniu danych ponownie zbadaliśmy uszkodzone dyski i okazało się, że część nie uruchomia się z powodu skorodowanych styków między płytkami drukowanymi a wewnętrznymi komponentami dysku, czy też skorodowanego konektora interfejsu.

To oznacza, że alkohol izopropylowy nie nadaje się do trwałego zatrzymania korozji. Prawdopodobnie odpowiednim rozwiązaniem w przypadku uszkodzonych przez wodę PCB jest zastosowanie procedury lutowania rozpływowego (ang. reflow soldering), czyli obróbka utlenionych styków topnikiem i podgrzanie PCB w specjalnym piecu.

Odzyskiwanie danych

W przypadku kilku dysków twardych nie można było usunąć roztopionego plastiku z powierzchni płytek drukowanych. Zastąpiono je więc płytkami PCB tego samego modelu. Układy ROM przeniesiono z uszkodzonych PCB na nowe. Trzeba powiedzieć, że ze względu na stosunkowo niskie temperatury jakie doświadczyły dyski twarde, układy ROM były w dobrym stanie i można było skutecznie zainicjować dyski.

Elementy elektroniczne dysków po wymontowaniu zostały oczyszczone przy użyciu 99,9% alkoholu izopropylowego. Najpierw płytki drukowane (PCB) dysków twardych i dysków SSD zostały całkowicie zanurzone w IPA, a następnie dokładnie w nim przepłukane, aby usunąć ewentualne zanieczyszczenia. Po wyschnięciu płytki drukowane zostały sprawdzone wizualnie pod kątem ewentualnych oznak zwarcia. Wszystkie dyski twarde ze śladami wody na obudowach zostały otwarte w komorze laminarnej i sprawdzone pod kątem obecności plam pozostawionych przez wodę w otworach wentylacyjnych i obok nich. Dopiero wtedy napędy zostały podłączone do zasilania i zainicjowane. W trakcie zwracano uwagę na wszelkie postronne dźwięki, takie jak klikanie głowic czy zgrzyty oraz intensywne wibracje. Pierwszym krokiem po udanej inicjalizacji napędów było kopiowanie oprogramowania dysków z pamięci ROM i talerzy magnetycznych (z tzw. Strefy Serwisowej). Jednocześnie sprawdzano czy oprogramowanie nie zawiera błędów.

Następnie sprawdzano S.M.A.R.T. nośników pod kątem występowania BAD sektorów oraz sprawdzano zużycie napędu (liczba godzin pracy HDD oraz znaczenie TBW w przypadku dysków SSD). Dopiero potem wykonywano odzyskiwanie danych.

Prowizoryczna próba walki z zapachem pożaru.

Biorąc pod uwagę fakt, że w trakcie kontroli wizualnej i oczyszczania mogliśmy nie zauważyć pewnych problemów, zrezygnowaliśmy z wykonania kopii po-sektorowych nośników, czyli zabezpieczenia całego obszaru z danymi użytkownika. Zabezpieczono więc tylko potrzebne Klientowi katalogi.

Na szczęście tylko jeden dysk twardy 3,5 cala – 2 TB firmy Seagate – wykazywał oznaki uszkodzenia termicznego. Ten model jest wyposażony w dwa talerze i cztery głowice do odczytu i zapisu. Górna powierzchnia górnego talerza osiągała prędkość odczytu tylko około 1 MB/s, podczas gdy reszta dysku pozwalała na odczyt z prędkością 30 MB/s. To świadczyło o tym, że kontroler dysku zmaga się z wieloma błędami na górnej powierzchni próbując odczytać zapisane na niej dane.

Niektóre dyski posiadały zwiększoną liczbę realokowanych sektorów. Jednak powodem było przepełnienie list realokacji uszkodzonych sektorów (parametr Reallocated Sectors Count w S.M.A.R.T. dysku) na skutek zaniedbania ze strony użytkowników i intensywnego użytkowanie tych dysków. Powodem nie były natomiast czynniki związane z pożarem i operacją gaszenia.

W opisanym przypadku mieliśmy to szczęcie, że temperatury oddziaływujące na dyski nie przekroczyły znaczeń krytycznych. Pewna rolę odegrało też to, że właścicieli dysków niezwłocznie skontaktowali się z nami i przywieźli dyski do laboratorium. Dzięki temu mogliśmy rozpocząć odzyskiwanie danych przed tym, jak elementy dysków zostały uszkodzone przez korozję.

Mechanizm działania dysków twardych HDD. Możliwości odzyskiwania danych [ARTYKUŁ]

Opublikowany 28 października 202019 lutego 2021 przez Ilia

W latach 50. w Stanach Zjednoczonych wraz ze zwiększeniem ilości danych cyfrowych pojawiła się potrzeba zapewnienia szybkiego dostępu do nich. Najbardziej popularne w tym czasie nośniki danych – karty perforowane i streamery – takiego dostępu nie zapewniali. W przypadku kart perforowanych, żeby znaleźć potrzebne informacje lub kod programu należało ręcznie przeszukać zbiór kart – kartotekę, a następnie znalezioną kartę umieścić w czytniku. To znacząco wydłużało tzw. seek time, czyli czas dostępu – charakterystyka systemów przechowywania danych cyfrowych oznaczająca prędkość odnajdywania przez system potrzebnych w tej chwili danych.

4.5 MB danych w 62,500 kartach perforowanych, USA, 1955.
Źródło: Reddit.com

Czytaj dalej

Skuteczna utylizacja dysków twardych metodą Red Dot [WIDEO]

Opublikowany 23 października 202014 grudnia 2020 przez Ilia

Czasem mamy potrzebę szybkiej i pewnej utylizacji nośniku zawierającego określone (wrażliwe, personalne) dane. Może to być kartka z kodem PIN do naszej karty płatniczej, koperta z danymi adresowymi, imieniem i nazwiskiem, które to warto podrzeć na małe kawałki przed wyrzuceniem do śmietnika. To pozwala uniknąć wielu problemów. Nieostrożne udostępnienie naszych danych osobowych może skutkować tym, że mogą one trafić do rąk oszustów, którzy będą je wykorzystywali w celu wyłudzenia pieniędzy, uzyskania kredytu lub wyrobieniu kopii naszej karty SIM.

Sytuacja jest jednak bardziej skomplikowana w przypadku nośników komputerowych. Nawet małej pojemności pendrive może zawierać taką ilość naszych zdjęć i dokumentów, że po wydrukowaniu nie zmieściłyby się one nawet w kilku śmietnikach. W związku z tym tego typu urządzenia wymagają szczególnej uwagi i przede wszystkim należy je poprawnie utylizować.

W tym artykule pokażemy Państwu, jak szybko i bezpowrotnie uniemożliwić dostęp do danych znajdujących się na 2,5-calowym HDD.

Czytaj dalej

Najważniejszym elementem tego typu urządzeń jest talerz, którego właściwości opisywaliśmy w poprzednim artykule. O tym świadczy chociażby to, że jedynym przeznaczeniem pozostałych komponentów dysku twardego jest zapewnienie sprawnego zapisywania i odczytywania danych użytkownika. Aby umożliwić zapis i odczyt danych, ciężko pracują zespół głowic czytujące-zapisujących, elektronika dysku, silniki, a nawet jego obudowa. To powoduje, że uszkodzić talerz jest znacznie trudniej niż głowice czy obudowę dysku. Jeśli weźmiemy młotek i uderzymy nim dysk, nie jesteśmy w stanie od razu zniszczyć talerz. Znajduje się on „pod ochroną”, po pierwsze, sztywnej obudowy metalowej, a, po drugie, umieszczonych wewnątrz osi dwóch silników – znajdującego się z boku silnika głowic (VCM – od ang. voice coil motor) oraz silnika talerzy zlokalizowanego w centrum dysku, które wzmacniają obudowę podobnie jak trzpienie żelbetowe wzmacniają konstrukcję budynków.

Oczywiście obudowa nie przeżyje mocnego uderzenia młotkiem, podobnie jak zespół głowic i elektronika dysku. Dysk przestanie się uruchamiać i będzie wyglądał jako bezużyteczny odpad elektroniczny. Niemniej jednak kilka godzin pracy specjalisty w zakresie odzyskiwania danych i talerz „odda” zapisane na nim Państwa dane nieuprawnionemu odbiorcy.

Na szczęście, talerzy w laptopowych dyskach formatu 2,5 cala są robione ze szkła, a konstrukcja niektórych modeli (dysków) ma pewne wady konstrukcyjne, które umożliwiają ich szybkie i wygodne rozbicie.

Przed tym jak opiszemy Państwu metodę utylizacji takich dysków, chcemy ostrzec Państwa, że jest to niszczenie nieodwracalne. Żadne laboratorium ani w Polsce, ani w świecie nie potrafi przywrócić talerzowi stanu początkowego i odczytać zapisane na nim dane!

Producenci dysków dążąc do zmniejszenia ich grubości stosują specyficzne rozwiązanie techniczne. Wnętrze obudowy hermetyzowane jest od dołu, czyli od strony elektroniki (PCB – od ang. printed circuit board) przy pomocy (wkręcanych) śrub. Aby zabezpieczyć dysk przed przedostaniem się do jego wnętrza kurzu czy innych zabrudzeń w momencie, kiedy śruby z jakiegoś powodu, na przykład w procesie naprawy urządzenia, zostały usunięte, otwór po stronie zewnętrznej dysku, czyli po stronie talerzy, jest zabezpieczany za pomocą okrągłego kawałku przezroczystego plastyku. Najprawdopodobniej chcąc przypomnieć technikowi wykonującemu prace naprawcze o niebezpieczeństwie (pozostawienia) tych otworów, producenci wykonują ten kawałek plastyku w kolorze czerwonym. W związku z tym, odnalezienie tzw. „czerwonej kropki” jest zadaniem stosunkowo łatwym.

Właściciel takiego dysku musi zamiast standardowej śrubki wykorzystanej przez producenta do zamocowania PCB wkręcić śrubkę większej długości. Eksperymenty pokazały, że za każdym razem szklany talerz pęka, co wyklucza możliwość odzyskiwania zapisanych na nim danych.

Ta metoda jest skuteczna w przypadku większości modeli dysków Western Digital i Samsung w formacie 2.5 cala instalowanych w popularnych laptopach czy też zewnętrznych dyskach twardych wykorzystywanych do kopiowania rezerwowego i przenoszenia dużych ilości danych. O powodzeniu operacji niszczenia talerzy świadczy charakterystyczny dźwięk pękającego szkła, po czym można z powrotem wkręcić oryginalną śrubkę.

Na zastosowanie metody „czerwonej kropki” wskazywać będzie specyficzny dźwięk przemieszczających się wewnątrz obudowy szklanych kawałków. Po otwarciu obudowy wewnątrz dysku można znaleźć oderwaną okrągłą nalepkę w kolorze czerwonym.

Demonstracja metody 🙂

Co się kryje za nazwą „BAD sektor”?

Opublikowany 29 lipca 202014 grudnia 2020 przez Ilia

BAD sektory to najczęstsza przyczyna „śmierci” starych dysków twardych, kiedy nie możemy uzyskać dostęp do wcześniej zapisanych plików. Jako osoba, która na co dzień zajmuje się zawodowo odzyskiwaniem danych z uszkodzonych dysków twardych, postaram się w kilku słowach wyjaśnić przyrodę tego zjawiska.

Na początku wyjaśnijmy sobie, czym jest sektor w przypadku współczesnych HDD.

Podłoże talerzy magnetycznych we współczesnych HDD może być zrobione ze szkła lub aluminium. Na nią napylane są drobne cząsteczki materiału ferromagnetycznego. Pod mikroskopem to przypomina troszeczkę kawior (Zdjęcie 1).

Zdjęcie 1. Powierzchnia talerza magnetycznego pod mikroskopem
Źródło: Ismail-Beigi Research Group, Hard Drives Methods And Materials

Czytaj dalej

Przygotowane w ten sposób talerzy montują w dysku twardym, po czym wykonują pierwsze formatowanie. Nosi ono nazwę Servo Track Writing (w skrócie STW) i polega na tym, że zmieniając bieguny pola magnetycznego poszczególnych cząsteczek głowice zapisująco-odczytujące pozostawiają na powierzchni talerza niewidzialne koncentryczne ścieżki (ang. Track).

Zdjęcie 2. *Track’i* na powierzchni dysku twardego uwidocznione przy pomocy mikroskopu sił magnetycznych
Źródło: Matesy GmbH – Own work, CC BY-SA 3.0

Każda ścieżka zostaje podzielona na określoną liczbę sektorów. Niżej na rysunku (3) widzimy graficzne zobrazowanie jednego z takich tracków.

Rysunek 1. Struktura fizyczna pojedynczego sektora na dysku twardym
Źródło: Dmitry Postrigan, Bad Sector Recovery

Każdy track się składa z kilku sektorów z danymi (Data sector) oraz sektorów z serwo-znacznikami (Servo sector). Te ostatnie mają charakter techniczny. Dzięki nim układ sterujący dysku (układ ten, nazywany również Sterownikiem Dyskowym, składa się z procesora, pamięci operacyjnej, kontrolera silnika i kilku innych elementów) zlokalizowany na płytce drukowanej (tzw. PCB – Printed Circuit Board) może ustalić pozycję głowicy odnośnie centrum tracka. Sterownik non-stop koryguję pozycjonowanie głowicy, gdyż może ona ulegać zmianom na skutek wibracji napędu, fluktuacji aerodynamicznych oraz mikro defektów powierzchni talerza (np z tzw. efektem bicia (ang. Runout), który polega na odchyleniu rzeczywistego Track’a od idealnego okrągu, na przykład zbliżeniu go nieco formą do owalu.)

W górnej części rysunku nr 1 została pokazana (schematycznie) struktura data sectora.

Widzimy tu odstęp pomiędzy sektorami zlokalizowanymi na jednej ścieżce (tzw. gap), adres sektora (A.M. – Address Mark), obszar z danymi (data) oraz obszar z kodem korekcyjnym (ECC – error correction code).

Wiedząc już jaka jest budowa i zasada działania sektorów na dysku twardym możemy zrozumieć, czym są bad sektory. Powstają one, kiedy Sterownik Dyskowy nie potrafi odczytać (poprawnie) któregoś z wymienionych wyżej elementów – wtedy cały ten sektor zostanie oznaczony jako uszkodzony.

Podobne uszkodzenia mogą powstawać w wyniku negatywnych zmian w warstwie ferromagnetycznej lub fizycznej degradacji talerza, o której opowiemy niżej. Uszkodzenia warstwy magnetycznej zdążają się na przykład, kiedy głowica zapisująca w trakcie zapisu zamiast docelowego sektora/ścieżki nadpisuje sąsiedni sektor (sektory). Powodem tu może być silna wibracja lub uderzenie dysku. W takiej sytuacji na miejscu obszaru z danymi (Data) może się okazać, na przykład, ECC lub Data należące do innego sektora. Przy próbie odczytu Sterownik Dyskowy wykryje niezgodność ECC z danymi zapisanymi w sektorze. Taki sektor może być zaliczony do sektorów „podejrzanych”. Z uwagi na to, że warstwa magnetyczna nie jest w tym przypadku uszkadzana, Sterownik Dyskowy będzie próbował wykorzystać „podejrzany” sektor do zapisu innych danych i w razie niepowodzenia stwierdzi fizyczne uszkodzenie powierzchni. Inaczej sytuacja wygląda w przypadku nadpisania serwo-znaczników. Uszkodzone obszary wyłącza się wtedy z użytkowania, ponieważ ich rekonstrukcja wymaga powtórzenia fabrycznych procedur testowania dysku, co oznaczałoby także skasowanie danych użytkownika.

Zdjęcie 3. W dalekim 2005 do *Servo Track Writing* wykorzystywane były takie oto „potwory”
Źródło: T. Yamada et al., Servo Track Writing Technology

Uszkodzenia fizyczne powstają z tego powodu, że warstwa ferromagnetyczna posiada te same cechy co i każdy inny magnes, a więc z czasem traci właściwości magnetyczne. Z reguły, skutki tego procesu w przypadku współczesnych HDD można zauważyć już po około pięciu latach, jeśli dysk jest przechowywany na półce. Raportują o tym m. in. biegli sądowi, którzy po latach próbują odczytać dowody cyfrowe. Przejawia się to w ten sposób, że liczba hash, którą biegły oblicza za każdym razem przystępując do analizy nośnika danych cyfrowych, zaczyna się nie zgadzać z liczbą hash uzyskaną wcześniej.

Badania wykazują, że degradacja warstwy magnetycznej postępuję szybszej, jeśli mamy do czynienia ze znacznymi wahaniami temperatury. W rezultacie może to doprowadzić nawet do całkowitej utraty właściwości magnetycznych, co oznacza też, że nie da się już odczytać zapisane na dysku dane.

Wysokie temperatury w połączeniu z wilgotnością zwiększają intensywność procesów korozyjnych. Warstwa magnetyczna talerzy jest wykonana z metalu i jak każdy metal jest na tą korozję narażona. Aby się przed nią uchronić warstwa magnetyczna jest pokryta dodatkowo dwoma warstwami ochronnymi, przy czym górna warstwa ochronna ma właściwości smarujące. Kiedy głowica w wyniku wibracji lub uderzeń dysku dotyka powierzchni talerza, to kontaktuje przede wszystkim z warstwą smarującą i przez to nie uszkadza się i nie uszkadza warstwy magnetycznej. Talerz może spokojnie „przeżyć” kilka takich dotknięć. Oczywiście z czasem głowica będzie zabrudzona materiałem smarującym, a przez to zwiększy się wysokość jej lotu, a w konsekwencji również wrażliwość na zmiany pola magnetycznego (zdolność do poprawnego odczytania poszczególnych bitów). W najgorszym przypadku to prowadzi do uszkodzenia całego dysku (była to główna przyczyna wysokiej awaryjności dysków twardych Seagate serii 10).

Warto pamiętać o tym, że grubość warstw ochronnych jest bardzo mała. Producenci zawsze szukają kompromisu pomiędzy ochroną warstwy z danymi a zapewnieniem głowicom możliwości odczytu mikroskopijnych zmian pola magnetycznego. Głowica musi znajdować jak najbliżej warstwy magnetycznej, a przy tym zachowywać bezpieczną wysokość lotu nad powierzchnią talerza.

Rysunek 2. Graficzne zobrazowanie przekroju talerza magnetycznego, zrobione w 1997 roku. Grubość warstw ochronnych wtedy wynosiła ok. 16 nm (0,000016 mm)
Źródło: Kanu G. Ashar, Magnetic Disk Drive Technology

Z powyższych rozważań wynika, że każde wyjście poza zakres rekomendowanych warunków eksploatacji HDD przyśpiesza degradację warstwy z danymi. Wysokie temperatury sprzyjają szybszej demagnetyzacji warstwy roboczej. W połączeniu z wysoką wilgotnością to prowadzi do jej szybszej korozji. Rekomendujemy więc sprawdzić czy Państwa dysk twardy nie przegrzewa się i w razie konieczności zainstalować dodatkowe chłodzenie. Należy również kontrolować wilgotność powietrza w pomieszczeniu, w którym znajduje się komputer. Wysoka wilgotność może prowadzić także do innych uszkodzeń techniki komputerowej.

Jeśli macie Państwo uwagi lub życzenia, to zapraszam do pozostawienia komentarzy 🙂