Spasavanje podataka

 

Spasavanje obrisanih podataka može, na prvi pogled, delovati kao najprostiji deo spasavanja podataka.

Nema mehaničkog kvara, nema elektronskog kvara, nema ni problema sa nečitljivim delovima diska. Prosečnom korisniku stvar deluje jednostavno, instalira se jedan od brojnih besplatnih programa sa interneta i u roku od par minuta, fajlovi su vraćeni. Bar tako kažu njihovi proizvođači.

Međutim, da li je to zaista tako lako? Koji sve faktori mogu otežati ovaj, naizgled, lagan posao?

Odlučili smo se da napravimo jedan eksperiment kako bismo utvrdili koliki je rizik ovakvih „kućnih“ pokušaja spasavanja podataka od strane običnog korisnika.

Kako bismo analizirali što više mogućih faktora, test smo podelili na 2 dela.

Prvi deo podrazumeva obrisane podatke na HDDu, a drugi na SSDu u identičnoj kompjuterskog konfiguraciji, sa Windows 10 operativnim sistemom i NTFS fajl sistemom.

U oba slučaja smo koristili iste fajlove i nakon brisanja istih radili iste stvari, puštati isti video fajl u istom trajanju, kopiranje istih slika, poseta istih sajtova preko istih pretraživača, instalacija istih programa.

 

Kako sistem zapravo briše podatke?

 

Većina fajl sistema, pa tako i NTFS fajl sistem, informacije o fajlovima organizuju u obliku MFT (Master File Table).

U toj tabeli su zapisana imena, pocetne LBA adrese, broj sektora (veličina fajla), specifični datumi kao i neki dodatni atributi. Jedan od atributa označava da li je fajl zapravo obrisan.

Ukoliko je ovaj atribut  za neki fajl uključen, operativni sistem će na prostor koji fajl zauzima gledati kao na prazan prostor i prepisaće ga prvom prilikom. U međuvremenu taj fajl je moguće spasiti od „zaborava“.

Nakon nekog vremena unos za ovaj obrisani fajl u MFTu se prepisuje novim unosom za novi fajl.

U tim slučajevima, ukoliko nije došlo do prepisivanja sadržaja fajla, isti se može izvući ali bez informacija o imenu, datumima kreiranja i obnavljanja, putanji i slično.

TRIM

Trim je funkcija SSDa koja automatski prazni sektore obrisanog fajla kako bi se očuvale performanse SSDa.

Operativni sistem prilikom brisanja nekog fajla SSDu predaje spisak sektora koji su oslobođeni, a SSD, u trenucima kada je na „leru“, koristi slobodno vreme kako bi ispraznio ove sektore.

Iako ova funkcija deluje korisno u pogledu performansi, može biti jako opasna iz ugla spasavanja obrisanih podataka sa SSDa.

 

Priprema eksperimenta

 

Za test izabrali smo SSD Silicon Power A55, kapaciteta 128 Gb i hard disk Samsung ST320LM000 HM321HI koji je ograničen na isti kapacitet kao SSD.

Uređaje smo prethodno wipe-ovali (popunili nulama sve sektore) i instalirali svež operativni sistem. Zatim smo iskopirali iste fajlove na oba uređaja i to:

→  Dva video snimka u folderu Snimci

→  Pet PDFa, jedan .pttx, jedan .jpg i jedan .docx fajl u folderu Dokumenta

→  18 slika u folderu Slike

U startu smo obrisali po jedan od ovih tipova podataka. U tabeli ispod smo naveli imena fajlova kao i njihovu LBA adresu na disku.

 

 

Nakon toga smo simulirali redovno korišćenje računara (surfovanje internetom, gledanje video klipova na YouTube, kopiranje fajlova iz foldera Slike), a potom instalirali neki od programa za spasavanje podataka. Preseke smo obavili na 30 min i 90 min od brisanja fajlova.

Hronološki sled svih aktivnosti i aproksimativnih trajanja može se videti u tabeli ispod.

 

 

Prvi presek

 

Nakon 30 min računar je stavljen u sleep mode, operativnom sistemu je onemogućen pristup particijama, a disk je skeniran profesionalnim programom za spasavanje podataka. Uporedili smo sadržaj original fajla i fajla kog smo izvukli ovim programom.

Statistika je pokazala da je u našem eksperimentu došlo do skoro potpunog prepisavanja fajlova u roku od pola sata nakon njihovog brisanja.

Rezultati se mogu videti u tabeli:

 

 

Uvidom u hexa sadržaj izvučenih fajlova vidimo da su oni u velikoj meri prepisani, a u slučaju SSDa imamo i da je fajl u velikoj meri TRIMovan.

Na slikama ispod možete uporedne rezultate skeniranja:

 

Poređenje .docx fajla

Poređenje .pdf fajla

Poređenje .mp4 fajla

Trimovan fajl

Prvim presekom smo ustanovili da je i pola sata korišćenja računara opasno po obrisane podatke.

Uređaje smo vratili u računar i nastavili sa eksperimentom daljim korišćenjem računara.

Pokušavali smo spasavanje podataka koristeći besplatan softver, gledali tutorijale i čitali upustva, poput običnog korisnika koji bi se našao u ovakvom problemu.

 

Drugi presek

 

Nakon 60 minuta opet smo izvadili uređaje iz ponovo uspavanog računara i istim programom obavili dijagnostiku. Ustanovili smo da nikakav trag od obrisanih fajlova nije ostao. Unosi u tabelu MFT su bili prepisani, a prepisani su i sektori gde su se fajlovi nalazili. Fajlovi su nepovratno nestali.

 

Zasto nastaje ovakav problem?

 

Bez obzira na izbor aplikacije za spasavanje podataka, greške koje korisnike najčešće koštaju podataka su nastavak normalnog korišćenja računara, instaliranje programa za spasavanje na istu particiju gde su se nalazili obrisani podaci kao i snimanje spasenih podataka na istu particiju.

Svaki korak potencijalno dovodi do još većeg oštećenja obrisanih podataka. Portabilni programi takođe nisu rešenje jer ne blokiraju sistemu pristup particiji, pa sistem može da nastavi da upisuje svoje logove nesmetano.

Profesionalno spasavanje podataka podrazumeva da se ne radi na „original“ disku, već na njegovoj identičnoj kopiji koja je usput zaštićena od pristupa operativnog sistema. Samo na ovaj način je moguće sačuvati integritet obrisanih podataka u što većoj meri.

 

Zaključak

 

Iako u našem eksperimentu nismo imali mnogo podataka niti smo mnogo njih obrisali i nakon toga snimili, problemi sa kojima se suočavamo u praksi podudaraju se sa rezultatima koje smo dobili.

Zlatno pravilo spasavanja podataka je da je najveća mogućnost za spasavanje upravo u trenutku brisanja istih.

Svaki pokušaji u kućnoj radinosti ili nastavljanje korišćenja računara „kao da ništa nije bilo“ znatno smanjuje šanse za uspešno spasavanje.

Zato je najbolje odmah ugasiti uređaj i obratiti se specijalizovanoj kompaniji za spasavanje podatka.

 

Đorđe Kosanović
Inženjer spasavanja podataka
HelpDisc

 

HelpDisc je nedavno unapredio svoj File list viewer, tj. servis koji omogućuje korisniku da proveri spasene podatke online, kao i offline.

File list Viewer je brzi prikaz podataka koji su spaseni sa klijentovog diska, ali ne i sami fajlovi. Ovo znači da je spasene foldere i fajlove moguće pregledati, ali ne i download-ovati.

Novi File list viewer ima moderan dizajn, veću brzinu učitavanja, bolju pretragu i jasniju statistiku.

 

Uputstvo za korišćenje Heldisc File liste

 

Proveru spasenih podataka možete uraditi tako što ćete na početnoj stranici izabrati Lista spasenih podataka ili kliknuti na Korisnički servis u top meniju.

Početna strana HelpDisc sajta

Prikazaće se stranica na kojoj se nalazi plavo polje Proverite status posla, a koje otvara formu za logovanje.

Da biste se prijavili potrebno je da unesete broj posla i šifra koja se dobija prilikom prijave posla i može se videti na Prijemnom obrascu.

Nakon logovanja otvoriće se stranica gde se nalazi dugme za otvaranje file list viewer-a, a između ostalog se može videti status posla i poslednji komentar od strane HelpDisc osoblja.

Spisak root foldera prikazan je u levom prozoru, dok je sadržaj trenutno izabranog foldera prikazan u desnom polju.

Fila Lista prikazuje sve fajlove i foldere koju su spaseni, po strukturi koja je nađena na uređaju. 

U donjem levom uglu možete izabrati opcije prikaza:

– Prikazivanje dobrih fajlova

– Prikazivanje loših fajlova (fajlovi sa lošim sektorima + fajlovi sa lošim zaglavljem)

– Prikazivanje fajlova sa lošim sektorima (bad sectors, tj. nečitljivi delovi diska)

– Prikazivanje fajlova sa lošim zaglavljem (bad headers)

Dobri fajlovi su obeleženi crnom bojom, a svi loši crvenom. Ukoliko je ceo folder obeležen crvenom bojom to može značiti da je samo neki od fajlova unutar foldera oštećen. Ne mora značiti da je ceo folder pun loših fajlova.

Fajl koji je oštećen obeležen je crvenom bojom i u krajnjoj desnoj koloni sadrži opis eventualnog problema (sadrži loše sektore, ima oštećen header).

Ispod prozora možete videti statistiku ukupnih podatke, kao i statistiku izabranog foldera.

 

Velika pažnja je posvećena i brzini učitavanja.

 

Novi HelpDisc-o file list viewer koristi asinhron metod prema AJAX-u što osigurava maksimalnu brzinu učitavanja liste.

Ovo praktično znači da će korisnik koji listu otvara iz browsera učitavati samo onaj deo liste na koji je kliknuo – na primer folder My Photos. Ostali folderi se neće učitavati čime se štede resursi i omogućuje brzo otvaranje željenog foldera.

Velika brzina učitavanja dolazi do izražaja i prilikom pretrage podataka koja se može vršiti na nivou svih foldera, trenutno otvorenog foldera sa subfolderima ili samo na nivou trenutno otvorenog foldera.

File lista se može download-ovati kao stand alone aplikacija ukoliko korisnik želi da je pregleda na svom računaru ili da je sačuva za kasnije pregledavanje. Dovoljno je samo kliknuti na downloadovan fajl i offline File list viewer će se automatski pokrenuti.

Jako je bitno da pregledate detaljno celu listu u najkraćem roku i potvrdite da su svi traženi podaci spaseni. 

Nakon proverene javite nam putem mejla ili telefonom da je lista pregledana i da ste saglasni sa rezultatom spasavanja.

Ovaj upgrade učinjen je da bi se olakšalo korisnicima i omogućila još bolja usluga. HelpDisc će nastaviti da sluša savete i konstantno usavršava svoju uslugu kako bi korisnici što pre dobili svoje spasene podatke.

Video verziju uputstva možete videti ispod.

U prethodnom tekstu pisali smo o Čistim sobama (Clean rooms) i njihovoj upotrebi kada je u pitanju spasavanje podataka sa hard diskova.

Pomenuto je da su Čiste sobe laboratorije u kojima se održavaju propisani stepeni čistoće vazduha kako ne bi došlo do kontaminacije ploča hard diskova.

Čiste sobe u najvećem broju slučajeva poseduju specijalne jedinice – komore, u kojima je klasa čistoće vazduha veća od one propisane za Čistu sobu.

Šta su Laminarne komore?

Laminarne komore, odnosno komore sa laminarnim strujanjem vazduha su laboratorijske jedinice koje služe da bi se u njima vršile određene analize uzoraka i aktivnosti na materijalima koji su jako osetljivi na mikročestice ili mogu da budu opasni po ljude i okolinu.

Svaka komora ima svoj sistem usisavanja vazduha, filtriranja, kanalisanja i odlaganja. U zavisnosti od kombinacija ovih sistema pravi se gruba podela na komore sa horizontalnim i vertikalnim vazdušnim strujanjem.

Horizontalno strujanje podrazumeva da se vazduh usmerava pravo na operatera, dok je vertikalno strujanje direktno usmereno na predmet rada.

Takođe, komore mogu biti otvorenog ili zatvorenog radnog prostora. Zatvoreni prostor se koristi kada je predmet rada neka opasna materija, virus, agens itd.

Princip rada Laminarnih komora

Motor laminarnih komora usisava vazduh iz okoline i usmerava ga u prostor u kome se nalazi filter koji može biti HEPA ili ULPA. Ovi filteri mogu da omoguće zadržavanje i do 99,99% čestica čiji je prečnik veči od 3 mikrona.

Izvor: Air Science

Laminarnost, tj. pravolinijsko paralelno strujanje vazduha u svim tačkama obezbeđuje perforirani lim koji se nalazi ispred filtera.

Paralelno kretanje vazduha obezbeđuje da svaka čestica koja se eventualno nađe u radnom prostoru bude izbačena van komore. 

Radni prostor, tj. prostor u kome se vrši analiza ili operacija nad predmetom, nalazi se u stanju povišenog pritiska (nadpritiska) i vazduh je u stalnom laminarnom kretanju, pa je zadržavanje čestica nemoguće.

Brzina vazduha koja je optimalna za hard diskove i koja obezbeđuje laminarnost je od 0,3 do 0,5 metara u sekundi.

Kako se spasavaju podaci u Laminarnim komorama?

Ploče na kojima se upisuju podaci su veoma osetljive na prašinu i dodire uopšte.

Magnetno upisivanje/čitanje zahteva malo rastojanje između glava (služe za upis i čitanje) i površine koja služi za raspored magnetnih čestica. Ovo ’’malo rastojanje’’ je reda 60-100 nanometara kada hard disk radi.

Ne treba zaboraviti da se ploče vrte brzinom od 5400, 7200, pa i više od 10000 obrtaja u minuti.

Čestica prečnika mikrona izgleda kao planina za glavu koja lebdi na nanometrima. Činjenica je da će mnoge čestice biti odbačene od površine onda kada se disk zavrti, ali postoje i one koje su lepljive, pa predstavljaju opasnost da ostanu.

Zato je za svaku intervenciju gde je potrebno otvarati hard disk potrebno da se opasnost od kontaminacije ploča svede na minimum korišćenjem Čistih soba i komora sa laminarnim strujanjem vazduha.

Kada se desi slučaj da su na disku pokvarene glave ili je motor zaglavljen, potrebno je da se isti otvori u komori i izvrši zamena neispravnih delova.

HelpDisc je razvio svoju Čistu sobu za potrebe procesa spasavanja podataka, a možete je videti na ovoj panorami od 360 stepeni.

Takođe, u sklopu HelpDisc-a se nalazi razvojno odeljenje koje se godinama bavi razvojem mehaničkih alata za spasavanje podataka pod brendom HddSurgery.

Ovako izgleda Laminarna komora koja je proizvedena u Srbiji:

Pratite HelpDisc na Facebook-u, Twitter-u, LinkedIn-u i Google Plus-u.

Miloš Gizdovski
Marketing Menadžer

Kompanija AceLab upriličila je dve internacionalne konferencije u aprilu i maju mesecu kako bi predstavila novitete iz datarecovery sfere. Prva konferencija održana je u Pragu uz veliko prisustvo predstavnika značajnih kompanija iz sveta spasavanja podataka.

Pored naših evropskih kolega bilo je gostiju iz Južne Amerike, Azije, Okeanije… U konferencijskoj sali hotela Clarion kolege iz AceLaba su govorile o novim proizvodima svoje kompanije, kao i novim načinima i pristupima spasavanju podataka sa hard diskova, SSD-a i Flash uređaja.

 
AceLab konferencija

Na veliko oduševljenje svih prisutnih prikazali su rešenje za pristup servisnoj zoni diskova sa zaključanim pristupom servisne zone kompanije Seagate, nove mogućnosti i rešenja za nove tipove SSD-a, kao i podršku za novije kontrolere Flash uređaja.

Po završetku konferencije održan je afterparty u neformalnom tonu uz obavezno konzumiranje blago gaziranih napitaka češke proizvodnje, svetlo žute i crne boje, po izboru naravno.

Afterparty

Hvala Eleni i AceLab-u na lepom druženju i dobroj saradnji.

Nikola Radovanović
HelpDisc

Dok na ovim prostorima još uvek postoji trvenje čiji je Tesla (naravno naš) i veliko osporavanje svega što dolazi sa one strane bare (jer da nije Tesle još bi Ameri pisali uz lojanicu), tamo negde daleko Teslom se zove auto kojem ne treba gorivo, tako da pored punjenja mobilnog telefona sada možemo da punimo i automobil.

Tesla je nažalost prvi put dobio i negativnu konotaciju. Naravno, pričamo o Tesla ransomware-u, jednoj od varijanti cryptolocker-a koji poslednjih par meseci zadaje ogromne i nerešive probleme mnogim nesrećnim (neopreznim) korisnicima računara.

Slika: http://deletemalware.blogspot.com

O samom načinu širenja problema i načinu prevencije puno je tema na internetu. Ono što je falilo bilo je rešenje. Kao grom iz vedra neba došla je vest da je ekipa ili neko njima blizak objavio master ključ za sve zaražene računare.

Da li su organi zaduženi za hvatanje ovih crypto-zlikovaca na pragu otkrivanja identiteta ili je neko od istih u napadu savesti rešio da okaje grehe možda nikada nećemo saznati.

Slika: usblog.kaspersky.com

U svakom slučaju, vest da postoji master ključ za jednu od podvrsta virusa je bolja od vesti da imamo još jednu podvrstu crypto virusa. Da li će ostali napisati svoje iskupljenje i time pokušati da operu sav užas koji su napravili ili je posredi demonstracija sile sajber terorista, možda nikada nećemo saznati.

Nikola Radovanović
HelpDisc