1 (Pobrane z slow7.pl) Interfejs dysku twardego odpowiada za sposób komunikacji, sposób zapisu i odczytu danych oraz fizycznego przyłączenia dysku do komputera. Natomiast elementem wskazującym na sposób pracy i zarządzanie zasobami dysku twardego jest typ zainstalowanego systemu plików. Określa on w sposób jednoznaczny wszystkie struktury i tryby zapisu danych na dysku. Niejednokrotnie dysk twardy jest naszym magazynem na którym gromadzimy istotne dla na dane i nie ważne czy to są zdjęcia, pliki firmowe czy muzyka utrata tych danych wiąże się dla nas najczęściej z dużą stratą i często też z kosztami czysto materialnymi. Odzyskanie danych z uszkodzonego dysku jest możliwe ale by było to wykonalne i co najważniejsze skuteczne trzeba to zrobić z zasadami rzemiosła. Interfejs IDE/ATA Interfejs IDE (ang. Integrated Driver Electronics) służy do przyłączania dysków twardych. Nazwa ta jest nazwą marketingową, prawidłowa zaś brzmi: ATA (ang. Advanced Technology Attachment). W "zamierzchłych czasach" pierwsze dyski twarde nie miały takich interfejsów, jakie są popularne dzisiaj. Zamiast tego instalowane były bezpośrednio na karcie kontrolera i wsuwane w gniazdo ISA (Industry Standard Architecture - standardowa architektura przemysłowa). Ale szybko pomysł ten został odrzucony z powodu czysto praktycznych i właściwy kontroler został przeniesiony na spód twardego dysku, natomiast główna karta wciąż musiała być połączona z szyną ISA. Dziś karta ta jak jest to znajduje się na płycie głównej w postaci interfejsu a właściwa logika kontrolera umieszczona jest na dysku. Te płyty główne, które są jeszcze wyposażane w ten interfejs oferują dwa kanały IDE, z których każdy może zaadresować dwa urządzenia - dyski/napędy CD/DVD. By sprostać zapotrzebowaniu stworzono rozszerzenie ATAPI (ang. ATA Packet Interface), które było odpowiedzialne za obsługę takich urządzeń, jak napędy ZIP lub CD-ROM. Było to spowodowane tym, że zestaw instrukcji ATA nigdy nie był projektowany z myślą o obsłudze urządzeń pamięci masowej innych niż twarde dyski.
2 (Pobrane z slow7.pl) Rysunek 1 Gniazdo kontrolera IDE na płycie głównej i taśma łącząca napędy z płytą główną. Przy podłączeniu dwóch dysków/napędów do jednego kanału należy pamiętać o ustawieniu jednego z nich w trybie master a drugiego slave. Tak naprawdę IDE jest to termin, który funkcjonuje niejako nieoficjalnie i nie stoi za nim żaden faktyczny standard. Jest to raczej ogólny termin zawierający w sobie wszystkie istniejące specyfikacje ATA. Interfejs oparty na standardzie ATA w przeciwieństwie do SATA, będącym łączem szeregowym jest łączem równoległym i w pierwowzorze korzystał z 40-żyłowego przewodu (taśmy), łączącego dysk/napęd z kontrolerami na płycie głównej. Wraz z rozwojem tej specyfikacji powstawały kolejne wersje standardu ATA, pozwalające na zwiększenie wydajności i niezawodności. Dalsze zapotrzebowanie na wzrost transmisji danych i niezawodność wymogło zastosowanie specjalnej 80-żyłowej taśmy łączącej dysk/napęd z płytą główną. Większe częstotliwości powodowały powstawanie interferencji, co było źródłem zakłóceń i przesunięcia sygnału. Dlatego wprowadzono taśmę 80-żyłową, która jest wyposażona (w porównaniu do 40-żyłowej) w dodatkowe 40 żył uziemienia. Pierwsze napędy CD-ROM używały kontrolera SCSI lub były podłączane do systemu przy użyciu swoich własnych kart interfejsu - metoda ta jednak okazała się niezbyt funkcjonalna, ponieważ dublowała system ATA. Przy okazji postępu prac w specyfikacji ATAPI wzrosła również wydajność napędów taśmowych, gdyż dotychczas były one podłączane przez powolny kontroler stacji dyskietek. Wraz z rozwojem interfejsu IDE wprowadzono mechanizm - SMART (ang. Self-Monitoring Analysis And Reporting Technology). Na razie wystarczy że powiem że jest to rodzaj inteligentnego systemu wczesnego ostrzegania, który monitoruje pracę dysku. Więcej o technologii SMART w dalszej części artykułu. Rodzaje i podział interfejsów ATA ATA-1
3 (Pobrane z slow7.pl) Pierwowzór wszystkich standardów IDE - zapoczątkowany w roku 1994. Specyfikacja obejmuje jeden kanał, za pomocą którego obsługiwane mogą być dwa napędy w trybie master i slave odpowiednio: nadrzędny/pierwszy i podrzędny/drugi. Obsługuje tryby PIO 0, 1 i 2 (ang. Programmed I/O), jak również tryby DMA 0 (ang. Direct Memory Access). Standard ATA-1 nie obsługuje napędów CD-ROM, gdyż jak zostało wspomniane opiera się on na ATAPI (który został wprowadzony dopiero od standardu ATA-4). Maksymalna użyteczna pojemności dysku twardego wynosi do 528 MB. ATA-2 W standardzie tym zostały już zaaplikowane pewne udoskonalenia w stosunku do ATA-1. W pierwszej kolejności zostały dodane szybsze tryby PIO 3 i 4 oraz DMA 1 i 2. Ponadto specyfikacja ATA-2 pozwała na transmisje blokowe i adresowanie twardych dysków przy użyciu logicznego adresowania bloków (ang. Logical Block Addressing - LBA). W standardzie tym zostały zawarte funkcje, które umożliwiły identyfikację napędów poprzez BIOS komputera, odtąd BIOS niezależnie wykrywał dysk twardy i wszystkie jego parametry. Wprowadzono obsługę nośników wymiennych i obsługę zarządzania energią. ATA-2 akceptuje dyski większe niż 528 MB lecz mniejsze niż 8.1 GB. Standard ten umożliwia podłączenie maksymalnie dwóch urządzeń (2 x master, 2 x slave) do dwóch kanałów kontrolera (primary i secondary). Jednak zawsze należy pamiętać by szybkie dyski podłączać jako master do kanału primary, natomiast wolniejsze (napędy CD-ROM, stare twarde dyski PIO-2 lub PIO-3) jako master i slave do kanału secondary kontrolera. ATA-3 (Fast ATA) Standard ten został opublikowany roku 1997. Udoskonalenia dotyczyły głównie niezawodności szybkich trybów transmisji (Multiword DMA 2 i PIO 4). Zwiększono również działanie funkcji SMART i sposób raportowania o błędach. Na stałe wprowadzono tryb adresacji LBA (ang. Logical Block Addressing). Ta wersja ATA akceptuje dyski pracujące w trybie PIO 4 (znanym także jako "bezprzerwowym") zapewniającym transfer danych z prędkością 16,7 MB/s. ATA/ATAPI-4 (Ultra ATA / Ultra DMA / Ultra DMA-33) Standard ten podwaja maksymalny transfer trybu PIO 4 do 33 MB/s. Tryb ten zawiera technologię, która dzięki używaniu kanałów DMA w znacznym stopniu zmniejsza obciążenie procesora. W standardzie tym wbudowano na stałe obsługę ATAPI, co pozwoliło podłączać napędy CD-ROM i inne urządzenia pamięci masowej. Pozostałe zmiany zawierały wprowadzenie trybów UltraDMA 0, 1 i 2 oraz zalecenie korzystania z 80-żyłowego kabla IDE, który mógł powodować znaczne zwiększenie niezawodności (większa odporność na zakłócenia). Unowocześniono też zarządzanie energią. Dodano również obsługę kolejkowania komend, co pozwala na lepszą obsługę wielozadaniowości, polegającej na kontakcie z dyskiem kilku programów. ATA/ATAPI-5 (Ultra ATA/66) Już dwa lata po wprowadzeniu standardu Ultra ATA/33 okazało się, że prędkość transmisji można jeszcze bardziej zwiększyć. Podwojono maksymalną przepustowość, która wynosi 66 MB/s oraz
4 (Pobrane z slow7.pl) wymagane jest użycie 80-żyłowego kabla IDE. Wprowadzono funkcję automatycznego wykrywania rodzaju kabla (40- lub 80-żyłowego). Taśma 80-żyłowa eliminowała interferencje powodujące zakłócanie przesyłanego sygnału wraz ze wzrostem częstotliwości przesyłania. Różni się ona od taśmy 40-żyłowej tym, że zawiera dodatkowych 40 przewodów uziemiających. Przewody sygnałowe pozostały bez zmian, co oznacza możliwość korzystania z tej taśmy w starszych standardach ATA. Zostały zmodyfikowane i usunięto część starych komend ATA. Dołożono mechanizm wykrywania błędów - cykliczny kod nadmiarowy, który polega na porównywaniu wyliczonych sum kontrolnych po stronie kontrolera i dysku. Obsługa tego standardu jest możliwa przez systemy operacyjne począwszy od Win 95 OSR2. ATA/ATAPI-6 (ATA-6, Ultra ATA/100) Standard obejmuje dodatkowo tryb UltraDMA 5, obsługa maksymalnie 137 GB na napęd. Ponadto w standardzie zawiera się również zarządzanie głośnością (ang. acoustic management). Zwiększenie szybkości transmisji pomiędzy płytą główną a dyskiem uzyskano między innymi przez podniesienie częstotliwości zegara i skróceniu czasu ustalania sygnału. Aby uzyskać maksymalny transfer konieczne jest stosowanie 80-żyłowego kabla. ATA/ATAPI-7 (ATA-7, Ultra ATA/133) Jest to najszybsze obecnie rozwiązanie dla równoległego standardu ATA, pozwalające na osiągnięcie wysokich transferów danych. Podobnie jak przy ATA/ATAPI-6 wprowadzono nowy tryb przesyłu, noszący nazwę UltraDMA 6 oznacza to, że tryb ten ma zapewnić transfer na poziomie 133 MB/s. Standard obsługuje dyski twarde o pojemności ponad 137 GB. Zestawienie parametrów ATA Tabela 1 Parametry interfejsów ATA Parametr Tryby PIO Tryby DMA Tryby Ultra DMA Transfer danych [Mb/s] Taśma (ilość żył) Popularna nazwa ATA-1 0-2 0 ATA-2 0-4 0-2 ATA-3 0-4 0-2 ATA-4 0-4 0-2 0-2 ATA-5 0-4 0-2 0-4 ATA-6 0-4 0-2 0-5 ATA-7 0-4 0-2 0-6 8,33 16,67 16,67 33,33 66,67 100,00 133,00 40 40 40 40/80 40/80 40/80 40/80 ATA/IDE ATA/IDE ATA/IDE UltraDMA/33 UltraDMA/66 ATA/66 UltraDMA/100 ATA/100 UltraDMA/133 ATA/133
5 (Pobrane z slow7.pl) Tabela 2 Parametry trybów PIO interfejsów ATA Tryb PIO PIO 0 PIO 1 PIO 2 PIO 3 PIO 4 Transfer danych 3,3 MB/s 5,2 MB/s 8,3 MB/s 11,1 MB/s 16,6 MB/s Zastosowanie ATA-1 ATA-1 ATA-1 ATA-2 ATA-2
6 (Pobrane z slow7.pl) Tabela 3 Parametry trybów DMA interfejsów ATA Tryb DMA 8-bitowy DMA 0 16-bitowy DMA 0 8-bitowy DMA 1 16-bitowy DMA 1 8-bitowy DMA 2 16-bitowy DMA 2 Transfer danych 2,1 MB/s 4,2 MB/s 4,2 MB/s 13,3 MB/s 8,3 MB/s 16,6 MB/s Zastosowanie od ATA-1 od ATA-1 od ATA-1 od ATA-2 od ATA-1 od ATA-2 Tabela 4 Parametry trybów UltraDMA interfejsów ATA Tryb UltraDMA UltraDMA 0 UltraDMA 1 UltraDMA 2 UltraDMA 3 UltraDMA 4 UltraDMA 5 UltraDMA 6 Transfer danych 16,6 MB/s 25 MB/s 33,3 MB/s 44,4 MB/s 66,6 MB/s 100 MB/s 133 MB/s Zastosowanie od ATA-4 od ATA-4 od ATA-4 od ATA-5 od ATA-5 od ATA-6 od ATA-7
7 (Pobrane z slow7.pl) Ze względu na ogromne problemy dotyczące przesyłania danych łączem równoległym związanych z wykorzystaniem dużych częstotliwości i powodowaniem powstawania opóźnień sygnału oraz interferencji elektromagnetycznych a co za tym idzie zakłóceń integralności sygnału zaczęto się zastanawiać nad wykorzystaniem transmisji szeregowej. Tak opracowano koncepcję standardu Serial ATA. Serial ATA podąża drogą wytyczoną przez inne udane standardy, również oparte na szeregowym przesyle danych m.in. USB czy FireWire. Głównymi priorytetami przy tworzeniu standardu Serial ATA były warunki: szybkość, prostota i przyjazność użytkowania, samo konfigurowalność, kompatybilność wsteczna - Serial ATA musiał być całkowicie kompatybilny programowo z równoległym standardem ATA. Dla użytkownika końcowego oznacza to, że standard ten jest w stanie obsługiwać wszystkie urządzenia w standardzie ATA i ATAPI. Interfejs Serial ATA wykorzystuje cienkie, elastyczne 7-żyłowe kable, które mogą mieć długość ponad 1m (ATA do 40cm), montaż takich kabli jest łatwiejszy oraz zajmują mniej miejsca wewnątrz obudowy komputera. Kable wyposażone są w łatwe do montażu złącza. Dzięki zastosowaniu transmisji szeregowej, zastosowaniu specjalnego algorytmu przesyłania danych (specjalne kodowanie danych) wraz ze sterowaniem transmisji, która odbywa się obustronnie, tzn. tak dysk, jak i kontroler nadzorują transmisję magistrala ta jest bardzo odporna na zakłócenia. Można wyróżnić trzy warianty standardu Serial ATA. Korzystają one z tego samego okablowania, a różnią się między sobą szybkością transmisji Interfejs SATA jak zostało wspomniane wyżej wykorzystuje transmisję szeregową bit po bicie. Każdy kabel łączy pojedyncze urządzenie (dysk/cd/dvd/blu-ray) bezpośrednio z kontrolerem na płycie głównej, zaletą takiego połączenia jest brak konieczności ustawiania urządzeń w trybie master lub slave, jak to ma miejsce w standardzie ATA. Brak konieczności ustawiania odpowiedniej zworki wpływa na prostotę konfiguracji. Ostatnią fizyczną zmianą jest zanik tradycyjnego wtyku gniazda zasilającego. Nowy wtyk zasilający ma aż 15 wyprowadzeń i jest podobnie płaski co taśma SATA. Rysunek 2 Kable SATA (od lewej), transmisyjny, zasilający, przejśćiówka z molex
8 (Pobrane z slow7.pl) Serial ATA 1,5 Gbit/s (SATA I/SATA 150) Pierwsza, najstarsza wersja wprowadzona w 2003 roku, umożliwia szeregową transmisję danych z maksymalną przepustowością 1,5 Gbit/s (ok. 180 MB/s). Nie obsługuje tzw. kolejkowania komend (angielski skrót NCQ). Rysunek 3 Technologia NCQ Serial ATA 3 Gbit/s (SATAII/SATA 300) Druga generacja oferuje przepustowość 3,0 Gbit/s (ok. 375 MB/s). Wprowadzono NCQ czyli sposób optymalizacji pracy dysku twardego polegający na zmianie kolejności zadań zapisu i odczytu podczas współpracy kontrolera i dysku, tak aby zadania były wykonywane przy minimalnej liczbie skoków głowic dysku. Serial ATA 6 Gbit/s (SATAIII/SATA 600) Pierwsze prezentacje tego standardu miały miejsce w lipcu 2008 roku. Oficjalne wprowadzenie na rynek miało miejsce dokładnie 27 maja 2009 roku. SATA III oprócz zwiększenia transferu do 600 MB/s wprowadza kilka kosmetycznych zmian. Poprawiono NCQ oraz zarządzanie energią. Co ważne, SATA 6 Gb/s jest kompatybilne wstecz. Zarówno starsze dyski można podłączać do nowego kontrolera, jak i nowe dyski będą działać w starszych kontrolerach. esata Technologia esata pozwala dołączać do komputera zewnętrzne systemy pamięci masowych, które pracują równie szybko, jak wewnętrzne dyski. Szczegóły specyfikacji esata opracowano już w 2004 r. esata różni się oczywiście tym od SATA, że pozwala dołączać do komputera systemy pamięci masowych, które znajdują się na zewnątrz obudowy komputera. Dlatego konektor esata wygląda
9 (Pobrane z slow7.pl) inaczej niż konektor SATA, a samo połączenie obsługuje silniejsze sygnały i może mieć długość 2 m (standardowe okablowanie SATA może mieć maks. długość metra). Dyski SATA można podłączać do komputera podczas jego działania. System operacyjny powinien je wykryć i umożliwić pracę. Jeżeli jednak kontroler SATA nie działa w trybie AHCI, wymagany jest restart komputera po podłączeniu dysku. Rysunek 4 esata FireWire Standard ten, znany również jako IEEE-1394 bądź ilink, rozwijany równolegle do USB. Choć w swojej filozofii FireWire jest do USB bardzo podobny przeznaczony jest do zastosowań bardziej profesjonalnych, tzn. do takich gdzie potrzebna jest wyższa transmisja danych. Otóż standard IEEE-1394 w obecnie spotykanych wersjach oferuje przepustowość magistrali na poziomie 400/800/1600/3200 Mbps. Zalety FireWire to: cyfrowa transmisja - standard nie wymaga konwersji sygnału cyfrowego w postać analogową i odwrotnie. Oznacza to lepszą jakość sygnału i brak jakichkolwiek zakłóceń, małe rozmiary - transmisja odbywa się po cienkim, szeregowym kablu, Prostota użycia - nie jest wymagana praktycznie żadna instalacja ani konfiguracja sprzętu czy oprogramowania,
10 (Pobrane z slow7.pl) Hot Plug and Play - urządzenia zgodne z IEEE-1394 mogą być podłączane bądź odłączane podczas pracy; nie wymagają również restartu komputera, Skalowalność - obsługa urządzeń transmitujących z prędkością 100, 200, 400 (lub więcej) Mbps, Elastyczność - urządzenia na magistrali mogą być w dowolny sposób łączone między sobą; możliwe jest nawet połączenie "peer-to-peer" co pozwala na łączenie urządzeń bez pośrednictwa komputera, Szybkość - standard oferuje szybką transmisję danych sprawia to że jest idealny w zastosowaniach video i audio. Rysunek 5 FireWire Interfejs SCSI Interfejs SCSI (ang. Small Computer System Interface) jest magistralą przesyłającą dane w sposób równoległy. Przeznaczony jest do podłączania różnych typów urządzeń zewnętrznych takich jak: streamery, CD-ROM-y, dyski twarde, skanery itp. Jednak nadrzędnym celem jest/było podłączenie przez ten interfejs szybkich dysków o dużej wydajności w rozwiązaniach serwerowych, stacjach roboczych a także szybkich serwerach sieciowych i urządzeniach archiwizujących. Za pośrednictwem SCSI można połączyć w łańcuch do jednego kontrolera 7, a w przypadku wersji rozszerzonej WIDE SCSI nawet do 16 urządzeń (łącznie z kontrolerem). Ogólnie budowa struktury opierającej się na standardzie SCSI składa się z 4 części: kontrolera
11 (Pobrane z slow7.pl) SCSI, który jest montowany zazwyczaj jako karta rozszerzająca (ISA/PCI/PCI Express), lub też jest wbudowana w płytę główną, kabla połączeniowego SCSI, samego urządzenia (HDD/Streamer itp.) i tzw. terminatorów czyli "końcówek", które umieszcza się na końcach łańcucha połączonych urządzeń SCSI. Dzięki terminatorom kontroler uzyskuje informację o sposobie połączenia urządzeń (szczególnie gdzie znajduje się ostanie urządzenie w łańcuchu)przez co może sprawnie obsługiwać przepływ danych między poszczególnymi urządzeniami a komputerem. SCSI-1 (Narrow SCSI) Leciwy standard i pierwowzór interfejsu SCSI, powstały w 1986 roku. Jego podstawowe funkcje to: praca asynchroniczna i opcjonalny tryb synchroniczny, przepustowość 4 MB/s lub 5 MB/s na odległość 6 m, pasywne terminatory. Obecnie wycofany. SCSI-2 (Fast SCSI, Fast-Wide SCSI) Istnieje oficjalnie od 1994 roku wraz z poprawkami w 1996 (Fast-Wide SCSI). Jest to ulepszona wersja SCSI-1 z dodanymi nowymi funkcjami i opcjami. Specyfikacja ta na stałe korzysta z wysyłania bitu weryfikującego parzystość. Wykorzystano kolejkowanie poleceń i aktywne terminatory. Zastosowano 50-pinowe złącza o większej gęstości. Zaimplementowany przesył Wide SCSI, wykorzystywał transmisję 16-bitową. Standard ten przyniósł powstanie nowego 68-żyłowego kabla typu P. Wykorzystanie trybu Wide SCSI wymusza użycie tego rodzaju kabla. Dzięki liście urządzeń uniknięto wiele problemów z napędami CD, wymiennymi dyskami, skanerami itp. Skrócona została do 3 m długość kabla. SCSI-3 Kolejnym rozwinięciem tej technologii jak łatwo się domyślić okazał się standard SCSI-3, który nie jest jednolitą specyfikacją. Składa się z kilku odmiennych specyfikacji, zwanych SPI (ang. SCSI Parallel Interface). Nowością tego standardu są tryby Ultra2 (Fast-40 później rozwinięcie Ultra2 Wide SCSI), Ultra3 (Ultra-160, Fast-80 wide) i Ultra4 (tak naprawdę Ultra-320 SCSI, Fast-160) oraz Ultra5 (tak naprawdę Ultra-640 SCSI) wykorzystywane dla nowo powstających dysków twardych. Pozwoliło to osiągnąć teoretyczny transfer rzędu 640 MB/s. Ultra SCSI (Fast-20)
12 (Pobrane z slow7.pl) Jest to pierwszy interfejs wchodzący w skład SCSI-3. Nowe elementy tego standardu to: tryb Ultra (Fast-20) o przepustowości 20 MB/s oraz Ultra Wide SCSI o przepustowości 40 MB/s, nowe złącza przeznaczone dla interfejsu Wide SCSI - 68-pin, Ultra2 (Fast-40) Uzupełnienie wersji Ultra SCSI o kilka nowych funkcji: tryb Ultra2 (Fast-40) o przepustowości 40 MB/s oraz Ultra2 Wide SCSI o przepustowości 80 MB/s, SPI-3 (Ultra3) Podstawowym rozszerzeniem specyfikacji SPI-3 jest zwiększenie prędkości transferu do 160 MB/s. Nowe funkcje tej specyfikacji to: taktowanie DT - podwójne przejście, przesyłanie danych na zboczu narastającym i opadającym, kontrola parzystości CRC - efektywna i lepiej działająca metoda w przypadku dużych prędkości transmisji, kontrola domenowa - ustalanie poziomu transmisji eliminującego powstawanie błędów, pakietowanie - mechanizm zwiększający efektywność transmisji między urządzeniami SCSI, system QAS (ang. Quick Arbitration and Select) - ograniczenie czasu niewykorzystania magistrali, przez przekazanie jej sterowania innemu urządzeniu. SPI-4 (Ultra4) Kolejne zwiększenie niezawodności i prędkości przesyłania danych. Zasadniczymi innowacjami są: wzrost prędkości transmisji - dwukrotnie w stosunku do SPI-3, strumieniowe przesyłanie danych - przesyłanie ciągu pakietów tworzących strumień danych, sterowanie przepływem - informowanie o przesyłaniu ostatniego strumienia danych, pozwalające na wcześniejsze zwolnienie urządzenia odbierającego. SPI-5 (Ultra5) Jest to standard w trakcie realizacji. Założenia tego standardu mówią o zwiększeniu prędkości możliwego transferu do 640 MB/s.
13 (Pobrane z slow7.pl) Tabela 5 Porównanie standardów SCSI Nazwa standardu Nazwy zamienne SCSI-1 Fast SCSI Fast-Wide SCSI Narrow SCSI Ultra SCSI Fast-20 Złącze IDC50; Centronics C50 IDC50; Centronics C50 2 x 50-pin (SCSI-2); 1 x 68-pin (SCSI-3) IDC50 Ultra Wide SCSI 68-pin Ultra2 SCSI Fast-40 50-pin Ultra2 Wide SCSI 68-pin; 80-pin (SCA/SCA-2) Ultra3 SCSI Ultra-160; Fast-80 68-pin; 80-pin (SCA/SCA-2) wide Ultra-320 SCSI Ultra-4; Fast-160 68-pin; 80-pin (SCA/SCA-2) Ultra-640 SCSI Ultra-5 68-pin; 80-pin Maksimum Przepustowość Liczba (MB/s) urządzeń 5 MB/s 8 10 MB/s 8 20 MB/s 16 20 MB/s 4/8* 40 MB/s 40 MB/s 80 MB/s 160 MB/s 4/8/16* 8 16 16 320 MB/s 640 MB/s 16 16 * - liczba urządzeń zależna od trybu i długości kabla Dysk twardy HDD (ang. Hard Disk Drive) bądź dysk SSD (ang. Solid State Drive) czyli urządzenia pamięci masowej, służące do przechowywania danych (to już wiemy). Aktualnie mamy do wyboru dwie różne technologie, tradycyjna i ta oparta o flash ale cel jest ten sam. Najczęściej jednak (jeszcze) są używane dyski HDD ze względu na bardzo dobry stosunek ceny za 1 MB składowanych danych. Podstawą budowy takiego dysku są talerze (dyski) wykonane z aluminium lub szkła, pokryte warstwą magnetyczną. Tak więc dysk twardy tak samo jak już zapomniana dyskietka (ja jeszcze pamiętam) jest urządzeniem służącym do przechowywania danych wykorzystującym zjawisko ferromagnetyzmu. Zapis i odczyt dokonywany jest z wykorzystaniem głowic elektromagnetycznych. Rozwój technologiczny dysków HDD odbywał się na kilku płaszczyznach: pojemność dysków wzrosła od kilku/kilkunastu MB do 3 TB, transfer danych z dysku zwiększył się wielokrotnie, średni czas dostępu do danych na dysku uległ skróceniu z ponad 90 ms do kilku ms, cena zakupu dysku twardego zmalała kilkuset krotnie, biorąc pod uwagę pojemność, zastosowanie nowych technologii takich jak np. zapis prostopadły czy kolejkowanie poleceń zapisu i odczytu NCQ (ang. Native Command Queuing). Budowa dysku twardego
14 (Pobrane z slow7.pl) Główną częścią budowy dysku twardego jest talerz wykonany najczęściej ze stopu aluminium lub szkła, obustronnie pokryty warstwą magnetycznego nośnika o bardzo wysokiej jakości. Nośnik dodatkowo pokrywany jest cienką warstwą w celu ochrony talerza. Talerze wirują z reguły ze stałą prędkością rzędu 5400 lub 7200 obr/min w rozwiązaniach standardowych (komputery desktop, laptopy), a w profesjonalnych rozwiązaniach serwerowych prędkości sięgają rzędów 10 000 lub 15 000 obr/min, choć znane są rozwiązania gdzie prędkość obrotowa talerzy jest zmienna i waha się pomiędzy ustalonym przedziałem. Nasze dane zapisywane są w postaci ciągów zakodowanych bitów -do informacji faktycznie przez nas zapisywanych dodawane są dane o charakterze porządkowym i kontrolnym, umożliwiające działanie mechanizmów wyszukiwania oraz detekcję i korekcję błędów. Nad powierzchnią talerza/y (górną i dolną) unosi się umieszczona na końcu ramienia głowica zapisująco-odczytująca. Przed uderzeniem głowicy o powierzchnię nośnika zabezpiecza "poduszka powietrzna", wytworzona dzięki wirowaniu talerzy. Rozwiązanie takie nazywane jest "pływającymi głowicami" i jak na razie jest bezkonkurencyjne i stosowane powszechnie, chociaż są już prowadzone prace nad innymi sposobami prowadzenia głowic. Odległość głowicy od nośnika jest bardzo mała, porusza się ona nad talerzem na wysokości około 25 nm - nie może go dotykać ani drgać. Aby umożliwić dostęp do całej powierzchni talerza, zawieszone obrotowo ramię, które poruszane jest polem cewki magnetycznej, wychyla się jak wskazówka miernika. Na wydajność dysku twardego składają się dwa główne parametry: szybkość transmisji danych oraz czas dostępu do danych. Z kolei szybkość odczytu i zapisu uzależniona jest od szybkości obrotowej dysków, gęstości upakowania informacji, liczby talerzy, przepustowości wewnętrznych interfejsów napędu oraz przepustowości interfejsu łączącego dysk z komputerem. Każdy dysk należy odpowiednio przygotować do zapisywania danych. Przygotowanie to polega na
15 (Pobrane z slow7.pl) przeprowadzeniu dwóch procesów: formatowania niskiego poziomu i formatowania wysokiego poziomu. Formatowanie niskiego poziomu (ang. Low Level Format) Formatowanie niskiego poziomu powoduje podział ścieżek dysku na określoną liczbę sektorów. Tworzy przerwy między sektorami i ścieżkami oraz zapisy w nagłówkach i stopkach. Liczba sektorów przypadająca na ścieżkę zależy od dysku i rodzaju kontrolera. Formatowanie niskiego poziomu jest prawie zawsze wykonywane przez producenta. Formatowanie wysokiego poziomu Formatowanie wysokiego poziomu jest już wykonywane przez system operacyjny np. podczas jego instalacji. W wyniku formatowania zostaje utworzona cała struktura niezbędna do zapisywania i odczytywania danych przez system. Powstają: sektor ładujący, tablica alokacji plików oraz katalog główny. Pozwala to systemowi operacyjnemu na sprawne zarządzanie przestrzenią dysku twardego oraz na określanie położenia poszczególnych plików. Wynikiem formatowania wysokiego poziomu jest praktyczne stworzenie miejsca przechowywania plików startowych systemu i utworzenie czegoś w rodzaju książki adresowej dysku. Systemy plików System plików jest odpowiedzialny za sposób logicznego zapisu plików na dysku, umożliwiający odszukanie danych zapisanych w dowolnym miejscu. Tworzy model hierarchicznej struktury wolumenów i katalogów. Podstawowymi systemami plików są: FAT (ang. File Allocation Table) i NTFS (ang. New Technology File System). Partycje dysku Partycja jest to wyodrębniony logicznie ze struktury dysku obszar, składający się z pewnej liczby przyległych do siebie cylindrów. Taki obszar widoczny jest jako osobny dysk twardy, do którego może być przypisana litera napędu. Położenie każdej partycji dysku jest określone przez podanie cylindra początkowego i liczby zajmowanych cylindrów. Do tworzenia partycji można wykorzystać odpowiednie zewnętrzne oprogramowanie albo wykonać partycjonowanie podczas instalacji systemu operacyjnego. Najczęściej spotykanymi programami umożliwiającymi tworzenie i zarządzanie partycjami są: Fdisk, Partition Magic, Partition Commander, GParted. Zaletą tworzenia partycji na dysku twardym jest możliwość instalacji różnych systemów operacyjnych na każdej z nich a także odseparowanie danych od systemu operacyjnego. Mówiąc prościej zakładamy partycję potrzebną do zainstalowania systemu i kolejne do składowania danych. W razie jakiegokolwiek problemu z systemem ważne dane mamy na osobnej partycji więc partycję systemową możemy spokojnie sformatować np. w celu ponownego zainstalowania systemu. Unikamy w ten sposób żmudnego przenoszenia ważnych dla nas danych na inny nośnik bądź partycję. Oczywiście każda stworzona partycja musi być poddana procesowi formatowania wysokiego
16 (Pobrane z slow7.pl) poziomu. Istnieją dwie szkoły dotyczące liczby zakładanych partycji. Jedna z nich mówi, że należy ograniczać liczbę zakładanych partycji nawet do jednej na całym dysku twardym, ze względu na wydajność systemu. Druga natomiast przemawia za zakładaniem minimum dwóch partycji, ze względu na bezpieczeństwo danych i wykorzystanie powierzchni dysku. Ja jednak preferuję tę drugą ze względu na wygodę. System plików FAT Jednym z najbardziej rozpowszechnionych system plików jest FAT. Istnieje jego kilka odmian: FAT 12 - przeznaczony dla dysków o pojemności poniżej 16 MB, pozwala na obsłużenie 4096 (212) jednostek alokacji, co ogranicza do tej liczby też maksymalną liczbę plików na dysku. Obecnie ten system plików używany jest wyłącznie na standardowych dyskietkach ze względu rozmiar obsługiwanych dysków. FAT 16 - przeznaczony głównie dla systemu DOS i dysków o pojemności od 16 MB do 2 GB, Inną cechą systemu FAT16 jest nierozróżnianie wielkości liter w nazwach plików, oraz ograniczenie długości nazwy plików do 12 znaków. FAT16 jest stosowany w systemach operacyjnych Microsoftu od MS-DOS do Windows 95. FAT 32 - System FAT32 został po raz pierwszy wprowadzony w systemie Windows 95 OSR2. Teoretycznie dysk może mieć rozmiar 8 TB, ale praktycznie ograniczone jest to do 2 TB. Tabela 6 Porównanie systemów plików FAT rozmiar pliku ilość plików dł. nazwy pliku rozmiar partycji FAT12 32MB 4 077 FAT16 2GB 65 517 FAT32 4GB 268 435 437 (4 177 920 praktycznie) 8+3 lub 255 gdy korzystamy z długich nazw 32MB 4GB 2TB (124,55GB praktycznie) W systemie plików FAT dane zapisywane są w jednostkach alokacji plików. Zatem nawet najmniejszy plik, np. o rozmiarze 1 bajta będzie zajmował całą powierzchnię klastra. W przypadku, gdy na dysku znajdują się bardzo duże pliki nie ma to większego znaczenia. Problemy pojawiaj się wtedy, gdy rozmiar klastra jest duży, a na dysku znajduje się dużo małych plików - pewna część miejsca jest tracona. Problem ten jest dużą wadą systemu plików FAT. Poważną wadą systemu FAT jest także silna fragmentacja plików polegająca na pojawianiu się nieciągłości obszarów zapisanych i niezapisanych na dysku twardym komputera. Pociąga to za sobą konieczność okresowej defragmentacji przy użyciu specjalnych narzędzi programowych, a także powoduje stosunkowo duże prawdopodobieństwo powstawania błędów zapisu, polegających na przypisaniu jednego klastra dwóm plikom (tzw. crosslink), co kończy się utratą danych z jednego lub obu "skrzyżowanych" plików.
17 (Pobrane z slow7.pl) Typowym błędem, pojawiającym się w systemie FAT, jest również pozostawianie tzw. zgubionych klastrów, tj. jednostek alokacji nie zawierających informacji, ale opisanych jako zajęte. Elementy struktury systemu plików FAT to: główny sektor ładujący, rekord ładujący dysku, katalog główny, tablice alokacji plików, jednostki alokacji danych (klastry), cylinder diagnostyczny. Główny sektor ładujący Istnienie tego sektora jest ściśle związane z możliwością podziału dysku na partycje. Jak już zostało wspomniane możliwy jest podział dysku na niezależne partycje i nadanie im logicznych nazw, mimo istnienia jednego fizycznego dysku. Zadaniem głównego sektora ładującego jest przechowywanie informacji dotyczących wszystkich stworzonych partycji na danym dysku. Znajduje się on w pierwszym sektorze dysku. Zawiera on następujące elementy: główna tablica partycji - przechowuje informacje o wszystkich partycjach znajdujących się na dysku oraz położenie ich rekordów ładujących; może przechowywać informacje maksymalnie o czterech partycjach; główny program ładujący - zawiera program, którego zadaniem jest przekazanie sterowania do partycji aktywnej. Rekord ładujący dysku Rekordem ładującym dysku jest pierwszy sektor dysku. Jest on odczytywany przez główny rekord ładujący dysku. Zawiera następujące elementy: blok parametrów dysku - główne informacje o dysku, czyli wielkość dysku, liczbę wykorzystywanych sektorów, rozmiary klastrów oraz nazwę, program ładujący dysku - inicjuje ładowanie systemu operacyjnego. Rekord ładujący dysku tworzony jest podczas formatowania wysokiego poziomu. Po przekazaniu sterowania systemem do rekordu ładującego wykonywany jest program ładujący, natomiast blok parametrów dysku służy tylko do dostarczenia informacji o parametrach dysku. Katalog główny Katalog główny, zwany inaczej katalogiem plików, w nim zawarte są informacje o plikach znajdujących się na dysku. Przechowuje on wszystkie informacje istotne dla systemu operacyjnego, czyli: nazwę i rozszerzenie pliku, atrybuty pliku, datę i czas ostatniej modyfikacji,
18 (Pobrane z slow7.pl) rozmiar pliku, adres pierwszego klastra pliku. Na każdym dysku możne znajdować się tylko jeden katalog główny. Jest on przechowywany w ściśle określonym miejscu, zaraz za tablicami alokacji. Tablice alokacji plików Tablica alokacji plików można porównać do książki adresowej, w której zawarte są informację na temat zawartości klastrów. Klaster jest jednostką obszaru dysku, składa się z jednego lub większej ilości sektorów. Rozmiar klastra definiujemy w momencie zakładania partycji i zależy od jej wielkości. Gdy zapisywany jest plik zostaje mu przydzielona pewna całkowita liczba klastrów. Jeżeli zapisywany plik jest nieco większy od pojemności jednego klastra, to i tak zostają mu przydzielone dwa klastry. Określenie miejsca położenia pliku zaczyna się od pierwszego klastra przypisanego danemu plikowi w tablicy alokacji. Jeżeli plik zajmuje więcej niż jeden klaster, odwołanie do następnego zawarte jest w pierwszym klastrze i analogicznie do następnych klastrów. Na każdym dysku tak naprawdę znajdują się dwie kopie tablicy alokacji plików. Druga znajduje się bezpośrednio za pierwszą i korzysta się z niej w przypadku fizycznego uszkodzenia obszaru zajmowanego przez pierwszą tablicę alokacji. Obie tablice stanowią lustrzane odbicie i są w pełni zsynchronizowane. Jednostki alokacji danych (klastry) Klaster jest najmniejszą jednostką miejsca na dysku, używaną przez system operacyjny przy zapisywaniu i odczytywaniu plików. Obszar jednego klastra można wypełnić danymi należącymi tylko do jednego pliku. Maksymalną liczbę klastrów określa stosowany system plików, a jej iloczyn z wielkością klastra określa maksymalną wielkość partycji. Cylinder diagnostyczny Cylinder diagnostyczny znajduje się poza fizycznym obszarem partycji i stanowi ostatni cylinder dysku. Wykorzystywany jest do testowania zapisu i odczytu, bez naruszenia struktury danych znajdujących się na dysku. System plików NTFS Pierwszy raz został zaimplementowany w systemie Windows NT i później w kolejnych wersjach systemu Windows. Główne zalety systemu NTFS w porównaniu do FAT to: obsługa długich nazw plików, obsługa większych plików i partycji oraz rozbudowane możliwości zabezpieczania danych. Mimo że NTFS w znacznym stopniu różni się od systemu plików FAT, to jednak korzysta z tych samych struktur. Budowa partycji systemu NTFS oparta jest na rozszerzeniu idei tablicy alokacji FAT. Odpowiednikiem tablicy alokacji plików jest główna tablica plików (MFT - Master File Table), przechowująca dane opisujące położenie plików oraz katalogów na dysku. Zawiera ona jednak
19 (Pobrane z slow7.pl) bardziej szczegółowe informacje dotyczące plików i katalogów. Jest ona, w przeciwieństwie do FAT, pełną strukturą przechowywania plików. Rozwój systemu plików NTFS zaowocował powstaniem nowych funkcji: przydziały dysku - pozwalają na ograniczenie obszarów dysku przydzielonych konkretnym użytkownikom, szyfrowanie - możliwość automatycznego szyfrowania/deszyfrowania zapisywanych/odczytywanych danych, ponowna analiza - sterowanie przekierowywaniem zapisywanych i odczytywanych danych, możliwość tworzenia dużych plików bez konieczności faktycznego rezerwowania dla nich miejsca na dysku, dziennik zmian, rejestrujący wszystkie zmiany w plikach, kompresja, czyli mechanizm kompresji "w locie", możemy kompresować nie tylko całe wolumeny, ale nawet w standardowo niekompresowanym wolumenie pojedyncze pliki lub katalogi. Podstawową zaletą systemu NTFS jest tworzenie praw dostępów do plików dla konkretnych użytkowników, co umożliwia nakładanie ograniczeń na ich wykorzystanie. Kolejnym usprawnieniem jest mechanizm usuwania błędów. Odpowiadający za przepisanie zawartości wykrytego uszkodzonego klastra do innego - pozbawionego błędów. Jeśli użytkownik używa partycji korzystającej z wcześniejszej wersji systemu plików FAT16 lub FAT32, można skonwertować partycję do systemu NTFS przy użyciu polecenia convert. Konwertowanie do systemu NTFS nie ma wpływu na dane znajdujące się na partycji. Aby wykonać konwersję w oknie wiersza polecenia wpisz polecenie: convert litera_dysku: /fs:ntfs, gdzie: litera_dysku jest literą dysku, który chcesz skonwertować. System plików HPFS HPFS (ang. High Performance File System) poprzednik systemu plików NTFS. Podobna struktura katalogów do FAT, lecz jest przechowywana większa liczba danych m.in. data i godzina modyfikacji, tworzenie i dostępy do plików. Dodatkowymi strukturami tworzonymi przez HPFS są superblok oraz blok zapasowy. Superblok zawiera wskaźnik do struktury katalogu głównego, natomiast blok rezerwowy wykorzystywany jest do zastępowania uszkodzonych sektorów przez dobre. HPFS był wykorzystywany głównie przez system OS/2 i częściowo przez systemy Windows NT w wersji 3.
20 (Pobrane z slow7.pl) System plików exfat Wraz z pojawieniem się SP1 dla systemu Vista, pojawił się nowy system plików exfat, znany również jako FAT64. System plików jest niejako rozszerzeniem FAT32, ma więcej możliwości, jest szybszy a korzystanie z niego na kartach pamięci, pendrivach znosi bariery swoich starszych braci (FAT16 i FAT32) Obecnie jest tak że nasze karty pamięci, pendrivy czy mp3 w dużej mierze korzystają z FAT32 (te co bardziej pojemne) bądź FAT16 (te o mniejszych rozmiarach). Mimo zalet, do których na pewno należy zaliczyć kompatybilność z wszelakimi platformami czy to systemowymi bądź sprzętowymi, systemy te posiadają nazwijmy to wadami funkcjonalnymi, ograniczenia. Pierwszą taką wadą jest brak obsługi plików powyżej 4 GB, co sprowadza się do tego że przy zastosowaniu systemu FAT32 niemożliwe jest wykonanie np. kopii płyty DVD (no chyba że plik podzielimy na mniejsze kawałki). Drugą wadą jeśli stosujemy FAT16 jest brak możliwości zapisania w jednym katalogu więcej niż 999 plików co np. w dobie aparatów cyfrowych jest dość sporym ograniczeniem. Dodatkowo staremu FAT-owi brakuje możliwości nadawania plikom praw dostępu. Niedogodności te znikają w momencie kiedy zdecydujemy się na sformatowanie nośnika i wybranie sytemu plików exfat. System ten pozwala na tworzenia plików o wielkości ponad 16 EB (eksabajtów) a ponadto pozwala określić bardziej elastycznie wielkość klastra (max nawet 32 MB gdzie FAT32 czy NTFS pozwalają tylko na 64 KB). Został również udoskonalona fragmentacja (a raczej ograniczona, spowolniona) dzięki indeksowaniu nie tylko samych zbiorów, ale też wolnej przestrzeni. System exfat oferuje również zarządzanie uprawnieniami oraz zostały dodane mechanizmy bezpiecznego zapisu plików (co w przypadku użycia systemu na nośnikach przenośnych jest bardzo pożądane). Dzięki technologii Transaction Safe FAT File System (podwójnie buforowany zapis w tabeli alokacji, chroni nas to przed uszkodzeniem struktury FAT), która czuwa by w momencie przerwania operacji zapisu (np. problemy z zasilaniem) nie doszło do utraty danych. Żeby nie było za różowo to system ten obok wspomnianych zalet ma również swoje wady a mianowicie: mała kompatybilność z systemami i urządzeniami zewnętrznymi, brak kompresji danych oraz brak szyfrowania. Aby używać systemu plików exfat pod systemem Windows XP lub 2003, należy skorzystać z poprawki oznaczonej symbolem KB955704 System plików ext ext (Extended File System) - pierwsza wersja najbardziej popularnego linuksowego systemu plików. Dopuszczalne rozmiary plików i partycji do 2 GB. Poważną wadą ext była dużej fragmentacja plików. Został szybko zastąpiony przez ext2. System plików ext2
21 (Pobrane z slow7.pl) Następca ext, oferuje rozpoznanie uszkodzenia systemu plików (np. po zaniku zasilania) oraz zawiera mechanizm zapobiegający znacznej fragmentacji danych. Ext2 przy domyślnym rozmiarze bloku (4 KB) obsługuje partycje o wielkości do 16 TB i pojedyncze pliki o wielkości do 2 TB. Nazwy plików mogą mieć do 255 znaków długości. System plików ext3 System plików ext3 jest rozszerzeniem ext2 i różni się od niego dodanym mechanizmem księgowania - dokładnego zapisu zmian na dysku, który w razie awarii systemu umożliwia szybsze przywrócenie spójności systemu plików niż w przypadku ext2. System plików ext4 ext4- czwarta wersja rozszerzonego systemu plików, następca ext3. Umożliwia obsługę woluminów do 1 eksabajta. Wielkość pojedynczego pliku nie może przekraczać 16 terabajtów. Odzyskiwanie danych Rodzaje uszkodzeń nośników danych: Logiczne - naruszenie struktury logicznej danych, podczas gdy nośnik pozostaje sprawny Zagadnienie, którym się zajmiemy Przyczyny uszkodzeń logicznych Błędy człowieka tj. przypadkowe usunięcie katalogu bądź pliku, przypadkowe sformatowanie dysku, brak możliwości dostania się do danych na skutek zapomnianego hasła, Usunięcie, sformatowanie, re/partycjonowanie tj. nieumiejętne obchodzenie się z programami do tworzenie partycji (fdisk, gparted), pomyłka podczas ponownego
22 (Pobrane z slow7.pl) instalowania systemu, Wirusy, instalacja oprogramowania, sterowników/poprawek, czyli błędy w oprogramowaniu, Nieprawidłowe odłączenie nośnika z systemu operacyjnego, Zanik napięcia, inne. Fizyczne (mechaniczne) - uszkodzenia mechaniczne - talerze, głowice, uszkodzenia elektroniki lub samego nośnika informacji Gdy coś szwankuje i jeśli podejrzewamy że źródłem naszych problemów z utraconymi danymi może być dysk twardy to pierwsze kroki należy skierować w kierunku potwierdzenia bądź zaprzeczenia naszych podejrzeń. A dokonamy tego dzięki technologii S.M.A.R.T. S.M.A.R.T. S.M.A.R.T. (Self-Monitoring, Analysis and Reporting Technology) jest to technologia monitorowania, analizy i raportowania błędów, polegająca na przewidywaniu wystąpienia uszkodzeń dysku na podstawie stale monitorowanych parametrów (atrybutów), pozwala ostrzec nas o potencjalnych błędach. Technologię wykorzystuje się w dyskach wszystkich typów, nieważne czy jest to dysk, który posiada interfejs ATA/IDE, SCSI,SAS czy SATA. Technologia S.M.A.R.T wykorzystuje szereg atrybutów indywidualnych dla każdego modelu dysku. Pierwowzorem obecnie stosowanej wersji S.M.A.R.T. uważa się system zastosowany w 1992 roku przez IBM'a w jednym ze swoich serwerów. System analizował kluczowe parametry pracy dysku oraz raportował o ich stanie. W późniejszym czasie grupa firm tj. Compaq, Conner, Quantum oraz Seagate stworzyły system zwany IntelliSafe, którego zadaniem było również monitorowanie parametrów pracy dysku a wartości, które określały "kondycję" dysku mogły być odczytane przez oprogramowanie. Każdy z producentów mógł dowolnie decydować, które z parametrów miały być monitorowane. Następnie system został ustandaryzowany i przybrał postać znanego nam S.M.A.R.T. -a Uszkodzenia dysków te mechaniczne/fizyczne podzielić można na przewidywalne oraz nieprzewidywalne. Do uszkodzeń nieprzewidywalnych, które występują zazwyczaj w dość krótkim czasie można zaliczyć np. skok napięcia spowodowany wadliwym działaniem zasilacza. Przewidzieć konsekwencje takiego zdarzenia wcale nie jest trudno bo najprawdopodobniej zostanie uszkodzona elektronika dysku.
23 (Pobrane z slow7.pl) Oczywiście może zdarzyć się sytuacja w której dysk dozna uszkodzeń mechanicznych np. w czasie transportu urządzenia, na wskutek uderzenia czy upadku dysku. Sytuacji losowych nie da się przewidzieć. Po zajściu takiego zdarzenia technologia S.M.A.R.T. może wspomóc przy przeprowadzeniu diagnozy stanu uszkodzeń (o ile stan dysku pozwoli na jej przeprowadzenie). Natomiast uszkodzenia przewidywalne charakteryzują się pogorszeniem wartości parametrów w ciągu określonego czasu, przed wystąpieniem całkowitego uszkodzenia dysku. Technologia S.M.A.R.T. spełnia rolę systemu wczesnego ostrzegania przed potencjalnymi zagrożeniami. Głównym zadaniem S.M.A.R.T-a jest powiadomienie nas o wystąpieniu anomalii, dając nam tym samym czas w którym będziemy mogli podjąć działanie mające na celu ochronę naszych danych (backup, wymiana nośnika). Jak już zostało wspomniane S.M.A.R.T. został stworzony w celu obserwacji stanu dysku, korzysta z różnego rodzaju czujników. Zadaniem ich jest zbieranie informacji, które przedstawiane są nam. Wartości uzyskanych pomiarów są przypisywane atrybutom, które odzwierciedlają faktyczny stan twardego dysku. Przy odczycie i analizie uzyskanych wyników trzeba mieć na uwadze, że pomimo ustandaryzowania tej technologii niektórzy producenci stosują własne metody pomiaru dlatego nie należy przekładać bezkrytycznie znaczenia atrybutów jednego producenta do drugiego. Zadaniem S.M.A.R.T-a jest stałe i ciągłe monitorowanie pracy dysku, dlatego podczas pracy dysku są wykonywane testy, podczas których są zbierane wyniki w postaci wartości poszczególnych atrybutów. Rrodzaje testów S.M.A.R.T.: Immediate Offline Test (czas trwania poniżej pięciu minut) podstawowy test dysku, jest szybki i wykrywa najpoważniejsze problemy, Short Self Test (zwykle trwa poniżej dziesięciu minut) krótki test wykrywający większość problemów, Extended Self Test (trwa kilkadziesiąt minut) długi test wykrywa wszystkie problemy jakie podsystem S.M.A.R.T. danego dysku jest w stanie rozpoznać, Conveyance Self Test (od kilku do kilkunastu minut) ten test ma za zadanie wykryć uszkodzenia powstałe podczas transportu urządzenia (test nośnika magnetycznego), Select - dzięki niemu można wykonać test nośnika na części dysku (np. jednej partycjii). Testy S.M.A.R.T. mogą być przeprowadzane w dwóch trybach: CAPTIVE - następuje wyłączenie dysku (brak możliwości użycia), IDLE - w czasie bezczynności dysku (gdy dysk nie wykonuje żadnych operacji odczytu/zapisu).
24 (Pobrane z slow7.pl) Większość parametrów dysków jest stale monitorowana przez zestaw czujników. Odczytane dane są przetwarzane przy wykorzystaniu specjalnych algorytmów (najczęściej różnych dla każdego z producentów) i wartości atrybutów są modyfikowane zgodnie z uzyskanymi wynikami pomiarów. Atrybut S.M.A.R.T zawiera elementy: identyfikator (ID): numer id danego atrybutu nazwa (attribute name): nazwa atrybutu bieżący (value): obecna wartość atrybutu najgorszy (worst): najgorsza zmierzona i zapamiętana wartość atrybutu próg (threshold): ustawiona przez producenta dla danego modelu dysku najniższa wartość atrybutu (wartość ta jest stała). wartość RAW (RAW value): bezpośrednio odczytana wartość danego atrybutu, ukazuje obecny stan dysku. Najczęściej wyświetlana jest w postaci heksadecymalnej, ale niektóre programy podają wartości dziesiętną (łatwiejsze do odczytania bez pomocy kalkulatora). Atrybut jest poprawny, gdy jego wartość jest równa lub wyższa z progiem. Jeśli próg dla jakiegoś atrybutu jest ustalony na 0, to atrybut nie powinien być brany pod uwagę. Tabela poniżej przedstawia listę atrybutów wraz z opisem. Wyróżnione atrybuty, są uznawane za krytyczne. Jeżeli parametry atrybutu ulegają zmianie są różne od progu, jest to pierwszy sygnał, że z naszym dyskiem dzieje się coś złego i należy rozważyć decyzję o wykonaniu kopii zapasowej plików. Tabela 7 Parametry i opis S.M.A.R.T. ID Hex 01 01 Nazwa atrybutu Read Error Rate (Im niższa wartość tym lepiej) 02 02 Throughput Performance Opis Zależny od ilości błędów odczytu a także stanu powierzchni dysku, wskazuje na częstość sprzętowych błędów odczytu, które wystąpiły podczas odczytu danych z powierzchni dysku. Wartość inna niż 0 najczęściej oznacza problemy z powierzchnią dysku, głowicami odczytu/zapisu a także na problemy z pozycjonowaniem głowicy. Napędy Seagate często wskazują na nieprzetworzoną wartość, która jest wysoka w nowych napędach, która jednak nie oznacza uszkodzenia. Łączna (ogólna) sprawność dysku. Jeśli wartość tego atrybutu się obniża jest duża szansa, że zbliżają się problemy z dyskiem. (Im większa wartość tym lepiej nie powinien się zmniejszać) 03 03 Spin-Up Time Średni czas potrzebny do rozpędzenia talerzy (od 0 obr/min do pełnej nominalnej prędkości). Wartość RAW tego atrybutu wyraża czas w (Im niższa wartość sekundach lub milisekundach. tym lepiej)
04 04 05 05 06 06 07 07 08 08 09 09 10 0A 25 (Pobrane z slow7.pl) Start/Stop Mount Liczba cykli start/stop dysku. (Number of spin-up times) Reallocated Sectors Liczba ponownie realokowanych/remapowanych (na nowo Count przydzielonych) sektorów. Relokacja następuje przy znalezieniu błędu zapisu lub odczytu, oprogramowanie dysku odznacza błędny sektor i (Im niższa wartość przesyła informację o jego przeniesieniu do obszaru zapasowego. tym lepiej) Dlatego w nowych konstrukcjach dysków podczas sprawdzania jego stanu powierzchni nie są wykrywane "bad sektory", ponieważ są one zastąpione nowymi z zapasowego obszaru. Wraz ze wzrostem relokowanych sektorów spada prędkość odczytu i zapisu jest to spowodowane koniecznością przesunięcia głowicy dysku do obszaru gdzie są przechowywane przesunięte sektory. Read Channel Margin Rezerwa kanału podczas odczytu danych. Funkcja tego atrybutu nie jest objęta specyfikacją. Seek Error Rate Częstość występowania błędów wyszukiwania głowic magnetycznych. W przypadku uszkodzenia systemu pozycjonowania dysku, wzrasta (Im niższa wartość ilość błędów. W dyskach firmy Seagate np. serii 7200.11 ten tym lepiej) parametr jest wysoki i jest to normalne dla tych dysków. Seek Time Ogólna wydajność dysku podczas operacji wyszukiwania - spadek Performance tego atrybut najczęściej oznacza, problem z mechaniką dysku. (Im wyższa wartość tym lepiej) Power-On Hours (POH) Spin Retry Count (Spin-up retries) Atrybut (RAW) ukazuje nam łączny czas pracy dysku (w stanie zasilania) odpowiada łącznej ilości godzin (lub minut, sekund, w zależności od producenta) przepracowanych przez dysk. Zmniejszająca się wartość atrybutu oznacza, że dysk zbliża się do swojego MTBF (średniej liczby godzin bezawaryjnej pracy, ustalonej przez producenta). Niemniej, w rzeczywistości, nawet jeśli atrybut zmaleje do zera, nie oznacza to że dysk przestanie działać. Atrybut ten przechowuje łączną ilość prób rozkręcenia talerzy do osiągnięcia pełnej ich szybkości (pod warunkiem, że pierwsza próba nie powiodła się). Wzrost tego atrybutu jest oznaką problemów z mechaniką dysku np. zbliżającym się uszkodzeniem łożyska. (Im niższa wartość tym lepiej) 11 0B Recalibration Retries Liczba żądań rekalibracji (pod warunkiem, że pierwsza próba nie lub Calibration Retry powiodła się). Wzrastająca liczba atrybutu tak samo jak w przypadku Count Spin Retry Count oznacz problemy z mechaniką twardego dysku. (Im niższa wartość tym lepiej) 12 0C Power Cycle Count Atrybut oznacza sumę pełnych cykli zasilania dysku. 13 0D Soft Read Error Rate Jest to ilość programowych błędów odczytu występujących podczas odczytu danych z powierzchni dysku. (Im niższa wartość tym lepiej) 184 B8 End-to-End error Atrybut ten informuje, o błędach podczas przesyłaniu danych. 185 B9 (Im niższa wartość tym lepiej) Head Stability Atrybut spotykany w dyskach Western Digital dotyczący stabilizacji głowicy. 186 BA Induced Op-Vibration Atrybut spotykany w dyskach Western Digital. Detekcja wzrostu Detection wibracji indukcyjnych.
187 BB 188 BC 189 BD 190 BE 191 BF 192 C0 193 C1 194 C2 195 C3 196 C4 Reported Uncorrectable Errors 26 (Pobrane z slow7.pl) Liczba błędów, które nie mogą być naprawione przy użyciu technologii korekcji sprzętowej ECC. (Im niższa wartość tym lepiej) Command Timeout Liczba nieudanych operacji z powodu błędów w komunikacji z dyskiem twardym. Normalnie ten parametr powinien wynosić 0 jeśli (Im niższa wartość jest inaczej może to świadczyć o poważnych problemach z zasilaniem tym lepiej) dysku (złączem, zasilaczem, taśmą) High Fly Writes W dyskach są montowane czujniki, które monitorują wysokość głowic, czujniki te dostarczają nam informacje na temat (Im niższa wartość przekraczania określonego progu pracy (wychylenia). Jeśli głowica tym lepiej) podczas zapisywania wychodzi po za normalny zakres pracy nad powierzchnię talerza operacja jest przerywana a zapis jest ponawiany w bezpiecznym obszarze. Rozwiązanie to jest stosowane w większości napędów Seagate oraz niektórych napędach Western Digital. Airflow Temperature Temperatura powietrza. Producenci różnie definiują ten parametr np. w dyskach Seagate ST3802110A wartość prawidłowa jest równa 100 (Im niższa wartość tym lepiej) G-sense error rate Atrybut ten informuje o błędach pracy dysku w wyniku drastycznego przeciążenia (np. upadek). (Im niższa wartość tym lepiej) Power-off Retract Ten atrybut zlicza ilość parkowań głowic w bezpiecznym miejscu. (or Count Emergency Retract Cycle count - Fujitsu) (Im niższa wartość tym lepiej) Load Cycle Count Load/Unload Cycle Count (Im niższa wartość tym lepiej) Temperature (Im niższa wartość tym lepiej) Hardware ECC Recovered (Im wyższa wartość tym lepiej) Reallocation Event Count (Im niższa wartość tym lepiej) Ilość cykli zaparkowania/wyparkowania głowic ze strefy parkowania (Landing Zone). Niektóre dyski twarde (najczęściej laptopowe) mają funkcję parkowania głowicy przy bezczynności dłuższej niż np. 5 minut. Temperatura panująca wewnątrz dysku. Wartość RAW tego atrybutu podaje wskazania wbudowanego czujnika ciepła (w stopniach C). Parametr technologii sprzętowej korekcji błędów ECC. Liczba operacji dotycząca relokowania sektorów. Wartość RAW tego atrybutu określa łączną ilość prób transferu danych z relokowanego sektora do obszaru rezerwowego. Liczone są zarówno próby udane jak i nieudane.
197 C5 27 (Pobrane z slow7.pl) Current Pending Sector Count Liczba "niepewnych" sektorów, które oczekują na ponowną alokację z powodu błędu odczytu. Wartość RAW tego atrybutu wskazuje na łączną ilość sektorów oczekujących na rempowanie. Później, kiedy (Im niższa wartość część z tych sektorów uda się odczytać, wartość jest zmniejszana. tym lepiej) Jeśli błędy występują nadal, dysk podejmie próbę odzyskania danych, przeniesienia ich do zarezerwowanego obszaru i oznaczenia sektora jako remapowany. 198 C6 Uncorrectable Sector Łączna liczba nienaprawialnych błędów sektora. Wzrost wartości Count tego atrybutu wskazuje na ewidentne defekty powierzchni dysku i/lub problemy z mechaniką dysku. (Im niższa wartość tym lepiej) 199 C7 UltraDMA CRC Error Liczba błędów CRC podczas przesyłania danych w trybie UltraDMA. Count Najczęstszym powodem błędów są problemy z taśmą-kablem komunikacji danych. Parametr ten nie zmniejsza się po usunięciu (Im niższa wartość usterki kabla. tym lepiej) 200 C8 Write Error Rate / Częstość błędów zapisu. Parametr opisuje liczbę błędów Multi-Zone Error wynikających z zapisu danego sektora. Im wyższa wartość RAW, tym Rate gorszy stan powierzchni dysku i/lub problem z mechaniką dysku. (Im niższa wartość tym lepiej) 201 C9 Soft Read Error Rate Ilość błędów spowodowana próbą zapisu danych poza ścieżką zapisu. (Off-track errors Mount) 202 CA (Im niższa wartość tym lepiej) Data Address Mark Liczba adresów danych zaznaczonych jako błędne (ilość błędów Data errors Address Mark) lub specyficznych dla dostawcy. (Im niższa wartość tym lepiej) 203 CB Run Out Cancel (ECC Errors count) (Im niższa wartość tym lepiej) 204 CC Soft ECC Correction 205 CD 206 CE (Im niższa wartość tym lepiej) Thermal Asperity Rate (TAR) (Im niższa wartość tym lepiej) Flying Height Ilość błędów ECC Ilość błędów naprawionych przez ECC. Liczba błędów spowodowanych wysoką temperaturą. Parametr monitorujący niewłaściwą wysokość głowicy nad powierzchnią dysku. Jeśli głowica jest zbyt wysoko może dojść do błędów odczytu jeśli zbyt nisko może dojść do zderzenia z powierzchnią dysku.
207 CF Spin current 208 D0 (Im niższa wartość tym lepiej) Spin buzzes count 209 D1 210 D2 211 D3 212 D4 220 DC 221 DD 222 DE 223 DF 224 E0 225 E1 226 E2 28 (Pobrane z slow7.pl) Ilość energii niezbędnej do uzyskania pełnej prędkości obrotowej talerzy dysku. Ilość prób rozpędzenia talerzy dysku aż do uzyskania właściwej dla danego dysku prędkości obrotowej. Jeśli parametr rośnie może to świadczyć o problemach z łożyskiem lub niewystarczającym prądzie rozruchowym. Offline Seek Ogólna sprawność podczas wykonywania operacji wyszukiwania w Performance trybie offline. Vibration During Liczba wykrytych wibracji podczas odczytu danych. Technologia ta Read ma służyć analizie i zabezpieczeniu przed przypadkowymi wibracjami podczas pracy dysku najczęściej pomocna w laptopach i dyskach przenośnych (stałe wibracje). Vibration During Liczba wykrytych wibracji podczas zapisu danych. Technologia ta ma Write służyć analizie i zabezpieczeniu przed przypadkowymi wibracjami podczas pracy dysku najczęściej pomocna w laptopach i dyskach przenośnych (stałe wibracje). Shock During Write Liczba zdarzeń przy zapisie skojarzona z wystąpieniem przeciążeń dysku np. na wskutek wstrząsu. Disk Shift Parametr informujący o przemieszczeniu talerzy względem osi. Przemieszczenie najczęściej jest spowodowane upadkiem/uderzeniem (Im niższa wartość dysku lub zbyt wysoką temperaturą. tym lepiej) G-Sense Error Rate Częstość błędów odnotowana podczas przeciążenia. Atrybut na podstawie czujnika przeciążeń podaje łączną ilość błędów (Im niższa wartość spowodowanych np. upuszczeniem dysku czy nagłymi zmianami tym lepiej) położenia. Loaded Hours Sumaryczny czas pracy akuratora głowic magnetycznych. Liczy się tylko czas działania akutatora. Load/Unload Retry Czas użycia głowic magnetycznych do operacji takich jak: odczyt, Count zapis, pozycjonowanie głowic. Czas pracy zmian pozycji głowic w strefie danych. Load Friction Opór spowodowany przez tarcie w mechanicznych częściach w czasie eksploatacji. Stan spowodowany tarciem części mechanicznych. (Im niższa wartość Parametr ten informuje o problemach z systemem mechanicznym tym lepiej) dysku. Load/Unload Cycle Ogólna liczba cykli zaparkowania/powrotu głowic ze strefy Count parkowania (Landing Zone). (Im niższa wartość tym lepiej) Load 'In'-time Całkowity czas pracy głowic nad strefą danych. (Czas nie spędzony w strefie parkowania) 227 E3 Torque Amplification Ile razy dysk próbował skorygować prędkość talerzy aż uzyskał Count poprawną prędkość obrotową. 228 E4 (Im niższa wartość tym lepiej) Power-Off Retract Mount (Im niższa wartość tym lepiej) 230 E6 GMR Head Amplitude Ilość automatycznego zabezpieczenia mechanizmu magnetycznego w wyniku utraty zasilania. Amplituda drgań głowic w czasie pracy dysku.
231 E7 240 241 242 250 Temperature (Im niższa wartość tym lepiej) F0 Head Flying Hours F1 Total LBA-s Written F2 Total LBA-s Read FA Read Error Retry Rate (Im niższa wartość tym lepiej) 254 FE Free Fall Protection 29 (Pobrane z slow7.pl) Temperatura dysku. Czas pozycjonowania głowicy Całkowita liczba zapisanych sektorów (dotyczy dysków WD). Całkowita liczba odczytanych sektorów. (Parametr WD) Liczba błędów odczytu. Parametr ten ma za zadanie informować o upadku dysku. (Im niższa wartość tym lepiej) By użytkownik mógł w stanie zauważyć mogące pojawić się problemy i zawczasu zareagować niezbędne jest skorzystanie z odpowiedniego oprogramowania, które jest zdolne do odczytywania oraz analizy informacji S.M.A.R.T. Jeśli zależy nam na naszych danych zapisanych na dysku niezbędne jest okresowe monitorowanie parametrów S.M.A.R.T. ponieważ dysk pozornie może działać a w rzeczywistości może następować jego powolne zużycie co będzie skutkować np. wzrostem liczby "bad sektorów". Technologia S.M.A.R.T. jest zaimplementowana w każdej nowej płycie głównej i w przypadku wystąpienia jakichkolwiek anomalii, BIOS płyty informuje nas o możliwych błędach. Innym sposobem pomagającym zdiagnozować kondycję dysku jest użycie aplikacji, które są w stanie odczytać parametry S.M.A.R.T. i przedstawić je nam, nieraz z opisem, oceną stanu dysku i sposobem rozwiązania problemu (oczywiście jeśli jest to możliwe). Poszczególnych atrybutów jak widać po załączonej tabeli jest dużo, znaczenie tych atrybutów jest różne, mają one różną wagę i wpływ na ocenę stanu dysku. Niektóre z nich są bardzo istotne (zaznaczone w tabeli kolorem) a niektóre mniej ważne. Niemniej jednak nawet niewielka zmiana w newralgicznym atrybucie może sygnalizować pojawienie się błędów i problemów z dyskiem. Trzeba mieć na uwadze, że prawidłowe odczytanie atrybutów S.M.A.R.T. może być utrudnione ze względu na zastosowane kontrolery/sterowniki dysków twardych. Twarde dyski połączone z takimi kontrolerami albo uniemożliwiają wykonanie prawidłowego odczytu danych z modułu S.M.A.R.T. lub dostarczana informacja jest niekompletna co sprowadza się do złej interpretacji tych parametrów przez program. W szczególności należy tu zwrócić uwagę na dyski zewnętrze podłączane poprzez USB, FireWire czy esata. Programy S.M.A.R.T.
30 (Pobrane z slow7.pl) HD Tune Pro HD Tune Pro jest aplikacją służącą do sprawdzania wydajności nośników danych, jak dysk twardy, SSD, pamięci flash i inne. Po zastosowaniu tej aplikacji dowiemy się, jaki może być maksymalny transfer danych, czas dostępu do pamięci, zużycie procesora, a także wydajności. Nadto HD Tune Pro umożliwi pokazanie wszystkich danych dotyczących dysku twardego, jak ilość partycji, pojemność, tryb pracy, bufor, sprawdza stan dysku poprzez SMART; skanuje i naprawia ew. błędy; pokazuje temperaturę dysku twardego. Jedną z ciekawszych funkcji jest zmiana AAM, czyli zarządzanie hałasem. Możemy ograniczyć czas dostępu do danych, co sprawi, że dysk pracuje wolniej, a co za tym idzie - ciszej. Rysunek 6 HD Tune Pro
31 (Pobrane z slow7.pl) Aida64 AIDA64 to znakomite narzędzie do identyfikacji komponentów sprzętowych i oprogramowania zainstalowanego w komputerze, będące kontynuacją popularnego programu Everest. Głównym zadaniem programu jest dostarczanie jak największej porcji szczegółowych informacji o sprzęcie zamontowanym w naszym komputerze tak by nie było potrzeby ręcznego dłubania ale również potrafi odczytać informacje S.M.A.R.T. Rysunek 7 Aida64 HDD Health Bezpłatny program do bieżącego monitorowania kondycji dysków twardych, korzystający z S.M.A.R.T. Na bieżąco informuje też o przekroczeniu temperatury krytycznej dysku (wartość do ustalenia). Oprócz funkcji diagnostycznych program oferuje również uzyskanie całego szeregu informacji o dysku (dokładny model, nr seryjny, firmware, tryb pracy i wiele innych bardzo szczegółowych danych).
32 (Pobrane z slow7.pl) Rysunek 8 HDD Health HDDLife Pro HDDlife jest bardzo prostym programem informującym użytkownika o stanie technicznym dysku twardego pracującego na złącze IDE, Serial ATA lub SCSI. Wykorzystując technologię S.M.A.R.T. pokazuje bieżącą temperaturę dysku, czas pracy a także ilość wykorzystanego miejsca na każdej partycji.
33 (Pobrane z slow7.pl) Rysunek 9 HDDLife Pro Odzyskiwanie danych Zauważamy brak naszych danych, ziścił się nasz najgorszy koszmar, gorączkowo zastanawiamy się co utraciliśmy przypominamy sobie cóż takiego mogliśmy mieć na dysku a do czego nie mamy dostępu (na razie) na myśl o każdym przypomnianym folderze i pliku - BOŻE TYLKO NIE TO. Co robić??? Zastosuj się do poniższych rad, razem spróbujemy temu zaradzić. Weź głęboki oddech (albo dwa) i NIE PANIKUJ - pomyśl Zastanów się, ustal plan działania, zadaj sobie pytanie, które dane są krytyczne i niezbędne (zacznij się oswajać z myślą że nie wszystko może być do uratowania) Rozważ wyłącznie komputera / zamknięcie systemu / wykonanie kopii online (czyli przy wykorzystaniu komputera na którym doszło do awarii, nie polecane choć czasami nie mamy wyboru bo komputer/serwer może być krytyczny dla naszej infrastruktury i wyłączenie go przysporzy więcej strat/problemów niż sama strata danych)
34 (Pobrane z slow7.pl) najważniejsza zasada, której musimy się bezsprzecznie trzymać, mówi - NIE PRACUJ NA ORYGINALNYM NOŚNIKU DANYCH, dlatego należy utworzyć kopię offline (na innym komputerze) i najlepiej wykorzystując do tego bloker (dostęp do nośnika w trybie Tylko do odczytu/read ONLY) Podejmij dalsze działania pracując na obrazie nośnika lub jeśli masz do czynienia ewidentnie z błędem fizycznym (mechanika, elektronika dysku) rozważ oddanie dysku specjalistom (tu trzeba liczyć się z naprawdę realnymi kosztami, cena jest różna i najczęściej ustalana indywidualnie, jeśli utracone dane to "być albo nie być"? np. zagrażające normalnemu funkcjonowaniu firmy to tak naprawdę zostaje nam jedyna opcja - zwrócić się do specjalistów i liczyć na niski rachunek) Zostało wspomniane by wykonać kopię bit po bicie czyli dokładny obraz badanego dysku należy użyć blokera, a cóż to takiego jest? A więc blokery to urządzenia uniemożliwiające ingerencję w badany nośnik. Pozwalają na odczyt informacji czy też wykonanie kopii ale nie pozwalają niczego dodać, zmienić czy poprawić. Ich zastosowanie w ramach czynności nie pozwoli podnieść obronie zarzutu manipulacji. Użycie blokera nie wymaga wysokiej wiedzy technicznej czy instalacji dodatkowego oprogramowania. Badany nośnik widoczny jest w menu jak każde inne urządzenie. Dlatego też blokery nazywane są podstawowym narzędziem informatyki śledczej Blokery możemy podzielić na 2 rodzaje: software'owe hardware'owe Te pierwsze stosowane są do uniemożliwienia zapisu poprzez USB. Te drugie są typowymi wszechobecnie stosowanymi w informatyce śledczej blokerami, praktycznie do każdego nośnika danych, dyski (asa, sata, scsi etc.) USB, firewire, karty pamięci.
35 (Pobrane z slow7.pl) Rysunek 10 Blokery sprzętowe (od lewej) fitmy Tableau, firmy Wiebetech Oczywiście jeśli utracimy dane nie będziemy od razu biegli do sklepu by kupić bloker sprzętowy, bo po przenalizowaniu cen okaże się że są to drogie urządzenia i najczęściej jeśli zawodowo nie zajmujemy się odzyskiwaniem danych to do jednorazowego użytku nie opłaca się kupować takiego urządzenia. Więc jak sobie poradzić najprościej w warunkach domowych. 1. wykręć dysk z komputera/laptopa, z którego chcesz odzyskać dane, 2. będziesz musiał zaopatrzyć się w dowolną obudowę zewnętrzną (oczywiście dostosowaną do typu dysku) i zamontować w niej badany dysk, najczęściej będzie to obudowa która będzie komunikować się z komputerem poprzez interfejs USB. Aby uniemożliwić zapis na dysku poprzez podłączenie go poprzez USB: USB write blocker - http://document-solutions.biz/dsi-software/usb-write-blocker/ modyfikacja klucza rejestru Blokowanie dysków USB HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR - Odnajdujemy klucz typu DWORD o nazwie Start i zmieniamy jego wartość z 3 na 4 Żeby przywrócić możliwość uruchamiania dysków USB zmieniamy wartość z 4 na 3. Najpierw należy upewnić się, czy w gałęzi rejestru istnieje wpis
36 (Pobrane z slow7.pl) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolici es jeżeli nie mamy klucza \StorageDevicePolicies to musimy go utworzyć. Następnie dodajemy nową wartość typu DWORD o nazwie WriteProtect i ustawiamy wartość 1. Włączy to blokadę zapisu na urządzeniach USB, w tym również na twardych dyskach i nagrywarkach podłączanych do portu USB. Oczywiście zmiana wartości na 0 przywraca domyślną możliwość zapisu. 3. Jeżeli nie posiadasz zew. obudowy i podłączasz dysk bezpośrednio do komputera potrzebujesz Windows FE + własne narzędzia / Linux Live, ważne by dysk był podłączony w trybie - tylko do odczytu 4. Narzędzia do wykonania kopii np. DD.exe (chrysocome.net) DD dla Windows dostępny na licencji GPL, na stronie projektu http://www.chrysocome.net/dd Np.. dd.exe if=\\.\physicaldrive0 of=d:\ \plik1.img TestDisk - http://www.cgsecurity.org/wiki/testdisk_download FTK Imager (AccessData) - w pełni graficzny program do tworzenia obrazów dysku w celu dalszej analizy, wersja PEŁNA / LITE (działa z CD/USB) http://accessdata.com/support/adownloads Rysunek 11 Bloker - "sposób domowy" - obudowa zewnętrzna, przelotka + bloker software Tworzenie własnego Windows FE (Forensic Environment) Tak naprawdę odzyskiwanie danych jest tylko jedną z części, którą zajmuje się informatyka śledcza (ang. Computer Forensics) będąca gałęzią nauk sądowych, której celem jest dostarczanie cyfrowych środków dowodowych popełnionych przestępstw lub nadużyć. Jej zadaniami są: zbieranie, odzyskiwanie, analiza oraz prezentacja, w formie specjalistycznego raportu, danych cyfrowych znajdujących się na różnego rodzaju nośnikach (dyski twarde komputerów, dyskietki, płyty CD,
37 (Pobrane z slow7.pl) pamięci przenośne, serwery, telefony komórkowe itp.). Efektem działań specjalistów informatyki śledczej są dane elektroniczne przygotowane w sposób spełniający kryteria dowodowe zgodnie z obowiązującymi w danym kraju regulacjami prawnymi. Czego oczekujemy od systemu Forensics Live? możliwości bootowania sie z płyty CD/DVD/Pendrive podłączenia dysków w trybie do odczytu możliwości wykonania kopii binarnej, dysku stanowiącego dowód elektroniczny umieszczenia na płycie własnych narzędzi darmowych jak i komercyjnych np. dd, TestDisk, FTK Imager firmy AccessData doinstalowania sterowników do dysków SATA/RAID Co potrzebujemy: komputera z zainstalowanym systemem Vista/7/Serwer 2008 plus pakiet Windows Automated Installation Kit (WAIK) http://www.microsoft.com/downloads/pl-pl/details.aspx?familyid=696dd665-9f76-4177-a811-39c26d3 b3b34&displaylang=pl Po ściągnięciu pliku, zamontowaniu go bądź wypaleniu na płycie przystępujemy do instalacji. Po instalacji uruchamiamy: Deployment Tools Command Prompt/Wiersz polecenia narzędzi wdrażania Rysunek 12 Wiersz polecenia narzędzi wdrażania Wydajemy np. polecenie: copype.cmd x86 f:\winfe dzięki któremu zostaną przekopiowane i utworzone potrzebne pliki.
38 (Pobrane z slow7.pl) Rysunek 13 Przygotowanie Windows FE - kopiowanie plików. Kolejnym etapem jest zamontowanie utworzonego w poprzednim kroku obrazu winpe.wim wykorzystamy do tego program GimageX, który jest połączeniem narzędzia imagex i trybu GUI. Odpalamy GimageX potem przechodzimy do zakładki Mount następnie w polu Mount point wskazujemy ścieżkę folderu, który musimy wcześniej utworzyć w tym przypadku np. winfe_mount potem w polu Source wskazujemy ścieżkę do pliku winpe.wim, (w tym konkretnym przypadku plik znajduje się w katalogu f:\winfe) Zaznaczamy pole Read and Write i klikamy przycisk Mount, minimalizujemy Gimagex'a, nie zamykamy programu. W wcześniej utworzonym folderze winfe_mount ukarze się zawartość pliku winpe.wim.
39 (Pobrane z slow7.pl) Rysunek 14 Narzędzie GImageX - montowanie pliku *.wim Pora uruchomić edytor rejestru w polu Uruchom wpisujemy regedit. W kolejnym kroku musimy podmontować rejestr naszego tworzonego Windows FE, w tym celu w Edytorze rejestru z lewej strony zaznaczamy gałąź HKEY_LOCAL_MACHINE i z menu Plik wybieramy Załaduj gałąź rejestru. W nowo otwartym oknie przechodzimy do katalogu \katalog_zamontowanego_obrazu_wim\windows\system32\config (w tym przykładzie f:\winfe_mount\windows\system32\config) i wybieramy plik SYSTEM i nazywamy gałąź np. winfe.
40 (Pobrane z slow7.pl) Rysunek 15 Rejestr - załadowanie rejestru tworzonego Windowsa FE Modyfikujemy następujące gałęzie:nasza_nazwana_gałąź\controlset\services\mountmgr\ - nowa wartość DWORD - NoAutoMount i zmieniamy wartość na 1 (rysunek poniżej)
41 (Pobrane z slow7.pl) Rysunek 16 Stworzenie wartości NoAutoMount nasza_nazwana_gałąź\controlset\services\partmgr\parameters - zmieniamy wartość SanPolicy na 3 (rysunek poniżej)
42 (Pobrane z slow7.pl) Rysunek 17 Zmiana wartość SanPolicy Zwalniamy gałąź rejestru (w przykładzie winfe), na pytanie Czy na pewno chcesz zwolnić bieżący klucz i wszystkie jego podklucz? odpowiadamy Tak. W tym momencie możemy dodać dodatkowe narzędzia np. DD, TestDisk czy FTK Imager (AccessData wersja LITE), muszą to być programy, które nie wymagają instalacji. Dodanie sprowadza się do skopiowania ich do katalogu w którym mamy zamontowany obraz *.wim a dokładnie do Program Files. Odmontowujemy zamontowany obraz, ważne jest by przy odmontowaniu zaznaczyć Commit Changes i pozamykać wszystkie okna, następnie Unmount.
43 (Pobrane z slow7.pl) Rysunek 18 Zamknięcie GImageX i zastosowanie zmian: rejestr + dodatkowe pliki Przechodzimy do katalogu z punktu 4 (czyli f:\winfe) i dalej ISO\boot gdzie kasujemy plik bootfix.bin umożliwi nam to uruchomienie systemu z płyty. Kolejny krok to skopiowanie naszego pliku winpe.wim do katalogu ISO\sources - jeśli znajduje się tam plik boot.wim to należy go skasować i zmienić nazwę skopiowanego pliku winpe.wim na boot.wim. Konwersja pliku *.wim do *.iso - wydajemy polecenie (wiersz polecenia narzędzi wdrażania) oscdimg -n -o -bf:\winfe\etfsboot.com f:\winfe\iso f:\winfe\winfe.iso (pomiędzy parametrem b a resztą polecenia nie ma spacji)
44 (Pobrane z slow7.pl) Rysunek 19 Konwersja pliku *.wim do *.iso Utworzony obraz wypalamy na CD albo montujemy w wirtualnej maszynie celem sprawdzenia.
45 (Pobrane z slow7.pl) Rysunek 20 Sprawdzenie utworzonego obrazu *.iso Działa super!!! Teraz należy podłączyć badany dysk i wykonać jego kopię. Korzystamy z polecenia diskpart. Na początek musimy wyświetlić listę zainstalowanych dysków - polecenie list disk
46 (Pobrane z slow7.pl) Rysunek 21 Polecenie list disk Poleceniem select disk nr_dysku wybieramy dysk. Tutaj trzeba uważać by wybrać właściwy dysk czyli ten na który będziemy kopiować dane. Rysunek 22 Polecenie select disk Czyścimy atrybuty tylko do odczytu - attributes disk clear readonly
47 (Pobrane z slow7.pl) Rysunek 23 Czyszczenie atrybutu read only - attributes disk clear readonly Za pomocą polecenia list volume wyświetlamy listę dostępnych partycji. Rysunek 24 Lista dostepnych partycji - list volume Wybieramy wolumin select volume nr_woluminu.
48 (Pobrane z slow7.pl) Rysunek 25 Wybór wolumenu - select volume Poleceniem attributes volume clear readonly czyścimy atrybut tylko do odczytu. Rysunek 26 Czyszczenie atrybutu read only - attributes volume clear readonly Poleceniem assign letter=litera_dysku, przypisujemy literę dysku.
49 (Pobrane z slow7.pl) Rysunek 27 Przypisanie litery dysku - assign letter Teraz możemy uruchomić nasze narzędzia. Rysunek 28 Windows FE - tworzenie obrazu dysku
50 (Pobrane z slow7.pl) Tworzenie Windows FE FTK Imager FTK Imager - narzędzie GUI do tworzenia obrazów dysku. Jak już wspomniano program posiada wersję LITE, która w przeciwieństwie do wersji pełnej nie musi być instalowana na komputerze i może być uruchomiona z płyty CD lub dysku USB. Program ten jest wersją komercyjną, ale możliwe jest jego darmowe wykorzystanie (szczegóły w licencji dostępnej na stronie producenta) Możliwości programu: kopia całego dysku fizycznego, kopia dysku logicznego (partycji), kopia obrazu dysku ( konwersja formatów), kopia zawartości pojedynczego folderu. Dodatkowo program ten pozwala na zapisanie i odczytanie obrazu w najbardziej popularnych formatach, szczegóły poniżej w tabeli. Tabela 8 Opis formatów FTK Imager Format pliku obrazu dysku dd RAW EnCase E01 odczyt x x zapis x x
51 (Pobrane z slow7.pl) FTK Imager logical image Ghost (tylko nieskompresowane obrazy dysku) ICS SafeBack (tylko do wersji 2.0) SMART (S01) x x x x x x x Program umożliwia wykonanie kopii bitowej dysku (obraz) bit po bicie (ang. bit-for-bit). Oprócz klastrów z danymi kopiujemy pozostałe obszary dysku takie jak: "resztki danych" (ang. slack file), dane ukryte, częściowo usunięte, zaszyfrowane oraz puste jeszcze niezapisane danymi miejsca, czyli tak naprawdę cały dysk, od pierwszego do ostatniego bita informacji. A więc jak wykonać taką kopię przy pomocy tego narzędzia? Pobieramy ze strony producenta program i instalujemy go, instalacja przebiega w standardowy sposób. Po instalacji uruchamiamy program. Rysunek 29 FTK Imager - okno programu
52 (Pobrane z slow7.pl) Po wybraniu File - Create Disk Image stajemy przed wyborem sposobu wykonania kopii czyli możemy wybrać cały dysk bądź partycje, wcześniej zapisany plik obrazu celem skonwertowania go na inny format, wybór folderu (zostają skopiowane tylko pliki znajdujące się w danym folderze). Rysunek 30 FTK Imager - wybór trybu W zależności od wyboru w następnym kroku będziemy mogli wybrać źródło kopii czyli dysk, partycję, plik obrazu bądź folder.
53 (Pobrane z slow7.pl) Rysunek 31 FTK Imager - wybór żródła Po kliknięciu Finish w kolejnym oknie możemy wybrać ścieżkę docelową w której zostanie utworzony plik obrazu, co ciekawe nie musimy tu ograniczać się do jednego formatu bo za jednym przebiegiem mogą być tworzone np. dwa pliki w różnych formatach. Rysunek 32 FTK Imager - miejsce docelowe kopii i format
54 (Pobrane z slow7.pl) Po kliknięciu Add wybieramy format pliku obrazu. Rysunek 33 FTK Imager - wybór formatu kopii Program do informatyki śledczej dlatego pozwala na wpisanie dodatkowych danych związanych z zbieraniem dowodów. Rysunek 34 FTK Imager - opis sprawy Wybór ścieżki i dodatkowych opcji plików jak wielkość pojedynczego fragmentu czy stopień kompresji (kompresja jest dostępna w zależności od wybranego formatu pliku)
55 (Pobrane z slow7.pl) Rysunek 35 FTK Imager - miejsce docelowe, fragmentacja pliku (0 w polu Image Fragment Size oznacza kopię bez fragmentacji/w jednym pliku), wybór kompresji (zależne od formatu kopii) Po kliknięciu na Start zacznie się proces kopiowania pliku. Rysunek 36 FTK Imager - Tworzenie kopii DD
56 (Pobrane z slow7.pl) Ściągamy sobie najnowszą wersję DD. Program nie wymaga instalacji. Uruchamiamy cmd, przechodzimy do katalogu gdzie rozpakowaliśmy archiwum z programem. Użycie programu jest proste. Najlepiej jest użyć komendy --help, aby poznać możliwości programu. Rysunek 37 DD - pomoc Na początek trzeba poznać ścieżkę do wolumenów. Nie posługujmy się literkami "c:, d:" itp. Wydajemy komendę: dd --list Rysunek 38 DD - komenda dd --list
57 (Pobrane z slow7.pl) To lista wszystkich napędów (HDD, CDROM, napędów podpiętych poprzez USB, napędy podpięte pod czytniki kart pamięci). U mnie źródłem miał być dysk G:, chciałem stworzyć jego kopię na swoim dysku w postaci obrazu. Wydajemy komendę: dd if=\\?\device\harddiskvolume6 of=f:\kopia_dysku.iso --progress Dodałem parametr --progress, aby dokładnie się dowiedzieć na jakim etapie kopiowania jest dysk. Utworzy się nam plik który będzie wierną kopią naszego źródła. Upewnijmy się też dwóch rzeczy: dysk źródłowym (lub inny zasób) oraz dysk docelowy muszą być wolne od błędów! używajmy narzędzia z rozwagą, mała pomyłka (np. of z if) doprowadzi do nadpisania danych, nie tych które byśmy chcieli. TestDisk (wersja 6.13) Program potrafi obsłużyć partycję: BeFS ( BeOS ) BSD disklabel ( FreeBSD/OpenBSD/NetBSD ) CramFS, Compressed File System DOS/Windows FAT12, FAT16 and FAT32 Windows exfat HFS, HFS+ and HFSX, Hierarchical File System JFS, IBM's Journaled File System Linux btrfs Linux ext2, ext3 i ext4 Linux LUKS encrypted partition Linux RAID md 0.9/1.0/1.1/1.2 RAID 1: mirroring RAID 4: striped array with parity device RAID 5: striped array with distributed parity information RAID 6: striped array with distributed dual redundancy information Linux Swap (versions 1 and 2) LVM and LVM2, Linux Logical Volume Manager Mac partition map Novell Storage Services NSS NTFS ( Windows NT/2000/XP/2003/Vista/2008/7 ) ReiserFS 3.5, 3.6 and 4
58 (Pobrane z slow7.pl) Sun Solaris i386 disklabel Unix File System UFS and UFS2 (Sun/BSD/...) XFS, SGI's Journaled File System Pobieramy program ze strony producenta - http://www.cgsecurity.org/wiki/testdisk_download i rozpakowujemy, program nie wymaga instalacji. Zaznaczamy opcję - Create Rysunek 39 TestDisk - Okno startowe Wybieramy urządzenie, które chcemy poddać analizie - dysk, którego chcemy wykonać kopię. W tym przypadku jest to pendrive Kingstone o pojemności 1 GB.
59 (Pobrane z slow7.pl) Rysunek 40 TestDisk - wybór dysku do analizy Program postara się wykryć właściwy system plików i sam podświetli właściwy - w tym przypadku "Intel". Gdyby jednak okazało się że były problemy z rozpoznaniem za pomocą strzałek możesz wybrać właściwy. Rysunek 41 TestDisk - wybór partycji Jesteśmy w głównym ekranie programu i do wyboru mamy:
60 (Pobrane z slow7.pl) Rysunek 42 TestDisk - główne okno programu Analyse - analiza struktury partycji. Tu wykonujemy takie czynności jak: naprawianie i odzyskiwanie tablic partycji, zmienianie typu partycji (systemowa aktywna, systemowa, logiczna, rozszerzona) lub usuwanie, zmienianie startowego i końcowego cylindra, sektora partycji, podglądnięcie danych zapisanych na partycji i wykonanie kopii plików.
61 (Pobrane z slow7.pl) Rysunek 43 TestDisk - Analyse Advanced - narzędzia systemu plików sprawdzenie typu systemu plików, naprawa tablicy FAT i MFT, odbudowanie bootsektor z kopii zapasowej, podgląd bootsektor i wykonanie kopii zapasowej, podgląd danych i kopia - za pomocą Image Creation, wybieramy katalog gdzie ma być zapisana kopia dysku. Kopia w formacie *.dd (o tym trochę później) Rysunek 44 TestDisk - Advance
62 (Pobrane z slow7.pl) Geometry - sprawdzenie nośnika danych sprawdzenie ilości cylindrów, sektorów i ich wielkość, zmiana danych j.w. - zmiana wielkości sektora dla zaawansowanych. Rysunek 45 TestDisk - Geometry Options - zmiana opcji programu włącz tryb eksperta, ustawienie granic partycji, wykorzystanie ostatniego cylindra, zrzut podstawowych sektorów.
63 (Pobrane z slow7.pl) Rysunek 46 TestDisk - Options MBR Code - zapis własnego MBR. Rysunek 47 TestDisk - MBR Code Delete - usuwa wszystkie dane z partycji - łącznie z MBR
64 (Pobrane z slow7.pl) Rysunek 48 TestDisk - Delete Po wykonaniu obrazu badanego sytemu przyszedł czas na próbę odzyskania skasowanych/uszkodzonych danych. Mając kopię bitową dysku a tak naprawdę najlepiej wykonać kopię kopi bo nie mamy pewności czy nasze działania przyniosą zamierzony skutek, unikamy sytuacji w której będziemy musieli wykonywać ponownie kolejną replikę z fizycznego dysku, montujemy ją jako wirtualny napęd. Operację tą możemy przeprowadzić za pomocą FTK Imagera, wybierając z menu File - Image Mounting.
65 (Pobrane z slow7.pl) Rysunek 49 FTK Imager - montowanie obrazu kopii FileDisk Do zamontowania obrazów *.dd pod Windows można użyć niewielkiego, darmowego narzędzia o nazwie FileDisk. Instalcja programu przebiega w następujący sposób: rozpakowujemy do dowolnego katalogu, z katalogu..\sys\obj przekopiowujemy odpowiednią wersję pliku filedisk.sys, zależną od zainstalowanego systemu do katalogu %systemroot%\system32\drivers\, uruchamiamy plik filedisk.reg, który dokona wpisów do rejestru, restartujemy system. Obraz montujemy poleceniem: filedisk /mount 0 x:\ścieżka_dostępu_do_pliku\plik.dd x:
66 (Pobrane z slow7.pl) gdzie: x:\ścieżka_dostępu_do_pliku\plik.dd - jest to ścieżka dostępu do pliku, x: - litera wirtualnego dysku, /ro - parametr tylko do odczytu Rysunek 50 Filedisk - zamontowanie obrazu a odmontowujemy poleceniem: filedisk /umount x: gdzie: x: - litera wirtualnego dysku. Rysunek 51 Filedisk - Odmontowanie obrazu OSFMount Kolejnym ciekawym, darmowym programem, służącym do montowania obrazów dysków jest OSFMount. Program występuje w dwóch wersjach - x86 jak i x64. Lista obsługiwanych formatów plików została zawarta poniżej w tabeli. Format obrazu *.IMG, *.DD *.ISO, *.BIN *.00n Odczyt + + + Zapis + + Montaż w pamięci RAM + + + Konwersja + + -
*.NRG *.SDI *.AFF *.AFM *.AFD *.VMDK *.E01 *.S01 67 (Pobrane z slow7.pl) + + + + + + + + + + + + + + + + + + + + + + + + + + + + Program domyślnie montuje obrazy w trybie tylko do odczytu, zatem nie musimy martwić się o ingerencję w zapisane dane. Dodatkowo bardzo ciekawą funkcją jest możliwość tworzenia wirtualnych dysków ulokowanych w pamięci operacyjnej komputera tzw. ramdysków. Zalety takiej funkcji, chyba nie trzeba tłumaczyć. Po pobraniu i instalacji aplikacji, zamontowanie obrazu sprowadza się do wybrania go (File - Mount new virtual disk) i określenia sposobu montażu:
68 (Pobrane z slow7.pl) Rysunek 52 OSFMount - montaż obrazu - opcje gramu Source - źródło obrazu. Image file - pliki obrazów, Image file in RAM - tworzenie ramdysku w pamięci operacyjnej komputera, Empty RAM drive - pusty ramdysk np. do przechowywania plików. Image file (Image filepath) - lokalizacja pliku obrazu. Volume options - możliwość zamontowania całego dysku, bądź wybranych partycji. Image file offset - definicja obszaru pamięci RAM w której ma być umieszczony obraz. Size of drive - rozmiar ramdysku. Mount options - opcje montowania, gdzie: Drive letter - wybór litery dysku. Drive type - wybór typu dysku, Auto (Automatyczny), HDD (Dysk twardy), CD/DVD ROM (Napęd optyczny), Floppy (Dyskietki i inne typy nośników wymiennych). Read-only drive - dysk/partycja tylko do odczytu. Mount as removable media - montuje wskazany obraz jako dysk wymienny. Jak widać na powyższej tabeli program oferuje jeszcze jedną możliwość a mianowicie zapisanie pliku obrazu w innym formacie. Konwersja następuje po wybraniu obrazu i wybraniu z kontekstowego menu opcji - Save to image file.. i określeniu formatu docelowego.
69 (Pobrane z slow7.pl) Rysunek 53 OSFMount - opcje eksportu P2 explorer Ostatnim opisywanym programem służącym do montowania jest darmowy P2 explorer. Obsługa programu jest bardzo prosta, należy pobrać program i zainstalować (podczas instalacji może pojawić się komunikat o instalacji niepodpisanych sterowników, należy go zaakceptować). Zamontowanie obrazu sprowadza się do wybrania wolnego zasobu, kliknięciu ikony zamontowania i wskazania montowanego pliku.
70 (Pobrane z slow7.pl) Rysunek 54 P2 explorer - okno programu, montowanie pliku Po wybraniu pliku obrazu (do zamontowania użyłem FTK Imager) oraz ustaleniu opcji związanych z trybem montowania (należy pamiętać że obraz montujemy jako Read Only) klikamy Mount (nie zamykamy programu, możliwości aplikacji nie ograniczają się tylko do montowania obrazów kopi bitowej, program radzi sobie z wieloma plikami obrazów). Obraz widnieje w oknie Mój Komputer jako kolejny dysk. Mając w ten sposób podmontowany obraz możemy uruchomić program, który spróbuje nam odzyskać dane. Jednym z takich programów jest Recuva (a tak naprawdę jest w czym wybierać bo obok produktów komercyjnych jest wiele darmowych). Recuva to proste narzędzie przeznaczone do odzyskiwania przypadkowo skasowanych danych z dysku komputera. Dane można odzyskać miedzy innymi z opróżnionego kosza systemowego, fotograficznych kart pamięci czy odtwarzaczy MP3. Jednym z walorów aplikacji jest szybkość skanowania dysku w poszukiwaniu skasowanych danych oraz możliwość podglądu niektórych formatów plików. Recuva obsługuje systemy plików FAT12, FAT16, FAT32, exfat, NTFS, NTFS5, NTFS oraz + EFS. Do pokazania możliwości programu przygotowałem pendrive, który wcześniej został wyzerowany (wszystkie klastry zostały zapisane 0) następnie skopiowałem na niego pliki w popularnych
71 (Pobrane z slow7.pl) formatach czyli pliki worda, excela, pdf, mp3 czy jpg a następnie zostały one usunięte. Na każdym etapie został utworzony obraz czyli w sumie dwa: obraz pendriva wyzerowanego i obraz pendriva z zapisanymi a następnie skasowanymi danymi. Pozornie po zamontowaniu ich i wyświetleniu zawartości w obu przypadkach zobaczymy puste okno eksploratora. Ale po wyliczeniu sum kontrolnych okaże się że nie są one równe. Wniosek jest taki, że tradycyjne kasowanie pliku nie ma nic wspólnego z zapisaniem całej objętości zajmowanego pliku zerami. Trzeba mieć świadomość, że usuwane pliki nie są tak naprawdę kasowane, lecz tylko są oznaczane jako usunięte. Mogą więc zostać z powrotem przywrócone, pod warunkiem, że bloki używane przez ten plik nie zostaną nadpisane innymi danymi. Rysunek 55 Sumy kontrolne Uruchamiamy program Recuva. Aplikacja przywita nas kreatorem.
72 (Pobrane z slow7.pl) Rysunek 56 Recuva - Ekran kreatora Możemy zaznaczyć Nie pokazuj tego Wizarda przy uruchomieniu i przejść do właściwego okna programu.
73 (Pobrane z slow7.pl) Rysunek 57 Recuva - okno programu Przechodzimy do opcji programu.
74 (Pobrane z slow7.pl) Rysunek 58 Recuva - opcje programu Warto przyjrzeć się następującym opcją: Głębokie skanowanie - dokładniejsze, ale dłuższe skanowanie badanego nośnika, Skanuj w poszukiwaniu nieusuniętych plików -użyteczne w przypadku odzyskiwania plików z uszkodzonego systemu plików, Odzyskaj strukturę katalogu - jak wyżej Wybieramy dysk i wciskamy Skanuj, następuje proces skanowania.
75 (Pobrane z slow7.pl) Rysunek 59 Recuva - skanowanie dysku Po skanowaniu, które trwa w zależności od wielkości dysku zostaje wyświetlony rezultat w postaci odnalezionych plików. Program pozwala nam na zastosowanie filtrów, czyli możemy wyświetlić sobie tylko pliki dokumentów czy np. zdjęć. Następnie odhaczamy interesujące nas pliki i klikamy Odzyskaj, gdzie będziemy mieli możliwość ich zapisania.
76 (Pobrane z slow7.pl) Rysunek 60 Recuva - znalezione skasowane pliki Skasowane pliki również możemy zobaczyć i odzyskać w oknie FTK Imagera, klikając na File następnie Add Evidence Item, wybierając nasz zamontowany obraz.
77 (Pobrane z slow7.pl) Rysunek 61 FTK Imager - dodanie obrazu Po lewej stronie rozwijając Evidence Tree i przechodząc do root, uzyskamy podgląd skasowanych plików.
78 (Pobrane z slow7.pl) Rysunek 62 FTK Imager - znalezione, skasowane pliki Przywracanie polega na zaznaczeniu pliku/plików, PPM i następnie Export Files.
79 (Pobrane z slow7.pl) Rysunek 63 FTK Imager - odzyskiwanie plików Data Carving A co zrobić kiedy brak systemu plików lub został on uszkodzony a programy naprawcze nie dały efektu (nawet komercyjne)? Pozostaje nam tylko - data carving. DATA (File) Carving - czyli proces wyodrębnienia danych z nośnika. Wyodrębnienie polega na wyszukaniu informacji w nieprzydzielonej przestrzeni systemu plików. Wyodrębnienie następuje poprzez znalezienie stałych i charakterystycznych atrybutów pliku czyli nagłówka i końca pliku (stopki) tzw. Atrybuty te nazywane są - Magic numbers. Magic numbers - Stała wartość numeryczna lub tekstowa wykorzystana do identyfikacji formatu pliku (file signature): Nagłówek (header) Stopka - znacznik końca pliku (footer) Np. Plik jpeg rozpoczyna się od "0xFFD8" i kończy na "0xFFD9" Plik pdf rozpoczyna się od "%PDF" i kończy na "%EOF" By Data Carving zadziałał muszą być spełnione waunki:: niepofragmentowane pliki, nienadpisane pliki, znany jest "magic numbers" dla pliku Poniżej Magic numbers dla najczęściej używanych plików. (na podstawie http://www.garykessler.net/library/file_sigs.html) Pliki graficzne
80 (Pobrane z slow7.pl) Tabela 9 Magic Numbers Typ pliku Rozszerzenie Bitmap format FITS format GIF format.bmp.fits.gif JPEG File.jpg JPEG File z EXIF.jpg NIFF (Navy TIFF) PM format PNG format.nif.pm.png Postscript format Sun Rasterfile Ventura Publisher/GEM VDI Image Format Bitmap file TIFF format (Motorola big endian) TIFF format (Intel - little endian) Radiance High Dynamic Range image file XCF Gimp file structure.eps.ras.img Xfig format XPM format.fig.xpm Adobe encapsulated PostScript file.eps Photoshop image file.psd Kod Hex xx = zmienny 42 4D 53 49 4D 50 4C 45 47 49 46 38 39 61 lub 47 49 46 38 39 61 koniec pliku - 00 3B FF D8 FF E0 xx xx 4A 46 49 46 00 koniec pliku - FF D9 FF D8 FF E1 xx xx 45 78 69 66 00 koniec pliku - FF D9 49 49 4E 31 56 49 45 57 89 50 4E 47 0D 0A 1A 0A koniec pliku - 49 45 4E 44 AE 42 60 82 25 21 59 A6 6A 95 00 01 00 08 00 01 00 01 01.tif 4D 4D 00 2A.tif 49 49 2A 00.hdr 23 3F 52 41 44 49 41 4E 43 45 0A 67 69 6D 70 20 78 63 66 20 76 23 46 49 47 2F 2A 20 58 50 4D 20 2A 2F 25 21 50 53 2D 41 64 6F 62 65 2D 33 2E 30 20 45 50 53 46 2D 33 20 30 38 42 50 53.xcf
Generic AutoCAD drawing 81 (Pobrane z slow7.pl).dwg 41 43 31 30 the 0x41-43-31-30 (AC10) is a generic header, occupying the first four bytes in the file. The next two bytes give further indication about the version or subtype: Corel Photopaint file.cpt Canon digital camera RAW file CorelDraw document Corel Paint Shop Pro image file.cr2 0x30-32 (02) - AutoCAD R2.5 0x30-33 (03) - AutoCAD R2.6 0x30-34 (04) - AutoCAD R9 0x30-36 (06) - AutoCAD R10 0x30-39 (09) - AutoCAD R11/R12 0x31-30 (10) - AutoCAD R13 0x31-31 (11) - AutoCAD R13 0x31-32 (12) - AutoCAD R13 0x31-33 (13) - AutoCAD R14 0x31-34 (14) - AutoCAD R14 0x31-35 (15) - AutoCAD R2000 0x31-38 (18) - AutoCAD R2004 0x32-31 (21) - AutoCAD R2007 43 50 54 37 46 49 4C 45 lub 43 50 54 46 49 4C 45 49 49 2A 00 10 00 00 00 43 52 52 49 46 46 7E 42 4B 00.cdr.psp Pliki skompresowane Typ pliku Rozszerzenie Bzip Compress GZIP archive file pkzip format Compressed tape archive file using standard (Lempel-ZivWelch) compression Compressed tape archive file using LZH (Lempel-Ziv-Huffman) compression Compressed archive file 7-Zip compressed file Microsoft cabinet file PKZIP archive file Java archive.bz.z.gz,.tgz.zip tar.z Kod Hex xx = zmienny 42 5a 1f 9d 1f 8b 08 50 4b 03 04 1F 9D tar.z 1F A0.lha,.lzh.7z.cab.zip.jar WinRAR compressed archive file WinZip compressed archive Compressed archive file.rar.zip.arj 2D 6C 68 37 7A BC AF 27 1C 4D 53 43 46 50 4B 03 04 50 4B 03 04 14 00 08 00 08 00 52 61 72 21 1A 07 00 57 69 6E 5A 69 70 60 EA
82 (Pobrane z slow7.pl) Pliki wideo Typ pliku Rozszerzenie QuickTime.mov MPEG-4 video files.mp4 Apple Lossless Audio Codec file.m4a QuickTime M4A/M4V file.m4a,.m4v Apple QuickTime movie file.mov MPEG video file.mpeg,.mpg DVD Video Movie File (video/dvd, video/mpeg) or DVD MPEG2 Matroska stream file.mpg,.vob RealPlayer video file (V11 and later) RealMedia streaming media file VideoVCD (GNU VCDImager) file Flash video file Video CD MPEG or MPEG1 movie file Windows Audio Video Interleave file.ivr.mkv.rm,.rmvb.vcd.flv.dat Kod Hex xx = zmienny 00 00 00 14 66 74 79 70 71 74 20 20 00 00 00 18 66 74 79 70 33 67 70 35 00 00 00 20 66 74 79 70 4D 34 41 20 00 00 01 Bx koniec pliku - 00 00 01 B7 00 00 01 BA koniec pliku - 00 00 01 B9 1A 45 DF A3 93 42 82 88 6D 61 74 72 6F 73 6B 61 2E 52 45 43 2E 52 4D 46 45 4E 54 52 59 56 43 44 02 00 00 01 02 00 18 58 46 4C 56 01 52 49 46 46.avi 52 49 46 46 xx xx xx xx 41 56 49 20 4C 49 53 54 Typ pliku Rozszerzenie Microsoft Access 2007 file.accdb Microsoft Access file.mdb PowerPoint Excel spreadsheet subheader Microsoft Outlook Personal Folder File Adobe Portable Document Format and Forms Document file.ppt.xls.pst Kod Hex xx = zmienny 00 01 00 00 53 74 61 6E 64 61 72 64 20 41 43 45 20 44 42 00 01 00 00 53 74 61 6E 64 61 72 64 20 4A 65 74 20 44 42 00 6E 1E F0 09 08 10 00 00 06 05 00 21 42 44 4E Dokumenty.pdf,.fdf 25 50 44 46 koniec pliku: 0A 25 25 45 4F 46 0A 25 25 45 4F 46 0A 0D 0A 25 25 45 4F 46 0D 0A 0D 25 25 45 4F 46 0D
83 (Pobrane z slow7.pl) Microsoft Write file.wri IE History (index.dat) file.dat Microsoft Office Open XML Format Microsoft Office applications.docx,.pptx,.xlsx.doc,.dot,.pps,.ppt,.xla,.xls,.vsd A commmon file extension for e.eml mail files. Outlook Express e-mail folder.dbx 31 BE lub 32 BE 43 6C 69 65 6E 74 20 55 72 6C 43 61 63 68 65 20 4D 4D 46 20 56 65 72 20 50 4B 03 04 14 00 06 00 D0 CF 11 E0 A1 B1 1A E1 52 65 74 75 72 6E 2D 50 61 74 68 3A 20 CF AD 12 FE Pliki muzyczne Typ pliku Rozszerzenie RealAudio file.ra RealAudio streaming media file Microsoft Windows Media Audio/Video File Audio Interchange File MPEG-1 Audio Layer 3 (MP3) audio file Ogg Vorbis Codec compressed Multimedia file Audio for Windows file Audacity audio file.ra.asf,.wma,.wmv.aiff.mp3.oga,.ogg,.ogv,.ogx.wav.au Kod Hex xx = zmienny 2E 52 4D 46 00 00 00 12 00 2E 72 61 FD 00 30 26 B2 75 8E 66 CF 11 A6 D9 00 AA 00 62 CE 6C 46 4F 52 4D 00 49 44 33 4F 67 67 53 00 02 00 00 00 00 00 00 00 00 52 49 46 46 xx xx xx xx 57 41 56 45 66 6D 74 20 64 6E 73 2E Jak wykorzystać tą wiedzę, posłużmy się znów FTK Imagerem. Szukamy pliku o danym nagłówku np. jpg czyli poszukujemy ciągu znaków FF D8 FF E0. Otwieramy nasz obraz (File, Add Evidence Item), następnie klikamy na dysk w Evidence Tree i dalej w obszarze podglądu (to ten z dużą liczbą cyferek i literek) PPM i Find. Zaznaczamy Binary i wpisujemy poszukiwany tekst.
84 (Pobrane z slow7.pl) Rysunek 64 FTK Imager - szukanie nagłówka pliku Po wyszukaniu początku pliku, wyszukujemy koniec pliku (jeśli jest znana stopka), zaznaczamy obszar pomiędzy początkiem i końcem, klikamy PPM i następnie Save Selection. Rysunek 65 FTK Imager - zapisywanie pliku Jeśli nie znamy końca pliku po odnalezieniu początku i kliknięciu PPM i wybraniu Set Selection Lenght możemy wtedy w bajtach wpisać długość zaznaczonego obszaru.
85 (Pobrane z slow7.pl) Rysunek 66 FTK Imager - zaznaczenie danego rozmiaru Poniżej co z tego wyszło, czyli próba odzyskania pliku jpg, długość zaznaczonego obszaru 150kB i 350kB. Rysunek 67 Odzyskany plik jpg Programem bazującym na sygnaturach plików jest aplikacja PhoteRec dostarczana razem z TestDiskiem. Po uruchomieniu aplikacji z wyświetlonej listy dysków wybieramy ten, z którego będziemy odzyskiwać pliki.
86 (Pobrane z slow7.pl) Rysunek 68 PhotoRec - wybór dysku Dalej wybieramy typ partycji. Rysunek 69 PhotoRec - wybór partycji Na tym etapie możemy określić opcje programu oraz typ plików, które chcemy odzyskać - File Opt.
87 (Pobrane z slow7.pl) Rysunek 70 PhotoRec - wybór typu szukanych plików Po dokonaniu wyboru określamy partycję do analizy i wybieramy Search. Wskazujemy system plików. Rysunek 71 PhotoRec - wybór systemu plików Kolejnym wyborem jest określenie czy program ma przeszukiwać cały dysk lub partycję, czy też ograniczyć wyszukiwanie do obszaru niezajmowanego przez pliki.
88 (Pobrane z slow7.pl) Rysunek 72 PhotoRec - wybór rodzaju skanowania Wybór katalogu, gdzie program zapisze odzyskane pliki. Domyślnie ustawiony jest zapis w katalogu, z którego jest uruchamiany PhotoRec. Po wyborze miejsca docelowego klikamy na C. Rysunek 73 PhotoRec - wybór katalogu w którym będą zapisywane odzyskane pliki
89 (Pobrane z slow7.pl) Następuje operacja skanowania i odzyskiwania plików. Rysunek 74 PhotoRec - Skanowanie i zapis odzyskanych plików Po zakończonym skanowaniu wyświetli się podsumowanie. Wadą programu jest to że odzyskane pliki nie będą miały pierwotnych nazw, format pliku zostaje zachowany.
90 (Pobrane z slow7.pl) Rysunek 75 PhotoRec - po odzyskiwaniu Wirtualizacja Kiedy ją zastosować? Kiedy np. chcemy wprowadzić zmiany na komputerze/serwerze a do końca nie mamy pewności jak to odbije się na kondycji naszego systemu, by odzyskać dane, spróbować naprawić system czy dostać się do zaszyfrowanych danych. Prostym sposobem przeniesienia naszego fizycznego środowiska do wirtualnego jest wykorzystanie programu disk2vhd. Program umożliwia nam zrzucenie zawartości dysku do pliku *.vhd. Taki plik możemy bezpośrednio zamontować w konsoli Zarządzanie komputerem bądź uruchomić w środowisku wirtualnym - MS VirtualPC, VirtualBox czy VMware. Disk2vhd Ta przydatna i praktyczna aplikacja pozwala tworzyć wirtualne dyski twarde (VHD) w formacie Virtual Machine Disk Microsoft'u, które możesz wykorzystywać w wirtualnych maszynach Microsoft Hyper-V lub Virtual PC. Disk2vhd wykorzystuje innowacyjną właściwość Volume Snapshot w Windows, która pozwala tworzyć w czasie rzeczywistym zrzuty ekranu woluminów dysku, które chcesz konwertować. Aplikacja tworzy listę wszystkich znajdujących się w systemie woluminów i generuje wirtualny dysk twardy dla każdego dysku, w którym znajdują się wybrane woluminy. W ten sposób będziesz mógł wydobywać tylko wybrane woluminy systemu, a nie niepotrzebne woluminy danych. Wykonanie obrazu sprowadza się do uruchomienia programu, wybraniu dysku (woluminu), miejsca docelowego (w systemie XP zaznaczamy dodatkowo Prepare for use in virtual pc) i klinięciu przycisku Create
91 (Pobrane z slow7.pl) Rysunek 76 Disk2vhd - tworzenie obrazu Wykonany obraz można użyć jako dysk w wspomnianych programach do wirtualizacji. Przy tworzeniu wirtualnego komputera wskazujemy plik jako dysk. Po tej operacji możemy do woli próbować i kombinować z np. naprawą systemu. Wykonany obraz możemy bez dodatkowych programów zamontować w konsoli Zarządzanie komputerem. Klikamy po lewej stronie na Zarządzanie dyskami i następnie z menu Akcja wybieramy Dołącz dysk VHD. Z tego miejsca jest również możliwe utworzenie dysku VHD.
92 (Pobrane z slow7.pl) Rysunek 77 Zarządzanie komputerem - montowanie obrazu vhd Istnieje możliwość uruchomienia systemu z kopii bitowej wykonanej np. przez DD, FTK Imagera czy TestDiska. Otrzymany obraz trzeba przekonwertować do formatu VDI używanego przez VirtualBoxa. Warunkiem powodzenia jest wykonanie obrazu, który jest zapisany w jednym pliku (niepodzielony na części). Konwersji możemy dokonać przy pomocy narzędzia VBoxManage, które jest częścią aplikacji VirtualBox. Składnia polecenia: VBoxManage convertfromraw "nazwa pliku""plik wynikowy" Konwersji został poddany plik obrazu wykonany w FTK Imager: