Полный Dump SSD-накопителя ¶
От: Drugzilla 25 декабря 2022 г. 22:50
Доброго времени суток!
Некоторые "входные данные"
Накопитель: SSD Samsung 970 Evo Plus (2 TB), оригинальный, новый и полностью исправный
OS: Windows 10
Рассматриваемый раздел: 3 905 689 570 секторов (размером 512 Байт), занято примерно 140 GiB
Файловая система: NTFS со стандартным размером кластера в 4 KiB
TRIM (DeleteNotify): Включен
Было произведено непреднамеренное удаление CHKDSK'ом нескольких файлов. По сути, интерес представляет только один Plain-Text-файл размером примерно в несколько десятков MiB, для которого известны входящие в него последовательности символов, по которым можно напрямую осуществить поиск
Поиск был осуществлен для всего User-Addressable-пространства ─ для всех 3 907 029 168 секторов накопителя, доступных "через" OS. Однако искомого файла обнаружено не было
Но
Насколько я понял, искомые данные все еще могут присутствовать на накопителе. Все дело в "непрямом" соответствии между "логическими" блоками (как раз те 3 907 029 168, что видны, например, в Hex-редакторах) и блоками "физическими" (те, что расположены непосредственно "в" чипах памяти), в наличии неадресуемого "Overprovisioned"-пространства и в наличии механизмов Wear-Leveling'а. В результате всего этого (насколько я понял) SSD получается "непрозрачным" с точки зрения удаления: так, например, блок, содержащий удаленную информацию, может быть не очищен напрямую, а просто переведен в неадресуемое пространство
То есть, возможно, контроллер не произвел очистку блоков с искомыми данными, как минимум в неадресуемом резервном пространстве, которое вроде как должно быть достаточно объемным, учитывая TBW в 1200 для данного SSD
И, насколько я понял, уже абсолютно все блоки, присутствующие на накопителе, можно прочитать через так называемый "технологический режим"
Соответственно, возникают вопросы:
1. Стоит ли вообще применять такой подход с "технологическим режимом" с учетом того, что с момента удаления прошло порядка 10 месяцев, порядка 7 из которых накопитель и файловая система на нем находились в режиме "Online"? То есть TRIM и Garbage Collection уже (почти точно) были выполнены. Также за это время было записано порядка 135GiB. Да, это достаточно много, но тем не менее это только порядка 7% от общего User-Addressable-объема накопителя и порядка 8% от объема всего свободного пространства накопителя, а искомый же файл не особо большой по объему и к тому же текстовый
2. Перевод накопителя в "технологический режим" и работа с ним в таком формате, судя по всему, задачи довольно нетривиальные, решаются при наличии внушительных знаний в области накопителей и с применением программно-аппаратных комплексов вроде AceLab PC-3000. А потому возникает следующий вопрос
3. Осуществляются ли такие работы в компании "R.LAB"? И если да, то какова будет стоимость такого "полного вычитывания" ("Dump'а") информации с SSD? Реализуются ли такие работы в Самаре? Или же потребуется отправка в Москву?
Файл не вот прям очень важен. Но явно было бы не лишним восстановить. Или же перед форматированием и записью новых данных полностью убедиться, что в данном случае восстановление невозможно
P. S. Получилось несколько сумбурно, но вроде как все основные моменты описал