移動硬碟,一般採用USB接口,具有容量大、體積小、速度高、使用方便等特點。為了提高數據安全性,不少品牌的移動硬碟廠商都為旗下高端產品配備功能卓越的加密方法。比如威騰電子(WD)就為自家的系列(如圖1)配備了硬碟固件加密和USB固件加密(利用WDunlocker軟體加密)。雙重加密的確加強了數據安全保護,但在硬碟出現故障時,硬碟數據恢復也遇到了極大了解密難題。
圖1:WD硬碟 My Passport Ultra系列
1、 實戰對象:WD硬碟1TB移動硬碟WD My Passport Ultra系列,USB接口,外觀完好,沒有明顯的摔傷痕跡。硬碟雙重加密(硬碟固件加密+USB固件加密)。
2、 硬碟準備(3塊實體盤):
(1) 恢復盤A:有故障、存儲有需要提取的數據的USB移動硬碟
(2) 鏡像盤B:鏡像拷貝數據,後期分析
(3) 配件盤C:更換磁頭、更換電路板(與A固件版本相同的普通硬碟)
3、 故障現象:使用中,硬碟突然不識別,通電有異響
4、故障檢測:
因本案例是USB接口且雙重加密,需要使用到特殊方法進行解密,效率源抽調了資深的移動硬碟解密研究員組成專家組,全面展開數據恢復。
望:360度查看恢復盤A,外觀上沒有摔傷痕跡,包括最易變形的硬碟四周和邊角。
聞:與DRS數據恢復系統(圖2)相連,通電檢測,有異響。
圖2:DRS數據恢復系統可以預檢硬碟硬體健康狀況
問:據描述,本硬碟數據為高度機密。同時,硬碟除硬體加密,還通過WD自帶的程序WDunlocker進行USB固件加密。
切:更換恢復盤A的電路板後通電,仍舊有異響,排除是電路板引起。在雙百級無塵工作室開盤檢測,發現是0號碟片1號頭位置碟片劃傷(屬於相當嚴重)(見圖3)。
圖3:紅色箭頭處為劃傷,實體盤上肉眼可看到劃傷處
綜合評判,通過特殊手段還有希望恢復,但只有三成。具體的觀察、檢測、開盤等方法,在前4期均有詳細講解,此處不贅述。
5、數據恢復:
(1)開盤,換磁頭。繼續在雙百級無塵工作室,將配件盤C的磁頭更換到恢復盤A上。具體方法在第1期中有介紹,不贅述。
(2)電路板更換(ATA接口)。將配件盤C電路板(ATA接口)與恢復盤A的電路板更換。因為USB接口無法處理複雜的缺陷情況,所以需要更換轉接口。
(3)鏡像,分頭讀取數據。故障檢測中已經確定,硬碟0號碟片1號頭位置碟片嚴重劃傷,這種情況,不能直接讀取,否則磁頭會損壞,甚至造成其他碟片劃傷,嚴重影響結果。效率源工程師使用DRS數據恢復就系統「分頭讀取」功能(圖4),對硬碟進行分頭處理,跳過碟片劃傷區域,將恢復盤A數據轉移到鏡像盤B。
圖4:DRS數據恢復系統可以使用「分頭讀取」 (此圖只為展示「分頭」效果,非本案例硬碟的對應圖片,圖中H1-H8均可選擇)
(4)特殊處理,解密:因為恢復盤A被雙重加密,數據雖然鏡像到了鏡像盤B,但看不到原始數據,需要解密才實現正常識別硬碟,這也是案例的難點之一。
如果,恢復盤A只是硬碟固件加密,可直接利用DRS相關操作解密。但如果像本盤是「雙重加密」,難度就直線升級,必須首先解決一個關鍵問題——要讓恢復盤A彈出WDunlocker軟體加密的解密對話框。而恢復盤A是一個有碟片劃傷的故障盤,如果再次使用電腦啟動,硬碟可能造成二次損壞,也可能出現不能讀取的情況。
在數據恢復實踐中,類似情況經常發生,效率源工程師制定了一套完整有效的解決方案來應對,利用第二次電路板更換的方式彈出對話框(具體操作略),既保護硬碟不受二次損壞,也同時顯示出了解密對話框(圖5)。
圖5:通過特殊手段顯示出軟體解密對話框(藍色框)
(5)恢復數據。此時,再使用效率源DRS數據恢復系統的數據提取功能,同時提取恢復盤A與鏡像盤B的數據。在讀取恢復盤A過程中,遇到壞道時,DRS會自動調整讀取鏡像盤B的數據。最終,數據恢復圓滿成功(如圖6)。
圖6:提取結果
編後語:
據效率源工程師介紹,本案例的最大難點有2處:(1)USB接口硬碟的複雜缺陷情況處理(分頭讀取);(2)在不通過PC啟動硬碟情況下彈出解密對話框。這2點,工程師都是利用自主研發的特殊手段進行處理,得以解決。同時,鑑於情況比較普遍,分頭技術已經集成到最新的DRS數據恢復系統等產品中,通過點擊操作就能完成。但類似於換板解密的操作,則需手動進行,對操作者的綜合素材要求特別高,一定要有非常精湛的實操經驗後才能著手,否則可能直接導致數據恢復失敗。
關注微信公眾號「xiaolvyuantech」或微信搜索「效率源科技」加關注,了解更多技術知識!
#FormatImgID_6#