Выберите Ваш город

Введите название вашего города

  • Абакан
  • Анадырь
  • Арзамас
  • Архангельск
  • Астрахань
  • Барнаул
  • Белгород
  • Биробиджан
  • Благовещенск
  • Братск

Восстановление данных с зашифрованных дисков Western Digital

Artem Makarov aka Robin
11.03.2014
17337 просмотров

Многие рядовые пользователи даже не подозревают, что их любимые жесткие диски могут хранить всю информацию внутри себя в зашифрованном виде. Чаще всего используется AES шифрование с ключом 128 или 256 bit. Шифрование и расшифровка ведётся «на лету», прозрачно для пользователя, на аппаратном уровне. Когда-нибудь к этому приведут и накопители с sata (sas) интерфейсом в массовом порядке, я думаю. Но пока что на практике приходится сталкиваться с такой ситуацией во время выполнения восстановления данных с внешних жестких дисков. Как правило, это диски производителя Western Digital. Лично мне, другие аппаратно шифрующие пользовательскую информацию HDD, пока не попадались. На подходе, впрочем, Seagate Enterprise Performance 10K с FIPS 140-2 шифрованием, но в наш СЦ они пока не поступали.

Функция шифрования реализована в мосте, который выступает посредником между USB и SATA интерфейсами. Наиболее распространенными м\с-шифровальшиками являются INITIO Inic-1607E, SymWave SW6316 и JMicron JMS538S Далеко не всегда, когда вы обнаруживаете на плате (в случае дисков 2,5" форм-фактора) или на переходнике такой мост, означает, что данные на поверхности шифрованы. Но убедиться в этом достаточно просто. Открываем в обход моста ,к примеру, 0-й сектор в hex-редакторе, и вместо узнаваемого MBR

Расшифрованный сектор HDD WD

видим вот такое:

Зашифрованный сектор HDD WD

Особое расстройство такая картина вызывает в тех случаях, когда либо выгорела оригинальная плата\переходник и потребовалась новая. Либо у диска были неисправны головки чтения\записи и после замены, вознамерившись было читать информацию в технологическом режиме с учётом структуры файловой системы, мы понимаем, что со структурой вышла неувязочка.

Увы, в такой ситуации, когда диск работает нестабильно после работ в гермозоне, приходится делать полную посекторную копию с последующим её разбором. Нетрудно догадаться, что сделав копию, специалист по восстановлению данных с шифрованного диска столкнётся с ситуацией, когда придется получить расшифрованное содержимое HDD. Есть несколько подходов для решения такой проблемы. Один из самых примитивных — отыскать точно такой же, полностью исправный диск, и делать клон на него, с тем отличием, что писать надо в обход моста, непосредственно через SATA. После завершения клонирования, подключить USB мост, который все расшифрует. Такая методика неплохо себя зарекомендовала для мостов INITIO и SymWave. Там вся информация доступна без дополнительных телодвижений, при условии что LBA у source и destination дисков полностью совпадает и ключ шифрования скопирован. При полной посекторке, даже при наличии некоторого числа бэд-блоков, так обычно и бывает. У дисков с мостом JMS538S всё не так просто. Главная сложность при использовании такой методики - иметь в наличии точно такой же, полностью рабочий драйв.

Более продвинутый и удобный способ, который использую лично я, это делать клон на обычный 3,5" SATA диск и для расшифровки юзать переходник для 3.5" дисков. Опять же, мосты Inic 1607E и SW6316 никаких проблем в этом смысле не подбрасывают. Для моста JMS538S приходится каждый раз брать модуль с ключом шифрования из служебной области поврежденного диска и писать его в ПЗУ переходника в правильное смещение. Отдельно хочу заметить - перепайка ПЗУ, того которое с ключом, от пациента на переходник чаще всего не помогает! Диск определится в диспетчере устройств как WD HARDWARE ERROR и не даст доступа к пользовательской области.

Оборудование для расшифровки HDD WD

Все, что требуется для чтения шифрованных HDD Western Digital

Так же хочу отметить привязку ПЗУ с ключом шифрования к серийному номеру накопителя. На практике мне не приходилось приводить их во взаимное соответствие, но в теории может быть такая ситуация, когда для получения возможности скопировать пользовательские файлы это придётся сделать.

Читать так же:

Начало рабочего года, восстановление диска WD5000LMVW

Закончились праздники и наша лаборатория вновь заработала в полную силу. Первый заказ — восстановить HDD WD5000LMVW-11CKRS0

Диагностика жесткого диска WD4001FAEX

Краткий обзор нового диска от Western Digital - WD4001FAEX-00MJRA0 семейства Kojn RE

Оставьте комментарий
Фосса
16 апреля 2014, 14:19

А каков вообще смысл такого шифрования для носимого винта? Если я его украл - то я его через родной мост-же и прочитаю.

Artem Makarov aka Robin
16 апреля 2014, 19:13

Тайна сия велика есть :)

Вячеслав
16 июля 2018, 15:49

Добрый день!
А можно поподробнее объяснить эту фразу:
«Для моста JMS538S приходится каждый раз брать модуль с ключом шифрования из служебной области поврежденного диска и писать его в ПЗУ переходника в правильное смещение. Отдельно хочу заметить — перепайка ПЗУ, того которое с ключом, от пациента на переходник чаще всего не помогает!»
Имею пациента и донора как раз с таким мостом. Как найти модуль с ключом шифрования, его размер, и с каким смещением его записывать?
Ответ, если можно, перешлите на koreshochek86@***
Заранее спасибо!

Artem Makarov aka Robin
16 июля 2018, 21:29

Этот метод давно потерял актуальность. В настоящее время расшифровка происходит полностью программным методом, на основе изученных вдоль и поперёк алгоритмов шифрования WD. Ещё в процессе вычитывания сектора на destination drive уже пишутся расшифрованными.

Если с самостоятельным восстановлением информации у вас возникнут проблемы, обращайтесь для выполнения работ в нашу лабораторию.

Нужна консультация?

Мы одна из немногих лабораторий в России, которая восстанавливает данные самостоятельно.

Для этого у нас есть все необходимое:
Важно – кто будет первым!
восстанавливать
информацию