Cos’è il recupero dati

  Con il termine recupero dati si intende l’insieme delle tecniche software ed hardware per portare alla luce dati cancellati o inaccessibili.

Il passaggio dall’analogico al digitale ha portato dei benefici indiscutibili ma, allo stesso tempo, ci espone alla perdita massiva di dati. I centri di recupero dati nascono quindi per far fronte a tale esigenza, affiancati dai centri di raccolta dei supporti che non eseguono materialmente il lavoro di recupero.

Esistono diverse tipologie di memorie e altrettanti sistemi di recupero dati; illustreremo solo le più comuni:

  • Memorie di tipo flash (SD , PENDRIVE, COMPACT FLASH, SSD, ecc);
  • Memorie di tipo magnetico (Hard Disk o comunemente chiamati dischi rigidi).

Le memorie utilizzate nella maggior parte dei dispositivi elettronici quali smartphone, computer, fotocamere, consolle, ecc vengono utilizzate prevalentemente come contenitore di informazioni utente e, in alcuni casi, come per esempio quello dei dischi rigidi, anche come contenitore per il sistema operativo (quel software che ci consente di poter usare un dispositivo). Le memorie vengono quindi quotidianamente utilizzate spessoI dispositivi di memorizzazione sono altamente miniaturizzati e sofisticati, in grado di gestire quantità notevoli di dati con velocità alte di lettura degli stessi. Proprio per la loro complessità e l’alta frequenza di utilizzo spesso questi dispositivi si rompono o funzionano in modo limitato. Un centro specializzato in recupero dati, sottoporrà ad analisi il supporto danneggiato al fine di comprendere la causa del malfuzionamento e trovare la migliore strategia risolutiva.

COMUNE PENDRIVE

 

Le prima tipologia di memoria che tratterò in questo articolo è la memoria di tipo FLASH. A questa famiglia appartengono  Pendrive, Compact flash, SSD, ecc, utilizzate nel nostro quotidiano senza porci nessuna domanda. Al loro interno troviamo una memoria nand che può anche essere un monolita cioè, un corpo unico senza nessun pin in evidenza.  Quando si verifica un problema su questo tipologia di unità con nand non monolita (fatta eccezione per la morte della nand stessa), i dati possono essere recuperati e trasferiti su un altro dispositivo con la tecnica del “chip off“. Tale tecnica, consiste nella rimozione della nand mediante l’uso di saldatori ad infrarossi o ad aria calda e nella lettura manuale, utilizzando appositi strumenti hardware che emulano il controller corretto per quella determinata memoria. Una volta ricreato l’ambiente iniziale sarà possibile creare un dump (una copia bit per bit) dell’intera area di memoria. Al termine di queste operazioni i dati non saranno ancora utilizzabili ma andranno postelaborati per ritrovare la radice primaria e il suo contenuto. L’operazione appena descritta per un dispositivo di tipo flash non monolitica può richiedere diversi giorni di lavoro ed offre un’ottima percentuale di successo.

 

Differente è invece è il procedimento per i prodotti monolitici nei quali il chip è integrato nella struttura.

SD MONOLITICA
SD MONOLITICA

Nell’immagine qui accanto è evidente la differenza strutturale tra una pendrive con nand classica ed una monolitica; in quest’ultimo caso il chip è completamente invisibile e coperto da una vernice di colore nero che, una volta eliminata, svela un circuito composto da tanti punti. A questi punti è possibile connetere una speciale strumentazione (SPIDER, visibile nella foto in basso) capace di analizzare le frequenze in transito nel circuito per scoprire quelle utili al dialogo con la memoria. Una volta trovate le frequenze giuste si potrà ottenere un dump (esattamente come per le precedenti memorie) da elaborare nel medesimo modo. A differenza della precedente tipologia di nand, per il recupero di dati su chip di tipo monolitico, si possono spendere molti più giorni di lavoro a causa della ricerca della corretta combinazione di frequenze. Tale tempo non si ridurrà proporzionalmente con il numero di esperienze di recupero effettuate perchè, i punti del circuito non sono identici per tutte le memorie ma cambiano da costruttore a costruttore e da modello a modello.

SPIDER PER CONNESSIONE PUNTI

Per concludere, il recupero dati da strumenti digitali come le memorie sopracitate è un lavoro di alta ingegneria e necessita, oltre che dell’attrezzatura adeguada al tipo di memoria, di personale altamente preparato ed aggiornato; il recupero, in caso di mancanza di queste caratteristiche, potrebbe essere compromesso o avere una percentuale di dati recuperati molto bassa. I danni arrecati ad una memoria da un tentato recupero errato potrebbero essere irreversibili e rendere impossibile il recupero che fino ad un istante prima era fattibile.

 

 

STRUTTURA DI UN HDD

 

Passiamo ora alla seconda tipologia di memorie, quelle magnetiche rappresentate solitatamente dai dischi rigidi. Queste memorie sono molto più campienti ma decisamente più lente e fragili delle flash, trattate in precedenza; hanno il pregio di poter essere lavorate in modo relativamente più semplice in caso di recupero dei dati. Sono composte da un contenitore metallico di forma rettangolare dove all’interno trovano posto le parti meccaniche (piattelo, motore, testina, attuatore, magnete, filtro aria) e da un circuito stampato (pcb) posto sotto alla scocca metallica dove trovano posto il connettore dei dati e il connettore di alimentazione. Questo dispositivo sfrutta la testina magnetica per scrivere e leggere i dati sul piattello magnetico planando su di esso, in buona sostanza la testina è sollevata da un cuscinetto d’aria generato dalla rotazione del disco, tale cuscinetto d’aria sostiene la fluttuazione della testa controllata dal PCB ,le teste hanno anche un preriscaldatore che in caso di necessità viene azionato dal circuito di controllo deformando la testa in modo da renderla più idonea al volo. Va detto che l’aria presente nei dischi rigidi è pura al 100% non contiene polvere, se si aprisse un disco senza le dovute attrezzature (camera bianca con filtri HEPA) il disco romperebbe la testa al primo avvio, è sufficiente immaginare un granello di polvere decisamente più grande della distanza tra testa e piattello che, mosso alla velocità di 7200 giri minuto urta contro la stessa distruggendola all’istante. E’ importante non aprire mai un disco rigido in caso di necessità di recupero dei dati, se si effettua tale operazione si rischia di mandare in fumo il suo contenuto per sempre. Tutti i dischi rigidi come le normali apparecchiature elettroniche con organi in movimento, effettuano dei test preliminari prima di essere operativi, durante questi test il disco è inaccessibile ed il motore parte da 0 rpm fino al raggiungimento della velocità massima per poi sganciare le teste e farle muovere sul piattello, se qualche anomalia viene riscontrata, il disco non sarà operativo e si sentiranno dei ticchettii, in alcuni casi e su alcuni modelli di maxtor diamondmax plus 9 si può udire anche una sequenza di suoni che indicano all’utente che il disco è in fault. E’ bene dire che tutti i dischi hanno un sistema di controllo definito “smart” che in caso di riscrittura massiva dei cluster segnala al bios del computer l’anomalia divenendo un messaggio di testo visibile solo nella prima fase di boot del computer, (smart error backup your data) quando si è fortunati e si riesce a visualizzare questo errore è bene non ignorare l’avviso ed effettuare immediatamente un backup dei dati. Non sempre il ticchettio deriva da un malfunzionamento legato all’usura, spesso i dischi rigidi subiscono degli urti che in una struttura così microscopica e delicata riescono a creare dei danni seri alle teste, anche in questo caso il disco eseguirà tutto il ciclo di test fino a quando tenterà di leggere la prima traccia del disco e non riuscendoci andrà in fault.

Tipologie di guasti degli HDD :

  • meccanico, Il guasto meccanico è quello che avviene quando una delle parti interne come la testa, il motore o l’attuatore subiscono dei danni, per poter quindi recuperare i dati è necessario un intervento in camera bianca per sostituire le parti interessate dal guasto;
  • elettronico, si definisce guasto elettronico quel tipo di problema che interessa i componenti del PCB guasti di questo tipo avvengono di solito per problemi legati all’energia elettrica che giungendo più alta del normale fa esplodere qualche componente. E’ bene ricordare che in un circuito elettronico tutti i componenti sono interconnessi tra di loro, non è quindi affatto improbabile una rottura della testa, o meglio del preamplificatore installato sulla testa a seguito di sovrattensioni;
  • fisico, quando si sente parlare di problema fisico all’unità di spensa sempre ad un danneggiamento da urto, ma in realtà è un problema di normale usura del disco. Bisogna pensare al disco rigido come un foglio a quadretti dove ad ogni quadretto corrisponde un contenitore con all’interno una parte delle nostre informazioni digitali. Quando un “contenitore” cluster in gergo informatico, si danneggia, il firmware del disco rigido effettua una sostituzione al volo annotando nel registro degli errori la cella difettosa di provenienza e quella nuova di destinazione. Poiché è fisiologico avere cluster che con l’uso si danneggiano, tutti i costruttori producono unità con un numero maggiore di cluster disponibili come riserva in caso di necessità. E’ ovvio che questo numero di celle non sarà disponibile all’infinito e nel momento in cui i cluster finiscono, nascono i problemi all’unità. In questi casi è possibile recuperare una grande quantità di dati ma non quelli presenti nei cluster morti, per loro purtroppo non esiste possibilità di essere recuperati.

 

Marasco Massimiliano

GymaxDataRecovery