Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Samsung 860 EVO, 500GB - odzyskanie danych po szybkim formatowaniu

10 Wrz 2019 15:50 171 8
  • Poziom 14  
    Witajcie,

    Proszę doradźcie jak podejść do odzyskania danych z przypadkowo sformatowanej partycji z dysku SSD Samsung 860EVO 500GB. Na dysku jest zainstalowany windows10 na jednej partycji ok 150GB i druga ma 319GB, na której trzymałem dane. Przypadkowo sformatowałem tą większą partycję sądząc, że jest to podłączony zewnętrzny dysk pod USB. Dodatkowo w trakcie formatowania zmieniłem nazwę partycji na "DYSK".
    Po szybkim rozeznaniu (google) podpowiada by w pierwszej kolejności wyłączyć funkcję TRMI, nie wiem czy była włączona, podałem komendę i później po sprawdzeniu pokazało 'Disabled'. Wyłączyłem komputer i dalej działałem już na drugim systemie operacyjnym, który wystartował z innego dysku.
    Programem DMDE zrobiłem kopię posektorową całego dysku na drugi taki sam dysk i następnie uruchomiłem pełne skanowanie całego dysku. Program wyszukuje 4 partycje w tym dwie mniejsze ok 500MB, (prawdopodobnie na potrzeby działania systemu windows10)
    Po pełnym skanowaniu na interesującej mnie partycji nie odnalezione zostały, żadne dane. Co takiego mogło się zadziać, że teraz DMDE nie widzi tych danych?
    Czy próba przywrócenia systemu windows do puntu przywracania coś zmieni?
    Samsung 860 EVO, 500GB - odzyskanie danych po szybkim formatowaniu
  • Specjalista - HDD i odzyskiwanie danych
    Pokaż wyniki skanowania i ustawienia skanowania. To, że teraz TRIM jest wyłączona, nie znaczy że wcześniej była i może być po danych jeśli DMDE nic nie widzi. Poza tym było to szybkie formatowanie, czy pełne? Przywracanie systemu nic nie zmieni, ono nie rusza danych, to nie jest "cofnięcie czasu" tylko przywrócenie poprzednich ustawień systemowych.
  • Poziom 14  
    Skanowanie było szybkie, trwało 2-3 sekundy.
    Z tym przywracaniem systemu to tak przypuszczałem...
    Wyniki skanowania wrzucę później jak będę miał dostęp do komputera.
    Czy te dane mogą jeszcze siedzieć w kościach tylko został usunięty dostęp do nich? Co TRIM mógł zrobić?
  • Poziom 38  
    TRIM mógł zrobić co do niego należy czyli wyczyścić komórki których obszar został sformatowany.
  • Poziom 14  
    Poczytałem trochę jak działa TRIM i wygląda na to że dane poszły... już w trakcie szybkiego formatowania. TRIM zeruje dane w całych blokach w trakcie kasowania plików. Wyłączenie TRIM już nie mogło niczego zmienić. Bolesna nauczka na przyszłość...
    Czy ktoś z doświadczeniem w odzyskiwaniu danych może potwierdzić lub dać promyk nadziei, że TRIM bezpowrotnie usunęło dane? Czy odczyt kości z dysku za pomocą zewnętrznego programatora może coś zmienić?
  • Poziom 20  
    Adam4321 napisał:
    ...wyłączyć funkcję TRMI, nie wiem czy była włączona, podałem komendę i później po sprawdzeniu pokazało 'Disabled'. Wyłączyłem komputer i dalej działałem już na drugim systemie operacyjnym, który wystartował z innego dysku.


    Z tego co ja rozumiem to funkcja TRIM jest włączana/wyłączana w danym systemie, nie na SSD. Więc jeśli na tym drugim systemie startowanym z innego dysku nie wyłączyłeś tej funkcji także (a SSD był podłączony) to pewnie była włączona.

  • Poziom 26  
    Skasowanie bloku polega na opróżnieniu bramek pływających we wszystkich tranzystorach tego bloku - więc żegnajcie dane. Na rozlutowanie Evo 860 i odzyskiwanie bezpośrednio z układów bym się nie porywał. Szyfrowanie uniemożliwia matematyczne podejście do tematu, więc nawet jeśli te dane gdzieś są poza adresacją LBA, to i tak ich nie znajdziemy.
  • Poziom 14  
    Poczytałem trochę i niestety.... pogodziłem się z utrata danych. Na poziome LBA jak pisze 'kaleron' dane są już nie do odzyskania, przynajmniej przez programy do odzyskiwania danych które działają na poziomie LBA.
    Żeby podjąć próbę odzyskania danych, należy taki dysk wprowadzić w stan fabryczny by wyłączyć działanie funkcji TRIM wewnątrz dysku, żeby kontroler na amen nie wyzerowały danych w całych blokach, o ile w moim przypadku już tego nie zrobił. Windows w trakcie formatowania zadał już takie polecenie TRIM do dysku, z tego co doczytałem wynika że dysk w zależności od obciążenia wykonuje to polecenie w 'wolnej chwili', jeżeli dysk zostanie odłączony od razu od zasilania to jest jeszcze szansa ze dane nie zostały wyzerowane. Ale żeby podejść do próby odzyskania takich danych należy posiadać narzędzia za co najmniej 2-3 tyś dolarów (PC3000).
    Przypuszczam ze w kontrolerze dysku siedzi gdzieś jakiś backup/tablica poprzedniego stanu którą można przywrócić podobnie jak tablicę partycji. Ale do tego trzeba mieć narzędzia i wiedzę. Istnieją zapewne również narzędzia i oprogramowanie od producentów dysków które mogą coś zdziałać ale niedostępne dla użytkownika końcowego.
    Na koniec można podjąć próbę odzyskania poprzez fizyczny odczyt kości (z tym problemu nie mam, ponieważ mam dostęp do programatora, który poradziłby sobie z odczytem), ale co dalej.... dane na takim dysku nie są zapisane w taki sam sposób jak na HDD, numeracja bloków LBA nie odpowiada kolejności zapisu do kości pamięci. Trzeba znać metody zapisu przez dysk i następnie przez wiele godzin analizować i składać odczytane dane binarne. Do tego dochodzi kwestia szyfrowania danych, chociaż i nabyto są metody, często nie system operacyjny szyfruje dane a sam dysk a klucz można wyciądnąć z kości. laboratorium kryminalistyki mając wiedzę i narzędzia takie dane może odzyskiwać nawet i dwa tygodnie. Do tego trzeba mieć narzędzia do poukładania tych danych. Im większe pliki tym trudniej dane poskładać.
    Stwierdziłem, że szkoda zachodu. Utracone dane aż tyle warte nie były, w jakiej części już je odzyskałem. Najgorzej poczta z ostatniego roku, wcześniejszą odzyskałem z poprzedniego dysku HDD z którego migrowałem na SSD. Na szczęście ważne, bieżące pliki na których ostatnio pracowałem trzymałem na pulpicie.
    Teraz już podjąłem decyzje o przełączeniu poczty na IMAP. Wyłączyłem TRIM w windowsowskie na stałe (chociaż nie wiem czy to coś zmieni na poziomie LBA), zrobię prosty skrypt do kopiowania ważnych plików na serwer i dysk HDD.
    Jeżeli ktoś miał ochotę dodać jeszcze coś ciekawego do tematu to wątku jeszcze nie zamykam.

    Dodano po 1 [godziny] 6 [minuty]:

    Tak wygląda ten dysk od środka, tylko mała korekta jest to dysk 850 evo 500 GB Samsung 860 EVO, 500GB - odzyskanie danych po szybkim formatowaniu Samsung 860 EVO, 500GB - odzyskanie danych po szybkim formatowaniu

  • Poziom 26  
    Troszkę niedoszacowałeś cen PC-3000, ale to drobny szczegół. PC-3000 nie obsługuje 860 Rvo, więc nawet dysponując narzędziami jesteś skazany na własną głowę. Klucz jest zapisany w NANDzie - tylko musisz go znaleźć i poprawnie zidentyfikować. I tu pojawiają się dwa problemy:
    - nigdzie nie jest napisane: klucz szyfrujący:...",
    - klucz też może być w jakiś sposób zabezpieczony.
    Tak - w Twoim przypadku szyfrowanie ma charakter sprzętowy.
    Żadnego backupu nie ma - jak chcesz mieć backup, musisz sobie kupić drugi dysk i sam go robić. Gdyby dysk miał sam się zabezpieczać przed nierozważnym ruchem użytkownika, musiałby mieć co najmniej dwukrotnie większą pojemność rzeczywistą w stosunku do nominalnej. Czyż nie bardziej opłaca się odpowiednio drożej sprzedać taki dysk jako 2x większy? To, że niektóre struktury mają swoje kopie ma zabezpieczać stabilność pracy systemu, a nie integralność danych użytkownika.
    A wiesz dlaczego narzędzia producentów są niedostępne dla końcowych użytkowników? Producent ma gdzieś dane użytkownika i nie tworzy narzędzi do ich odzyskiwania. Czasem tworzone są narzędzia do aktualizacji firmware - te są udostępniane, zwłaszcza w sytuacjach, kiedy błędy oprogramowania układowego są przyczyną dużej ilości reklamacji.

    Podsumowując - nawet jeśli poradzisz sobie z szyfrowaniem, co jest warunkiem koniecznym, by myśleć o poskładaniu jakichś danych, to zadanie prawdopodobnie i tak jest niewykonalne własnie ze względu na skasowanie bloków, które przechowywały interesującą Cię zawartość.