ГлавнаяКонтактыКарта сайта
ЕПОС
О компанииКомпьютерная криминалистикаВосстановление информацииЗащита информацииПроизводство и ITСервисНаши разработки

Расследование инцидентов, компьютерная криминалистика, информационная безопасность

Книжная серия Взгляд на жесткий диск изнутри




Анализ магнитных сигналограмм на поверхности пластин НЖМД при перезаписи и восстановлении информации

Сергей КОЖЕНЕВСКИЙ, к.т.н.
Сергей ЧЕХОВСКИЙ, к.т.н.
Владимир ПОРЕЧНЫЙ, к.т.н.
Сергей ПРОКОПЕНКО

  Самый простой способ решения проблемы удаления следов предыдущих записей с магнитных носителей – никогда не записывать информацию на носитель.

С возникновением методов, основанных на магнитной силовой микроскопии (МСМ) удается восстанавливать полностью или частично ранее перезаписанную информацию. Такая возможность базируется на том, что при перезаписи головка изменяет полярность многих, но не всех магнитных доменов. Это происходит из-за неточного позиционирования головки по центру дорожки в каждом процессе записи и из-за изменений чувствительности магнитного материала и напряженности магнитного поля со временем и при изменяющихся внешних условиях функционирования накопителя.

Как отмечает П. Гутманн в работе «Гарантированное стирание данных из магнитной и твердотельной памяти» (Университет Auckland, июль 1996 г.), при первой записи на еще «чистый» НЖМД при записи «1» на диск записывается «1», а при записи «0» записывается «0». Однако при повторной записи (перезапись информации) «1» поверх «0» фактический эффект ближе к получению 0,95 и к получению 1,05 при перезаписи «1» поверх «1». Обычные контроллеры НЖМД настроены так, чтобы считывать эти значения как «1», но при использовании специальных высокоточных схемных решений, возможно выделить эти различные амплитудные значения.

П. Гутманн считает, что восстановление одного «слоя» записанных данных достаточно несложно произвести путем считывания данных аналоговой головкой с применением высококачественного осциллографа – цифрового анализатора и затем анализа цифрового сигнала в компьютере при помощи специализированного программного обеспечения (ПО). Такое ПО позволяет генерировать «идеальный» цифровой сигнал считывания с поверхности путем разделения двух последовательных записей.

С использованием МСМ возможно идти еще дальше. При помощи более узкой и более чувствительной головки при позиционировании микрошагами, возможно произвести считывание предыдущей записи на краях дорожки. Отклонение позиции головки записи от центра дорожки могут приводить к тому, что значительная часть «старых» данных останется неизменной сверху или снизу на краях дорожки (рис. 1).


Рис. 1. Остаточная намагниченность на краях дорожки (увеличение 800х)

При нормальном процессе считывания стандартная головка усредняет сигнал с дорожки, и любая остаточная намагниченность на краях дорожки привносит совсем незначительный уровень шума в считанный сигнал.

Помогают восстановить данные и фазовые несовпадения сигналов. Вновь записанные данные при анализе с помощью МСМ отображаются как широкие темные и светлые полосы и хорошо видны на краях дорожки. Области, где старые и новые данные совпадают, создают непрерывную намагниченность между ними. Однако если новый переход намагниченности не совпадает по фазе с предыдущим, в местах их наложения создается зона стирания без определенной намагниченности, которая заметна по цвету на МСМ изображении, и может быть легко выделена.

Если проанализировать все вышеупомянутые факторы, можно сделать вывод, что каждая дорожка хранит образ всего когда-либо записанного на нее, но вклад каждого «уровня» уменьшается пропорционально времени записи.

Для анализа следов предыдущих записей на дорожках записи и для определения возможности восстановления информации на НЖМД был изготовлен комплекс анализа магнитных сигналлограмм на поверхности пластин НЖМД.

В настоящее время термин «восстановление информации» трактуется как простое восстановление потерянных данных из резервной копии.

Если же рассматривать НЖМД, то процесс извлечения данных можно назвать «профессиональным восстановлением информации», так как он представляет собой трудоемкий и высокотехнологический процесс, обычно проводимый в лабораторной обстановке.

Данные, записанные на НЖМД, хранятся в виде файлов. Вне зависимости от того, как читаются сектора данных на поврежденном НЖМД, они должны быть собраны в идентичные файлы на другом носителе. Это осуществляется на компьютере со специальным программным обеспечением, после чего файлы записываются на другой НЖМД или любой подходящий по объему носитель и возвращаются клиенту.

При отказе НЖМД поверхность диска может быть повреждена либо не повреждена. Если поверхность НЖМД не повреждена, данные сохраняются на ней, если они не были многократно перезаписаны.

Если же жесткий диск имеет физические повреждения, то в областях, где отсутствует рабочий слой, информация будет потеряна безвозвратно.

В ситуации, когда жесткий диск имеет изгиб, либо деформацию, так что головка не может лететь над его поверхностью, исчезает возможность в автоматизированном съеме информации при помощи штатных головок считывания.

Основным способом восстановления информации с неисправных НЖМД является метод перестановки отказавших компонентов. При отказе компонентов внутри герметичной камеры, замену необходимо осуществлять в «чистой комнате», так как прилипшая пылинка, либо грязь, – например, отпечаток пальца, – могут привести к лавинообразному разрушению магнитного слоя носителя и к полной потере информации.

Для того, чтобы перестановка компонентов прошла успешно, необходимо иметь запасные компоненты для НЖМД. Производители НЖМД не продают запасные компоненты, поэтому их берут с «донорских» накопителей точно таких же моделей и серий.

Так как большинство НЖМД, с которых производится восстановление информации, имеют возраст более одного года и к моменту восстановления уже не производятся или отсутствуют в свободной продаже, то компании, занимающиеся восстановлением информации на НЖМД, должны иметь достаточный склад не только современных НЖМД, но и популярных в прошлом моделей от различных производителей.

Наивысший уровень профессионализма необходим при замене поврежденных головок, когда поверхность носителя не повреждена или повреждена незначительно. Перестановки головок должны осуществляться с особой осторожностью и в особо «чистых» помещениях. То же самое относится и к перестановке пластин жестких дисков из неисправного накопителя в исправный.

Комплекс анализа магнитных сигналограмм на поверхности пластин НЖМД

Очень часто бывает, что перестановка компонентов прошла успешно, а с жесткого диска не удается извлечь файлы. В этом случае необходимо иметь специальные аппаратные средства, позволяющие производить анализ сигналов, начиная с доменной и заканчивая файловой структурой НЖМД. Существует ряд аппаратных разработок для обеспечения процесса восстановления на НЖМД.

Одним из таких устройств является разработанный Центром восстановления информации компании «ЕПОС» комплекс анализа магнитных сигналограмм на поверхности пластин НЖМД.

Основным его предназначением является: анализ информации на поверхности дисков, изучение структуры сервозон и секторов данных, измерение параметров считываемых сигналов. Комплекс позволяет считывать сигналы не только с центра дорожки, но и с ее краев, а также с мест размещения защитных интервалов между дорожками, что позволяет увидеть остаточную намагниченность сигналов предыдущих записей и выделить ее из шумов носителя. Зоны остаточной намагниченности возникают из-за небольших колебаний в положении сервометок, а также из-за биений шпинделя двигателя НЖМД.

Фрагмент изображения участка поверхности пластины с зонами остаточной намагниченности на краях дорожки приведен на рис. 1.

Состав комплекса:

  1. Пылезащитный корпус;
  2. Система позиционирования блока головок;
  3. Система управления шпиндельным двигателем;
  4. Блок синхронизации и задержек;
  5. Усилитель-формирователь сигналов с блока головок;
  6. Цифровой высокочастотный осциллограф Tektronix ТДС3032Б;
  7. ПК EXPERT: процессор AMD Sempron 2500+, оперативная память 512 МВ, жесткий диск 80 GB (7200), ЖК монитор 15”.


Рис. 2. Структурная схема комплекса анализа магнитных сигналограмм


Рис. 3. Внешний вид комплекса анализа магнитных сигналограмм

В ходе эксперимента решалась задача обратной инженерии, которая заключалась в том, чтобы определить (декодировать) таблицу RLL по сигналограммам с поверхности НЖМД, получаемым с головки чтения.

Задача определения (декодирования) таблицы RLL по изображению символов (паттерн) на поверхности НЖМД достаточно сложна.

Под декодированием понимается процесс преобразования восстановленной последовательности бит кода переходов в последовательность информационных бит, записанных на диск.

При декодировании используют знание о том, что соответствующим циклическим комбинациям кодированных бит соответствуют циклические комбинации декодированных бит. При записи на всю поверхность диска повторяющихся входных цифровых последовательностей от 00h до FFh, имеющих характерные изображения, называемые паттернами (pattern), можно произвести декодирование параметров кода и определение вида таблицы RLL.

В качестве примера на рис. 4 показано изображение циклической последовательности (паттерн) кода 00h, сформированное по таблице RLL(2,7)-кодирования.


Рис. 4. Запись всей пластины НЖМД логическими нулями (00h). Вид зон смены знака на крайней дорожке поверхности пластины НЖМД WD WDC 280

Декодирование производится в ручном режиме, с использованием знаний о величине интервала тактовой частоты и ее фазовой привязки к изображению.

На рис. 5 показано характерное изображение циклической последовательности (паттерна) кода FFh. На рис. 6 приведено изображение записи поверхности НЖМД последовательным чередованием дорожек с записями кодов 00h и FFh.


Рис. 5. Запись всей пластины НЖМД логическими единицами (FFh). Вид зон смены знака на дорожках (pattern)


Рис. 6. Запись соседних дорожек НЖМД последовательностями нулей (00h) и единиц (FFh)

На поверхность НЖМД были записаны циклические последовательности, приведенные в таблице 1.

Для каждой из 16-ти возможных последовательностей логических данных (0000, 0001, 0010, 0011, 0100, 0101, 0110, 0111, 1000, 1001, 1010, 1011, 1100, 1101, 1110 и 1111) при записи существуют характерные изображения (паттерны), которые приведены в приложении.

Анализ сигналов, определение их частотных и спектральных характеристик позволило определить вид RLL кодирования на анализируемом НЖМД – RLL (2,7) и структуру его серво- и информационных кадров информации.

Таблица 1. Порядок разметки НЖМД циклическими последовательностями от «00h» до «FFh»

Приложение: Характерные изображения (pattern) циклических последовательностей 00h-FFh и их амплитудно-частотные представления

(нажмите на изображение, чтобы увеличить/уменьшить)


pattern 00h

pattern 11h

pattern 22h

pattern 33h

pattern 44h

pattern 55h

pattern 66h

pattern 77h

pattern 88h

pattern 99h

pattern AAh

pattern BBh

pattern CCh

pattern DDh

pattern EEh

pattern FFh


Поделиться информацией