Восстановление данных с зашифрованных дисков Western Digital
Многие рядовые пользователи даже не подозревают, что их любимые жесткие диски могут хранить всю информацию внутри себя в зашифрованном виде. Чаще всего используется AES шифрование с ключом 128 или 256 bit. Шифрование и расшифровка ведётся «на лету», прозрачно для пользователя, на аппаратном уровне. Когда-нибудь к этому приведут и накопители с sata (sas) интерфейсом в массовом порядке, я думаю. Но пока что на практике приходится сталкиваться с такой ситуацией во время выполнения восстановления данных с внешних жестких дисков. Как правило, это диски производителя Western Digital. Лично мне, другие аппаратно шифрующие пользовательскую информацию HDD, пока не попадались. На подходе, впрочем, Seagate Enterprise Performance 10K с FIPS 140-2 шифрованием, но в наш СЦ они пока не поступали.
Функция шифрования реализована в мосте, который выступает посредником между USB и SATA интерфейсами. Наиболее распространенными м\с-шифровальшиками являются INITIO Inic-1607E, SymWave SW6316 и JMicron JMS538S Далеко не всегда, когда вы обнаруживаете на плате (в случае дисков 2,5" форм-фактора) или на переходнике такой мост, означает, что данные на поверхности шифрованы. Но убедиться в этом достаточно просто. Открываем в обход моста ,к примеру, 0-й сектор в hex-редакторе, и вместо узнаваемого MBR
видим вот такое:
Особое расстройство такая картина вызывает в тех случаях, когда либо выгорела оригинальная плата\переходник и потребовалась новая. Либо у диска были неисправны головки чтения\записи и после замены, вознамерившись было читать информацию в технологическом режиме с учётом структуры файловой системы, мы понимаем, что со структурой вышла неувязочка.
Увы, в такой ситуации, когда диск работает нестабильно после работ в гермозоне, приходится делать полную посекторную копию с последующим её разбором. Нетрудно догадаться, что сделав копию, специалист по восстановлению данных с шифрованного диска столкнётся с ситуацией, когда придется получить расшифрованное содержимое HDD. Есть несколько подходов для решения такой проблемы. Один из самых примитивных — отыскать точно такой же, полностью исправный диск, и делать клон на него, с тем отличием, что писать надо в обход моста, непосредственно через SATA. После завершения клонирования, подключить USB мост, который все расшифрует. Такая методика неплохо себя зарекомендовала для мостов INITIO и SymWave. Там вся информация доступна без дополнительных телодвижений, при условии что LBA у source и destination дисков полностью совпадает и ключ шифрования скопирован. При полной посекторке, даже при наличии некоторого числа бэд-блоков, так обычно и бывает. У дисков с мостом JMS538S всё не так просто. Главная сложность при использовании такой методики - иметь в наличии точно такой же, полностью рабочий драйв.
Более продвинутый и удобный способ, который использую лично я, это делать клон на обычный 3,5" SATA диск и для расшифровки юзать переходник для 3.5" дисков. Опять же, мосты Inic 1607E и SW6316 никаких проблем в этом смысле не подбрасывают. Для моста JMS538S приходится каждый раз брать модуль с ключом шифрования из служебной области поврежденного диска и писать его в ПЗУ переходника в правильное смещение. Отдельно хочу заметить - перепайка ПЗУ, того которое с ключом, от пациента на переходник чаще всего не помогает! Диск определится в диспетчере устройств как WD HARDWARE ERROR и не даст доступа к пользовательской области.
Все, что требуется для чтения шифрованных HDD Western Digital
Так же хочу отметить привязку ПЗУ с ключом шифрования к серийному номеру накопителя. На практике мне не приходилось приводить их во взаимное соответствие, но в теории может быть такая ситуация, когда для получения возможности скопировать пользовательские файлы это придётся сделать.
Читать так же:
Начало рабочего года, восстановление диска WD5000LMVW
Закончились праздники и наша лаборатория вновь заработала в полную силу. Первый заказ — восстановить HDD WD5000LMVW-11CKRS0
Диагностика жесткого диска WD4001FAEX
Краткий обзор нового диска от Western Digital - WD4001FAEX-00MJRA0 семейства Kojn RE
А каков вообще смысл такого шифрования для носимого винта? Если я его украл - то я его через родной мост-же и прочитаю.
Тайна сия велика есть :)
Добрый день!
А можно поподробнее объяснить эту фразу:
«Для моста JMS538S приходится каждый раз брать модуль с ключом шифрования из служебной области поврежденного диска и писать его в ПЗУ переходника в правильное смещение. Отдельно хочу заметить — перепайка ПЗУ, того которое с ключом, от пациента на переходник чаще всего не помогает!»
Имею пациента и донора как раз с таким мостом. Как найти модуль с ключом шифрования, его размер, и с каким смещением его записывать?
Ответ, если можно, перешлите на koreshochek86@***
Заранее спасибо!
Этот метод давно потерял актуальность. В настоящее время расшифровка происходит полностью программным методом, на основе изученных вдоль и поперёк алгоритмов шифрования WD. Ещё в процессе вычитывания сектора на destination drive уже пишутся расшифрованными.
Если с самостоятельным восстановлением информации у вас возникнут проблемы, обращайтесь для выполнения работ в нашу лабораторию.