Eentje uit de oude doos

26 January 2013
26JAN

We ontvingen deze 40 MB (jawel.. megabyte) hardeschijf welke zeer belangrijke machine data bevatte.  We konden alle data recupereren welke onze klant nodig had. Gelukkig gooien we nooit oud gereedschap weg, je weet nooit wanneer je ze ooit nog nodig zou kunnen hebben.

Zelfs een wagen houdt ons niet tegen!

12 April 2013
12APR

Enkele weken geleden kregen we deze schijf binnen. De schijf had blijkbaar onder de wielen van een wagen gelegen. Bemerk hoe de behuizing krom staat. Het had heel wat voeten in de aarde, maar we konden de meeste data intact recupereren.

Raid Recovery: do's en don'ts

15 June 2013
15JUN

Van tijd tot tijd krijgen we raid-systemen binnen voor datarecovery.
Een raid op zich recoveren is in veel gevallen al niet eenvoudig, maar de zaak kan nog veel complexer worden door ondoordachte handelingen van de gebruiker of IT verantwoordelijke.

Eerst een korte beschrijving van de verschillende raid-systemen:

Raid 0: Minimum 2 schijven, de data is verdeeld in 'stripes' over de verschillende schijven. Valt één schijf uit, dan is de data niet meer toegankelijk.

Raid1: Bestaat uit twee schijven, die een kopie zijn van elkaar. Valt één schijf uit, dan kan normaal met de andere schijf voortgewerkt worden.
Nadeel: Soms is een schijf al maanden geleden uitgevallen, zonder dat men dat merkt. Valt dan ook de andere uit, dan kan men niet meer aan de data.

Raid5: Bestaat uit minimum drie schijven. De data is verdeeld over de drie schijven, samen met pariteitsblokken. Valt één schijf uit, dan kan men nog voortwerken met de twee andere.

Raid6:  Bestaat uit minimum vier schijven. De data is verdeeld over de vier schijven, samen met 2 verschillende pariteitsblokken. Hier mogen twee schijven uitvallen en nog kan men voortwerken.

Er bestaan ook nog andere raid-configuraties, zoals 0 + 1 of 5 + 1, maar dit zijn combinaties van de bovenstaande raid-systemen.

Wat kan er foutgaan ?

Raid0: 

1 schijf valt uit; data is niet meer bereikbaar. Alle schijven zijn nodig voor datarecovery

Raid1:

Scenario 1:

1 schijf valt uit en men merkt het niet. Na een tijdje valt ook de tweede uit en is de data onbereikbaar.

Grootste fout hier is dat men maar één van de twee schijven bezorgt. Het gebeurt dat één schijf enkel logische fouten heeft, en de andere een headcrash.

Scenario 2:

1 schijf valt uit en men merkt het niet. Men werkt door met de andere schijf. Na enkele maanden besluit de schijf die eerst uitviel toch terug op te starten (reden onbekend). De raid 1 synchroniseert terug maar in de verkeerde richting. Beide schijven bevatten nu oude data.

Scenario 3:

1 schijf valt uit, en men merkt het wel. Men vervangt de defecte schijf door een nieuwe schijf, en het systeem synchroniseert beide schijven. Echter in de verkeerde richting. Men heeft nu twee blanco schijven.

Praktijkvoorbeeld:


Een klant bracht ons één schijf en hergebruikte de andere (die nog bleek te werken, maar het logisch volume was weg) om een oude backup te herinstalleren. Bleek nadien dat juist die schijf het laatst uitviel, en de schijf die ons bezorgd werd bevatte enkel oude data. Gezien de nog werkende schijf overschreven werd met een oude backup was hun data weg.

Wat niet doen:

Schijven terug synchroniseren zonder backup want de synchronisatie kan verkeerd uitdraaien

Raid5:

Bij een raid 5 treden maar problemen op als er twee schijven uitvallen.

Scenario 1:

Een schijf valt uit, en men werkt verder zonder ze te vervangen, denkende dat men toch veilig zit. Het gebeurt vaak dat vrij snel een tweede schijf sneuvelt en dan heeft men een probleem. Zeker als de laatste schijf sneuvelt met een headcrash, want de schijf die eerst uitviel bevat oude data.

Scenario 2:

Verschillende schijven vallen uit op hetzelfde moment, bvb. door een stroomstoring.

Scenario 3:

De Raid-controller geraakt defect, en hoewel de schijven nog goed zijn heeft men ook geen toegang meer tot de data. Vooral bij oudere controllers is dit een probleem aangezien ze nog maar moeilijk te vinden zijn.

Praktijkvoorbeeld 1:

Een schijf van een raid5 valt uit.  De klant vervangt de schijf en doet een rebuild. Na een tijdje stopt de rebuild met een foutmelding bij een andere schijf.
De klant neemt nu de andere schijf uit de raid en vervangt ze door een nieuwe en forceert een rebuild.

Het spreekt voor zich dat dit niet goed kan aflopen. Aangezien de eerste rebuild niet voltooid is, zal de nieuwe rebuild de data corrupt maken en zelfs overschrijven zodat een volledige recovery niet meer mogelijk is.

Praktijkvoorbeeld 2:

Twee schijven van een raid 5 vallen uit. De klant vervangt beide schijven en forceert een rebuild. Uiteraard kan dit niet lukken, want er ontbreekt een stuk van de data gezien er twee schijven uitgevallen zijn.

Als een raid niet meer recupereerbaar is, is dit in de meeste gevallen te wijten aan de handelingen die de klant uitvoerde voor hij bij ons kwam.

Wat niet doen:

Nooit een rebuild uitvoeren zonder de schijven eerst te klonen (sector by sector copy) of een goede backup te hebben

Raid6:

Bij een raid 6 treden maar problemen op als er drie schijven uitvallen. Gezien de grote redundantie gebeurt het maar zelden dat we een raid 6 binnenkrijgen. Gezien de grotere complexiteit zijn deze recoveries ook duurder.

Wat niet doen:

Nooit een rebuild uitvoeren zonder de schijven eerst te klonen (sector by sector copy) of een goede backup te hebben.

11 SCSI en SAS schijven

03 July 2013
03JUL

Recent hadden we de recovery van 11 scsi en sas schijven, die beschadigd waren door brand. We hebben succesvol ALLE data kunnen recupereren. Samen vormden deze schijven 2 raid-5 systemen en 2 raid-1 systemen. De totale duur van de recovery bedroeg 1 week.

Gevallen harddisk: wat doen ?

26 July 2013
26JUL

Met de externe schijven gebeurt het nog regelmatig dat ze een klap krijgen of van de tafel vallen.
We krijgen die hier met de regelmaat van de klok binnen.
Op tafel omgevallen, hond passeerde en bleef haperen aan de kabel etc ...

Als de schijf niet draait op het moment dat dit gebeurt, kan de schade nog meevallen.
Vergeet niet dat een harde schijf een schitterend stukje fijnmechaniek is.
De leeskoppen zweven op minder dan een micrometer hoogte boven de magnetische laag.
Als de schijf draait terwijl ze een klap krijgt kunnen de leeskoppen de magnetische laag raken en daar schade veroorzaken. Een kras van een millimeter omvat al snel honderden of duizenden sectoren.

Wanneer de schijf dan blijft draaien, kunnen de magnetische deeltjes die door de klap vrijgekomen zijn tussen de leeskop en de magnetische laag terechtkomen en zo nieuwe krassen veroorzaken, die terug deeltjes vrijmaken enz ... Dit zogenaamde lawine-effect kan vrij snel een harddisk compleet kapot maken.

Wat doen als de schijf valt ?

Een gevallen harde schijf is niet meer te vertrouwen.
Als ze klikt, leg ze dan onmiddellijk af, en als de data kostbaar is, breng ze dan zo snel mogelijk binnen bij een datarecuperatie specialist.

Klikt ze niet, en is ze nog benaderbaar, kopieer dan zo snel mogelijk de belangrijkste data naar een nieuwe schijf.

We krijgen regelmatig schijven binnen, dewelke de klant soms uren laten klikken heeft in de hoop dat de schijf terug zou opkomen in windows of mac.
Dit is echter ijdele hoop.

Veelal zien we -wanneer we deze schijven openmaken- een cirkel op de magnetische laag, of nog erger.

Bij schijven met krassen op één of meerdere platters kunnen we in veel gevallen nog data recupereren van  de andere platters. Dit is echter maar een gedeeltelijke recovery, en meestal zijn de bestandsnamen verloren.
Dit wordt maar zelden gedaan vanwege de complexiteit en hoge kostprijs, maar voor iemand die anders al zijn familiefoto's kwijt is, is dit een alternatief. Vanzelfsprekend blijft een goede backup de beste remedie.

SSD harddisks ... Een zegen of een vloek ?

10 August 2013
10AUG

Mijn persoonlijk idee: Een vloek !

Natuurlijk zijn ze supersnel. Iedereen die al eens een gewone harddisk vervangen heeft door een SSD is verbaasd over de snelheid.
Althans, in het begin.

Wanneer men data naar een SSD schrijft moet er eerst geheugen gewist worden vooraleer er iets nieuws kan geschreven worden. Dit in tegenstelling met een gewone harddisk waar men direct de oude data kan overschrijven.

Vandaar dat een nieuwe SSD supersnel is. Het geheugen is namelijk nog helemaal leeg en hoeft dus ook niet gewist te worden. Eens de schijf echter een tijdje in gebruik is kan maar nieuwe data geschreven worden als de oude data eerst gewist wordt. Dit geeft tijdverlies.

Daarom werd het TRIM commando geïntroduceerd. Dit laat toe om ongebruikte geheugenblokken te wissen wanneer de harddisk daar even tijd voor heeft. Hierdoor vermijdt men dat bij een nieuwe schrijfbewerking eerst nog een wis-bewerking moet gebeuren.
Het operating system moet daar echter wel voor uitgerust zijn.

Op gebied van datarecovery en forensisch onderzoek is dit een nachtmerrie, omdat de harddisk zelf de ongebruikte data wist, zonder tussenkomst van de gebruiker.
Stel u verwijdert per ongeluk een map met foto's, en merkt dat pas enkele dagen later op.
Op een gewone harddisk is er nog een grote kans dat we het merendeel terugvinden.
Op een SSD harddisk met TRIM commando is het heel waarschijnlijk dat we niets meer kunnen terughalen.

Waarom vindt ik SSD's een vloek ?

Als DataRecovery professional worden we vaak geconfronteerd met SSD's die niet meer werken.
Er zijn hiervoor allerlei redenen:

  1. Een bug in het programma dat de SSD bestuurd. Dit zijn kinderziektes die er normaal na een tijdje moeten uitgaan. Meestal is een firmware-update voldoende
  2. Slechte kwaliteit van geheugenchips
  3. Electronisch defect


Voor enkele jaren, toen we geheugenchips moesten uitlezen om de data te recupereren, hadden we enkele slechte sectoren per chip.
Doen we dat met een moderne chip, dan vinden we soms miljoenen slechte sectoren.
Deze 'bad sectors' worden tijdens de werking van de schijf gecorrigeerd door een zogenaamde ECC code. Die laat toe om bit-errors te herstellen.
Wanneer de kwaliteit van een geheugenchip met de tijd achteruitgaat, vergroot het aantal bit-errors, tot op het punt dat de data niet meer te corrigeren valt. Dan heeft men in het beste geval een onleesbare sector, en in het slechtste geval een defecte SSD.

Nu vinden bepaalde fabrikanten (zoals Sandforce) het een goed idee (om hun algoritmes af te schermen van de concurrenten) om de data op de geheugenchip te encrypteren.
Dat wil dus zeggen dat als de controller die de schijf bestuurt de geest geeft, niemand nog de data kan terughalen. De encryptiesleutel zit namelijk in de controller ingebakken.

De defecte controller vervangen door een werkend exemplaar haalt niets uit aangezien de encryptiesleutel verschillend is.

Is de data niet geëncrypteerd, dan zien we ons geconfronteerd met een gigantische puzzel.
De data wordt namelijk niet gestockeerd tot een geheugenchip vol is en dan op naar de volgende.
Nee, om het aantal schrijfbewerkingen per chip te beperken (een nand-chip kan maar een bepaald aantal schrijfbewerkingen doen) wordt de data uitgesplitst, vermengd met een XOR tabel en dan pas weggeschreven naar de verschillende chips.
Iedere blok data die weggeschreven wordt heeft een eigen adres en ECC code.
Aan de hand van die adressen moet de data dan terug geassembleerd worden, de ECC correctie toegepast, en dan opgeslagen op een ander medium.

Men kan nu natuurlijk denken dat dat nog zo moeilijk niet is. Het volstaat om de adressen op te zoeken en de blokken in de juiste volgorde te zetten, nee toch ?
Dan heeft men niet gerekend op de creativiteit van de ontwerpers.
Zo een SSD zit namelijk ook nog vol met zgn. mixes (net zoals een usb-stick en een flash kaart).

Wat is een mix ? Wel, om de snelheid te verhogen (en nog enkele andere redenen) wordt de data uitgesplitst en in verschillende chips tegelijkertijd geprogrammeerd.

Een eenvoudig voorbeeld: Stel we hebben de volgende data (hexadecimaal) 0A 12 45 BC en de SSD bevat 4 geheugenchips.
Dan is het niet ongebruikelijk om 0A naar de eerste chip te schrijven, 12 naar de tweede, 45 naar de derde en BC naar de laatste.
Hier stel ik het natuurlijk vrij simpel voor, maar er bestaan heel ingewikkelde mixes.

Het voordeel hiervan is dat men een 4 keer grotere schrijf- en leessnelheid kan halen.
Het nadeel is dat de puzzel véél complexer wordt, want dit moet allemaal uitgeplozen worden.

Er zijn nog veel factoren die hierbij komen kijken, maar dat zal voor een volgend artikel zijn.

Wat voor de één een zegen is (snelheid) is voor de andere een vloek (recovery).

Ransomware virussen. LET OP !

27 September 2013
27SEP

We krijgen steeds meer meldingen van ransomware virussen.

Het gaat als volgt: Op een goede morgen wilt u op uw pc werken, en alle belangrijke bestanden (word, jpeg etc ...) hebben ineens een andere extentie, en er staat in de directory een bestandje zoals 'read this first.txt'.

In dat tekstbetandje wordt u doodleuk gemeld dat al uw bestanden geencrypteerd zijn en of u eventjes een 300$ (of meer) wil storten op een bepaalde buitenlandse rekening. Dan krijgt u per kerende email de methode toegestuurd om uw data te decrypteren.

We hebben al verschillende cases bestudeerd, en er is helaas geen oplossing voor.

De encryptie is zo sterk dat zelfs met de snelste computer en meest geavanceerde technieken er geen oplossing is.

Daarenboven is betalen geen garantie dat u die email met de oplossing ook krijgt.

Een goede raad: Zorg dat uw anti-virus software en firewall up-to-date is en neem steeds een backup die u nadien loskoppelt van uw pc (anders wordt de backup ook versleuteld).

Een (voor een ander bedrijf) hopeloze zaak met succes gerecoverd

08 November 2013
08NOV

Onlangs kregen we een WD laptopschijf binnen voor recovery. De cliente had ze al (via een nederlandse firma) opgestuurd naar een recoverybedrijf in Portugal.

Van belang waren vooral de familiefoto's.

De recovery in Portugal was echter geen succes. Slechts enkele foto's konden worden gerecupereerd.

Ten einde raad stuurde men de harddisk naar ons.

Bij de diagnose werd al snel duidelijk dat op head 0 een headcrash had plaatsgevonden. Om deze reden was het andere bedrijf ook gestopt met de recovery.

In totaal had de schijf drie leeskoppen.  Een crash op één leeskop is voor ons nog geen reden om op te geven.

Een WD heeft namelijk een copie van de essentiele opstartmodules (zoals de meeste schijven). Op medewerking van het bedrijf in Portugal voor een kopie van die modules konden we niet rekenen. Na veel inspanningen lukte het ons om die modules te lezen. Sommige ware beschadigd, maar konden we repareren. Hierdoor was het mogelijk een hotswap donor te maken waardoor we toegang kregen tot de twee leeskoppen waar geen crash had plaatsgevonden.

Op deze manier lukt het ons om twee van de drie magnetische lagen te lezen. Op deze manier konden we ongeveer 4000 familiefoto's en enkele honderden familiefilmpjes recupereren.

Onze cliente was in de wolken.

Hierbij (een deel van) haar email:

Beste Marc


Dit is ongelooflijk goed nieuws.  Ik kan dit bijna niet geloven.  Dat is toch beter dan jullie zelf hadden verwacht of niet?  Jullie dachten maar 50% te kunnen recupereren

Als ik het goed begrijp die 4231 goede foto's, die kan ik gebruiken voor albums van te maken en af te drukken, dus daar is niets mis mee?

Van die filmpjes zelfs al speelt het maar een deel af, ik heb bewegende beelden hé .... en zijn die beelden duidelijk?

Ik ga dan toch bijna alles hebben, of nemen jullie alleen het goede mee?  

U vroeg in een vorige mail of ik nog iets anders wilde hebben.  Misschien mijn excel bestanden?  Zijn er niet veel; de allerbelangrijkste was die met de benaming: raming kosten huis geloof ik.  Ben van de naam niet meer 100% zeker.  Het is een overzicht met de uitgaven aan ons huis

En van onze mail had ik een mapje met huis Moerbeke, ben van de naam niet zeker.  Hier stond belangrijke mails omtrent de aankoop van ons huis, aannemers, enz...  De rest van de mail is niet belangrijk.

Zie maar wat u nog zou lukken.  Het belangrijkste heb ik.  Echt jullie zijn een topteam!!!!!  Niet te geloven, er valt echt een last van mij.
Begrijp niet wat die firma in Portugal heeft gedaan.  Heeft u dan nog contact met hen opgenomen?
Gelukkig dat ik de schijf heb laten terugkomen.  Voor hetzelfde geld had ik hun verhaal aangenomen dat mijn schijf ten dode was opgeschreven en had ik ze daar gelaten.  Stel je voor zeg.  Wat een geluk dat jullie er zijn!!


Bedankt Marc, mijn kindjes gaan zo gelukkig zijn!!!!!!!!!!!!!!!!! :)))))))))))))))))))))))))

Conclusie: Een headcrash hoeft niet steeds het einde te zijn van uw data, maar voorkomen is beter dan genezen !

 

Data veilig in de cloud ?

22 November 2013
22NOV

Enkele weken geleden werd mijn hulp ingeroepen voor het recoveren van data van 12 ! schijven van een datacenter.

Ik schets de situatie: Een bedrijf in Canada stockeert zijn data in de cloud bij een datacenter. Ze gaan ervan uit dat hun data ergens veilig in Canada staat.

In het datacenter maakt een programmeur een script, en zet er per abuis op de verkeerde plaats de regel rm -rf in. Deze linux commandoregel werd per ongeluk uitgevoerd, en 12 harddisks met in totaal 24 TB data werden gewist.

Plots kon het bedrijf in Canada niet meer aan zijn data.

1e probleem: Bij contactname met het datacenter blijkt dat hun data in Frankrijk staat !

2e probleem: Wie iets van linux kent, weet dat bij het Ext3 filesysteem, zoals hier gebruikt werd, het commando rm de inodes wist. Hierdoor is het onmogelijk om de data nog met zijn originele structuur terug te halen. Enkel als men heel snel na het uitvoeren van het commando de computer stillegt, heeft men nog een kans om data te kunnen terughalen door het journal te gebruiken.

In dit geval werd het probleem pas na een weekend ontdekt. Volop tijd dus opdat de inodes gewist werden.

Er werden nog sporen van de data teruggevonden, maar slechts enkele gigabytes. Via raw recovery kan alles nog gevonden worden, maar daar heeft de client niets aan omdat bestandsnamen en locaties verdwenen zijn, en dat was in dit geval primordiaal.

Lost case dus :-(

Mijn data veilig in de cloud ? Mijn gedacht !

Opgegeven Seagate harddisks

21 June 2018
21JUN

Seagate harddisks opgegeven bij andere recoverybedrijven kunnen bij ons veelal wel gerecoverd worden.

Waarom Datarecuperatie kiezen?

Eigen labo in Ieper

100% veilig

80% succesratio

24u/7d bereikbaar