Virtuele machines

04 February 2015
04FEB

We worden meer en meer geconfronteerd met raid-systemen waar virtuele machines op draaien.

De voordelen voor de gebruiker zijn velerlei; het voornaamste voordeel is dat men op één raid systeem verschillende servers kan laten draaien.

Als er echter iets met de raid gebeurd is het wel veel complexer om dit op te lossen.

Onlangs nog hadden we een raid met 8 schijven van 1 TB die in raid 10 stonden, met daarin 8 virtuele volumes van 460 GB die samen via iScsi in jbod stonden. Een virtuele raid dus in een fysieke raid.

Het hoeft niet gezegd dat dit een nachtmerriescenario was. De fysieke raid oplossen was vrij snel geklaard, maar daarna de virtuele raid reconstrueren was een grootteorde moeilijker.

Het was geen gewone jbod, maar een soort jbod waar de onderlinge offsets variabel waren.

Een mooie uitvinding van VMware die toelaat op eenvoudige manier het virtuele volume te vergroten. Er is echter geen documentatie van bekend, en we moesten dus alles zelf uitvlooien.

Het is uiteindelijk gelukt om de klant zijn data terug te hebben, maar de inspanningen die hiervoor nodig waren, waren vele malen hoger dan bij een fysieke raid. Wie zo een systeem installeert heeft dus best ook een betrouwbare backup !

Slaagpercentages van 95% of hoger ? Kletskoek !

19 February 2015
19FEB

Regelmatig zie ik op websites van collega's de vermelding dat ze 95% of meer slaagkans hebben.

Deze cijfers doen me telkens weer in een lach schieten.

Als je bedenkt dat meer dan 10% van alle harddisks die wij binnenkrijgen een headcrash hebben op alle platters waardoor een recovery sowieso onmogelijk is, dan is zelfs 90% niet haalbaar.

Dit is enkel mogelijk als je vooraf alle harddisks grondig screent en enkel de gemakkelijke gevallen accepteert.

Eerlijkheidshalve moet ik vermelden dat wij een slaagpercentage van ongeveer 75 à 80% hebben.

We aanvaarden dan ook de moeilijker cases met mediaschade en doen er ook alles aan om er de data van te redden. Uiteraard geen eenvoudige klus, en dikwijls overschrijden we het voorziene budget (wat we echter niet doorrekenen naar de klant; bij ons zijn de prijzen op de offertes heilig), maar de opluchting van de klant als hij zijn data terug heeft is onze mooiste beloning.

Wat onderscheidt ons van de anderen ?

19 February 2015
19FEB

Er zijn nogal wat bedrijven actief op het gebied van datarecovery.

Men kan zich dan terecht de vraag stellen waarin we ons onderscheiden van de anderen.

Ik kan dat vlot beantwoorden met enkele eenvoudige voorbeelden:

Recent kregen we een klant over de vloer die zijn schijf eerst naar een ander bedrijf had gestuurd.

Daar had men gezegd dat recovery onmogelijk was. Dit was al de tweede schijf van die klant die daar als niet recupereerbaar werd verklaard. Die eerste schijf had hij dan ook laten vernietigen in de veronderstelling dat er toch niets meer te doen was.

Zijn tweede "niet recupereerbare" schijf werd bij ons volledig ! gerecupereerd. Uiteraard betreurde de klant dat hij zijn eerste schijf ook niet bij ons had gebracht.

Dit is geen alleenstaand geval. Regelmatig krijgen we schijven binnen die eerst naar een ander bedrijf geweest zijn, aangetrokken door een lage prijs. Deze schijven werden daar als "niet recupereerbaar" verklaard of men kon slechts een beperkt aantal bestanden terugvinden.

In tegenstelling tot vele van onze concurrenten die zich beperken tot eenvoudige gevallen, zijn we dan ook voorbereid op alle mogelijke gradaties van schade aan een harddisk, gaande van enkele bad sectors tot krassen/cirkels op de platters.

Zelfs bij mediaschade kunnen we in de meeste gevallen nog een groot deel van de data terughalen.


 

De toekomst van de Cloud

27 April 2015
27APR

Zowat alle fabrikanten willen ons in de cloud duwen. Vrije keuze ? Ho maar !

Iedere fabrikant verzekert ons dat alles eerste klas beschermd is en dat we niet hoeven te vrezen voor enige lekken van onze data. Daarbij vergeten ze steeds weer de zwakste schakel, nl. de mens zelf.

Ik heb in mijn carriere al veel paswoorden zien passeren van onbestaand tot bruikbaar tot complex tot onkraakbaar.

De miserie is dat we ons paswoord om de zoveel tijd moeten veranderen uit voorzorg en - de mens kennende - na zekere tijd een zekere laksheid optreedt.

Ik weet niet u, maar ik heb er geen goed gevoel bij dat mijn medewerkers mijn kostbare data ergens opslaan waar iedereen erbij kan. Stel u voor dat uw bank zou mededelen dat voortaan de bankkluizen op straat zullen gezet worden, "voor uw gemak" want zo kan u er ten allen tijde bij. Maar dan kan ook Pier, Jan en Pol voortdurend proberen of hun sleutel of code niet toevallig op een van de kluisjes past. Zonder dat iemand hen op de vingers kijkt...

Gelijk welke bank die dat zou proberen wordt onmiddellijk op het matje geroepen en afgestraft. Wat onze bestanden betreft vinden we dat blijkbaar heel normaal. Ook al staan de gegevens van onze visakaart erin, ons bankrekeningnummer, ons telefoonnummer, de laatste vakantiekiekjes en alle andere private of bedrijfsdata. Zelfs boekhoudsoftware wordt nu in de cloud geduwd.

Wie eens kijkt naar de fysieke structuur van de cloud kan zich toch ook enkele vragen stellen.

Vroeger wisten we ten allen tijd (binnen zekere grenzen toch) waar onze data zich bevond.

Op deze pc hier, of die server. Men kon de toestellen aanduiden. Nu bevindt de data zich ergens op deze wereldbol en enkel een select clubje personen weet precies waar.

Deze infrastructuur wordt goed beschermd, maar blijft afhankelijk van elektriciteit. Natuurlijk hebben ze noodstroomaggregaten, maar ook die zijn beperkt in tijd.

Valt elektriciteit langdurig weg, dan hebben we een (groot) probleem.

Nu maak ik me daar nog het meeste zorgen over. Niet of deze of gene kerncentrale open blijft of zal gesloten worden, maar ik heb meer schrik van onze grootste vriend en levensbrenger, nl. de zon.

Heeft u in het nieuws gehoord dat enkele maanden geleden een zonnevlam ons naar astronomsche maatstaven net niet geraakt heeft ?

Al eens bij stilgestaan wat de gevolgen zouden zijn mocht dat wel gebeuren, zelfs gedeeltelijk ?

De zonnevlam induceert hoge stromen in lange elektrische bekabeling (te vergelijken met een EMP puls door de ontploffing van een atoombom in de hogere atmosfeer). In de middeleeuwen was dat geen probleem; elektrische kabels bestonden toen nog niet. Hooguit zal het poollicht veel spectaculairder geweest zijn en tot veel verder zichtbaar geweest zijn.

In 1859 gebeurde het ook eens. Het telegrafienetwerk lag toen een hele tijd plat; personen die de telegraaf bedienden kregen elektrische schokken wanneer ze de toestellen aanraakten, telegrafiehuisjes vlogen in brand.

In 1989 veroorzaakte een zonnevlam de uitval van verschillende kerncentrales in Canada. Internet stond toen nog in zijn kinderschoenen. De gevolgen waren beperkt. Stel nu eens voor dat zoiets heden ten dage zou gebeuren, met alle elektronische communicatie. (internet, gps, gsm ...)

Ziet u het al gebeuren ? Geen elektriciteit meer. Alle elektronische communicatie plat. Geen dagen maar maanden voor alles terug normaal werkt.

Men heeft al aanpassingen gedaan om het elektriciteitsnetwerk robuuster te maken, maar tegen een directe treffer zijn we kansloos.

Ik hoop dat ik het hier te zwart zie, maar ik hou mijn hart vast mocht het toch gebeuren. Waarschijnlijk zal voor velen onze data in de cloud dan ook onze kleinste zorg zijn, mocht zo een ramp zich voordoen.

Jammer genoeg is het hier niet de vraag of het zal gebeuren maar eerder wanneer ...

Marc

www.datarecuperatie.be

24 TB te recupereren

29 April 2015
29APR

Een raid 6 met 12 schijven van elk 3 TB. Er stond 24 TB data op.

Het heeft wat voeten in de aarde gehad om de juiste configuratie te vinden maar dat is uiteindelijk gelukt en we zijn alle data nu aan het saven (duurt wel een tijdje :-) )

Datarecuperatie in Volt

29 May 2015
29MEI

Voor het programma Volt op één hebben we recent onze medewerking verleend.

De bedoeling was dat men ging proberen enkele schijven te vernietigen en dat wij mochten proberen of we toch nog aan de data konden.

Het was een leuke uitdaging hieraan mee te werken. Uiteraard is zo een programma veel te kort om genuanceerde commentaar te geven.

Er zijn zovele parameters die een rol spelen dat we dat in die 4 minuten niet uitgelegd krijgen.

Wie wil kan het filmpje hier herbekijken:

http://deredactie.be/cm/vrtnieuws/videozone/programmas/volt/2.38789?video=1.2330804

Marc

www.datarecuperatie.be

Onze eerste SSHD schijf gerecoverd

01 June 2015
01JUN

Recent heeft Seagate een nieuwe lijn van harddisks gelanceerd, nl. de SSHD die een kleine flash chip combineert met een gewone harde schijf. De flash chip fungeert hier als buffer voor de lees- en schrijfbewerkingen. Seagate stelt het graag voor als een combinatie van een SSD met een HDD die het beste van beide werelden combineert.

Probleem in dit concreet geval is dat de flash chip corrupt geraakt waardoor de harddisk niet meer kan opstarten.

De huidige tools geven echter nog niet de mogelijkheid om dit probleem op te lossen.

Het heeft ons wat hoofdbrekens gekost, maar door een intern ontwikkelde techniek zijn we erin geslaagd om de schijf terug aan de praat te krijgen en de data integraal te recupereren.

Het huwelijk tussen SSD en HDD lijkt mij niet bepaald over rozen te gaan en geeft aanleiding tot een nieuwe klasse van problemen waar we het laatste nog niet van gehoord hebben.

Marc

www.datarecuperatie.be

 

Recovery van een schijf met brand en waterschade

23 June 2015
23JUN

Recent kregen we een harddisk binnen die in een brand had gezeten waarna de brandweer ze had verzopen met hun waterslangen. Dat was terug een leuke uitdaging.

Bij het openen kregen we dit te zien. Bij een test van het magnetisch materiaal bleek dit nog in orde; er was dus nog veel kans dat de data intact was.

We zijn onverwijld aan de slag gegaan, en na uren intensief werk kregen we dit resultaat:

Nieuwe behuizing, nieuwe leeskoppen, nieuwe magneten, maar uiteraard dezelfde datadragers. Wat we toen zagen deed ons wel de moed in de schoenen zakken. Blijkbaar had iemand de schijf -voor ze bij ons kwam- doen draaien, met het water en vuil erin.

Op deze foto is het niet goed zichtbaar, maar de bovenkant staat vol kleine cirkelvormige krasjes, veroorzaakt door de leeskoppen die erover bewogen met vuildeeltjes ertussen. Deze krassen waren niet zichtbaar onder het vuil, want anders hadden we heel waarschijnlijk de job geweigerd. De onderkant was visueel wel in een betere staat.  We konden de schijf dan ook doen starten (na wat tweaken) en zelfs data beginnen lezen, maar we zagen al snel dit patroon:

Groen wil zeggen: goede data; geel en wit moeten nog gelezen worden of zijn overgeslagen; zwart is niet leesbaar.   Hier blijken de leeskoppen dus ook onzichtbare krasjes in het magnetisch materiaal gemaakt te hebben waardoor de data zodanig beschadigd is dat ze onbruikbaar is. Had men de schijf ongemoeid gelaten voor ze bij ons kwam hadden we heel waarschijnlijk de data kunnen redden, maar nu moesten we helaas opgeven. Jammer.

Schijf die van een concurrent komt; heeft van alles gedaan om recovery onmogelijk te maken

02 October 2015
02OKT

Recent kregen we een schijf binnen die bij een concurrent geweest was.

Onze client was niet tevreden over de voorgestelde prijs en besloot de schijf aan ons toe te vertrouwen.

Onmiddellijk toen de schijf bij ons binnenkwam zagen we dat er iets niet pluis was.

De ROM die op de printplaat zat was niet goed gesoldeerd, dat was al een eerste punt.

Toen we dat in orde gebracht hadden konden we via wat trukjes toegang krijgen tot de Service Area van de schijf. Dat zijn softwaremodules die op de platters staan en die nodig zijn voor een goede werking van de schijf.

De softwareversie van de ROM kwam niet overeen met die van de modules op de platters en de versie van de eerste kopie op de platters kwam niet overeen met die van de tweede kopie op de platters.

Kortom, ofwel was de rom niet origineel, ofwel waren (een deel van) de modules niet origineel.

Gelukkig hebben we de expertise in huis om hiermee om te gaan.

Conclusie:  De rom was niet origneel, en een deel van de modules was vervangen door modules van een andere schijf. Gelukkig waren de essentiele modules nog origineel, anders was recovery onmogelijk geweest.

Na het vervangen van de modules met de verkeerde sw versie door de correctie sw versie en het vervangen van de rom konden we uiteindelijk toegang krijgen tot de data.

 

Zulke praktijken zijn helaas geen alleenstaand geval, en zijn een professioneel DataRecovery bedrijf onwaardig.

Datarecovery van mobile devices; in casu Trimble Ranger TSC3CN

06 October 2015
06OKT

We kregen de vraag van een landmeter of we de data van zijn defecte Trimble Ranger konden recoveren. Deze toestellen werken met flashgeheugen en windows Mobile. Geen enkele datarecovery firma bleek dit te ondersteunen. Voor ons terug een leuke uitdaging. Probleem was ook dat het toestel moest blijven werken, want het probleem was te verhelpen met een software upgrade (die evenwel alle data wist). We moesten dus delicaat te werk gaan.

We begonnen met het uitlezen van het flashgeheugen van de Trimble. Daarvoor werden de geheugenchips fysiek verwijderd en uitgelezen met een externe lezer. Daarna werden ze teruggesoldeerd zodat het toestel terug werkte. Na analyse van het flashgeheugen blijkt dit te werken met het bestandssysteem YAFFS2 (yet another flash file system). Een vrij ongewoon bestandssysteem met vrijwel geen ondersteuning.

Daarenboven blijkt dat Microsoft het niet zo nauw neemt met de YAFFS2 standaard en er zijn eigen modificaties aan toegevoegd heeft. In samenspraak met een collega werd deze versie van YAFFS2 ontleed via reverse engineering en er werd een programma geschreven om de bestanden te extraheren uit de flash dumps. Speciaal is hier ook dat zoals voor alle flash file systems er om de zoveel kilobyte een stuk ECC code is.

Ook hier moet rekening mee gehouden worden wil men geen corrupte data hebben. Uiteindelijk hebben we na weken geduldig programmeren de data kunnen terughalen die mijn klant nodig had. Benieuwd of we dit YAFFS2 bestandssysteem nog gaan tegenkomen. Het zou onder andere ook in sommige Android toestellen gebruikt worden.

Datarecuperatie bvba helpt Volt op één

19 October 2015
19OKT

Voor het programma Volt op één hebben we recent onze medewerking verleend. De bedoeling was dat men ging proberen enkele schijven te vernietigen en dat wij mochten proberen of we toch nog aan de data konden.

Het was een leuke uitdaging hieraan mee te werken. Uiteraard is zo een program ma veel te kort om genuanceerde commentaar te geven. Er zijn zovele parameters die een rol spelen dat we dat in die 4 minuten niet uitgelegd krijgen.

Wie wil kan het filmpje hier herbekijken: http://deredactie.be/cm/vrtnieuws/videozone/programmas/volt/2.38789?video=1.2330804

Oude harddisks blijven maar komen

02 November 2015
02NOV

Op een vrij regelmatige basis blijven we maar oude tot heel oude harddisks binnenkrijgen voor recovery.

Dat zijn harddisks met nog de oude MFM or RLL interface van in de jaren 80 van vorige eeuw.

Blijkbaar draaien deze oude schijven nog in machines die onvervangbaar zijn of die aanzienlijke investeringen zouden vragen om te vervangen.

Speciaal hiervoor hebben we nu een testopstelling gemaakt om nog met zulke oude harddisks te werken.

Mooi oogt het niet, maar het is wel effectief...

Verbrande server gerecoverd

26 November 2015
26NOV

Enkele weken geleden kregen we de harddisks van deze server binnen.

De schijven zelf ziet u hieronder:
6 sas schijven van een raid 10

Hoewel de schijven zaar verbrand waren is het ons gelukt (mede dankzij de redundantie van de raid 10) alle data er ongeschonden af te halen!

2 schijven van een raid 1

Zoals op de laatste foto te zien is, is de plastic in de schijf al gesmolten. Nu smelt het plastic op een lagere temperatuur dan die waarop het magnetisch veld verdwijnt. Het verschil is echter niet groot. Het is ons toch gelukt ook deze schijf aan de praat te krijgen, en we zijn nu de data aan het klonen. Tot nu toe kunnen we slechts datafragmenten lezen, maar we zijn volop aan het werk om dit resultaat nog te verbeteren.

Conclusie: Het is niet omdat een harddisk in een brand gezeten heeft dat deze op voorhand verloren is!

Data van Macbook in verkeerscrash gered

17 May 2016
17MEI

Deze macbook bevond zich in een wagen die in een ernstig verkeersongeval betrokken was.
Het grootste deel van de data kon gered worden, ondanks het feit dat de harddisk licht geplooid was.

Waarom Datarecuperatie kiezen?

Eigen labo in Ieper

100% veilig

80% succesratio

24u/7d bereikbaar