ГлавнаяКонтактыКарта сайта
ЕПОС
О компанииКомпьютерная криминалистикаВосстановление информацииЗащита информацииПроизводство и ITСервисНаши разработки

Расследование инцидентов, компьютерная криминалистика, информационная безопасность

Книжная серия Взгляд на жесткий диск изнутри




 Пресса о ЕПОС


Flash Readers и восстановление данных с SSD-накопителей

В настоящее время на рынке существует всего несколько комплексов, предназначенных для извлечения данных с неисправных носителей, основанных на флэш-памяти.

В статье Станислава Корба, ведущего российского специалиста по восстановлению информации, приведено сравнение этих комплексов с разработанным ЕПОС комплексом восстановления информации на флеш и SSD накопителях . 

Ни для кого не секрет, что увеличение доли устройств хранения данных, основанных на NAND Flash Memory, происходит сейчас практически по экспоненте. Эта тенденция заставляет лидеров DR-индустрии искать способы быстрого и качественного восстановления данных с таких устройств. : PC-3000 for Flash (производитель: ACE Lab., Россия), Flash Recovery Tool (производитель: BVG Group, Россия), Flash Doctor (производитель: Salvation Data, Китай), Flash Reader and Flash Extractor (производитель: Софт Центр, Россия), Flash Reader (производитель: НПО «Эпос», Украина)1. Уже из этого списка видно, что лидером в области разработок способов восстановления данных с поврежденных или неисправных флаш-носителей является Россия: 60 % инструментов для таких работ разработано и производится здесь.

Восстановление данных с накопителей на базе NAND flash memory подразделяется на 3 этапа: анализ (диагностика) с выработкой порядка последующих действий; ремонт накопителя с восстановлением доступа к данным или вычитывание NAND flash микросхем (в зависимости от результатов диагностики); извлечение данных с отремонтированного носителя или из файлов-образов NAND-памяти. Логично предположить, что второй и третий этапы при кажущемся сходстве работ кардинально отличаются по их методикам и технологическому процессу.

Большинство современных накопителей данных на базе NAND flash memory невозможно отремонтировать. Это связано с особенностями их производства: практически все функции накопителя интегрированы в микросхемы; такие микросхемы, как правило, содержат собственную и, как правило, уникальную микропрограмму, которая не только управляет собственно микросхемой памяти и организует доступ к данным через ее интерфейс, но также (особенно часто встречается у устройств SanDisk) – осуществляет шифрование данных «на лету». Алгоритмы работы накопителей даже одной модели могут кардинально различаться, что делает традиционные подходы восстановления данных неприменимыми к флаш-памяти. Можно уверенно заявить, что каждое второе такое восстановление данных – уникальный процесс, невозможный без глубокого знания методов функционирования микросхем памяти и контроллеров таких накопителей, файловых систем и методов шифрования данных. Поэтому восстановление данных с флаш-устройств становится достаточно трудоемким и дорогостоящим процессом.

Пожалуй, самый важный этап восстановления данных с flash memory - это считывание микросхем памяти в файлы-образы (дампы). Успех считывания и минимальное количество ошибок чтения – залог качественного и полного восстановления информации. Производители устройств для восстановления данных с таких накопителей используют для считывания информации USB-интерфейс, а также собственные платы контроллеров (Flash Recovery Tool) (которые, к слову, сильно удорожают оборудование). К сожалению, использование этого типа соединения не позволяет осуществлять высокоскоростного обмена данными между микросхемой памяти и результирующим файлом: чтение больших по объему микросхем обычно занимает 10 – 20 минут времени. В случае, если компания имеет относительно немного заказов на восстановление информации с флаш-носителей, такое время не является критичным; однако если объем работ увеличится, или производится работа с SSD-накопителем, эта скорость уже не будет удовлетворять технологический процесс.

Единственный считыватель NAND-микросхем, основанный на более скоростном eSATA-интерфейсе, производит компания «Эпос», головной офис которой находится в Киеве (Украина). Устройство, выполненное в компактном металлическом корпусе, было любезно предоставлено для тестирования отделом научно-технических разработок этой компании, за что мы выражаем компании «Эпос» искреннюю признательность.

Итак, начнем с дизайна и функциональности считывателя. Как я уже говорил выше, устройство выполнено в компактном металлическом корпусе, что выгодно отличает его от пластиковых «собратьев» от других производителей. На лицевой стороне устройства расположены разъем для подключения платы расширения и светодиодный индикатор состояния, задняя сторона устройства имеет выключатель и разъем для подключения eSATA-кабеля, а на одной из боковых стенок находится гнездо для подключения питания (прибор имеет внешнее питание). Светодиодный индикатор горит зеленым цветом, если устройство правильно подключено к ПК и готово к работе; красный цвет индикатора загорается в том случае, когда устройство подключено неправильно или в процессе считывания информации.

Подключение устройства к ПК не вызывает никаких проблем: подсоединив его с помощью поставляемого в комплекте eSATA кабеля к соответствующему разъему материнской платы, мы получили стандартную картину распознавания и установки нового устройства в Windows. Процесс занят не больше минуты и не потребовал никаких дополнительных драйверов: что Windows XP, что Windows 7 – поставили устройство одинаково быстро и корректно. ПО считывателя также не требует специальной установки – его необходимо лишь скопировать в один из разделов жесткого диска. Обязательное требование при размещении ПО – раздел, на который оно устанавливается, должен быть NTFS.

Работа управляющего ПО считывателя организована легко и интуитивно понятна. После установки чипа, который необходимо считать, в считывающее гнездо устройства, начинаем новую задачу. В меню задачи есть вся необходимая информация – в частности, очень удобно организован поиск конфигурации для считывания микросхемы NAND-памяти. Достаточно лишь нажать кнопку "Test chip" – и в поле данных, содержащих информацию обо всех поддерживаемых данной версией ПО чипах, останутся лишь те, которые подходят по ID чипа. Дальнейшие действия зависят от результатов этого теста; если же чип отсутствует в базе, его можно добавить туда (Create chip property).

Лично мне больше всего понравилось при работе с ПО ридера то, что процесс дампирования NAND-микросхемы максимально автоматизирован. Лично у меня от момента нажатия кнопки «Новая задача» до начала считывания чипа проходило не более 1 минуты – при этом, надо сказать, это не был тест на скоростное владение мышкой – работал я вполне себе вдумчиво и не особо торопясь. Как ПО, так и само устройство выполнены с единственной целью – сделать процесс чтения NAND-чипа максимально быстрым, удобным и верным.

К сожалению, разъем для подключения NAND-микросхем назвать удобным я не могу. Сам адаптер выполнен в традиционной манере, а вот соединение его с ридером выполнено в виде контактной группы с двумя защелками по бокам – наподобие того, как в свое время крепились модули памяти SIMM на материнских платах. При этом вставить адаптер получается очень легко и удобно, а вот его извлечение для установки следующего чипа – уже не так комфортно2.

Но зато скорость чтения – это просто сказка! Устройство уверенно лидирует: чтение одного и того же чипа (16 Гб, SDYNLNDHSP-016G) на разных ридерах показало следующие результаты:

  • PC-3000 for Flash (АСЕ Lab) читал чип 27 минут (2867 ошибок).
  • Flash Recovery Tool (BVG Group) читал чип 38 минут (наихудший результат) (1956 ошибок)
  • Flash Doctor (Salvation Data) читать чип отказался
  • Flash Reader and Flash Extractor (Софт-Центр) читал чип 24 минуты (2122 ошибки).
  • Flash Reader (Эпос) читал чип 9 минут (наилучший результат) (2012 ошибок)

Прирост скорости при сравнении с ридерами других производителей весьма высок – практически он составляет от 250 до 380 %. На считывание SSD-накопителя емкостью 64 Гбайт (включая работу по отпайке NAND-микросхем) с помощью считывателя от компании Эпос нами было потрачено немногим более часа; работа наиболее быстрым из USB-ридеров (от компании Софт-Центр) заняла почти 4 часа.

Mинус считывателя компании «Эпос» в том, что он поставляется без ПО для восстановления данных из считанных образов. Образы, конечно же, можно использовать и с другим ПО – к примеру, Flash Extractor работает с ними просто прекрасно. Но все же хотелось бы в будущем увидеть и ПО для восстановления данных в комплекте поставки устройства компании «Эпос», тем более, что по скорости считывания NAND-микросхем на рынке data recovery ему на данный момент нет равных, и я настоятельно рекомендую данное устройство как дополнительный ридер к полноценным ПАК для восстановления данных с SSD-накопителей; с его помощью экономия времени на операциях чтения NAND-чипов из SSD-массивов составит самое малое 1,5 часа с одного кейза (в случае SSD-диска емкостью 32 Гбайт; чем больше емкость накопителя, тем больше получится экономия времени – для накопителей емкостью 128 Гбайт, к примеру, ее размер составит не менее 6 часов).

Станислав К. Корб, 01 июля – 21 августа 2011 г.
Оригинал статьи находится по адресу http://stankorb.com/articles.php?article_id=15.

1. Правильное название EPOS FlashExtractor производства ООО "ЕПОС". Автор использует название с логотипа прибора – прим. ЕПОС.
2. На сегодня описанный недостаток устранен – прим. ЕПОС.


Поделиться информацией